CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2022:704

SCHLUSSANTRÄGE DES GENERALANWALTS

ATHANASIOS RANTOS

vom 20. September 2022(1)

Rechtssache C‑252/21

Meta Platforms Inc., vormals Facebook Inc.,

Meta Platforms Ireland Limited, vormals Facebook Ireland Ltd.,

Facebook Deutschland GmbH

gegen

Bundeskartellamt,

Beteiligter:

Verbraucherzentrale Bundesverband e. V.

(Vorabentscheidungsersuchen des Oberlandesgerichts Düsseldorf, Deutschland)

„Vorlage zur Vorabentscheidung – Verordnung (EU) 2016/679 – Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten – Soziale Netzwerke – Art. 4 Nr. 11 – Begriff ‚Einwilligung‘ der betroffenen Person – Einwilligung, die einem für die Verarbeitung verantwortlichen Unternehmen in beherrschender Stellung erteilt wurde – Art. 6 Abs. 1 Buchst. b bis f – Rechtmäßigkeit der Verarbeitung – Verarbeitung, die für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist – Verarbeitung, die zur Erfüllung einer rechtlichen Verpflichtung, der der Verantwortliche unterliegt, zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person oder für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde – Art. 9 Abs. 1 und Art. 9 Abs. 2 Buchst. e – Besondere Kategorien personenbezogener Daten – Personenbezogene Daten, die die betroffene Person offensichtlich öffentlich gemacht hat – Art. 51 bis 66 – Zuständigkeiten der nationalen Wettbewerbsbehörde – Verhältnis zu den Zuständigkeiten der Kontrollstellen für den Schutz personenbezogener Daten – Wettbewerbsrechtliche Maßnahmen, die von einer Behörde mit Sitz in einem anderen Mitgliedstaat als dem der federführenden Datenschutzaufsichtsbehörde ergriffen werden“

Einleitung

1. Das vorliegende Vorabentscheidungsersuchen des Oberlandesgerichts Düsseldorf (Deutschland) ergeht im Rahmen eines Rechtsstreits zwischen Unternehmen des Konzerns Meta Platforms(2) und dem Bundeskartellamt (Deutschland) über den Beschluss, mit dem das Bundeskartellamt der Beschwerdeführerin des Ausgangsverfahrens die in den Nutzungsbedingungen ihres sozialen Netzwerks Facebook vorgesehene Datenverarbeitung und die Durchführung dieser Nutzungsbedingungen untersagt sowie Maßnahmen zur Abstellung dieses Verhaltens angeordnet hat(3).

2. Die Vorlagefragen betreffen im Wesentlichen zum einen die Befugnis einer nationalen Wettbewerbsbehörde wie des Bundeskartellamts, Verhaltensweisen eines Unternehmens unmittelbar oder inzident im Licht bestimmter Vorschriften der Verordnung (EU) 2016/679 zu prüfen(4), und zum anderen die Auslegung dieser Vorschriften insbesondere in Bezug auf die Verarbeitung sensibler personenbezogener Daten, die relevanten Bedingungen für die Rechtmäßigkeit der Verarbeitung personenbezogener Daten und die Erteilung einer freiwilligen Einwilligung gegenüber einem Unternehmen in marktbeherrschender Stellung.

Rechtlicher Rahmen

Unionsrecht

3. Art. 4 DSGVO sieht vor:

„Im Sinne dieser Verordnung bezeichnet der Ausdruck:

…

11. ‚Einwilligung‘ der betroffenen Person jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist;

…“

4. Art. 6 Abs. 1 („Rechtmäßigkeit der Verarbeitung“) dieser Verordnung lautet:

„Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;

b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;

c) die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;

d) die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;

e) die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;

f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

[Absatz] 1 Buchstabe f gilt nicht für die von Behörden in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung.“

5. Art. 9 („Verarbeitung besonderer Kategorien personenbezogener Daten“) Abs. 1 und 2 dieser Verordnung bestimmt:

„(1) Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt.

(2) Absatz 1 gilt nicht in folgenden Fällen:

a) Die betroffene Person hat in die Verarbeitung der genannten personenbezogenen Daten für einen oder mehrere festgelegte Zwecke ausdrücklich eingewilligt, es sei denn, nach Unionsrecht oder dem Recht der Mitgliedstaaten kann das Verbot nach Absatz 1 durch die Einwilligung der betroffenen Person nicht aufgehoben werden,

…

e) die Verarbeitung bezieht sich auf personenbezogene Daten, die die betroffene Person offensichtlich öffentlich gemacht hat,

…“

6. In Art. 51 („Aufsichtsbehörde“) in Kapitel VI („Unabhängige Aufsichtsbehörden“) dieser Verordnung heißt es:

„(1) Jeder Mitgliedstaat sieht vor, dass eine oder mehrere unabhängige Behörden für die Überwachung der Anwendung dieser Verordnung zuständig sind, damit die Grundrechte und Grundfreiheiten natürlicher Personen bei der Verarbeitung geschützt werden und der freie Verkehr personenbezogener Daten in der Union erleichtert wird …

(2) Jede Aufsichtsbehörde leistet einen Beitrag zur einheitlichen Anwendung dieser Verordnung in der gesamten Union. Zu diesem Zweck arbeiten die Aufsichtsbehörden untereinander sowie mit der Kommission gemäß Kapitel VII zusammen.

…“

Deutsches Recht

7. § 19 Abs. 1 des Gesetzes gegen Wettbewerbsbeschränkungen (im Folgenden: GWB) bestimmt:

„Die missbräuchliche Ausnutzung einer marktbeherrschenden Stellung durch ein oder mehrere Unternehmen ist verboten.“(5)

8. § 50f GWB sieht vor:

„(1) Die Kartellbehörden, Regulierungsbehörden, die oder der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit und die Landesbeauftragten für Datenschutz sowie die zuständigen Behörden im Sinne des § 2 des EU-Verbraucherschutzdurchführungsgesetzes können unabhängig von der jeweils gewählten Verfahrensart untereinander Informationen einschließlich personenbezogener Daten und Betriebs- und Geschäftsgeheimnisse austauschen, soweit dies zur Erfüllung ihrer jeweiligen Aufgaben erforderlich ist, sowie diese in ihren Verfahren verwerten. …“

Ausgangsverfahren, Vorlagefragen und Verfahren vor dem Gerichtshof

9. Meta Platforms betreibt das Angebot des sozialen Online-Netzwerks „Facebook“ in der Europäischen Union (unter www.facebook.com) sowie weitere Online-Dienste, darunter Instagram und WhatsApp. Das Geschäftsmodell der von Meta Platforms betriebenen sozialen Netzwerke besteht im Wesentlichen darin, einerseits unentgeltliche Dienste eines sozialen Netzwerks für private Nutzer anzubieten und andererseits Online-Werbung zu verkaufen, die auf den individuellen Nutzer des sozialen Netzwerks zugeschnitten ist und darauf abzielt, ihm diejenigen Produkte und Dienstleistungen zu zeigen, die ihn u. a. aufgrund seines persönlichen Konsumverhaltens, seiner Interessen, seiner Kaufkraft und seiner persönlichen Situation interessieren könnten. Technische Grundlage dieser Art von Werbung ist die automatisierte Erstellung von sehr detaillierten Profilen der Nutzer des Netzwerks und der auf Konzernebene angebotenen Online-Dienste(6).

10. Hinsichtlich der Erhebung und Verarbeitung der Nutzerdaten stützt sich Meta Platforms auf den Nutzungsvertrag, den die Nutzer mit ihr schließen, indem sie die Schaltfläche „Registrieren“ betätigen und damit den Nutzungsbedingungen von Facebook zustimmen. Die Zustimmung zu diesen Nutzungsbedingungen ist eine wesentliche Voraussetzung für die Nutzung des sozialen Netzwerks Facebook(7). Im Mittelpunkt der vorliegenden Rechtssache steht die Praxis, die darin besteht, erstens Daten aus anderen konzerneigenen Diensten sowie aus Websites und Apps Dritter über in diese eingebundene Schnittstellen oder über auf dem Computer oder mobilen Endgerät des Nutzers gespeicherte Cookies zu erfassen, zweitens diese Daten mit dem Facebook-Konto des betroffenen Nutzers zu verknüpfen und drittens diese Daten zu verwerten (im Folgenden: streitige Praxis).

11. Das Bundeskartellamt leitete gegen Meta Platforms ein Verfahren ein, in dessen Folge es diesem Konzern mit dem streitigen Beschluss die in den Nutzungsbedingungen von Facebook vorgesehene Datenverarbeitung sowie die Durchführung dieser Nutzungsbedingungen untersagte und ihm Maßnahmen zur Abstellung dieses Verhaltens auferlegte. Das Bundeskartellamt begründete seinen Beschluss u. a. damit, dass die in Rede stehende Verarbeitung eine missbräuchliche Ausnutzung der beherrschenden Stellung dieses Unternehmens auf dem Markt für soziale Netzwerke für private Nutzer in Deutschland im Sinne von § 19 GWB darstelle(8).

12. Am 11. Februar 2019 legte Meta Platforms beim Oberlandesgericht Düsseldorf, dem vorlegenden Gericht, Beschwerde gegen den streitigen Beschluss ein(9). Dieses Gericht hegt im Wesentlichen zum einen Zweifel an der Befugnis nationaler Wettbewerbsbehörden, die Vereinbarkeit einer Datenverarbeitung mit den in der DSGVO aufgestellten Anforderungen zu überprüfen sowie Verstöße gegen die Bestimmungen der DSGVO festzustellen und zu ahnden, und hat zum anderen Zweifel hinsichtlich der richtigen Auslegung und Anwendung einiger Bestimmungen dieser Verordnung.

13. Unter diesen Umständen hat das Oberlandesgericht Düsseldorf beschlossen, das Verfahren auszusetzen und dem Gerichtshof die folgenden Fragen zur Vorabentscheidung vorzulegen:

1. a) Ist es mit den Art. 51 ff. DSGVO vereinbar, wenn eine nationale Kartellbehörde eines Mitgliedstaats, wie das Bundeskartellamt, die nicht Aufsichtsbehörde im Sinne der Art. 51 ff. DSGVO ist und in deren Mitgliedstaat ein außerhalb der Europäischen Union ansässiges Unternehmen eine Niederlassung unterhält, die die in einem anderen Mitgliedstaat belegene Hauptniederlassung dieses Unternehmens, welcher die ausschließliche Verantwortung für die Verarbeitung personenbezogener Daten für das gesamte Gebiet der Europäischen Union obliegt, im Bereich Werbung, Kommunikation und Öffentlichkeitsarbeit unterstützt, für die kartellrechtliche Missbrauchsaufsicht einen Verstoß von Vertragsbedingungen der Hauptniederlassung zur Datenverarbeitung und von deren Durchführung gegen die DSGVO feststellt und eine Verfügung zur Abstellung dieses Verstoßes erlässt?

b) Wenn ja: Ist dies mit Art. 4 Abs. 3 EUV vereinbar, wenn gleichzeitig die federführende Aufsichtsbehörde im Mitgliedstaat der Hauptniederlassung im Sinne des Art. 56 Abs. 1 DSGVO deren Vertragsbedingungen zur Datenverarbeitung einem Untersuchungsverfahren unterzieht?

