SCHLUSSANTRÄGE DES GENERALANWALTS
ATHANASIOS RANTOS
vom 20. September 2022(1)
Rechtssache C‑252/21
Meta Platforms Inc., vormals Facebook Inc.,
Meta Platforms Ireland Limited, vormals Facebook Ireland Ltd.,
Facebook Deutschland GmbH
gegen
Bundeskartellamt,
Beteiligter:
Verbraucherzentrale Bundesverband e. V.
(Vorabentscheidungsersuchen des Oberlandesgerichts Düsseldorf, Deutschland)
„Vorlage zur Vorabentscheidung – Verordnung (EU) 2016/679 – Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten – Soziale Netzwerke – Art. 4 Nr. 11 – Begriff ‚Einwilligung‘ der betroffenen Person – Einwilligung, die einem für die Verarbeitung verantwortlichen Unternehmen in beherrschender Stellung erteilt wurde – Art. 6 Abs. 1 Buchst. b bis f – Rechtmäßigkeit der Verarbeitung – Verarbeitung, die für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist – Verarbeitung, die zur Erfüllung einer rechtlichen Verpflichtung, der der Verantwortliche unterliegt, zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person oder für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde – Art. 9 Abs. 1 und Art. 9 Abs. 2 Buchst. e – Besondere Kategorien personenbezogener Daten – Personenbezogene Daten, die die betroffene Person offensichtlich öffentlich gemacht hat – Art. 51 bis 66 – Zuständigkeiten der nationalen Wettbewerbsbehörde – Verhältnis zu den Zuständigkeiten der Kontrollstellen für den Schutz personenbezogener Daten – Wettbewerbsrechtliche Maßnahmen, die von einer Behörde mit Sitz in einem anderen Mitgliedstaat als dem der federführenden Datenschutzaufsichtsbehörde ergriffen werden“
Einleitung
1. Das vorliegende Vorabentscheidungsersuchen des Oberlandesgerichts Düsseldorf (Deutschland) ergeht im Rahmen eines Rechtsstreits zwischen Unternehmen des Konzerns Meta Platforms(2) und dem Bundeskartellamt (Deutschland) über den Beschluss, mit dem das Bundeskartellamt der Beschwerdeführerin des Ausgangsverfahrens die in den Nutzungsbedingungen ihres sozialen Netzwerks Facebook vorgesehene Datenverarbeitung und die Durchführung dieser Nutzungsbedingungen untersagt sowie Maßnahmen zur Abstellung dieses Verhaltens angeordnet hat(3).
2. Die Vorlagefragen betreffen im Wesentlichen zum einen die Befugnis einer nationalen Wettbewerbsbehörde wie des Bundeskartellamts, Verhaltensweisen eines Unternehmens unmittelbar oder inzident im Licht bestimmter Vorschriften der Verordnung (EU) 2016/679 zu prüfen(4), und zum anderen die Auslegung dieser Vorschriften insbesondere in Bezug auf die Verarbeitung sensibler personenbezogener Daten, die relevanten Bedingungen für die Rechtmäßigkeit der Verarbeitung personenbezogener Daten und die Erteilung einer freiwilligen Einwilligung gegenüber einem Unternehmen in marktbeherrschender Stellung.
Rechtlicher Rahmen
Unionsrecht
3. Art. 4 DSGVO sieht vor:
„Im Sinne dieser Verordnung bezeichnet der Ausdruck:
…
11. ‚Einwilligung‘ der betroffenen Person jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist;
…“
4. Art. 6 Abs. 1 („Rechtmäßigkeit der Verarbeitung“) dieser Verordnung lautet:
„Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;
b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;
c) die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;
d) die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;
e) die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.
[Absatz] 1 Buchstabe f gilt nicht für die von Behörden in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung.“
5. Art. 9 („Verarbeitung besonderer Kategorien personenbezogener Daten“) Abs. 1 und 2 dieser Verordnung bestimmt:
„(1) Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt.
(2) Absatz 1 gilt nicht in folgenden Fällen:
a) Die betroffene Person hat in die Verarbeitung der genannten personenbezogenen Daten für einen oder mehrere festgelegte Zwecke ausdrücklich eingewilligt, es sei denn, nach Unionsrecht oder dem Recht der Mitgliedstaaten kann das Verbot nach Absatz 1 durch die Einwilligung der betroffenen Person nicht aufgehoben werden,
…
e) die Verarbeitung bezieht sich auf personenbezogene Daten, die die betroffene Person offensichtlich öffentlich gemacht hat,
…“
6. In Art. 51 („Aufsichtsbehörde“) in Kapitel VI („Unabhängige Aufsichtsbehörden“) dieser Verordnung heißt es:
„(1) Jeder Mitgliedstaat sieht vor, dass eine oder mehrere unabhängige Behörden für die Überwachung der Anwendung dieser Verordnung zuständig sind, damit die Grundrechte und Grundfreiheiten natürlicher Personen bei der Verarbeitung geschützt werden und der freie Verkehr personenbezogener Daten in der Union erleichtert wird …
(2) Jede Aufsichtsbehörde leistet einen Beitrag zur einheitlichen Anwendung dieser Verordnung in der gesamten Union. Zu diesem Zweck arbeiten die Aufsichtsbehörden untereinander sowie mit der Kommission gemäß Kapitel VII zusammen.
…“
Deutsches Recht
7. § 19 Abs. 1 des Gesetzes gegen Wettbewerbsbeschränkungen (im Folgenden: GWB) bestimmt:
„Die missbräuchliche Ausnutzung einer marktbeherrschenden Stellung durch ein oder mehrere Unternehmen ist verboten.“(5)
8. § 50f GWB sieht vor:
„(1) Die Kartellbehörden, Regulierungsbehörden, die oder der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit und die Landesbeauftragten für Datenschutz sowie die zuständigen Behörden im Sinne des § 2 des EU-Verbraucherschutzdurchführungsgesetzes können unabhängig von der jeweils gewählten Verfahrensart untereinander Informationen einschließlich personenbezogener Daten und Betriebs- und Geschäftsgeheimnisse austauschen, soweit dies zur Erfüllung ihrer jeweiligen Aufgaben erforderlich ist, sowie diese in ihren Verfahren verwerten. …“
Ausgangsverfahren, Vorlagefragen und Verfahren vor dem Gerichtshof
9. Meta Platforms betreibt das Angebot des sozialen Online-Netzwerks „Facebook“ in der Europäischen Union (unter www.facebook.com) sowie weitere Online-Dienste, darunter Instagram und WhatsApp. Das Geschäftsmodell der von Meta Platforms betriebenen sozialen Netzwerke besteht im Wesentlichen darin, einerseits unentgeltliche Dienste eines sozialen Netzwerks für private Nutzer anzubieten und andererseits Online-Werbung zu verkaufen, die auf den individuellen Nutzer des sozialen Netzwerks zugeschnitten ist und darauf abzielt, ihm diejenigen Produkte und Dienstleistungen zu zeigen, die ihn u. a. aufgrund seines persönlichen Konsumverhaltens, seiner Interessen, seiner Kaufkraft und seiner persönlichen Situation interessieren könnten. Technische Grundlage dieser Art von Werbung ist die automatisierte Erstellung von sehr detaillierten Profilen der Nutzer des Netzwerks und der auf Konzernebene angebotenen Online-Dienste(6).
10. Hinsichtlich der Erhebung und Verarbeitung der Nutzerdaten stützt sich Meta Platforms auf den Nutzungsvertrag, den die Nutzer mit ihr schließen, indem sie die Schaltfläche „Registrieren“ betätigen und damit den Nutzungsbedingungen von Facebook zustimmen. Die Zustimmung zu diesen Nutzungsbedingungen ist eine wesentliche Voraussetzung für die Nutzung des sozialen Netzwerks Facebook(7). Im Mittelpunkt der vorliegenden Rechtssache steht die Praxis, die darin besteht, erstens Daten aus anderen konzerneigenen Diensten sowie aus Websites und Apps Dritter über in diese eingebundene Schnittstellen oder über auf dem Computer oder mobilen Endgerät des Nutzers gespeicherte Cookies zu erfassen, zweitens diese Daten mit dem Facebook-Konto des betroffenen Nutzers zu verknüpfen und drittens diese Daten zu verwerten (im Folgenden: streitige Praxis).
11. Das Bundeskartellamt leitete gegen Meta Platforms ein Verfahren ein, in dessen Folge es diesem Konzern mit dem streitigen Beschluss die in den Nutzungsbedingungen von Facebook vorgesehene Datenverarbeitung sowie die Durchführung dieser Nutzungsbedingungen untersagte und ihm Maßnahmen zur Abstellung dieses Verhaltens auferlegte. Das Bundeskartellamt begründete seinen Beschluss u. a. damit, dass die in Rede stehende Verarbeitung eine missbräuchliche Ausnutzung der beherrschenden Stellung dieses Unternehmens auf dem Markt für soziale Netzwerke für private Nutzer in Deutschland im Sinne von § 19 GWB darstelle(8).