Wenn Frage 1 zu bejahen ist:

2. a) Handelt es sich dann, wenn ein Internetnutzer Webseiten oder Apps, die Bezug zu den Kriterien des Art. 9 Abs. 1 DSGVO haben, wie etwa Flirting-Apps, Homosexuellen-Partnerbörsen, Webseiten politischer Parteien, gesundheitsbezogene Webseiten, entweder nur aufruft oder dort auch Eingaben tätigt, etwa bei Registrierung oder Bestellungen, und ein anderes Unternehmen, wie Facebook Ireland, über in die Webseiten und Apps eingebundene Schnittstellen, wie „Facebook Business Tools“, oder über auf dem Computer oder mobilen Endgerät des Internetnutzers eingesetzte Cookies oder ähnliche Speichertechnologien die Daten über den Aufruf der Webseiten und Apps durch den Nutzer und über dort getätigte Eingaben des Nutzers erfasst, mit den Daten des Facebook.com-Kontos des Nutzers verknüpft und verwendet, bei der Erfassung und/oder der Verknüpfung und/oder der Verwendung um die Verarbeitung sensibler Daten im Sinne der Norm?

b) Wenn ja: Stellt der Aufruf dieser Webseiten und Apps und/oder die Tätigung von Eingaben und/oder die Betätigung der in diese Webseiten oder Apps eingebundenen Schaltflächen („soziale Plugins“ wie „Gefällt mir“, „Teilen“ oder „Facebook Login“ oder „Account Kit“) eines Anbieters wie Facebook Ireland ein offensichtliches Öffentlichmachen der Daten über den Aufruf als solches und/oder die Eingaben durch den Nutzer im Sinne des Art. 9 Abs. 2 Buchst. e DSGVO dar?

3. Kann ein Unternehmen wie Facebook Ireland, das ein werbefinanziertes, digitales soziales Netzwerk betreibt und in seinen Nutzungsbedingungen die Personalisierung der Inhalte und der Werbung, Netzwerksicherheit, Produktverbesserung und durchgängige und nahtlose Nutzung aller konzerneigenen Produkte anbietet, sich auf den Rechtfertigungsgrund der Erforderlichkeit zur Vertragserfüllung gemäß Art. 6 Abs. 1 Buchst. b DSGVO oder der Wahrnehmung berechtigter Interessen gemäß Art. 6 Abs. 1 Buchst. f DSGVO berufen, wenn es zu diesen Zwecken Daten aus anderen konzerneigenen Diensten und aus dritten Webseiten und Apps über in diese eingebundene Schnittstellen, wie „Facebook Business Tools“, oder über auf dem Computer oder mobilen Endgerät des Internetnutzers eingesetzte Cookies oder ähnliche Speichertechnologien erfasst, mit dem Facebook.com-Konto des Nutzers verknüpft und verwendet?

4. Können in einem solchen Fall auch

– die Minderjährigkeit der Nutzer für die Personalisierung von Inhalten und Werbung, Produktverbesserung, Netzwerksicherheit und Nicht-Marketing-Kommunikation mit dem Nutzer,

– die Bereitstellung von Messungen, Analysen und sonstigen Unternehmens-Services an Werbekunden, Entwickler und sonstige Partner, damit diese ihre Leistungen bewerten und verbessern können,

– die Bereitstellung von Marketing-Kommunikation mit dem Nutzer, damit das Unternehmen seine Produkte verbessern und Direktmarketing durchführen kann,

– Forschung und Innovation für soziale Zwecke, um den Stand der Technik bzw. das wissenschaftliche Verständnis bezüglich wichtiger sozialer Themen zu fördern und um die Gesellschaft und Welt positiv zu beeinflussen,

– die Information von Strafverfolgungs- und Vollstreckungsbehörden und die Antwort auf rechtliche Anfragen, um Straftaten, unberechtigte Nutzung, Verstöße gegen die Nutzungsbedingungen und Richtlinien und sonstige schädliche Verhaltensweisen zu verhindern, aufzudecken und zu verfolgen,

berechtigte Interessen im Sinne des Art. 6 Abs. 1 Buchst. f DSGVO sein, wenn das Unternehmen zu diesen Zwecken Daten aus anderen konzerneigenen Diensten und aus dritten Webseiten und Apps über in diese eingebundene Schnittstellen, wie „Facebook Business Tools“, oder über auf dem Computer oder mobilen Endgerät des Internetnutzers eingesetzte Cookies oder ähnliche Speichertechnologien erfasst, mit dem Facebook.com-Konto des Nutzers verknüpft und verwendet?

5. Kann in einem solchen Fall die Erfassung von Daten aus anderen konzerneigenen Diensten und aus dritten Webseiten und Apps über in diese eingebundene Schnittstellen, wie „Facebook Business Tools“, oder über auf dem Computer oder mobilen Endgerät des Internetnutzers eingesetzte Cookies oder ähnliche Speichertechnologien, die Verknüpfung mit dem Facebook.com-Konto des Nutzers und die Verwendung oder die Verwendung bereits anderweit rechtmäßig erfasster und verknüpfter Daten im Einzelfall auch gemäß Art. 6 Abs. 1 Buchst. c, d und e DSGVO gerechtfertigt sein, um etwa eine rechtsgültige Anfrage für bestimmte Daten zu beantworten (Buchst. c), um schädliches Verhalten zu bekämpfen und die Sicherheit zu fördern (Buchst. d), zur Forschung zum Wohle der Gesellschaft und zur Förderung von Schutz, Integrität und Sicherheit (Buchst. e)?

6. Kann gegenüber einem marktbeherrschenden Unternehmen wie Facebook Ireland eine wirksame, insbesondere nach Art. 4 Nr. 11 DSGVO freiwillige, Einwilligung im Sinne der Art. 6 Abs. 1 Buchst. a und Art. 9 Abs. 2 Buchst. a DSGVO erklärt werden?

Wenn Frage 1 zu verneinen ist:

7. a) Kann eine nationale Kartellbehörde eines Mitgliedstaats, wie das Bundeskartellamt, die nicht Aufsichtsbehörde im Sinne der Art. 51 ff. DSGVO ist und die einen Verstoß eines marktbeherrschenden Unternehmens gegen das kartellrechtliche Missbrauchsverbot prüft, der nicht in einem Verstoß von dessen Datenverarbeitungsbedingungen und ihrer Durchführung gegen die DSGVO besteht, etwa im Rahmen der Interessenabwägung Feststellungen dazu treffen, ob die Datenverarbeitungsbedingungen dieses Unternehmens und ihre Durchführung der DSGVO entsprechen?

b) Wenn ja: Gilt dies im Hinblick auf Art. 4 Abs. 3 EUV auch dann, wenn gleichzeitig die gemäß Art. 56 Abs. 1 DSGVO zuständige federführende Aufsichtsbehörde die Datenverarbeitungsbedingungen dieses Unternehmens einem Untersuchungsverfahren unterzieht?

Wenn Frage 7 zu bejahen ist, bedarf es der Beantwortung der Fragen 3 bis 5 in Bezug auf die Daten aus der Nutzung des konzerneigenen Dienstes Instagram.

14. Meta Platforms, die deutsche, die tschechische, die italienische und die österreichische Regierung, das Bundeskartellamt, der Verbraucherzentrale Bundesverband e. V. (Deutschland) sowie die Europäische Kommission haben schriftliche Erklärungen eingereicht. Diese Beteiligten haben auch in der mündlichen Verhandlung vom 10. Mai 2022 Ausführungen gemacht.

Würdigung

15. Die Vorlagefragen, die Gegenstand der vorliegenden Rechtssache sind und sich auf die Auslegung mehrerer Bestimmungen der DSGVO beziehen, betreffen im Wesentlichen erstens die Zuständigkeit einer Wettbewerbsbehörde für die Feststellung und Ahndung eines Verstoßes gegen die Vorschriften über die Verarbeitung personenbezogener Daten und ihre Verpflichtung zur Zusammenarbeit mit der federführenden Behörde im Sinne der DSGVO (erste und siebte Vorlagefrage), zweitens das Verbot der Verarbeitung sensibler personenbezogener Daten und die Bedingungen, die für die Einwilligung in ihre Verwendung gelten (zweite Vorlagefrage), drittens die Rechtmäßigkeit der Verarbeitung personenbezogener Daten im Licht bestimmter Rechtfertigungsgründe (dritte bis fünfte Vorlagefrage) und viertens die Gültigkeit einer Einwilligung in die Verarbeitung personenbezogener Daten, die einem Unternehmen in marktbeherrschender Stellung erteilt wird (sechste Vorlagefrage).

16. In den folgenden Nummern werde ich zunächst die erste und die siebte Vorlagefrage behandeln und dann die anderen Vorlagefragen in der Reihenfolge, in der sie gestellt wurden, wobei ich die dritte, die vierte und die fünfte Vorlagefrage zusammenfassen werde.

Zur ersten Vorlagefrage

17. Mit seiner ersten Vorlagefrage möchte das vorlegende Gericht im Wesentlichen wissen, ob eine Wettbewerbsbehörde bei der Verfolgung von Verstößen gegen das Wettbewerbsrecht zum einen unmittelbar(10) über einen Verstoß gegen die Datenverarbeitungsvorschriften der DSGVO durch ein Unternehmen entscheiden kann, dessen für die Verarbeitung personenbezogener Daten für die gesamte Union allein verantwortliche Hauptniederlassung sich in einem anderen Mitgliedstaat befindet, und zum anderen die Abstellung dieses Verstoßes anordnen kann (erste Frage Buchst. a) und, wenn ja, ob die nach Art. 56 Abs. 1 DSGVO zuständige federführende Aufsichtsbehörde die Bedingungen für die Datenverarbeitung dieses Unternehmens noch einem Untersuchungsverfahren unterziehen kann (erste Frage Buchst. b).

18. Vorbehaltlich einer Überprüfung durch das vorlegende Gericht hat das Bundeskartellamt im streitigen Beschluss meines Erachtens aber keinen Verstoß von Meta Platforms gegen die DSGVO geahndet, sondern allein für die Zwecke der Anwendung der Wettbewerbsregeln einen Meta Platforms zur Last gelegten Missbrauch einer beherrschenden Stellung geprüft, indem es u. a. die Unvereinbarkeit des Verhaltens dieses Unternehmens mit den Bestimmungen dieser Verordnung herangezogen hat.

19. Daher geht die erste Frage Buchst. a, soweit sie die Befugnis einer Wettbewerbsbehörde betrifft, unmittelbar über einen Verstoß gegen die Vorschriften der DSGVO zu entscheiden und die Abstellung dieses Verstoßes im Sinne dieser Verordnung anzuordnen, nach meiner Auffassung ins Leere(11).

20. Daraus folgt, dass die erste Frage Buchst. b, die von der Bejahung der ersten Frage Buchst. a abhängig ist, ebenfalls ins Leere geht(12).

Zur siebten Vorlagefrage

21. Mit seiner siebten Vorlagefrage möchte das vorlegende Gericht im Wesentlichen wissen, ob eine Wettbewerbsbehörde bei der Verfolgung von Verstößen gegen das Wettbewerbsrecht inzident(13) feststellen kann, ob die Bedingungen der Datenverarbeitung und deren Durchführung mit der DSGVO vereinbar sind (siebte Frage Buchst. a), und wenn ja, ob diese Prüfung durch die Wettbewerbsbehörde auch dann möglich ist, wenn gleichzeitig die zuständige federführende Aufsichtsbehörde diese Bedingungen einem Untersuchungsverfahren unterzieht (siebte Frage Buchst. b).

22. Was als Erstes die siebte Frage Buchst. a betrifft, bin ich der Auffassung, dass eine Wettbewerbsbehörde zwar nicht befugt ist, einen Verstoß gegen die DSGVO festzustellen(14), diese Verordnung aber grundsätzlich nicht ausschließt, dass andere Behörden als die Aufsichtsbehörden bei der Ausübung ihrer eigenen Zuständigkeiten und Befugnisse inzident berücksichtigen können, ob ein Verhalten mit den Bestimmungen der DSGVO vereinbar ist. Dies gilt meines Erachtens insbesondere für die Ausübung der Befugnisse, die einer Wettbewerbsbehörde durch Art. 102 AEUV und Art. 5 Abs. 1 der Verordnung (EG) Nr. 1/2003(15) oder durch eine andere entsprechende nationale Norm übertragen wurden(16).

23. Bei der Ausübung ihrer Befugnisse muss eine Wettbewerbsbehörde nämlich unter Berücksichtigung des rechtlichen und wirtschaftlichen Zusammenhangs, in dem das untersuchte Verhalten steht, u. a. beurteilen, ob dieses Verhalten darin besteht, dass andere Mittel als diejenigen eines Leistungswettbewerbs herangezogen werden(17). Insoweit kann die Vereinbarkeit oder Unvereinbarkeit dieses Verhaltens mit den Bestimmungen der DSGVO – nicht für sich genommen, sondern unter Berücksichtigung aller Umstände des Einzelfalls – ein wichtiges Indiz für die Feststellung sein, ob dieses Verhalten den Einsatz von Mitteln eines normalen Wettbewerbs darstellt, wobei jedoch klarzustellen ist, dass das Vorliegen oder Fehlen der Missbräuchlichkeit eines Verhaltens im Hinblick auf Art. 102 AEUV nicht aus seiner Vereinbarkeit oder Unvereinbarkeit mit der DSGVO oder anderen Rechtsnormen hervorgeht(18).

24. Ich bin daher der Auffassung, dass die Prüfung des Missbrauchs einer marktbeherrschenden Stellung es rechtfertigen kann, dass eine Wettbewerbsbehörde nicht wettbewerbsrechtliche Normen wie die der DSGVO auslegt(19), wobei ich aber darauf hinweise, dass eine solche Prüfung inzident(20) erfolgt und die Anwendung dieser Verordnung durch die zuständigen Aufsichtsbehörden nicht präjudiziert(21).

25. Was als Zweites die siebte Frage Buchst. b betrifft, wirft das vorlegende Gericht die Frage auf, welche Verpflichtungen eine Wettbewerbsbehörde im Rahmen des in Art. 4 Abs. 3 EUV niedergelegten Grundsatzes der loyalen Zusammenarbeit gegenüber der zuständigen federführenden Aufsichtsbehörde im Sinne der DSGVO hat, wenn sie die Bestimmungen dieser Verordnung auslegt, insbesondere dann, wenn das von der Wettbewerbsbehörde geprüfte Verhalten zugleich Gegenstand einer Untersuchung durch die zuständige federführende Aufsichtsbehörde ist.

26. Im vorliegenden Fall birgt die – wenn auch inzidente – Prüfung des Verhaltens eines Unternehmens anhand der Normen der DSGVO durch eine Wettbewerbsbehörde die Gefahr, dass diese Behörde und die Aufsichtsbehörden die DSGVO unterschiedlich auslegen, was grundsätzlich geeignet ist, die einheitliche Auslegung dieser Verordnung zu beeinträchtigen(22).

27. Für einen solchen Fall sieht das Unionsrecht keine detaillierten Regeln für die Zusammenarbeit zwischen einer Wettbewerbsbehörde und den Aufsichtsbehörden im Sinne der DSGVO vor. Insbesondere sind im vorliegenden Fall weder der Mechanismus der Zusammenarbeit zwischen den zuständigen Behörden im Sinne der DSGVO bei der Anwendung dieser Verordnung(23) noch andere präzise Regeln für die Zusammenarbeit zwischen Verwaltungsbehörden, wie etwa die Regeln für die Zusammenarbeit zwischen den Wettbewerbsbehörden sowie die Zusammenarbeit zwischen diesen und der Kommission bei der Anwendung der Wettbewerbsregeln(24), anwendbar.

28. Dies vorausgeschickt, ist eine Wettbewerbsbehörde bei der Auslegung der DSGVO gleichwohl an den in Art. 4 Abs. 3 EUV niedergelegten Grundsatz der loyalen Zusammenarbeit gebunden, wonach sich die Union und die Mitgliedstaaten einschließlich ihrer Verwaltungsbehörden(25) gegenseitig bei der Erfüllung der Aufgaben, die sich aus den Verträgen ergeben, achten und unterstützen. Insbesondere sieht Art. 4 Abs. 3 Unterabs. 3 EUV vor, dass die Mitgliedstaaten die Union bei der Erfüllung ihrer Aufgabe unterstützen und alle Maßnahmen unterlassen, die die Verwirklichung der Ziele der Union gefährden könnten(26). Darüber hinaus ist eine Wettbewerbsbehörde – wie jede Verwaltungsbehörde, die mit der Anwendung des Unionsrechts betraut ist – an den Grundsatz der ordnungsgemäßen Verwaltung als allgemeinen Grundsatz des Unionsrechts gebunden, der insbesondere eine umfassende Sorgfalts- und Fürsorgepflicht der nationalen Behörden beinhaltet(27).

29. So unterliegt eine Wettbewerbsbehörde, wenn sie die Bestimmungen der DSGVO auslegt, in Ermangelung präziser Regeln über die Mechanismen der Zusammenarbeit, die gegebenenfalls vom Unionsgesetzgeber zu erlassen sind, zumindest Informations‑, Auskunfts- und Kooperationspflichten gegenüber den zuständigen Behörden im Sinne dieser Verordnung, und zwar in Anwendung der nationalen Normen, die ihre Zuständigkeiten regeln (Grundsatz der Verfahrensautonomie der Mitgliedstaaten), und unter Beachtung der Grundsätze der Äquivalenz und der Effektivität(28).

30. Daraus folgt meines Erachtens, dass die Wettbewerbsbehörde, wenn sich die zuständige federführende Aufsichtsbehörde zur Anwendung bestimmter Vorschriften der DSGVO auf ein gleiches oder ähnliches Verhalten geäußert hat, grundsätzlich nicht von der Auslegung dieser Behörde, die allein für die Anwendung dieser Verordnung zuständig ist, abweichen darf(29) und sich im Rahmen des Möglichen und unter Wahrung u. a. der Verteidigungsrechte der betroffenen Personen an etwaige Entscheidungen halten muss, die diese Aufsichtsbehörde in Bezug auf dasselbe Verhalten erlassen hat(30), wobei sie sich, falls sie im konkreten Fall Zweifel an der Auslegung der zuständigen Aufsichtsbehörde hat, mit dieser Behörde oder gegebenenfalls, wenn sich diese in einem anderen Mitgliedstaat befindet, mit der nationalen Aufsichtsbehörde abzustimmen hat(31).

31. Darüber hinaus obliegt es der Wettbewerbsbehörde in Ermangelung einer Entscheidung der zuständigen Aufsichtsbehörde gleichwohl, diese zu informieren(32) und mit ihr zusammenzuarbeiten, wenn diese Behörde mit der Untersuchung derselben Praxis begonnen oder ihre Absicht, dies zu tun, bekundet hat, sowie gegebenenfalls das Ergebnis der Untersuchung durch diese Behörde abzuwarten, bevor sie ihre eigene Beurteilung vornimmt, soweit dies angemessen ist und insbesondere die Einhaltung einer angemessenen Untersuchungsfrist durch die Wettbewerbsbehörde und die Verteidigungsrechte der betroffenen Personen unberührt lässt(33).

32. Im vorliegenden Fall kann die Tatsache, dass die Wettbewerbsbehörde eine Zusammenarbeit mit den auf nationaler Ebene zuständigen Aufsichtsbehörden(34) eingeleitet und zudem die federführende irische Aufsichtsbehörde informell kontaktiert hat – Umstände, auf die das Bundeskartellamt hingewiesen hat und die zu überprüfen Sache des vorlegenden Gerichts ist –, meines Erachtens für die Schlussfolgerung ausreichen, dass diese Behörde ihren Sorgfaltspflichten und ihrer Pflicht zur loyalen Zusammenarbeit nachgekommen ist(35).

33. Im Ergebnis schlage ich vor, auf die siebte Vorlagefrage zu antworten, dass die Art. 51 bis 66 DSGVO dahin auszulegen sind, dass eine Wettbewerbsbehörde im Rahmen ihrer Befugnisse im Sinne der Wettbewerbsregeln inzident prüfen kann, ob die untersuchten Praktiken mit den Regelungen der DSGVO vereinbar sind, wobei sie alle Entscheidungen oder Untersuchungen der nach der DSGVO zuständigen Aufsichtsbehörde zu berücksichtigen, die nationale Aufsichtsbehörde zu informieren und sich gegebenenfalls mit dieser abzustimmen hat.

Zur zweiten Vorlagefrage

34. Mit seiner zweiten Vorlagefrage möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 9 Abs. 1 DSGVO dahin auszulegen ist, dass es sich bei der streitigen Praxis, soweit sie den Aufruf von Internetseiten und Apps Dritter(36) betrifft, um eine Verarbeitung der in dieser Bestimmung aufgeführten sensiblen personenbezogenen Daten handelt(37), die untersagt ist(38) (zweite Frage Buchst. a), und, wenn ja, ob Art. 9 Abs. 2 Buchst. e dieser Verordnung dahin auszulegen ist, dass ein Nutzer die Daten, die er zum einen beim Aufruf von Internetseiten und Apps hinterlässt oder zum anderen in diese Internetseiten oder Apps eingibt oder die sich aus der Betätigung von in diese Internetseiten oder Apps eingebundenen Schaltflächen ergeben(39), im Sinne dieser Bestimmung offensichtlich öffentlich macht (zweite Frage Buchst. b).

35. Was als Erstes die zweite Frage Buchst. a betrifft, weise ich darauf hin, dass die Verarbeitung sensibler personenbezogener Daten nach Art. 9 Abs. 1 DSGVO verboten ist. Wie sich aus dem 51. Erwägungsgrund dieser Verordnung ergibt, wird der besondere Schutz dieser Daten damit begründet, dass sie ihrem Wesen nach hinsichtlich der Grundrechte und Grundfreiheiten besonders sensibel sind und ihre Verarbeitung erhebliche Risiken für die Grundrechte und Grundfreiheiten mit sich bringen kann. Darüber hinaus scheint mir diese Bestimmung trotz ihres etwas obskuren Wortlauts(40) – entgegen der Annahme des vorlegenden Gerichts – keinen wesentlichen Unterschied zwischen personenbezogenen Daten, die sensibel sind, weil aus ihnen eine bestimmte Situation „hervorgeht“, und solchen, die ihrem Wesen nach sensibel sind, zu machen(41).

36. Im vorliegenden Fall liegt es meines Erachtens auf der Hand, dass die streitige Praxis eine Verarbeitung personenbezogener Daten darstellt, die grundsätzlich in den Anwendungsbereich dieser Bestimmung fallen und untersagt werden kann, wenn aus den verarbeiteten Daten eine der in ihr aufgeführten sensiblen Situationen „hervorgeht“. Es ist daher zu prüfen, ob und inwieweit der Aufruf von Websites und Apps oder die Eingabe von Daten in diese geeignet ist, eine der in dieser Bestimmung aufgeführten sensiblen Situationen „hervorgehen“ zu lassen.