12. Am 11. Februar 2019 legte Meta Platforms beim Oberlandesgericht Düsseldorf, dem vorlegenden Gericht, Beschwerde gegen den streitigen Beschluss ein(9). Dieses Gericht hegt im Wesentlichen zum einen Zweifel an der Befugnis nationaler Wettbewerbsbehörden, die Vereinbarkeit einer Datenverarbeitung mit den in der DSGVO aufgestellten Anforderungen zu überprüfen sowie Verstöße gegen die Bestimmungen der DSGVO festzustellen und zu ahnden, und hat zum anderen Zweifel hinsichtlich der richtigen Auslegung und Anwendung einiger Bestimmungen dieser Verordnung.
13. Unter diesen Umständen hat das Oberlandesgericht Düsseldorf beschlossen, das Verfahren auszusetzen und dem Gerichtshof die folgenden Fragen zur Vorabentscheidung vorzulegen:
1. a) Ist es mit den Art. 51 ff. DSGVO vereinbar, wenn eine nationale Kartellbehörde eines Mitgliedstaats, wie das Bundeskartellamt, die nicht Aufsichtsbehörde im Sinne der Art. 51 ff. DSGVO ist und in deren Mitgliedstaat ein außerhalb der Europäischen Union ansässiges Unternehmen eine Niederlassung unterhält, die die in einem anderen Mitgliedstaat belegene Hauptniederlassung dieses Unternehmens, welcher die ausschließliche Verantwortung für die Verarbeitung personenbezogener Daten für das gesamte Gebiet der Europäischen Union obliegt, im Bereich Werbung, Kommunikation und Öffentlichkeitsarbeit unterstützt, für die kartellrechtliche Missbrauchsaufsicht einen Verstoß von Vertragsbedingungen der Hauptniederlassung zur Datenverarbeitung und von deren Durchführung gegen die DSGVO feststellt und eine Verfügung zur Abstellung dieses Verstoßes erlässt?
b) Wenn ja: Ist dies mit Art. 4 Abs. 3 EUV vereinbar, wenn gleichzeitig die federführende Aufsichtsbehörde im Mitgliedstaat der Hauptniederlassung im Sinne des Art. 56 Abs. 1 DSGVO deren Vertragsbedingungen zur Datenverarbeitung einem Untersuchungsverfahren unterzieht?
Wenn Frage 1 zu bejahen ist:
2. a) Handelt es sich dann, wenn ein Internetnutzer Webseiten oder Apps, die Bezug zu den Kriterien des Art. 9 Abs. 1 DSGVO haben, wie etwa Flirting-Apps, Homosexuellen-Partnerbörsen, Webseiten politischer Parteien, gesundheitsbezogene Webseiten, entweder nur aufruft oder dort auch Eingaben tätigt, etwa bei Registrierung oder Bestellungen, und ein anderes Unternehmen, wie Facebook Ireland, über in die Webseiten und Apps eingebundene Schnittstellen, wie „Facebook Business Tools“, oder über auf dem Computer oder mobilen Endgerät des Internetnutzers eingesetzte Cookies oder ähnliche Speichertechnologien die Daten über den Aufruf der Webseiten und Apps durch den Nutzer und über dort getätigte Eingaben des Nutzers erfasst, mit den Daten des Facebook.com-Kontos des Nutzers verknüpft und verwendet, bei der Erfassung und/oder der Verknüpfung und/oder der Verwendung um die Verarbeitung sensibler Daten im Sinne der Norm?
b) Wenn ja: Stellt der Aufruf dieser Webseiten und Apps und/oder die Tätigung von Eingaben und/oder die Betätigung der in diese Webseiten oder Apps eingebundenen Schaltflächen („soziale Plugins“ wie „Gefällt mir“, „Teilen“ oder „Facebook Login“ oder „Account Kit“) eines Anbieters wie Facebook Ireland ein offensichtliches Öffentlichmachen der Daten über den Aufruf als solches und/oder die Eingaben durch den Nutzer im Sinne des Art. 9 Abs. 2 Buchst. e DSGVO dar?
3. Kann ein Unternehmen wie Facebook Ireland, das ein werbefinanziertes, digitales soziales Netzwerk betreibt und in seinen Nutzungsbedingungen die Personalisierung der Inhalte und der Werbung, Netzwerksicherheit, Produktverbesserung und durchgängige und nahtlose Nutzung aller konzerneigenen Produkte anbietet, sich auf den Rechtfertigungsgrund der Erforderlichkeit zur Vertragserfüllung gemäß Art. 6 Abs. 1 Buchst. b DSGVO oder der Wahrnehmung berechtigter Interessen gemäß Art. 6 Abs. 1 Buchst. f DSGVO berufen, wenn es zu diesen Zwecken Daten aus anderen konzerneigenen Diensten und aus dritten Webseiten und Apps über in diese eingebundene Schnittstellen, wie „Facebook Business Tools“, oder über auf dem Computer oder mobilen Endgerät des Internetnutzers eingesetzte Cookies oder ähnliche Speichertechnologien erfasst, mit dem Facebook.com-Konto des Nutzers verknüpft und verwendet?
4. Können in einem solchen Fall auch
– die Minderjährigkeit der Nutzer für die Personalisierung von Inhalten und Werbung, Produktverbesserung, Netzwerksicherheit und Nicht-Marketing-Kommunikation mit dem Nutzer,
– die Bereitstellung von Messungen, Analysen und sonstigen Unternehmens-Services an Werbekunden, Entwickler und sonstige Partner, damit diese ihre Leistungen bewerten und verbessern können,
– die Bereitstellung von Marketing-Kommunikation mit dem Nutzer, damit das Unternehmen seine Produkte verbessern und Direktmarketing durchführen kann,
– Forschung und Innovation für soziale Zwecke, um den Stand der Technik bzw. das wissenschaftliche Verständnis bezüglich wichtiger sozialer Themen zu fördern und um die Gesellschaft und Welt positiv zu beeinflussen,
– die Information von Strafverfolgungs- und Vollstreckungsbehörden und die Antwort auf rechtliche Anfragen, um Straftaten, unberechtigte Nutzung, Verstöße gegen die Nutzungsbedingungen und Richtlinien und sonstige schädliche Verhaltensweisen zu verhindern, aufzudecken und zu verfolgen,
berechtigte Interessen im Sinne des Art. 6 Abs. 1 Buchst. f DSGVO sein, wenn das Unternehmen zu diesen Zwecken Daten aus anderen konzerneigenen Diensten und aus dritten Webseiten und Apps über in diese eingebundene Schnittstellen, wie „Facebook Business Tools“, oder über auf dem Computer oder mobilen Endgerät des Internetnutzers eingesetzte Cookies oder ähnliche Speichertechnologien erfasst, mit dem Facebook.com-Konto des Nutzers verknüpft und verwendet?
5. Kann in einem solchen Fall die Erfassung von Daten aus anderen konzerneigenen Diensten und aus dritten Webseiten und Apps über in diese eingebundene Schnittstellen, wie „Facebook Business Tools“, oder über auf dem Computer oder mobilen Endgerät des Internetnutzers eingesetzte Cookies oder ähnliche Speichertechnologien, die Verknüpfung mit dem Facebook.com-Konto des Nutzers und die Verwendung oder die Verwendung bereits anderweit rechtmäßig erfasster und verknüpfter Daten im Einzelfall auch gemäß Art. 6 Abs. 1 Buchst. c, d und e DSGVO gerechtfertigt sein, um etwa eine rechtsgültige Anfrage für bestimmte Daten zu beantworten (Buchst. c), um schädliches Verhalten zu bekämpfen und die Sicherheit zu fördern (Buchst. d), zur Forschung zum Wohle der Gesellschaft und zur Förderung von Schutz, Integrität und Sicherheit (Buchst. e)?
6. Kann gegenüber einem marktbeherrschenden Unternehmen wie Facebook Ireland eine wirksame, insbesondere nach Art. 4 Nr. 11 DSGVO freiwillige, Einwilligung im Sinne der Art. 6 Abs. 1 Buchst. a und Art. 9 Abs. 2 Buchst. a DSGVO erklärt werden?
Wenn Frage 1 zu verneinen ist:
7. a) Kann eine nationale Kartellbehörde eines Mitgliedstaats, wie das Bundeskartellamt, die nicht Aufsichtsbehörde im Sinne der Art. 51 ff. DSGVO ist und die einen Verstoß eines marktbeherrschenden Unternehmens gegen das kartellrechtliche Missbrauchsverbot prüft, der nicht in einem Verstoß von dessen Datenverarbeitungsbedingungen und ihrer Durchführung gegen die DSGVO besteht, etwa im Rahmen der Interessenabwägung Feststellungen dazu treffen, ob die Datenverarbeitungsbedingungen dieses Unternehmens und ihre Durchführung der DSGVO entsprechen?
b) Wenn ja: Gilt dies im Hinblick auf Art. 4 Abs. 3 EUV auch dann, wenn gleichzeitig die gemäß Art. 56 Abs. 1 DSGVO zuständige federführende Aufsichtsbehörde die Datenverarbeitungsbedingungen dieses Unternehmens einem Untersuchungsverfahren unterzieht?