37. In dieser Hinsicht bezweifle ich, dass es relevant (und stets möglich) ist, zwischen einem bloßen Interesse der betroffenen Person an bestimmten Informationen einerseits und der Zugehörigkeit dieser Person zu einer der in der betreffenden Bestimmung erfassten Kategorien andererseits zu unterscheiden(42). Da die Parteien des Ausgangsverfahrens in dieser Hinsicht gegensätzliche Standpunkte vertreten(43), kann eine Antwort auf diese Frage meines Erachtens nur von Fall zu Fall und im Hinblick auf jede der Tätigkeiten, die die streitige Praxis ausmachen, gesucht werden.

38. Auch wenn die bloße Erhebung sensibler personenbezogener Daten über den Aufruf einer Website oder einer App für sich genommen nicht notwendigerweise eine Verarbeitung sensibler personenbezogener Daten im Sinne dieser Bestimmung darstellt(44), wie die deutsche Regierung ausführt, können hingegen in der Verknüpfung dieser Daten mit dem Facebook-Konto des betroffenen Nutzers oder in ihrer Nutzung schon eher Verhaltensweisen gesehen werden, die eine solche Verarbeitung darstellen. Das entscheidende Kriterium für die Anwendung von Art. 9 Abs. 1 DSGVO ist meines Erachtens die Frage, ob die verarbeiteten Daten es ermöglichen, ein Profil des Nutzers im Hinblick auf die Kategorien zu erstellen, die sich aus der in dieser Bestimmung enthaltenen Aufzählung sensibler personenbezogener Daten ergeben(45).

39. Um feststellen zu können, ob eine Datenverarbeitung in den Anwendungsbereich dieser Bestimmung fällt, könnte es in diesem Zusammenhang sachdienlich sein, gegebenenfalls die Verarbeitung von Daten, die prima facie in die Kategorie der sensiblen personenbezogenen Daten eingeordnet werden können und für sich genommen ein Profil der betroffenen Person ermöglichen, einerseits und die Verarbeitung von Daten andererseits zu unterscheiden, die selbst nicht sensibel sind, sondern einen nachfolgenden Aggregierungsvorgang erfordern, um plausible Schlussfolgerungen für die Erstellung eines Profils der betroffenen Person zu ziehen.

40. Dies vorausgeschickt, ist klarzustellen, dass das Vorliegen einer Kategorisierung im Sinne dieser Bestimmung nicht davon abhängt, ob diese Kategorisierung richtig oder wahr ist(46). Entscheidend ist die Möglichkeit, dass eine solche Kategorisierung zu einem erheblichen Risiko für die Grundrechte und Grundfreiheiten der betroffenen Person führen kann, wie im 51. Erwägungsgrund der DSGVO ausgeführt wird, eine Möglichkeit, die unabhängig von ihrem Wahrheitsgehalt besteht.

41. Was schließlich die Frage des vorlegenden Gerichts betrifft, ob für die in Rede stehende Beurteilung der Zweck der Nutzung relevant ist(47), ist es meines Erachtens entgegen dem Vorbringen der Beschwerdeführerin des Ausgangsverfahrens grundsätzlich nicht erforderlich, dass der für die Verarbeitung Verantwortliche diese Daten „in dem Wissen und mit der Absicht der direkten Ableitung besonderer Kategorien von Informationen“ verarbeitet. Das Ziel der in Rede stehenden Bestimmung besteht nämlich im Wesentlichen darin, in objektiver Weise erheblichen Gefahren für die Grundrechte und Grundfreiheiten der betroffenen Personen vorzubeugen, die sich aus der Verarbeitung sensibler personenbezogener Daten ergeben, unabhängig von jedem subjektiven Element wie der Absicht des für die Verarbeitung Verantwortlichen.

42. Was als Zweites die zweite Frage Buchst. b betrifft, weise ich darauf hin, dass nach Art. 9 Abs. 2 Buchst. e DSGVO das Verbot der Verarbeitung sensibler personenbezogener Daten nicht gilt, wenn sich die Verarbeitung auf personenbezogene Daten bezieht, die die betroffene Person offensichtlich öffentlich gemacht hat. Darüber hinaus erfordern das im Wortlaut dieser Bestimmung verwendete Adverb „offensichtlich“ und die Tatsache, dass diese Bestimmung eine Ausnahme vom Grundsatz des Verbots der Verarbeitung sensibler personenbezogener Daten darstellt(48), aufgrund der erheblichen Risiken für die Grundrechte und Grundfreiheiten der betroffenen Personen eine besonders strikte Anwendung dieser Ausnahme(49). Die Anwendung dieser Ausnahme setzt meines Erachtens voraus, dass sich der Nutzer voll bewusst sein muss, dass er durch eine ausdrückliche Handlung(50) personenbezogene Daten öffentlich macht(51).

43. Im vorliegenden Fall kann ein Verhalten, das im Aufruf von Websites und Apps, der Eingabe von Daten in diese Websites und Apps sowie in der Betätigung von in diese eingebundenen Schaltflächen besteht, grundsätzlich nicht einem Verhalten gleichgestellt werden, das die sensiblen personenbezogenen Daten des Nutzers im Sinne von Art. 9 Abs. 2 Buchst. e DSGVO offensichtlich öffentlich macht.

44. Insbesondere weise ich darauf hin, dass der Aufruf von Websites und Apps die Abfragedaten grundsätzlich nur dem Betreiber der in Rede stehenden Internetseite oder App und den Dritten, denen dieser die Informationen weitergibt, wie der Beschwerdeführerin des Ausgangsverfahrens, zugänglich macht(52). Auch wenn die betroffene Person durch die Eingabe von Daten in Websites und Apps möglicherweise unmittelbar und freiwillig Informationen über bestimmte sensible personenbezogene Daten preisgibt, weise ich darauf hin, dass auch diese Informationen nur dem Betreiber der betreffenden Website oder App und den Dritten, denen dieser Betreiber die Informationen übermittelt, zugänglich sind. Ich schließe daher aus, dass ein solches Verhalten von dem Willen zeugen könnte, diese Daten der Allgemeinheit zur Verfügung zu stellen(53). Darüber hinaus liegt zwar auf der Hand, dass die betroffene Person durch die Betätigung von Schaltflächen, die in Websites oder Apps eingebunden sind(54), eindeutig den Willen bekundet, bestimmte Informationen mit einem Publikum außerhalb der in Rede stehenden Website oder App zu teilen; ich bin aber wie das Bundeskartellamt der Auffassung, dass dem betreffenden Nutzer bei diesem Verhalten bewusst ist, dass er Informationen mit einem bestimmten, häufig von ihm selbst definierten(55)Personenkreis teilt und nicht mit der Allgemeinheit(56).

45. Was schließlich die vom vorlegenden Gericht angesprochene Relevanz einer möglichen Einwilligung des Nutzers im Sinne von Art. 5 Abs. 3 der Richtlinie 2002/58 in die Erhebung personenbezogener Daten durch Cookies oder ähnliche Technologien betrifft, bin ich der Auffassung, dass diese Einwilligung, für sich genommen, angesichts ihres spezifischen Zwecks die Verarbeitung sensibler personenbezogener Daten, die auf diese Weise erhoben werden, nicht rechtfertigen kann(57). Diese Einwilligung, die für die Installation einer technischen Vorkehrung zur Erfassung bestimmter Nutzeraktivitäten erforderlich ist(58), betrifft nämlich nicht die Verarbeitung sensibler personenbezogener Daten und kann nicht mit dem Willen gleichgesetzt werden, diese Daten im Sinne von Art. 9 Abs. 2 Buchst e DSGVO offensichtlich öffentlich zu machen(59).

46. Im Ergebnis schlage ich vor, auf die zweite Vorlagefrage zu antworten, dass zum einen Art. 9 Abs. 1 DSGVO dahin auszulegen ist, dass das Verbot der Verarbeitung sensibler personenbezogener Daten die Datenverarbeitung durch den Betreiber eines sozialen Online-Netzwerks umfassen kann, die darin besteht, Daten eines Nutzers zu erheben, wenn dieser andere Websites oder Apps aufruft oder diese Daten dort eingibt, diese Daten mit dem Nutzerkonto des sozialen Netzwerks zu verknüpfen und sie zu verwenden, sofern die verarbeiteten Informationen, einzeln oder aggregiert betrachtet, die Erstellung eines Profils des Nutzers im Hinblick auf die Kategorien ermöglichen, die sich aus der in dieser Bestimmung enthaltenen Aufzählung sensibler personenbezogener Daten ergeben, und dass zum anderen ein Nutzer die Daten, die er beim Aufruf von Internetseiten und Apps hinterlässt oder in diese Internetseiten oder Apps eingibt oder die sich aus der Betätigung von in diese eingebundenen Schaltflächen ergeben, nicht im Sinne von Art. 9 Abs. 2 Buchst. e DSGVO offensichtlich öffentlich macht.

Zur dritten, vierten und fünften Vorlagefrage

47. Mit der dritten, der vierten und der fünften Vorlagefrage möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 6 Abs. 1 Buchst. b, c, d, e und f DSGVO dahin auszulegen ist, dass die streitige Praxis(60) in den Anwendungsbereich einer der in diesen Bestimmungen vorgesehenen Rechtfertigungsgründe fällt, nämlich im Einzelnen unter:

– die Erforderlichkeit zur Vertragserfüllung(61) oder die Wahrnehmung berechtigter Interessen(62) unter Berücksichtigung der Tatsache, dass Meta Platforms ein werbefinanziertes soziales Netzwerk betreibt und in seinen Nutzungsbedingungen die Personalisierung der Inhalte und der Werbung, Netzwerksicherheit, Produktverbesserung und durchgängige und nahtlose Nutzung aller konzerneigenen Produkte anbietet (dritte Vorlagefrage);

– die Berücksichtigung dieser berechtigten Interessen(63) im Zusammenhang mit bestimmten Situationen(64) (vierte Vorlagefrage);

– die Erforderlichkeit, einem rechtsgültigen Ersuchen um Bereitstellung bestimmter Daten nachzukommen(65), schädliches Verhalten zu bekämpfen und die Sicherheit zu fördern(66) oder zur Forschung zum Wohl der Gesellschaft beizutragen und Schutz, Integrität und Sicherheit zu fördern(67) (fünfte Vorlagefrage).

48. Vorab schlage ich ungeachtet einiger Bedenken hinsichtlich der Zulässigkeit der vierten und der fünften Vorlagefrage(68) vor, die dritte, die vierte und die fünfte Frage zusammen zu beantworten, weil die Hinweise, die ich im Folgenden vor allem zur dritten Vorlagefrage geben werde, für das vorlegende Gericht auch bei der Anwendung der Bestimmungen, die Gegenstand der vierten und der fünften Vorlagefrage sind, nützlich sein können.

49. In erster Linie weise ich darauf hin, dass personenbezogene Daten nach Art. 8 der Charta der Grundrechte der Europäischen Union (im Folgenden: Charta) nur nach Treu und Glauben für festgelegte Zwecke und auf einer gesetzlich geregelten legitimen Grundlage verarbeitet werden dürfen. Insoweit stellt Art. 6 Abs. 1 DSGVO klar, dass die Verarbeitung dieser Daten nur rechtmäßig ist, wenn eine der sechs in dieser Bestimmung festgelegten Bedingungen erfüllt ist(69).

50. Im vorliegenden Fall bin ich erstens der Auffassung, dass die dritte, die vierte und die fünfte Vorlagefrage eine detaillierte Einzelfallanalyse der einzelnen Klauseln der Facebook-Nutzungsbedingungen im Zusammenhang mit der streitigen Praxis erfordern, weil es nicht möglich ist, festzustellen, ob sich „ein Unternehmen wie [Meta Platforms]“ in Bezug auf diese Praxis insgesamt auf alle (oder einige) der in Art. 6 Abs. 1 DSGVO genannten Rechtfertigungsgründe berufen kann, auch wenn nicht auszuschließen ist, dass diese Praxis oder einige ihrer Verhaltensweisen in bestimmten Fällen in den Anwendungsbereich dieses Artikels fallen können(70).

51. Zweitens erfolgt die in den genannten Bestimmungen geregelte Verarbeitung im vorliegenden Fall auf der Grundlage der allgemeinen Vertragsbedingungen, die der für die Verarbeitung Verantwortliche ohne die Einwilligung der betroffenen Person(71) oder sogar gegen ihren Willen vorgegeben hat, was meines Erachtens nach eine strenge Auslegung der betreffenden Rechtfertigungsgründe erfordert, insbesondere um eine Umgehung der Bedingung der Einwilligung zu verhindern(72).

52. Schließlich weise ich darauf hin, dass nach Art. 5 Abs. 2 DSGVO der für die Verarbeitung Verantwortliche die Beweislast dafür trägt, dass die personenbezogenen Daten nach dem Standard dieser Verordnung verarbeitet werden, und dass es nach Art. 13 Abs. 1 Buchst. c der DSGVO Aufgabe des für die Verarbeitung Verantwortlichen ist, die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung anzugeben.

Zur dritten Frage

53. Erstens ist die Verarbeitung personenbezogener Daten nach Art. 6 Abs. 1 Buchst. b DSGVO rechtmäßig, soweit sie für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, erforderlich ist(73).

54. In diesem Zusammenhang weise ich darauf hin, dass der Begriff „Erforderlichkeit“ im Unionsrecht nicht definiert ist, aber nach der Rechtsprechung gleichwohl einen autonomen Begriff des Unionsrechts darstellt(74). Für die Erforderlichkeit der Verarbeitung für die Erfüllung des Vertrags reicht es nicht aus, dass die Verarbeitung bei der Erfüllung des Vertrags erfolgt oder im Vertrag erwähnt wird(75) oder auch nur für die Erfüllung des Vertrags nützlich ist(76). Nach der Rechtsprechung des Gerichtshofs muss die Verarbeitung für die Erfüllung des Vertrags in dem Sinne objektiv notwendig sein, dass es keine realistischen und weniger einschneidenden Lösungen geben darf(77), wobei auch die angemessene Sicht der betroffenen Person zu berücksichtigen ist(78). Dies bedeutet auch, dass im Fall eines Vertrags, der mehrere eigenständige Dienstleistungen oder Elemente eines Dienstes umfasst, die unabhängig voneinander erbracht werden können, die Anwendbarkeit von Art. 6 Abs. 1 Buchst. b DSGVO für jeden dieser Dienste gesondert zu beurteilen ist(79).

55. Im Rahmen dieses Rechtfertigungsgrundes erwähnt das vorlegende Gericht die Personalisierung der Inhalte sowie die durchgängige und nahtlose Nutzung der konzerneigenen Produkte (bzw. eher Dienste).

56. Was die Personalisierung der Inhalte betrifft, kann eine solche Tätigkeit meines Erachtens zwar in gewissem Maße im Interesse des Nutzers liegen, weil sie es ermöglicht, insbesondere im „Newsfeed“ Inhalte zu präsentieren, die anhand einer automatisierten Bewertung den Interessen des Nutzers entsprechen; es ist jedoch nicht offenkundig dass sie für die Erbringung des Dienstes des betreffenden sozialen Netzwerks auch erforderlich ist mit der Folge, dass für die Verarbeitung der personenbezogenen Daten zu diesen Zwecken keine Einwilligung dieses Nutzers erforderlich wäre(80). Für die Zwecke dieser Prüfung sollte auch berücksichtigt werden, dass die streitige Praxis in der Verarbeitung von Daten besteht, die sich nicht auf das Verhalten des Nutzers innerhalb der Facebook-Seite oder -App beziehen, sondern auf Daten, die aus externen Quellen stammen und somit potenziell unbegrenzt sind. Ich frage mich daher, inwieweit diese Verarbeitung den Erwartungen eines durchschnittlichen Nutzers entsprechen könnte und, allgemeiner, welchen „Grad der Personalisierung“ dieser Nutzer von dem Dienst, bei dem er sich registriert, erwarten kann(81).

57. Was die durchgängige und nahtlose Nutzung der konzerneigenen Dienstleistungen betrifft, weise ich darauf hin, dass eine Verbindung zwischen den verschiedenen von der Beschwerdeführerin des Ausgangsverfahrens angebotenen Dienstleistungen, z. B. zwischen Facebook und Instagram, für den Nutzer durchaus nützlich oder manchmal sogar von ihm erwünscht sein kann. Ich bezweifle jedoch, dass eine Verarbeitung personenbezogener Daten aus anderen konzerneigenen Diensten (insbesondere Instagram) für die Erbringung der Dienste von Facebook erforderlich ist(82).

58. Zweitens ist die Verarbeitung personenbezogener Daten nach Art. 6 Abs. 1 Buchst. f DSGVO nur rechtmäßig, soweit sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

59. Nach der Rechtsprechung des Gerichtshofs sieht diese Bestimmung drei kumulative Voraussetzungen vor, unter denen eine Verarbeitung personenbezogener Daten rechtmäßig ist, nämlich als Erstes die Wahrnehmung eines berechtigten Interesses durch den für die Verarbeitung Verantwortlichen oder durch den oder die Dritten, denen die Daten übermittelt werden, als Zweites die Erforderlichkeit der Verarbeitung der personenbezogenen Daten zur Verwirklichung des berechtigten Interesses und als Drittes, dass die Grundrechte und Grundfreiheiten der betroffenen Person in Bezug auf den Datenschutz nicht überwiegen(83).

60. Was zunächst die Wahrnehmung eines berechtigten Interesses betrifft, weise ich darauf hin, dass die DSGVO und die Rechtsprechung ein breites Spektrum von Interessen anerkennen, die als berechtigt gelten(84), wobei ich darauf hinweise, dass es gemäß Art. 13 Abs. 1 Buchst. d DSGVO dem für die Verarbeitung Verantwortlichen obliegt, die im Rahmen von Art. 6 Abs. 1 Buchst. f dieser Verordnung verfolgten berechtigten Interessen anzugeben(85).

61. Was sodann die Voraussetzung der Erforderlichkeit der Verarbeitung der personenbezogenen Daten für die Verwirklichung des wahrgenommenen berechtigten Interesses betrifft, müssen sich nach der Rechtsprechung des Gerichtshofs Ausnahmen und Einschränkungen in Bezug auf den Schutz der personenbezogenen Daten auf das absolut Notwendige beschränken(86). Daher muss eine enge Verbindung zwischen der Verarbeitung und dem wahrgenommenen Interesse bestehen, wenn es keine den Schutz personenbezogener Daten weniger beeinträchtigenden Alternativen gibt, weil es nicht ausreicht, dass die Verarbeitung für den für die Verarbeitung Verantwortlichen lediglich von Nutzen ist.

62. Soweit es schließlich um die Abwägung zum einen der Interessen des für die Verarbeitung Verantwortlichen gegen zum anderen die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person geht, ist es nach der Rechtsprechung des Gerichtshofs Sache des vorlegenden Gerichts, eine Abwägung zwischen den betroffenen Interessen vorzunehmen(87). Darüber hinaus ist es, wie im 47. Erwägungsgrund der DSGVO dargelegt, im Rahmen dieser Abwägung unerlässlich, die vernünftigen Erwartungen der betroffenen Personen zu berücksichtigen, die auf ihrer Beziehung zu dem für die Verarbeitung Verantwortlichen beruhen, und zu prüfen, ob die betroffene Person zum Zeitpunkt der Erhebung der personenbezogenen Daten und angesichts der Umstände, unter denen sie erfolgt, vernünftigerweise absehen kann, dass die Daten einer Verarbeitung zu einem bestimmten Zweck unterzogen werden.

63. Im Rahmen dieses Rechtfertigungsgrundes erwähnt das vorlegende Gericht die Personalisierung der Werbung, die Netzwerksicherheit und die Produktverbesserung.

64. Was zunächst die Personalisierung der Werbung betrifft, geht aus dem 47. Erwägungsgrund der DSGVO hervor, dass die Verarbeitung personenbezogener Daten zum Zweck der Direktwerbung (direct marketing) als eine einem berechtigten Interesse dienende Verarbeitung betrachtet werden kann. Zur Erforderlichkeit der Verarbeitung ist jedoch festzustellen, dass die in Rede stehenden Daten von außerhalb von Facebook liegenden Quellen stammen und sich daher die Frage stellt, welcher „Grad der Personalisierung“ der Werbung in dieser Hinsicht objektiv erforderlich ist. Was die Abwägung der betroffenen Interessen angeht, sollten meiner Meinung nach die Art des in Rede stehenden berechtigten Interesses (im vorliegenden Fall ein rein wirtschaftliches Interesse) sowie die Auswirkungen der Verarbeitung auf den Nutzer berücksichtigt werden, einschließlich seiner vernünftigen Erwartungen und etwaiger Schutzmaßnahmen, die der für die Verarbeitung Verantwortliche ergriffen hat(88).

65. Ähnliche Erwägungen können im Anschluss daran zur Netzsicherheit angestellt werden. Auch wenn ein solcher Rechtfertigungsgrund ein berechtigtes Interesse des für die Verarbeitung Verantwortlichen darstellen kann(89), liegt die Schlussfolgerung, dass die Verarbeitung im vorliegenden Fall erforderlich ist, weniger nahe, auch unter Berücksichtigung der Tatsache, dass die in Rede stehenden Daten aus Quellen außerhalb von Facebook stammen(90). Jedenfalls weise ich darauf hin, dass es dem für die Verarbeitung Verantwortlichen obliegt, die Sicherheitszwecke anzugeben, auf die sich jede Verarbeitung möglicherweise stützt.

66. Was schließlich die Produktverbesserung betrifft, dürfte eine solche Rechtfertigung – sofern man die unter die oben geprüfte spezifische Rechtfertigung fallenden sicherheitsbezogenen Verbesserungen ausnimmt – meines Erachtens eher im Interesse des Nutzers als im Interesse des für die Datenverarbeitung Verantwortlichen liegen. Aus dieser Perspektive ist schwer nachvollziehbar, inwiefern sie ein berechtigtes Interesse des Verantwortlichen darstellen und die Einwilligung des Nutzers entbehrlich machen könnte. Hinsichtlich der Voraussetzung der Erforderlichkeit und der Abwägung der betroffenen Rechte und Interessen verweise ich auf die vorstehenden Erwägungen.

Zur vierten und zur fünften Vorlagefrage

67. Mit seiner vierten Vorlagefrage, die im Wesentlichen eine Erweiterung des zweiten Teils der dritten Vorlagefrage darstellt, möchte das vorlegende Gericht wissen, ob das wiederholte Auftreten bestimmter angeführter Situationen ein berechtigtes Interesse im Sinne von Art. 6 Abs. 1 Buchst. f DSGVO begründet, während es mit seiner fünften Vorlagefrage wissen möchte, ob die Erforderlichkeit, einem rechtsgültigen Ersuchen um Bereitstellung bestimmter Daten nachzukommen, schädliches Verhalten zu bekämpfen und die Sicherheit zu fördern oder zur Forschung zum Wohl der Gesellschaft beizutragen und Schutz, Integrität und Sicherheit zu fördern, Rechtfertigungsgründe darstellen, die auf die streitige Praxis anwendbar sind(91).