Wenn Frage 7 zu bejahen ist, bedarf es der Beantwortung der Fragen 3 bis 5 in Bezug auf die Daten aus der Nutzung des konzerneigenen Dienstes Instagram.
14. Meta Platforms, die deutsche, die tschechische, die italienische und die österreichische Regierung, das Bundeskartellamt, der Verbraucherzentrale Bundesverband e. V. (Deutschland) sowie die Europäische Kommission haben schriftliche Erklärungen eingereicht. Diese Beteiligten haben auch in der mündlichen Verhandlung vom 10. Mai 2022 Ausführungen gemacht.
Würdigung
15. Die Vorlagefragen, die Gegenstand der vorliegenden Rechtssache sind und sich auf die Auslegung mehrerer Bestimmungen der DSGVO beziehen, betreffen im Wesentlichen erstens die Zuständigkeit einer Wettbewerbsbehörde für die Feststellung und Ahndung eines Verstoßes gegen die Vorschriften über die Verarbeitung personenbezogener Daten und ihre Verpflichtung zur Zusammenarbeit mit der federführenden Behörde im Sinne der DSGVO (erste und siebte Vorlagefrage), zweitens das Verbot der Verarbeitung sensibler personenbezogener Daten und die Bedingungen, die für die Einwilligung in ihre Verwendung gelten (zweite Vorlagefrage), drittens die Rechtmäßigkeit der Verarbeitung personenbezogener Daten im Licht bestimmter Rechtfertigungsgründe (dritte bis fünfte Vorlagefrage) und viertens die Gültigkeit einer Einwilligung in die Verarbeitung personenbezogener Daten, die einem Unternehmen in marktbeherrschender Stellung erteilt wird (sechste Vorlagefrage).
16. In den folgenden Nummern werde ich zunächst die erste und die siebte Vorlagefrage behandeln und dann die anderen Vorlagefragen in der Reihenfolge, in der sie gestellt wurden, wobei ich die dritte, die vierte und die fünfte Vorlagefrage zusammenfassen werde.
Zur ersten Vorlagefrage
17. Mit seiner ersten Vorlagefrage möchte das vorlegende Gericht im Wesentlichen wissen, ob eine Wettbewerbsbehörde bei der Verfolgung von Verstößen gegen das Wettbewerbsrecht zum einen unmittelbar(10) über einen Verstoß gegen die Datenverarbeitungsvorschriften der DSGVO durch ein Unternehmen entscheiden kann, dessen für die Verarbeitung personenbezogener Daten für die gesamte Union allein verantwortliche Hauptniederlassung sich in einem anderen Mitgliedstaat befindet, und zum anderen die Abstellung dieses Verstoßes anordnen kann (erste Frage Buchst. a) und, wenn ja, ob die nach Art. 56 Abs. 1 DSGVO zuständige federführende Aufsichtsbehörde die Bedingungen für die Datenverarbeitung dieses Unternehmens noch einem Untersuchungsverfahren unterziehen kann (erste Frage Buchst. b).
18. Vorbehaltlich einer Überprüfung durch das vorlegende Gericht hat das Bundeskartellamt im streitigen Beschluss meines Erachtens aber keinen Verstoß von Meta Platforms gegen die DSGVO geahndet, sondern allein für die Zwecke der Anwendung der Wettbewerbsregeln einen Meta Platforms zur Last gelegten Missbrauch einer beherrschenden Stellung geprüft, indem es u. a. die Unvereinbarkeit des Verhaltens dieses Unternehmens mit den Bestimmungen dieser Verordnung herangezogen hat.
19. Daher geht die erste Frage Buchst. a, soweit sie die Befugnis einer Wettbewerbsbehörde betrifft, unmittelbar über einen Verstoß gegen die Vorschriften der DSGVO zu entscheiden und die Abstellung dieses Verstoßes im Sinne dieser Verordnung anzuordnen, nach meiner Auffassung ins Leere(11).
20. Daraus folgt, dass die erste Frage Buchst. b, die von der Bejahung der ersten Frage Buchst. a abhängig ist, ebenfalls ins Leere geht(12).
Zur siebten Vorlagefrage
21. Mit seiner siebten Vorlagefrage möchte das vorlegende Gericht im Wesentlichen wissen, ob eine Wettbewerbsbehörde bei der Verfolgung von Verstößen gegen das Wettbewerbsrecht inzident(13) feststellen kann, ob die Bedingungen der Datenverarbeitung und deren Durchführung mit der DSGVO vereinbar sind (siebte Frage Buchst. a), und wenn ja, ob diese Prüfung durch die Wettbewerbsbehörde auch dann möglich ist, wenn gleichzeitig die zuständige federführende Aufsichtsbehörde diese Bedingungen einem Untersuchungsverfahren unterzieht (siebte Frage Buchst. b).
22. Was als Erstes die siebte Frage Buchst. a betrifft, bin ich der Auffassung, dass eine Wettbewerbsbehörde zwar nicht befugt ist, einen Verstoß gegen die DSGVO festzustellen(14), diese Verordnung aber grundsätzlich nicht ausschließt, dass andere Behörden als die Aufsichtsbehörden bei der Ausübung ihrer eigenen Zuständigkeiten und Befugnisse inzident berücksichtigen können, ob ein Verhalten mit den Bestimmungen der DSGVO vereinbar ist. Dies gilt meines Erachtens insbesondere für die Ausübung der Befugnisse, die einer Wettbewerbsbehörde durch Art. 102 AEUV und Art. 5 Abs. 1 der Verordnung (EG) Nr. 1/2003(15) oder durch eine andere entsprechende nationale Norm übertragen wurden(16).
23. Bei der Ausübung ihrer Befugnisse muss eine Wettbewerbsbehörde nämlich unter Berücksichtigung des rechtlichen und wirtschaftlichen Zusammenhangs, in dem das untersuchte Verhalten steht, u. a. beurteilen, ob dieses Verhalten darin besteht, dass andere Mittel als diejenigen eines Leistungswettbewerbs herangezogen werden(17). Insoweit kann die Vereinbarkeit oder Unvereinbarkeit dieses Verhaltens mit den Bestimmungen der DSGVO – nicht für sich genommen, sondern unter Berücksichtigung aller Umstände des Einzelfalls – ein wichtiges Indiz für die Feststellung sein, ob dieses Verhalten den Einsatz von Mitteln eines normalen Wettbewerbs darstellt, wobei jedoch klarzustellen ist, dass das Vorliegen oder Fehlen der Missbräuchlichkeit eines Verhaltens im Hinblick auf Art. 102 AEUV nicht aus seiner Vereinbarkeit oder Unvereinbarkeit mit der DSGVO oder anderen Rechtsnormen hervorgeht(18).
24. Ich bin daher der Auffassung, dass die Prüfung des Missbrauchs einer marktbeherrschenden Stellung es rechtfertigen kann, dass eine Wettbewerbsbehörde nicht wettbewerbsrechtliche Normen wie die der DSGVO auslegt(19), wobei ich aber darauf hinweise, dass eine solche Prüfung inzident(20) erfolgt und die Anwendung dieser Verordnung durch die zuständigen Aufsichtsbehörden nicht präjudiziert(21).
25. Was als Zweites die siebte Frage Buchst. b betrifft, wirft das vorlegende Gericht die Frage auf, welche Verpflichtungen eine Wettbewerbsbehörde im Rahmen des in Art. 4 Abs. 3 EUV niedergelegten Grundsatzes der loyalen Zusammenarbeit gegenüber der zuständigen federführenden Aufsichtsbehörde im Sinne der DSGVO hat, wenn sie die Bestimmungen dieser Verordnung auslegt, insbesondere dann, wenn das von der Wettbewerbsbehörde geprüfte Verhalten zugleich Gegenstand einer Untersuchung durch die zuständige federführende Aufsichtsbehörde ist.
26. Im vorliegenden Fall birgt die – wenn auch inzidente – Prüfung des Verhaltens eines Unternehmens anhand der Normen der DSGVO durch eine Wettbewerbsbehörde die Gefahr, dass diese Behörde und die Aufsichtsbehörden die DSGVO unterschiedlich auslegen, was grundsätzlich geeignet ist, die einheitliche Auslegung dieser Verordnung zu beeinträchtigen(22).
27. Für einen solchen Fall sieht das Unionsrecht keine detaillierten Regeln für die Zusammenarbeit zwischen einer Wettbewerbsbehörde und den Aufsichtsbehörden im Sinne der DSGVO vor. Insbesondere sind im vorliegenden Fall weder der Mechanismus der Zusammenarbeit zwischen den zuständigen Behörden im Sinne der DSGVO bei der Anwendung dieser Verordnung(23) noch andere präzise Regeln für die Zusammenarbeit zwischen Verwaltungsbehörden, wie etwa die Regeln für die Zusammenarbeit zwischen den Wettbewerbsbehörden sowie die Zusammenarbeit zwischen diesen und der Kommission bei der Anwendung der Wettbewerbsregeln(24), anwendbar.