68. Unabhängig von der Zulässigkeit dieser Fragen(92) bin ich in Bezug auf die vierte Vorlagefrage allgemein der Auffassung, dass nicht ausgeschlossen werden kann, dass bestimmte Klauseln, die die streitige Praxis kennzeichnen, unter den vom vorlegenden Gericht genannten Umständen durch berechtigte Interessen gerechtfertigt sein können(93), und in Bezug auf die fünfte Vorlagefrage, dass die streitige Praxis in bestimmten Situationen auf der Grundlage der genannten Bestimmungen gerechtfertigt sein kann.

69. Aus dem Vorlagebeschluss geht jedoch nicht hervor, ob und in welchem Umfang Meta Platforms Ireland für jeden Verarbeitungszweck und für jede Typologie verarbeiteter Daten die konkret verfolgten berechtigten Interessen oder andere möglicherweise im vorliegenden Fall relevante Rechtfertigungsgründe angegeben hat(94). Es ist daher Sache des vorlegenden Gerichts, unter Berücksichtigung der vorstehenden Hinweise zu prüfen, inwieweit die streitige Praxis unter den von diesem Gericht angeführten Umständen durch das Vorliegen berechtigter Interessen von Meta Platforms Ireland an der Verarbeitung der Daten im Sinne von Art. 6 Abs. 1 Buchst. f DSGVO oder durch eine andere der in Art. 6 Abs. 1 Buchst. c, d und e DSGVO genannten Bedingungen gerechtfertigt ist.

Zur Antwort auf die dritte, die vierte und die fünfte Vorlagefrage

70. Im Ergebnis schlage ich vor, auf die dritte, die vierte und die fünfte Vorlagefrage zu antworten, dass Art. 6 Abs. 1 Buchst. b, c, d, e und f DSGVO dahin auszulegen ist, dass die streitige Praxis oder bestimmte Tätigkeiten, aus denen sie sich zusammensetzt, unter die in diesen Bestimmungen vorgesehenen Ausnahmen fallen können, sofern jede geprüfte Datenverarbeitungsmodalität die Bedingungen erfüllt, die der vom für die Verarbeitung Verantwortlichen konkret angeführte Rechtfertigungsgrund vorsieht, und somit

– die Verarbeitung für die Erbringung der Dienstleistungen in Bezug auf das Facebook-Konto objektiv erforderlich ist;

– die Verarbeitung zur Verwirklichung eines berechtigten Interesses erforderlich ist, das von dem für die Verarbeitung Verantwortlichen oder von dem bzw. den Dritten, denen die Daten übermittelt werden, geltend gemacht wurde, und die Grundrechte und Grundfreiheiten der betroffenen Person nicht unverhältnismäßig beeinträchtigt;

– die Verarbeitung erforderlich ist, um einem rechtsgültigen Ersuchen um Bereitstellung bestimmter Daten nachzukommen, schädliches Verhalten zu bekämpfen und die Sicherheit zu fördern oder zur Forschung zum Wohl der Gesellschaft beizutragen und Schutz, Integrität und Sicherheit zu fördern.

Zur sechsten Vorlagefrage

71. Mit seiner sechsten Vorlagefrage möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 6 Abs. 1 Buchst. a und Art. 9 Abs. 2 Buchst. a DSGVO dahin auszulegen sind, dass eine wirksame und freiwillige Einwilligung im Sinne von Art. 4 Nr. 11 dieser Verordnung gegenüber einem Unternehmen mit beherrschender Stellung auf dem nationalen Markt für soziale Online-Netzwerke für private Nutzer erklärt werden kann.

72. Vorab weise ich darauf hin, dass Art. 6 Abs. 1 Buchst. a und Art. 9 Abs. 2 Buchst. a DSGVO das Erfordernis einer Einwilligung der betroffenen Person in die Verarbeitung personenbezogener Daten im Allgemeinen bzw. in die Verarbeitung sensibler personenbezogener Daten vorsehen. Außerdem bezeichnet der Ausdruck „Einwilligung“ der betroffenen Person nach Art. 4 Nr. 11 der DSGVO jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der diese Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist(95).

73. Was insbesondere die Bedingung der „Freiwilligkeit“ der Einwilligung betrifft, die im vorliegenden Fall als einzige in Frage gestellt wird, weise ich darauf hin, dass nach dem 42. Erwägungsgrund der DSGVO nicht davon ausgegangen werden sollte, dass die betroffene Person ihre Einwilligung freiwillig gegeben hat, wenn sie keine echte oder freie Wahl hatte(96) oder nicht in der Lage war, die Einwilligung zu verweigern oder zurückzuziehen, ohne Nachteile zu erleiden(97). Darüber hinaus sollte der Verantwortliche, wenn die Verarbeitung mit Einwilligung der betroffenen Person erfolgt, wie in Art. 7 Abs. 1 DSGVO vorgesehen (und in ihrem 42. Erwägungsgrund dargelegt), nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat.

74. Soweit für den vorliegenden Fall relevant, weise ich erstens darauf hin, dass die Einwilligung, wie im 43. Erwägungsgrund Satz 1 der DSGVO ausgeführt wird, keine gültige Rechtsgrundlage für die Verarbeitung personenbezogener Daten darstellt, wenn zwischen der betroffenen Person und dem Verantwortlichen ein „klares Ungleichgewicht“ besteht(98), zweitens, dass nach Art. 7 Abs. 4 DSGVO bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, dem Umstand in größtmöglichem Umfang Rechnung getragen werden muss, ob u. a. die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von einer Einwilligung in die Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich ist(99), und drittens, dass die Einwilligung nach dem 43. Erwägungsgrund Satz 2 der DSGVO nicht als freiwillig erteilt gilt, wenn zu verschiedenen Verarbeitungsvorgängen von personenbezogenen Daten nicht gesondert eine Einwilligung erteilt werden kann, obwohl dies im Einzelfall angebracht ist(100).

75. Im vorliegenden Fall bin ich der Auffassung, dass eine etwaige marktbeherrschende Stellung des für die Verarbeitung personenbezogener Daten Verantwortlichen, der ein soziales Netzwerk betreibt, eine Rolle bei der Beurteilung der Frage spielt, ob eine freiwillige Einwilligung des Nutzers dieses Netzwerks vorliegt. Die Existenz einer Marktmacht des für die Verarbeitung personenbezogener Daten Verantwortlichen kann nämlich zu einem offensichtlichen Ungleichgewicht der Machtverhältnisse in dem in Nr. 74 der vorliegenden Schlussanträge beschriebenen Sinne führen(101). Es ist jedoch klarzustellen, dass zum einen solche Marktmacht, um für die Anwendung der DSGVO relevant zu sein, nicht notwendigerweise die Schwelle einer beherrschenden Stellung im Sinne von Art. 102 AEUV zu erreichen braucht(102), und zum anderen, dass dieser Umstand allein einer Einwilligung nicht grundsätzlich jede Gültigkeit entziehen kann(103).

76. Daher muss die Wirksamkeit einer Einwilligung von Fall zu Fall im Licht der anderen in den Nrn. 73 und 74 der vorliegenden Schlussanträge genannten Faktoren und unter Berücksichtigung aller Umstände des Einzelfalls sowie des Umstands geprüft werden, dass der für die Verarbeitung Verantwortliche die Beweislast dafür trägt, dass die betroffene Person in die Verarbeitung personenbezogener Daten eingewilligt hat.

77. Im Ergebnis schlage ich vor, auf die sechste Vorlagefrage zu antworten, dass Art. 6 Abs. 1 Buchst. a und Art. 9 Abs. 2 Buchst. a DSGVO dahin auszulegen sind, dass der bloße Umstand, dass ein Unternehmen, das ein soziales Netzwerk betreibt, auf dem nationalen Markt für soziale Netzwerke für private Nutzer eine beherrschende Stellung innehat, der Einwilligung des Nutzers dieses Netzwerks in die Verarbeitung seiner personenbezogenen Daten nicht ihre Wirksamkeit im Sinne von Art. 4 Nr. 11 DSGVO nehmen kann. Ein solcher Umstand spielt jedoch eine Rolle bei der Beurteilung der Freiwilligkeit der Einwilligung im Sinne dieser Bestimmung, die der für die Verarbeitung Verantwortliche nachzuweisen hat, wobei gegebenenfalls ein offensichtliches Ungleichgewicht der Machtverhältnisse zwischen der betroffenen Person und dem für die Verarbeitung Verantwortlichen, die etwaige Verpflichtung, in die Verarbeitung anderer als der für die Erbringung der betreffenden Dienste unbedingt erforderlichen personenbezogenen Daten einzuwilligen, das Erfordernis, dass die Einwilligung für jeden Verarbeitungszweck spezifisch sein muss, und das Erfordernis, zu verhindern, dass der Widerruf der Einwilligung zu einem Schaden für den Nutzer führt, der seine Einwilligung widerruft, zu berücksichtigen sind.

Ergebnis

78. In Anbetracht der vorstehenden Erwägungen schlage ich dem Gerichtshof vor, auf die vom Oberlandesgericht Düsseldorf (Deutschland) zur Vorabentscheidung vorgelegten Fragen wie folgt zu antworten:

1. Die Art. 51 bis 66 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz- Grundverordnung)

sind dahin auszulegen, dass

eine Wettbewerbsbehörde im Rahmen ihrer Befugnisse im Sinne der Wettbewerbsregeln inzident prüfen kann, ob die untersuchten Praktiken mit den Regelungen dieser Verordnung vereinbar sind, wobei sie alle Entscheidungen oder Untersuchungen der nach dieser Verordnung zuständigen Aufsichtsbehörde zu berücksichtigen, die nationale Aufsichtsbehörde zu informieren und sich gegebenenfalls mit dieser abzustimmen hat.

2. Art. 9 Abs. 1 der Verordnung 2016/679

ist dahin auszulegen, dass

das Verbot der Verarbeitung sensibler personenbezogener Daten die Datenverarbeitung durch den Betreiber eines sozialen Online-Netzwerks umfassen kann, die darin besteht, Daten eines Nutzers zu erheben, wenn dieser andere Websites oder Apps aufruft oder diese Daten dort eingibt, diese Daten mit dem Nutzerkonto des sozialen Netzwerks zu verknüpfen und sie zu verwenden, sofern die verarbeiteten Informationen, einzeln oder aggregiert betrachtet, die Erstellung eines Profils des Nutzers im Hinblick auf die Kategorien ermöglichen, die sich aus der in dieser Bestimmung enthaltenen Aufzählung sensibler personenbezogener Daten ergeben.

Art. 9 Abs. 2 Buchst. e dieser Verordnung ist dahin auszulegen, dass

ein Nutzer die Daten, die er beim Aufruf von Internetseiten und Apps hinterlässt oder in diese Internetseiten oder Apps eingibt oder die sich aus der Betätigung von in diese eingebundenen Schaltflächen ergeben, nicht offensichtlich öffentlich macht.

3. Art. 6 Abs. 1 Buchst. b, c, d, e und f der Verordnung 2016/679

ist dahin auszulegen, dass

die Praxis, die darin besteht, erstens Daten aus anderen konzerneigenen Diensten sowie aus Websites und Apps Dritter über in diese eingebundene Schnittstellen oder auf dem Computer oder mobilen Endgerät des Nutzers gespeicherte Cookies zu erfassen, zweitens diese Daten mit dem Facebook-Konto des betreffenden Nutzers zu verknüpfen und drittens diese Daten zu verwerten, oder bestimmte Tätigkeiten, aus denen sich diese Praxis zusammensetzt, unter die in diesen Bestimmungen vorgesehenen Ausnahmen fallen können, sofern jede geprüfte Datenverarbeitungsmodalität die Bedingungen erfüllt, die der vom für die Verarbeitung Verantwortlichen konkret angeführte Rechtfertigungsgrund vorsieht, und somit

– die Verarbeitung für die Erbringung der Dienstleistungen in Bezug auf das Facebook-Konto objektiv erforderlich ist;

4. Art. 6 Abs. 1 Buchst. a und Art. 9 Abs. 2 Buchst. a der Verordnung Nr. 2016/679

sind dahin auszulegen, dass

dass der bloße Umstand, dass ein Unternehmen, das ein soziales Netzwerk betreibt, auf dem nationalen Markt für soziale Netzwerke für private Nutzer eine beherrschende Stellung innehat, der Einwilligung des Nutzers dieses Netzwerks in die Verarbeitung seiner personenbezogenen Daten nicht ihre Wirksamkeit im Sinne von Art. 4 Nr. 11 DSGVO nehmen kann. Ein solcher Umstand spielt jedoch eine Rolle bei der Beurteilung der Freiwilligkeit der Einwilligung im Sinne dieser Bestimmung, die der für die Verarbeitung Verantwortliche nachzuweisen hat, wobei gegebenenfalls ein offensichtliches Ungleichgewicht der Machtverhältnisse zwischen der betroffenen Person und dem für die Verarbeitung Verantwortlichen, die etwaige Verpflichtung, in die Verarbeitung anderer als der für die Erbringung der betreffenden Dienste unbedingt erforderlichen personenbezogenen Daten einzuwilligen, das Erfordernis, dass die Einwilligung für jeden Verarbeitungszweck spezifisch sein muss, und das Erfordernis, zu verhindern, dass der Widerruf der Einwilligung zu einem Schaden für den Nutzer führt, der seine Einwilligung widerruft, zu berücksichtigen sind.

1 Originalsprache: Französisch.

2 Nämlich Meta Platforms Inc., vormals Facebook Inc., Meta Platforms Ireland Limited, vormals Facebook Ireland Ltd., und Facebook Deutschland GmbH (im Folgenden zusammen: Meta Platforms oder die Beschwerdeführerin des Ausgangsverfahrens).

3 Beschluss B6-22/16 vom 6. Februar 2019 (im Folgenden: streitiger Beschluss).

4 Verordnung des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. 2016, L 119, S. 1 und Berichtigungen ABl. 2016, L 314, S. 72 sowie ABl. 2018, L 127, S. 2, im Folgenden: DSGVO).

5 In der bis zum 18. Januar 2021 geltenden Fassung.

6 Zu diesem Zweck erhebt Meta Platforms neben den Daten, die die Nutzer bei der Registrierung für die betreffenden Online-Dienste direkt angeben, weitere nutzer- und gerätebezogene Daten innerhalb und außerhalb des sozialen Netzwerks und der vom Konzern bereitgestellten Online-Dienste und verknüpft diese Daten mit den verschiedenen Konten der betroffenen Nutzer. In ihrer Gesamtheit lassen diese Daten detaillierte Rückschlüsse auf die Präferenzen und Interessen der Nutzer zu.

7 Was insbesondere die Verarbeitung personenbezogener Daten betrifft, verweisen die Nutzungsbedingungen auf die von Meta Platforms festgelegten Richtlinien für die Nutzung von Daten und Cookies. Mit Hilfe dieser Cookies erhebt Meta Platforms Daten über ihre Nutzer und deren Geräte, die sich auf ihre Aktivitäten innerhalb und außerhalb des sozialen Netzwerks beziehen, und ordnet diese Daten ihren Facebook-Konten zu. Die Aktivitäten, die außerhalb des sozialen Netzwerks stattfinden, bestehen zum einen im Aufruf von Internetseiten und Apps Dritter, die über Programmschnittstellen (d. h. die „Facebook Business Tools“) mit Facebook verbunden sind, und zum anderen in der Nutzung der weiteren zum Konzern Meta Platforms gehörenden Online-Dienste, darunter Instagram und WhatsApp.

8 Nach Ansicht des Bundeskartellamts verstieß diese Verarbeitung als Ausfluss von Marktmacht gegen die Bestimmungen der DSGVO und war nach Art. 6 Abs. 1 und Art. 9 Abs. 2 DSGVO nicht gerechtfertigt.

9 Außerdem führte Meta Platforms auf Initiative der Europäischen Kommission und nationaler Verbraucherschutzverbände der Mitgliedstaaten am 31. Juli 2019 neue Nutzungsbedingungen ein, die ausdrücklich darauf hinweisen, dass der Nutzer anstatt einer Zahlung für die Nutzung der Facebook-Produkte sich mit der Anzeige von Werbung einverstanden erklärt. Darüber hinaus bietet Meta Platforms seit dem 28. Januar 2020 weltweit die als „Aktivitäten außerhalb von Facebook“ („Off-Facebook-Activity“) bezeichnete Funktion an, die es Facebook-Nutzern ermöglicht, sich eine Zusammenfassung der sie betreffenden Informationen anzeigen zu lassen, die im Zusammenhang mit ihren Aktivitäten auf anderen Internetseiten und Apps erfasst wurden, und diese Daten auf Wunsch von ihrem Facebook-Konto zu trennen, und zwar sowohl für die Vergangenheit als auch für die Zukunft.

10 Meines Erachtens dürfte die in der ersten Vorlagefrage enthaltene Wendung „einen Verstoß … gegen die DSGVO feststellt und eine Verfügung zur Abstellung dieses Verstoßes erlässt“ in diesem Sinne zu verstehen sein.

11 Da die DSGVO eine vollständige Harmonisierung des Datenschutzrechts vorsieht, deren zentrales Element ein harmonisierter Durchsetzungsmechanismus ist, der auf dem in den Art. 51 bis 67 dieser Verordnung vorgesehenen Grundsatz der „Zusammenarbeit und Kohärenz“ beruht, erscheint es mir jedenfalls offensichtlich, dass eine andere Behörde als die Aufsichtsbehörden im Sinne dieser Verordnung (wie eine Wettbewerbsbehörde) weder befugt ist, unmittelbar einen Verstoß gegen diese Verordnung festzustellen, noch die dafür vorgesehenen Sanktionen zu verhängen.

12 In Anbetracht der Tatsache, dass eine Wettbewerbsbehörde weder befugt ist, unmittelbar einen Verstoß gegen die DSGVO festzustellen, noch die dafür vorgesehenen Sanktionen zu verhängen, bin ich jedenfalls der Auffassung, dass eine etwaige dahingehende Entscheidung einer Wettbewerbsbehörde nicht in die Zuständigkeiten der Aufsichtsbehörden im Sinne dieser Verordnung eingreifen kann.

13 Meines Erachtens ist die Formulierung „Kann [sie] etwa im Rahmen der Interessenabwägung Feststellungen dazu treffen, ob die Datenverarbeitungsbedingungen dieses Unternehmens und ihre Durchführung der DSGVO entsprechen“ in der siebten Vorlagefrage in diesem Sinne zu verstehen.

14 Siehe Fn. 11 der vorliegenden Schlussanträge.

15 Verordnung des Rates vom 16. Dezember 2002 zur Durchführung der in den Artikeln [101 und 102 AEUV] niedergelegten Wettbewerbsregeln (ABl. 2003, L 1, S. 1).

16 Wie § 19 GWB, auf den sich der streitige Beschluss stützt.

17 Vgl. beispielsweise Urteil vom 6. September 2017, Intel/Kommission (C‑413/14 P, EU:C:2017:632, Rn. 136 und die dort angeführte Rechtsprechung). Darüber hinaus hat der Gerichtshof klargestellt, dass der Anwendungsbereich von Art. 102 AEUV sehr weit ist und nicht durch einen vom Unionsgesetzgeber gesetzten Rechtsrahmen – im entschiedenen Fall durch den Rechtsrahmen für die elektronische Kommunikation – beschränkt werden kann (vgl. in diesem Sinne Urteil vom 10. Juli 2014, Telefónica und Telefónica de España/Kommission, C‑295/12 P, EU:C:2014:2062, Rn. 128).

18 Im Licht der unterschiedlichen Ziele der beiden Normenkategorien liegt es nämlich auf der Hand, dass ein die Datenverarbeitung betreffendes Verhalten auch dann einen Verstoß gegen das Wettbewerbsrecht darstellen kann, wenn es mit der DSGVO vereinbar ist, und dass umgekehrt ein im Sinne der DSGVO rechtswidriges Verhalten nicht zwangsläufig darauf schließen lässt, dass es gegen das Wettbewerbsrecht verstößt. In diesem Zusammenhang hat der Gerichtshof klargestellt, dass die Vereinbarkeit eines Verhaltens mit einer spezifischen Rechtsvorschrift die Anwendbarkeit der Art. 101 und 102 AEUV auf dasselbe Verhalten nicht ausschließt (vgl. u. a. Urteil vom 6. Dezember 2012, AstraZeneca/Kommission [C‑457/10 P, EU:C:2012:770, Rn. 132], in dem der Gerichtshof ebenfalls darauf hingewiesen hat, dass Missbräuche einer beherrschenden Stellung meist in Verhaltensweisen bestehen, die – in anderen Rechtsgebieten als dem Wettbewerbsrecht – sonst rechtmäßig sind). Wenn nämlich nur Verhaltensweisen, die sowohl objektiv wettbewerbsbeschränkend als auch rechtlich nicht zulässig sind, als missbräuchlich im Sinne von Art. 102 AEUV anzusehen wären, würde dies bedeuteten, dass ein Verhalten allein wegen seiner Rechtmäßigkeit nicht nach Art. 102 AEUV geahndet werden könnte, selbst wenn es potenziell wettbewerbsschädigend wäre, was das Ziel dieser Bestimmung, ein System zu errichten, das den Wettbewerb innerhalb des Binnenmarkts vor Verfälschungen schützt, gefährden würde (vgl. in diesem Sinne meine Schlussanträge in der Rechtssache Servizio Elettrico Nazionale u. a., C‑377/20, EU:C:2021:998, Nr. 37). Nach der Rechtsprechung des Gerichtshofs sind die Art. 101 und 102 AEUV nur dann nicht anwendbar, wenn den Unternehmen ein wettbewerbswidriges Verhalten durch nationale Rechtsvorschriften vorgeschrieben wird oder diese einen rechtlichen Rahmen bilden, der selbst jede Möglichkeit für ein Wettbewerbsverhalten ihrerseits ausschließt. Dagegen sind diese Vorschriften anwendbar, wenn sich herausstellt, dass die nationalen Rechtsvorschriften die Möglichkeit eines Wettbewerbs bestehen lassen, der durch selbständige Verhaltensweisen der Unternehmen verhindert, eingeschränkt oder verfälscht werden kann (vgl. in diesem Sinne Urteil vom 14. Oktober 2010, Deutsche Telekom/Kommission, C‑280/08 P, EU:C:2010:603, Rn. 80 und die dort angeführte Rechtsprechung).