28. Dies vorausgeschickt, ist eine Wettbewerbsbehörde bei der Auslegung der DSGVO gleichwohl an den in Art. 4 Abs. 3 EUV niedergelegten Grundsatz der loyalen Zusammenarbeit gebunden, wonach sich die Union und die Mitgliedstaaten einschließlich ihrer Verwaltungsbehörden(25) gegenseitig bei der Erfüllung der Aufgaben, die sich aus den Verträgen ergeben, achten und unterstützen. Insbesondere sieht Art. 4 Abs. 3 Unterabs. 3 EUV vor, dass die Mitgliedstaaten die Union bei der Erfüllung ihrer Aufgabe unterstützen und alle Maßnahmen unterlassen, die die Verwirklichung der Ziele der Union gefährden könnten(26). Darüber hinaus ist eine Wettbewerbsbehörde – wie jede Verwaltungsbehörde, die mit der Anwendung des Unionsrechts betraut ist – an den Grundsatz der ordnungsgemäßen Verwaltung als allgemeinen Grundsatz des Unionsrechts gebunden, der insbesondere eine umfassende Sorgfalts- und Fürsorgepflicht der nationalen Behörden beinhaltet(27).
29. So unterliegt eine Wettbewerbsbehörde, wenn sie die Bestimmungen der DSGVO auslegt, in Ermangelung präziser Regeln über die Mechanismen der Zusammenarbeit, die gegebenenfalls vom Unionsgesetzgeber zu erlassen sind, zumindest Informations‑, Auskunfts- und Kooperationspflichten gegenüber den zuständigen Behörden im Sinne dieser Verordnung, und zwar in Anwendung der nationalen Normen, die ihre Zuständigkeiten regeln (Grundsatz der Verfahrensautonomie der Mitgliedstaaten), und unter Beachtung der Grundsätze der Äquivalenz und der Effektivität(28).
30. Daraus folgt meines Erachtens, dass die Wettbewerbsbehörde, wenn sich die zuständige federführende Aufsichtsbehörde zur Anwendung bestimmter Vorschriften der DSGVO auf ein gleiches oder ähnliches Verhalten geäußert hat, grundsätzlich nicht von der Auslegung dieser Behörde, die allein für die Anwendung dieser Verordnung zuständig ist, abweichen darf(29) und sich im Rahmen des Möglichen und unter Wahrung u. a. der Verteidigungsrechte der betroffenen Personen an etwaige Entscheidungen halten muss, die diese Aufsichtsbehörde in Bezug auf dasselbe Verhalten erlassen hat(30), wobei sie sich, falls sie im konkreten Fall Zweifel an der Auslegung der zuständigen Aufsichtsbehörde hat, mit dieser Behörde oder gegebenenfalls, wenn sich diese in einem anderen Mitgliedstaat befindet, mit der nationalen Aufsichtsbehörde abzustimmen hat(31).
31. Darüber hinaus obliegt es der Wettbewerbsbehörde in Ermangelung einer Entscheidung der zuständigen Aufsichtsbehörde gleichwohl, diese zu informieren(32) und mit ihr zusammenzuarbeiten, wenn diese Behörde mit der Untersuchung derselben Praxis begonnen oder ihre Absicht, dies zu tun, bekundet hat, sowie gegebenenfalls das Ergebnis der Untersuchung durch diese Behörde abzuwarten, bevor sie ihre eigene Beurteilung vornimmt, soweit dies angemessen ist und insbesondere die Einhaltung einer angemessenen Untersuchungsfrist durch die Wettbewerbsbehörde und die Verteidigungsrechte der betroffenen Personen unberührt lässt(33).
32. Im vorliegenden Fall kann die Tatsache, dass die Wettbewerbsbehörde eine Zusammenarbeit mit den auf nationaler Ebene zuständigen Aufsichtsbehörden(34) eingeleitet und zudem die federführende irische Aufsichtsbehörde informell kontaktiert hat – Umstände, auf die das Bundeskartellamt hingewiesen hat und die zu überprüfen Sache des vorlegenden Gerichts ist –, meines Erachtens für die Schlussfolgerung ausreichen, dass diese Behörde ihren Sorgfaltspflichten und ihrer Pflicht zur loyalen Zusammenarbeit nachgekommen ist(35).
33. Im Ergebnis schlage ich vor, auf die siebte Vorlagefrage zu antworten, dass die Art. 51 bis 66 DSGVO dahin auszulegen sind, dass eine Wettbewerbsbehörde im Rahmen ihrer Befugnisse im Sinne der Wettbewerbsregeln inzident prüfen kann, ob die untersuchten Praktiken mit den Regelungen der DSGVO vereinbar sind, wobei sie alle Entscheidungen oder Untersuchungen der nach der DSGVO zuständigen Aufsichtsbehörde zu berücksichtigen, die nationale Aufsichtsbehörde zu informieren und sich gegebenenfalls mit dieser abzustimmen hat.
Zur zweiten Vorlagefrage
34. Mit seiner zweiten Vorlagefrage möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 9 Abs. 1 DSGVO dahin auszulegen ist, dass es sich bei der streitigen Praxis, soweit sie den Aufruf von Internetseiten und Apps Dritter(36) betrifft, um eine Verarbeitung der in dieser Bestimmung aufgeführten sensiblen personenbezogenen Daten handelt(37), die untersagt ist(38) (zweite Frage Buchst. a), und, wenn ja, ob Art. 9 Abs. 2 Buchst. e dieser Verordnung dahin auszulegen ist, dass ein Nutzer die Daten, die er zum einen beim Aufruf von Internetseiten und Apps hinterlässt oder zum anderen in diese Internetseiten oder Apps eingibt oder die sich aus der Betätigung von in diese Internetseiten oder Apps eingebundenen Schaltflächen ergeben(39), im Sinne dieser Bestimmung offensichtlich öffentlich macht (zweite Frage Buchst. b).
35. Was als Erstes die zweite Frage Buchst. a betrifft, weise ich darauf hin, dass die Verarbeitung sensibler personenbezogener Daten nach Art. 9 Abs. 1 DSGVO verboten ist. Wie sich aus dem 51. Erwägungsgrund dieser Verordnung ergibt, wird der besondere Schutz dieser Daten damit begründet, dass sie ihrem Wesen nach hinsichtlich der Grundrechte und Grundfreiheiten besonders sensibel sind und ihre Verarbeitung erhebliche Risiken für die Grundrechte und Grundfreiheiten mit sich bringen kann. Darüber hinaus scheint mir diese Bestimmung trotz ihres etwas obskuren Wortlauts(40) – entgegen der Annahme des vorlegenden Gerichts – keinen wesentlichen Unterschied zwischen personenbezogenen Daten, die sensibel sind, weil aus ihnen eine bestimmte Situation „hervorgeht“, und solchen, die ihrem Wesen nach sensibel sind, zu machen(41).
36. Im vorliegenden Fall liegt es meines Erachtens auf der Hand, dass die streitige Praxis eine Verarbeitung personenbezogener Daten darstellt, die grundsätzlich in den Anwendungsbereich dieser Bestimmung fallen und untersagt werden kann, wenn aus den verarbeiteten Daten eine der in ihr aufgeführten sensiblen Situationen „hervorgeht“. Es ist daher zu prüfen, ob und inwieweit der Aufruf von Websites und Apps oder die Eingabe von Daten in diese geeignet ist, eine der in dieser Bestimmung aufgeführten sensiblen Situationen „hervorgehen“ zu lassen.
37. In dieser Hinsicht bezweifle ich, dass es relevant (und stets möglich) ist, zwischen einem bloßen Interesse der betroffenen Person an bestimmten Informationen einerseits und der Zugehörigkeit dieser Person zu einer der in der betreffenden Bestimmung erfassten Kategorien andererseits zu unterscheiden(42). Da die Parteien des Ausgangsverfahrens in dieser Hinsicht gegensätzliche Standpunkte vertreten(43), kann eine Antwort auf diese Frage meines Erachtens nur von Fall zu Fall und im Hinblick auf jede der Tätigkeiten, die die streitige Praxis ausmachen, gesucht werden.
38. Auch wenn die bloße Erhebung sensibler personenbezogener Daten über den Aufruf einer Website oder einer App für sich genommen nicht notwendigerweise eine Verarbeitung sensibler personenbezogener Daten im Sinne dieser Bestimmung darstellt(44), wie die deutsche Regierung ausführt, können hingegen in der Verknüpfung dieser Daten mit dem Facebook-Konto des betroffenen Nutzers oder in ihrer Nutzung schon eher Verhaltensweisen gesehen werden, die eine solche Verarbeitung darstellen. Das entscheidende Kriterium für die Anwendung von Art. 9 Abs. 1 DSGVO ist meines Erachtens die Frage, ob die verarbeiteten Daten es ermöglichen, ein Profil des Nutzers im Hinblick auf die Kategorien zu erstellen, die sich aus der in dieser Bestimmung enthaltenen Aufzählung sensibler personenbezogener Daten ergeben(45).
39. Um feststellen zu können, ob eine Datenverarbeitung in den Anwendungsbereich dieser Bestimmung fällt, könnte es in diesem Zusammenhang sachdienlich sein, gegebenenfalls die Verarbeitung von Daten, die prima facie in die Kategorie der sensiblen personenbezogenen Daten eingeordnet werden können und für sich genommen ein Profil der betroffenen Person ermöglichen, einerseits und die Verarbeitung von Daten andererseits zu unterscheiden, die selbst nicht sensibel sind, sondern einen nachfolgenden Aggregierungsvorgang erfordern, um plausible Schlussfolgerungen für die Erstellung eines Profils der betroffenen Person zu ziehen.
40. Dies vorausgeschickt, ist klarzustellen, dass das Vorliegen einer Kategorisierung im Sinne dieser Bestimmung nicht davon abhängt, ob diese Kategorisierung richtig oder wahr ist(46). Entscheidend ist die Möglichkeit, dass eine solche Kategorisierung zu einem erheblichen Risiko für die Grundrechte und Grundfreiheiten der betroffenen Person führen kann, wie im 51. Erwägungsgrund der DSGVO ausgeführt wird, eine Möglichkeit, die unabhängig von ihrem Wahrheitsgehalt besteht.
41. Was schließlich die Frage des vorlegenden Gerichts betrifft, ob für die in Rede stehende Beurteilung der Zweck der Nutzung relevant ist(47), ist es meines Erachtens entgegen dem Vorbringen der Beschwerdeführerin des Ausgangsverfahrens grundsätzlich nicht erforderlich, dass der für die Verarbeitung Verantwortliche diese Daten „in dem Wissen und mit der Absicht der direkten Ableitung besonderer Kategorien von Informationen“ verarbeitet. Das Ziel der in Rede stehenden Bestimmung besteht nämlich im Wesentlichen darin, in objektiver Weise erheblichen Gefahren für die Grundrechte und Grundfreiheiten der betroffenen Personen vorzubeugen, die sich aus der Verarbeitung sensibler personenbezogener Daten ergeben, unabhängig von jedem subjektiven Element wie der Absicht des für die Verarbeitung Verantwortlichen.
42. Was als Zweites die zweite Frage Buchst. b betrifft, weise ich darauf hin, dass nach Art. 9 Abs. 2 Buchst. e DSGVO das Verbot der Verarbeitung sensibler personenbezogener Daten nicht gilt, wenn sich die Verarbeitung auf personenbezogene Daten bezieht, die die betroffene Person offensichtlich öffentlich gemacht hat. Darüber hinaus erfordern das im Wortlaut dieser Bestimmung verwendete Adverb „offensichtlich“ und die Tatsache, dass diese Bestimmung eine Ausnahme vom Grundsatz des Verbots der Verarbeitung sensibler personenbezogener Daten darstellt(48), aufgrund der erheblichen Risiken für die Grundrechte und Grundfreiheiten der betroffenen Personen eine besonders strikte Anwendung dieser Ausnahme(49). Die Anwendung dieser Ausnahme setzt meines Erachtens voraus, dass sich der Nutzer voll bewusst sein muss, dass er durch eine ausdrückliche Handlung(50) personenbezogene Daten öffentlich macht(51).
43. Im vorliegenden Fall kann ein Verhalten, das im Aufruf von Websites und Apps, der Eingabe von Daten in diese Websites und Apps sowie in der Betätigung von in diese eingebundenen Schaltflächen besteht, grundsätzlich nicht einem Verhalten gleichgestellt werden, das die sensiblen personenbezogenen Daten des Nutzers im Sinne von Art. 9 Abs. 2 Buchst. e DSGVO offensichtlich öffentlich macht.
44. Insbesondere weise ich darauf hin, dass der Aufruf von Websites und Apps die Abfragedaten grundsätzlich nur dem Betreiber der in Rede stehenden Internetseite oder App und den Dritten, denen dieser die Informationen weitergibt, wie der Beschwerdeführerin des Ausgangsverfahrens, zugänglich macht(52). Auch wenn die betroffene Person durch die Eingabe von Daten in Websites und Apps möglicherweise unmittelbar und freiwillig Informationen über bestimmte sensible personenbezogene Daten preisgibt, weise ich darauf hin, dass auch diese Informationen nur dem Betreiber der betreffenden Website oder App und den Dritten, denen dieser Betreiber die Informationen übermittelt, zugänglich sind. Ich schließe daher aus, dass ein solches Verhalten von dem Willen zeugen könnte, diese Daten der Allgemeinheit zur Verfügung zu stellen(53). Darüber hinaus liegt zwar auf der Hand, dass die betroffene Person durch die Betätigung von Schaltflächen, die in Websites oder Apps eingebunden sind(54), eindeutig den Willen bekundet, bestimmte Informationen mit einem Publikum außerhalb der in Rede stehenden Website oder App zu teilen; ich bin aber wie das Bundeskartellamt der Auffassung, dass dem betreffenden Nutzer bei diesem Verhalten bewusst ist, dass er Informationen mit einem bestimmten, häufig von ihm selbst definierten(55)Personenkreis teilt und nicht mit der Allgemeinheit(56).
45. Was schließlich die vom vorlegenden Gericht angesprochene Relevanz einer möglichen Einwilligung des Nutzers im Sinne von Art. 5 Abs. 3 der Richtlinie 2002/58 in die Erhebung personenbezogener Daten durch Cookies oder ähnliche Technologien betrifft, bin ich der Auffassung, dass diese Einwilligung, für sich genommen, angesichts ihres spezifischen Zwecks die Verarbeitung sensibler personenbezogener Daten, die auf diese Weise erhoben werden, nicht rechtfertigen kann(57). Diese Einwilligung, die für die Installation einer technischen Vorkehrung zur Erfassung bestimmter Nutzeraktivitäten erforderlich ist(58), betrifft nämlich nicht die Verarbeitung sensibler personenbezogener Daten und kann nicht mit dem Willen gleichgesetzt werden, diese Daten im Sinne von Art. 9 Abs. 2 Buchst e DSGVO offensichtlich öffentlich zu machen(59).
46. Im Ergebnis schlage ich vor, auf die zweite Vorlagefrage zu antworten, dass zum einen Art. 9 Abs. 1 DSGVO dahin auszulegen ist, dass das Verbot der Verarbeitung sensibler personenbezogener Daten die Datenverarbeitung durch den Betreiber eines sozialen Online-Netzwerks umfassen kann, die darin besteht, Daten eines Nutzers zu erheben, wenn dieser andere Websites oder Apps aufruft oder diese Daten dort eingibt, diese Daten mit dem Nutzerkonto des sozialen Netzwerks zu verknüpfen und sie zu verwenden, sofern die verarbeiteten Informationen, einzeln oder aggregiert betrachtet, die Erstellung eines Profils des Nutzers im Hinblick auf die Kategorien ermöglichen, die sich aus der in dieser Bestimmung enthaltenen Aufzählung sensibler personenbezogener Daten ergeben, und dass zum anderen ein Nutzer die Daten, die er beim Aufruf von Internetseiten und Apps hinterlässt oder in diese Internetseiten oder Apps eingibt oder die sich aus der Betätigung von in diese eingebundenen Schaltflächen ergeben, nicht im Sinne von Art. 9 Abs. 2 Buchst. e DSGVO offensichtlich öffentlich macht.
Zur dritten, vierten und fünften Vorlagefrage
47. Mit der dritten, der vierten und der fünften Vorlagefrage möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 6 Abs. 1 Buchst. b, c, d, e und f DSGVO dahin auszulegen ist, dass die streitige Praxis(60) in den Anwendungsbereich einer der in diesen Bestimmungen vorgesehenen Rechtfertigungsgründe fällt, nämlich im Einzelnen unter:
– die Erforderlichkeit zur Vertragserfüllung(61) oder die Wahrnehmung berechtigter Interessen(62) unter Berücksichtigung der Tatsache, dass Meta Platforms ein werbefinanziertes soziales Netzwerk betreibt und in seinen Nutzungsbedingungen die Personalisierung der Inhalte und der Werbung, Netzwerksicherheit, Produktverbesserung und durchgängige und nahtlose Nutzung aller konzerneigenen Produkte anbietet (dritte Vorlagefrage);
– die Berücksichtigung dieser berechtigten Interessen(63) im Zusammenhang mit bestimmten Situationen(64) (vierte Vorlagefrage);
– die Erforderlichkeit, einem rechtsgültigen Ersuchen um Bereitstellung bestimmter Daten nachzukommen(65), schädliches Verhalten zu bekämpfen und die Sicherheit zu fördern(66) oder zur Forschung zum Wohl der Gesellschaft beizutragen und Schutz, Integrität und Sicherheit zu fördern(67) (fünfte Vorlagefrage).
48. Vorab schlage ich ungeachtet einiger Bedenken hinsichtlich der Zulässigkeit der vierten und der fünften Vorlagefrage(68) vor, die dritte, die vierte und die fünfte Frage zusammen zu beantworten, weil die Hinweise, die ich im Folgenden vor allem zur dritten Vorlagefrage geben werde, für das vorlegende Gericht auch bei der Anwendung der Bestimmungen, die Gegenstand der vierten und der fünften Vorlagefrage sind, nützlich sein können.
49. In erster Linie weise ich darauf hin, dass personenbezogene Daten nach Art. 8 der Charta der Grundrechte der Europäischen Union (im Folgenden: Charta) nur nach Treu und Glauben für festgelegte Zwecke und auf einer gesetzlich geregelten legitimen Grundlage verarbeitet werden dürfen. Insoweit stellt Art. 6 Abs. 1 DSGVO klar, dass die Verarbeitung dieser Daten nur rechtmäßig ist, wenn eine der sechs in dieser Bestimmung festgelegten Bedingungen erfüllt ist(69).
50. Im vorliegenden Fall bin ich erstens der Auffassung, dass die dritte, die vierte und die fünfte Vorlagefrage eine detaillierte Einzelfallanalyse der einzelnen Klauseln der Facebook-Nutzungsbedingungen im Zusammenhang mit der streitigen Praxis erfordern, weil es nicht möglich ist, festzustellen, ob sich „ein Unternehmen wie [Meta Platforms]“ in Bezug auf diese Praxis insgesamt auf alle (oder einige) der in Art. 6 Abs. 1 DSGVO genannten Rechtfertigungsgründe berufen kann, auch wenn nicht auszuschließen ist, dass diese Praxis oder einige ihrer Verhaltensweisen in bestimmten Fällen in den Anwendungsbereich dieses Artikels fallen können(70).
51. Zweitens erfolgt die in den genannten Bestimmungen geregelte Verarbeitung im vorliegenden Fall auf der Grundlage der allgemeinen Vertragsbedingungen, die der für die Verarbeitung Verantwortliche ohne die Einwilligung der betroffenen Person(71) oder sogar gegen ihren Willen vorgegeben hat, was meines Erachtens nach eine strenge Auslegung der betreffenden Rechtfertigungsgründe erfordert, insbesondere um eine Umgehung der Bedingung der Einwilligung zu verhindern(72).
52. Schließlich weise ich darauf hin, dass nach Art. 5 Abs. 2 DSGVO der für die Verarbeitung Verantwortliche die Beweislast dafür trägt, dass die personenbezogenen Daten nach dem Standard dieser Verordnung verarbeitet werden, und dass es nach Art. 13 Abs. 1 Buchst. c der DSGVO Aufgabe des für die Verarbeitung Verantwortlichen ist, die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung anzugeben.
Zur dritten Frage
53. Erstens ist die Verarbeitung personenbezogener Daten nach Art. 6 Abs. 1 Buchst. b DSGVO rechtmäßig, soweit sie für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, erforderlich ist(73).
54. In diesem Zusammenhang weise ich darauf hin, dass der Begriff „Erforderlichkeit“ im Unionsrecht nicht definiert ist, aber nach der Rechtsprechung gleichwohl einen autonomen Begriff des Unionsrechts darstellt(74). Für die Erforderlichkeit der Verarbeitung für die Erfüllung des Vertrags reicht es nicht aus, dass die Verarbeitung bei der Erfüllung des Vertrags erfolgt oder im Vertrag erwähnt wird(75) oder auch nur für die Erfüllung des Vertrags nützlich ist(76). Nach der Rechtsprechung des Gerichtshofs muss die Verarbeitung für die Erfüllung des Vertrags in dem Sinne objektiv notwendig sein, dass es keine realistischen und weniger einschneidenden Lösungen geben darf(77), wobei auch die angemessene Sicht der betroffenen Person zu berücksichtigen ist(78). Dies bedeutet auch, dass im Fall eines Vertrags, der mehrere eigenständige Dienstleistungen oder Elemente eines Dienstes umfasst, die unabhängig voneinander erbracht werden können, die Anwendbarkeit von Art. 6 Abs. 1 Buchst. b DSGVO für jeden dieser Dienste gesondert zu beurteilen ist(79).
55. Im Rahmen dieses Rechtfertigungsgrundes erwähnt das vorlegende Gericht die Personalisierung der Inhalte sowie die durchgängige und nahtlose Nutzung der konzerneigenen Produkte (bzw. eher Dienste).
56. Was die Personalisierung der Inhalte betrifft, kann eine solche Tätigkeit meines Erachtens zwar in gewissem Maße im Interesse des Nutzers liegen, weil sie es ermöglicht, insbesondere im „Newsfeed“ Inhalte zu präsentieren, die anhand einer automatisierten Bewertung den Interessen des Nutzers entsprechen; es ist jedoch nicht offenkundig dass sie für die Erbringung des Dienstes des betreffenden sozialen Netzwerks auch erforderlich ist mit der Folge, dass für die Verarbeitung der personenbezogenen Daten zu diesen Zwecken keine Einwilligung dieses Nutzers erforderlich wäre(80). Für die Zwecke dieser Prüfung sollte auch berücksichtigt werden, dass die streitige Praxis in der Verarbeitung von Daten besteht, die sich nicht auf das Verhalten des Nutzers innerhalb der Facebook-Seite oder -App beziehen, sondern auf Daten, die aus externen Quellen stammen und somit potenziell unbegrenzt sind. Ich frage mich daher, inwieweit diese Verarbeitung den Erwartungen eines durchschnittlichen Nutzers entsprechen könnte und, allgemeiner, welchen „Grad der Personalisierung“ dieser Nutzer von dem Dienst, bei dem er sich registriert, erwarten kann(81).
57. Was die durchgängige und nahtlose Nutzung der konzerneigenen Dienstleistungen betrifft, weise ich darauf hin, dass eine Verbindung zwischen den verschiedenen von der Beschwerdeführerin des Ausgangsverfahrens angebotenen Dienstleistungen, z. B. zwischen Facebook und Instagram, für den Nutzer durchaus nützlich oder manchmal sogar von ihm erwünscht sein kann. Ich bezweifle jedoch, dass eine Verarbeitung personenbezogener Daten aus anderen konzerneigenen Diensten (insbesondere Instagram) für die Erbringung der Dienste von Facebook erforderlich ist(82).
58. Zweitens ist die Verarbeitung personenbezogener Daten nach Art. 6 Abs. 1 Buchst. f DSGVO nur rechtmäßig, soweit sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.
59. Nach der Rechtsprechung des Gerichtshofs sieht diese Bestimmung drei kumulative Voraussetzungen vor, unter denen eine Verarbeitung personenbezogener Daten rechtmäßig ist, nämlich als Erstes die Wahrnehmung eines berechtigten Interesses durch den für die Verarbeitung Verantwortlichen oder durch den oder die Dritten, denen die Daten übermittelt werden, als Zweites die Erforderlichkeit der Verarbeitung der personenbezogenen Daten zur Verwirklichung des berechtigten Interesses und als Drittes, dass die Grundrechte und Grundfreiheiten der betroffenen Person in Bezug auf den Datenschutz nicht überwiegen(83).
60. Was zunächst die Wahrnehmung eines berechtigten Interesses betrifft, weise ich darauf hin, dass die DSGVO und die Rechtsprechung ein breites Spektrum von Interessen anerkennen, die als berechtigt gelten(84), wobei ich darauf hinweise, dass es gemäß Art. 13 Abs. 1 Buchst. d DSGVO dem für die Verarbeitung Verantwortlichen obliegt, die im Rahmen von Art. 6 Abs. 1 Buchst. f dieser Verordnung verfolgten berechtigten Interessen anzugeben(85).
61. Was sodann die Voraussetzung der Erforderlichkeit der Verarbeitung der personenbezogenen Daten für die Verwirklichung des wahrgenommenen berechtigten Interesses betrifft, müssen sich nach der Rechtsprechung des Gerichtshofs Ausnahmen und Einschränkungen in Bezug auf den Schutz der personenbezogenen Daten auf das absolut Notwendige beschränken(86). Daher muss eine enge Verbindung zwischen der Verarbeitung und dem wahrgenommenen Interesse bestehen, wenn es keine den Schutz personenbezogener Daten weniger beeinträchtigenden Alternativen gibt, weil es nicht ausreicht, dass die Verarbeitung für den für die Verarbeitung Verantwortlichen lediglich von Nutzen ist.
62. Soweit es schließlich um die Abwägung zum einen der Interessen des für die Verarbeitung Verantwortlichen gegen zum anderen die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person geht, ist es nach der Rechtsprechung des Gerichtshofs Sache des vorlegenden Gerichts, eine Abwägung zwischen den betroffenen Interessen vorzunehmen(87). Darüber hinaus ist es, wie im 47. Erwägungsgrund der DSGVO dargelegt, im Rahmen dieser Abwägung unerlässlich, die vernünftigen Erwartungen der betroffenen Personen zu berücksichtigen, die auf ihrer Beziehung zu dem für die Verarbeitung Verantwortlichen beruhen, und zu prüfen, ob die betroffene Person zum Zeitpunkt der Erhebung der personenbezogenen Daten und angesichts der Umstände, unter denen sie erfolgt, vernünftigerweise absehen kann, dass die Daten einer Verarbeitung zu einem bestimmten Zweck unterzogen werden.
63. Im Rahmen dieses Rechtfertigungsgrundes erwähnt das vorlegende Gericht die Personalisierung der Werbung, die Netzwerksicherheit und die Produktverbesserung.
64. Was zunächst die Personalisierung der Werbung betrifft, geht aus dem 47. Erwägungsgrund der DSGVO hervor, dass die Verarbeitung personenbezogener Daten zum Zweck der Direktwerbung (direct marketing) als eine einem berechtigten Interesse dienende Verarbeitung betrachtet werden kann. Zur Erforderlichkeit der Verarbeitung ist jedoch festzustellen, dass die in Rede stehenden Daten von außerhalb von Facebook liegenden Quellen stammen und sich daher die Frage stellt, welcher „Grad der Personalisierung“ der Werbung in dieser Hinsicht objektiv erforderlich ist. Was die Abwägung der betroffenen Interessen angeht, sollten meiner Meinung nach die Art des in Rede stehenden berechtigten Interesses (im vorliegenden Fall ein rein wirtschaftliches Interesse) sowie die Auswirkungen der Verarbeitung auf den Nutzer berücksichtigt werden, einschließlich seiner vernünftigen Erwartungen und etwaiger Schutzmaßnahmen, die der für die Verarbeitung Verantwortliche ergriffen hat(88).
65. Ähnliche Erwägungen können im Anschluss daran zur Netzsicherheit angestellt werden. Auch wenn ein solcher Rechtfertigungsgrund ein berechtigtes Interesse des für die Verarbeitung Verantwortlichen darstellen kann(89), liegt die Schlussfolgerung, dass die Verarbeitung im vorliegenden Fall erforderlich ist, weniger nahe, auch unter Berücksichtigung der Tatsache, dass die in Rede stehenden Daten aus Quellen außerhalb von Facebook stammen(90). Jedenfalls weise ich darauf hin, dass es dem für die Verarbeitung Verantwortlichen obliegt, die Sicherheitszwecke anzugeben, auf die sich jede Verarbeitung möglicherweise stützt.
66. Was schließlich die Produktverbesserung betrifft, dürfte eine solche Rechtfertigung – sofern man die unter die oben geprüfte spezifische Rechtfertigung fallenden sicherheitsbezogenen Verbesserungen ausnimmt – meines Erachtens eher im Interesse des Nutzers als im Interesse des für die Datenverarbeitung Verantwortlichen liegen. Aus dieser Perspektive ist schwer nachvollziehbar, inwiefern sie ein berechtigtes Interesse des Verantwortlichen darstellen und die Einwilligung des Nutzers entbehrlich machen könnte. Hinsichtlich der Voraussetzung der Erforderlichkeit und der Abwägung der betroffenen Rechte und Interessen verweise ich auf die vorstehenden Erwägungen.
Zur vierten und zur fünften Vorlagefrage
67. Mit seiner vierten Vorlagefrage, die im Wesentlichen eine Erweiterung des zweiten Teils der dritten Vorlagefrage darstellt, möchte das vorlegende Gericht wissen, ob das wiederholte Auftreten bestimmter angeführter Situationen ein berechtigtes Interesse im Sinne von Art. 6 Abs. 1 Buchst. f DSGVO begründet, während es mit seiner fünften Vorlagefrage wissen möchte, ob die Erforderlichkeit, einem rechtsgültigen Ersuchen um Bereitstellung bestimmter Daten nachzukommen, schädliches Verhalten zu bekämpfen und die Sicherheit zu fördern oder zur Forschung zum Wohl der Gesellschaft beizutragen und Schutz, Integrität und Sicherheit zu fördern, Rechtfertigungsgründe darstellen, die auf die streitige Praxis anwendbar sind(91).
68. Unabhängig von der Zulässigkeit dieser Fragen(92) bin ich in Bezug auf die vierte Vorlagefrage allgemein der Auffassung, dass nicht ausgeschlossen werden kann, dass bestimmte Klauseln, die die streitige Praxis kennzeichnen, unter den vom vorlegenden Gericht genannten Umständen durch berechtigte Interessen gerechtfertigt sein können(93), und in Bezug auf die fünfte Vorlagefrage, dass die streitige Praxis in bestimmten Situationen auf der Grundlage der genannten Bestimmungen gerechtfertigt sein kann.
69. Aus dem Vorlagebeschluss geht jedoch nicht hervor, ob und in welchem Umfang Meta Platforms Ireland für jeden Verarbeitungszweck und für jede Typologie verarbeiteter Daten die konkret verfolgten berechtigten Interessen oder andere möglicherweise im vorliegenden Fall relevante Rechtfertigungsgründe angegeben hat(94). Es ist daher Sache des vorlegenden Gerichts, unter Berücksichtigung der vorstehenden Hinweise zu prüfen, inwieweit die streitige Praxis unter den von diesem Gericht angeführten Umständen durch das Vorliegen berechtigter Interessen von Meta Platforms Ireland an der Verarbeitung der Daten im Sinne von Art. 6 Abs. 1 Buchst. f DSGVO oder durch eine andere der in Art. 6 Abs. 1 Buchst. c, d und e DSGVO genannten Bedingungen gerechtfertigt ist.
Zur Antwort auf die dritte, die vierte und die fünfte Vorlagefrage
70. Im Ergebnis schlage ich vor, auf die dritte, die vierte und die fünfte Vorlagefrage zu antworten, dass Art. 6 Abs. 1 Buchst. b, c, d, e und f DSGVO dahin auszulegen ist, dass die streitige Praxis oder bestimmte Tätigkeiten, aus denen sie sich zusammensetzt, unter die in diesen Bestimmungen vorgesehenen Ausnahmen fallen können, sofern jede geprüfte Datenverarbeitungsmodalität die Bedingungen erfüllt, die der vom für die Verarbeitung Verantwortlichen konkret angeführte Rechtfertigungsgrund vorsieht, und somit
– die Verarbeitung für die Erbringung der Dienstleistungen in Bezug auf das Facebook-Konto objektiv erforderlich ist;
– die Verarbeitung zur Verwirklichung eines berechtigten Interesses erforderlich ist, das von dem für die Verarbeitung Verantwortlichen oder von dem bzw. den Dritten, denen die Daten übermittelt werden, geltend gemacht wurde, und die Grundrechte und Grundfreiheiten der betroffenen Person nicht unverhältnismäßig beeinträchtigt;
– die Verarbeitung erforderlich ist, um einem rechtsgültigen Ersuchen um Bereitstellung bestimmter Daten nachzukommen, schädliches Verhalten zu bekämpfen und die Sicherheit zu fördern oder zur Forschung zum Wohl der Gesellschaft beizutragen und Schutz, Integrität und Sicherheit zu fördern.
Zur sechsten Vorlagefrage
71. Mit seiner sechsten Vorlagefrage möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 6 Abs. 1 Buchst. a und Art. 9 Abs. 2 Buchst. a DSGVO dahin auszulegen sind, dass eine wirksame und freiwillige Einwilligung im Sinne von Art. 4 Nr. 11 dieser Verordnung gegenüber einem Unternehmen mit beherrschender Stellung auf dem nationalen Markt für soziale Online-Netzwerke für private Nutzer erklärt werden kann.
72. Vorab weise ich darauf hin, dass Art. 6 Abs. 1 Buchst. a und Art. 9 Abs. 2 Buchst. a DSGVO das Erfordernis einer Einwilligung der betroffenen Person in die Verarbeitung personenbezogener Daten im Allgemeinen bzw. in die Verarbeitung sensibler personenbezogener Daten vorsehen. Außerdem bezeichnet der Ausdruck „Einwilligung“ der betroffenen Person nach Art. 4 Nr. 11 der DSGVO jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der diese Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist(95).
73. Was insbesondere die Bedingung der „Freiwilligkeit“ der Einwilligung betrifft, die im vorliegenden Fall als einzige in Frage gestellt wird, weise ich darauf hin, dass nach dem 42. Erwägungsgrund der DSGVO nicht davon ausgegangen werden sollte, dass die betroffene Person ihre Einwilligung freiwillig gegeben hat, wenn sie keine echte oder freie Wahl hatte(96) oder nicht in der Lage war, die Einwilligung zu verweigern oder zurückzuziehen, ohne Nachteile zu erleiden(97). Darüber hinaus sollte der Verantwortliche, wenn die Verarbeitung mit Einwilligung der betroffenen Person erfolgt, wie in Art. 7 Abs. 1 DSGVO vorgesehen (und in ihrem 42. Erwägungsgrund dargelegt), nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat.
74. Soweit für den vorliegenden Fall relevant, weise ich erstens darauf hin, dass die Einwilligung, wie im 43. Erwägungsgrund Satz 1 der DSGVO ausgeführt wird, keine gültige Rechtsgrundlage für die Verarbeitung personenbezogener Daten darstellt, wenn zwischen der betroffenen Person und dem Verantwortlichen ein „klares Ungleichgewicht“ besteht(98), zweitens, dass nach Art. 7 Abs. 4 DSGVO bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, dem Umstand in größtmöglichem Umfang Rechnung getragen werden muss, ob u. a. die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von einer Einwilligung in die Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich ist(99), und drittens, dass die Einwilligung nach dem 43. Erwägungsgrund Satz 2 der DSGVO nicht als freiwillig erteilt gilt, wenn zu verschiedenen Verarbeitungsvorgängen von personenbezogenen Daten nicht gesondert eine Einwilligung erteilt werden kann, obwohl dies im Einzelfall angebracht ist(100).
75. Im vorliegenden Fall bin ich der Auffassung, dass eine etwaige marktbeherrschende Stellung des für die Verarbeitung personenbezogener Daten Verantwortlichen, der ein soziales Netzwerk betreibt, eine Rolle bei der Beurteilung der Frage spielt, ob eine freiwillige Einwilligung des Nutzers dieses Netzwerks vorliegt. Die Existenz einer Marktmacht des für die Verarbeitung personenbezogener Daten Verantwortlichen kann nämlich zu einem offensichtlichen Ungleichgewicht der Machtverhältnisse in dem in Nr. 74 der vorliegenden Schlussanträge beschriebenen Sinne führen(101). Es ist jedoch klarzustellen, dass zum einen solche Marktmacht, um für die Anwendung der DSGVO relevant zu sein, nicht notwendigerweise die Schwelle einer beherrschenden Stellung im Sinne von Art. 102 AEUV zu erreichen braucht(102), und zum anderen, dass dieser Umstand allein einer Einwilligung nicht grundsätzlich jede Gültigkeit entziehen kann(103).
76. Daher muss die Wirksamkeit einer Einwilligung von Fall zu Fall im Licht der anderen in den Nrn. 73 und 74 der vorliegenden Schlussanträge genannten Faktoren und unter Berücksichtigung aller Umstände des Einzelfalls sowie des Umstands geprüft werden, dass der für die Verarbeitung Verantwortliche die Beweislast dafür trägt, dass die betroffene Person in die Verarbeitung personenbezogener Daten eingewilligt hat.
77. Im Ergebnis schlage ich vor, auf die sechste Vorlagefrage zu antworten, dass Art. 6 Abs. 1 Buchst. a und Art. 9 Abs. 2 Buchst. a DSGVO dahin auszulegen sind, dass der bloße Umstand, dass ein Unternehmen, das ein soziales Netzwerk betreibt, auf dem nationalen Markt für soziale Netzwerke für private Nutzer eine beherrschende Stellung innehat, der Einwilligung des Nutzers dieses Netzwerks in die Verarbeitung seiner personenbezogenen Daten nicht ihre Wirksamkeit im Sinne von Art. 4 Nr. 11 DSGVO nehmen kann. Ein solcher Umstand spielt jedoch eine Rolle bei der Beurteilung der Freiwilligkeit der Einwilligung im Sinne dieser Bestimmung, die der für die Verarbeitung Verantwortliche nachzuweisen hat, wobei gegebenenfalls ein offensichtliches Ungleichgewicht der Machtverhältnisse zwischen der betroffenen Person und dem für die Verarbeitung Verantwortlichen, die etwaige Verpflichtung, in die Verarbeitung anderer als der für die Erbringung der betreffenden Dienste unbedingt erforderlichen personenbezogenen Daten einzuwilligen, das Erfordernis, dass die Einwilligung für jeden Verarbeitungszweck spezifisch sein muss, und das Erfordernis, zu verhindern, dass der Widerruf der Einwilligung zu einem Schaden für den Nutzer führt, der seine Einwilligung widerruft, zu berücksichtigen sind.
Ergebnis
78. In Anbetracht der vorstehenden Erwägungen schlage ich dem Gerichtshof vor, auf die vom Oberlandesgericht Düsseldorf (Deutschland) zur Vorabentscheidung vorgelegten Fragen wie folgt zu antworten:
1. Die Art. 51 bis 66 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz- Grundverordnung)
sind dahin auszulegen, dass
eine Wettbewerbsbehörde im Rahmen ihrer Befugnisse im Sinne der Wettbewerbsregeln inzident prüfen kann, ob die untersuchten Praktiken mit den Regelungen dieser Verordnung vereinbar sind, wobei sie alle Entscheidungen oder Untersuchungen der nach dieser Verordnung zuständigen Aufsichtsbehörde zu berücksichtigen, die nationale Aufsichtsbehörde zu informieren und sich gegebenenfalls mit dieser abzustimmen hat.
2. Art. 9 Abs. 1 der Verordnung 2016/679
ist dahin auszulegen, dass
das Verbot der Verarbeitung sensibler personenbezogener Daten die Datenverarbeitung durch den Betreiber eines sozialen Online-Netzwerks umfassen kann, die darin besteht, Daten eines Nutzers zu erheben, wenn dieser andere Websites oder Apps aufruft oder diese Daten dort eingibt, diese Daten mit dem Nutzerkonto des sozialen Netzwerks zu verknüpfen und sie zu verwenden, sofern die verarbeiteten Informationen, einzeln oder aggregiert betrachtet, die Erstellung eines Profils des Nutzers im Hinblick auf die Kategorien ermöglichen, die sich aus der in dieser Bestimmung enthaltenen Aufzählung sensibler personenbezogener Daten ergeben.
Art. 9 Abs. 2 Buchst. e dieser Verordnung ist dahin auszulegen, dass
ein Nutzer die Daten, die er beim Aufruf von Internetseiten und Apps hinterlässt oder in diese Internetseiten oder Apps eingibt oder die sich aus der Betätigung von in diese eingebundenen Schaltflächen ergeben, nicht offensichtlich öffentlich macht.
3. Art. 6 Abs. 1 Buchst. b, c, d, e und f der Verordnung 2016/679
ist dahin auszulegen, dass
die Praxis, die darin besteht, erstens Daten aus anderen konzerneigenen Diensten sowie aus Websites und Apps Dritter über in diese eingebundene Schnittstellen oder auf dem Computer oder mobilen Endgerät des Nutzers gespeicherte Cookies zu erfassen, zweitens diese Daten mit dem Facebook-Konto des betreffenden Nutzers zu verknüpfen und drittens diese Daten zu verwerten, oder bestimmte Tätigkeiten, aus denen sich diese Praxis zusammensetzt, unter die in diesen Bestimmungen vorgesehenen Ausnahmen fallen können, sofern jede geprüfte Datenverarbeitungsmodalität die Bedingungen erfüllt, die der vom für die Verarbeitung Verantwortlichen konkret angeführte Rechtfertigungsgrund vorsieht, und somit
– die Verarbeitung für die Erbringung der Dienstleistungen in Bezug auf das Facebook-Konto objektiv erforderlich ist;
– die Verarbeitung zur Verwirklichung eines berechtigten Interesses erforderlich ist, das von dem für die Verarbeitung Verantwortlichen oder von dem bzw. den Dritten, denen die Daten übermittelt werden, geltend gemacht wurde, und die Grundrechte und Grundfreiheiten der betroffenen Person nicht unverhältnismäßig beeinträchtigt;
– die Verarbeitung erforderlich ist, um einem rechtsgültigen Ersuchen um Bereitstellung bestimmter Daten nachzukommen, schädliches Verhalten zu bekämpfen und die Sicherheit zu fördern oder zur Forschung zum Wohl der Gesellschaft beizutragen und Schutz, Integrität und Sicherheit zu fördern.
4. Art. 6 Abs. 1 Buchst. a und Art. 9 Abs. 2 Buchst. a der Verordnung Nr. 2016/679
sind dahin auszulegen, dass
dass der bloße Umstand, dass ein Unternehmen, das ein soziales Netzwerk betreibt, auf dem nationalen Markt für soziale Netzwerke für private Nutzer eine beherrschende Stellung innehat, der Einwilligung des Nutzers dieses Netzwerks in die Verarbeitung seiner personenbezogenen Daten nicht ihre Wirksamkeit im Sinne von Art. 4 Nr. 11 DSGVO nehmen kann. Ein solcher Umstand spielt jedoch eine Rolle bei der Beurteilung der Freiwilligkeit der Einwilligung im Sinne dieser Bestimmung, die der für die Verarbeitung Verantwortliche nachzuweisen hat, wobei gegebenenfalls ein offensichtliches Ungleichgewicht der Machtverhältnisse zwischen der betroffenen Person und dem für die Verarbeitung Verantwortlichen, die etwaige Verpflichtung, in die Verarbeitung anderer als der für die Erbringung der betreffenden Dienste unbedingt erforderlichen personenbezogenen Daten einzuwilligen, das Erfordernis, dass die Einwilligung für jeden Verarbeitungszweck spezifisch sein muss, und das Erfordernis, zu verhindern, dass der Widerruf der Einwilligung zu einem Schaden für den Nutzer führt, der seine Einwilligung widerruft, zu berücksichtigen sind.