19 Eine Auslegung, nach der es den Wettbewerbsbehörden untersagt wäre, bei der Ausübung ihrer Befugnisse die Bestimmungen der DSGVO auszulegen, wäre nämlich geeignet, die wirksame Anwendung des Wettbewerbsrechts der Union in Frage zu stellen.

20 Außerdem schließt der inzidente Charakter der Auslegung der DSGVO durch die Wettbewerbsbehörde nicht aus, dass diese Auslegung einer gerichtlichen Überprüfung vor den nationalen Wettbewerbsgerichten unterliegt, die sich im Fall von Auslegungsschwierigkeiten veranlasst sehen könnten, dem Gerichtshof ein Vorabentscheidungsersuchen vorzulegen, wie dies im vorliegenden Fall in Bezug auf die zweite bis sechste Vorlagefrage geschehen ist.

21 Die Auslegung der DSGVO durch die Wettbewerbsbehörde allein für die Zwecke der Anwendung der Normen (und möglicherweise der Verhängung von Sanktionen), die das Wettbewerbsrecht vorsieht, kann den Aufsichtsbehörden nämlich nicht ihre Zuständigkeiten und Befugnisse im Rahmen dieser Verordnung nehmen. Außerdem wirft die Möglichkeit einer inzidenten Auslegung dieser Verordnung durch die Wettbewerbsbehörde weder Schwierigkeiten bei ihrer Anwendung, die den Aufsichtsbehörden vorbehalten ist, noch bei der Anordnung von Abhilfemaßnahmen oder der Verhängung von Sanktionen auf, weil die von einer Wettbewerbsbehörde möglicherweise angeordneten Maßnahmen oder verhängten Sanktionen auf anderen Regeln, Zielsetzungen und berechtigten Interessen beruhen als denen, die durch die DSGV geschützt werden (aus diesem Grund fällt im Übrigen in einem solchen Fall die Verhängung von Sanktionen durch die Wettbewerbsbehörde und durch die Aufsichtsbehörde im Sinne der DSGVO meines Erachtens nicht unter den Grundsatz ne bis in idem [vgl. entsprechend Urteil vom 22. März 2022, bpost, C‑117/20, EU:C:2022:202, Rn. 42 bis 50]).

22 Darüber hinaus ist die Gefahr voneinander abweichender Auslegungen jedem Bereich inhärent, der durch sektorspezifische Vorschriften geregelt wird, die die Wettbewerbsbehörde bei der Beurteilung der wettbewerbsrechtlichen Zulässigkeit eines bestimmten Verhaltens berücksichtigen muss oder kann.

23 Die Kapitel VI und VII der DSGVO führen u. a. Verfahren der „Zusammenarbeit und Kohärenz“ für den Informationsaustausch und die Amtshilfe zwischen den Aufsichtsbehörden ein.

24 Vgl. Verordnung Nr. 1/2003 sowie Richtlinie (EU) 2019/1 des Europäischen Parlaments und des Rates vom 11. Dezember 2018 zur Stärkung der Wettbewerbsbehörden der Mitgliedstaaten im Hinblick auf eine wirksamere Durchsetzung der Wettbewerbsvorschriften und zur Gewährleistung des reibungslosen Funktionierens des Binnenmarkts (ABl. 2019, L 11, S. 3).

25 Vgl. in diesem Sinne u. a. Urteile vom 14. November 1989, Italien/Kommission (14/88, EU:C:1989:421, Rn. 20), und vom 11. Juni 1991, Athanasopoulos u. a. (C‑251/89, EU:C:1991:242, Rn. 57).

26 Außerdem kann der durch die DSGVO eingeführte Mechanismus der Zusammenarbeit zwischen den Aufsichtsbehörden seinerseits als lex specialis betrachtet werden, die den in Art. 4 Abs. 3 EUV niedergelegten allgemeinen Grundsatz der loyalen Zusammenarbeit ergänzt und präzisiert (vgl. in der Lehre u. a. Hijmans, H., „Article 51 Supervisory authority“, The EU General Data Protection Regulation (GDPR): A Commentary, Oxford, 2020, S. 869). Dasselbe gilt für andere Instrumente der Zusammenarbeit, die bereits vor dem in der DSGVO vorgesehenen Instrument bestanden, wie etwa das System der Zusammenarbeit zwischen den Wettbewerbsbehörden (vgl. u. a. Kapitel IV der Verordnung Nr. 1/2003).

27 Vgl. in diesem Sinne Schlussanträge der Generalanwältin Trstenjak in der Rechtssache Gorostiaga Atxalandabaso/Parlament (C‑308/07 P, EU:C:2008:498, Nr. 89).

28 Vgl. u. a. Urteil vom 2. Juni 2022, Skeyes (C‑353/20, EU:C:2022:423, Rn. 52 und die dort angeführte Rechtsprechung). Meines Erachtens können Anhaltspunkte für das weitere Vorgehen gegebenenfalls aus dem durch die DSGVO sowie dem auf dem Gebiet des Wettbewerbs eingeführten System der Zusammenarbeit abgeleitet werden, wobei klarzustellen ist, dass die Sorgfaltspflicht der Wettbewerbsbehörde in Ermangelung von Sonderbestimmungen nicht so weit geht, ihr detaillierte Verpflichtungen aufzuerlegen, wie sie u. a. im Rahmen des in Kapitel VII der DSGVO geregelten Verfahrens der Zusammenarbeit und der Kohärenz vorgesehen sind (so kann beispielsweise nicht erwartet werden, dass die Wettbewerbsbehörde der zuständigen Aufsichtsbehörde im Sinne dieser Verordnung einen Entscheidungsentwurf übermittelt, um deren Stellungnahme einzuholen).

29 Vgl. entsprechend in Bezug auf einen vom Arzneimittelrecht der Union erfassten Bereich u. a. Urteil vom 23. Januar 2018, F. Hoffmann-La Roche u. a. (C‑179/16, EU:C:2018:25, Rn. 58 bis 64).

30 Diese Entscheidung ist mit anderen Worten selbst Teil des rechtlichen und tatsächlichen Rahmens, den die Wettbewerbsbehörde zu prüfen hat, wobei es ihr freisteht, ihre Schlussfolgerungen aus dem Blickwinkel der Anwendung des Wettbewerbsrechts zu ziehen (siehe Fn. 18 der vorliegenden Schlussanträge).

31 In Anbetracht der Rolle und der Funktionen der nationalen Aufsichtsbehörden in dem durch die DSGVO geschaffenen System der Zusammenarbeit bin ich der Auffassung, dass eine Interaktion allein mit der nationalen Aufsichtsbehörde ausreichen kann, um die Sorgfaltspflichten und die Pflicht zur loyalen Zusammenarbeit der Wettbewerbsbehörde zu erfüllen, insbesondere wenn die Wettbewerbsbehörde (unter Berücksichtigung der geltenden Verfahren des nationalen Rechts) nicht über die Möglichkeit oder die Mittel (insbesondere die sprachlichen Mittel) verfügt, um mit der federführenden Aufsichtsbehörde eines anderen Mitgliedstaats in zufriedenstellender Weise zu interagieren.

32 Oder gegebenenfalls, wenn sich diese Behörde in einem anderen Mitgliedstaat befindet, die nationale Aufsichtsbehörde (siehe Fn. 31 der vorliegenden Schlussanträge).

33 Dabei ist darauf hinzuweisen, dass die Auslegung bestimmter Vorschriften der DSGVO, die eine Wettbewerbsbehörde in Ausübung ihrer Befugnisse vornimmt, die Auslegung und Anwendung dieser Vorschriften durch die zuständigen Aufsichtsbehörden im Sinne dieser Verordnung nicht präjudiziert (siehe Fn. 21 der vorliegenden Schlussanträge).

34 Das Bundeskartellamt trägt in diesem Zusammenhang vor, dass es sich auf das deutsche Wettbewerbsrecht gestützt habe, das ihm einen Austausch mit den nationalen Aufsichtsbehörden im Sinne der DSGVO gestatte.

35 Dies gilt umso mehr, wenn die deutsche Bundesaufsichtsbehörde und die federführende irische Aufsichtsbehörde, wie das Bundeskartellamt angibt, diesem bestätigt haben, dass die federführende Aufsichtsbehörde kein Verfahren in Bezug auf die von ihm untersuchten Praktiken eingeleitet hat.

36 Das vorlegende Gericht bezieht sich insbesondere auf den Aufruf von Internetseiten oder Apps (wie Flirting-Apps oder Homosexuellen-Partnerbörsen, Webseiten politischer Parteien und gesundheitsbezogene Webseiten) und die Eingabe von Daten in diese Seiten oder Apps durch den Nutzer, aus denen Daten hervorgehen, die durch die in Rede stehende Bestimmung geschützt sind.

37 Im Folgenden: sensible personenbezogene Daten. Es handelt sich um die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person.

38 Ich weise nebenbei darauf hin, dass das Bundeskartellamt Zweifel hegt, ob diese Frage für die Entscheidung des Rechtsstreits relevant ist, weil es in seinem Beschluss auf eine Einwilligung nach Art. 6 Abs. 1 Buchst. a DSGVO, nicht aber auf eine Einwilligung nach Art. 9 Abs. 2 Buchst. a dieser Verordnung abgestellt habe.

39 Das vorlegende Gericht bezieht sich insoweit auf „soziale Plugins“ wie die Schaltflächen „Gefällt mir“ oder „Teilen“, das „Facebook Login“ (d. h. die Möglichkeit, sich mit Hilfe der mit dem Facebook-Konto verbundenen Anmeldedaten zu identifizieren), und das „Account Kit“ (d. h. die Möglichkeit, sich auf einer App oder Website, die nicht notwendigerweise mit Facebook verbunden ist, mit einer Telefonnummer oder einer E‑Mail-Adresse anzumelden, ohne ein Passwort zu benötigen).

40 Ich weise auch auf eine erhebliche Unstimmigkeit zwischen der französischen Fassung der DSGVO, die sich im ersten Satz dieser Bestimmung auf eine Verarbeitung personenbezogener Daten bezieht, aus der bestimmte sensible Situationen „hervorgehen“, und der deutschen Fassung (sowie u. a. der griechischen und italienischen Fassung) hin, die sich auf eine Verarbeitung personenbezogener Daten bezieht, aus denen diese Situationen „hervorgehen“. Die französische Fassung dieser Bestimmung steht, wenn ich mich nicht irre, im Widerspruch zu den meisten anderen Sprachfassungen. Außerdem erscheint es mir im Kontext dieser Bestimmung logischer, das Verb „hervorgehen“ auf Daten zu beziehen, denn im Folgenden sind es die Daten, die Gegenstand der Analyse sind, und nicht deren Verarbeitung. Dies geht auch aus dem Wortlaut der französischen Fassung des 51. Erwägungsgrundes der DSGVO hervor, in dem es heißt, dass sensible personenbezogene Daten „personenbezogene Daten umfassen [sollten], aus denen die rassische oder ethnische Herkunft hervorgeht“ (Hervorhebung nur hier).

41 Meines Erachtens entspräche es nicht dem Geist des Art. 9 Abs. 1 DSGVO (und dieser Verordnung), der darin besteht, bestimmte sensible Daten der Person zu schützen, wenn beispielsweise zwischen der rassischen oder ethnischen Herkunft einerseits, die ein Verbot der Verarbeitung nicht nur von Daten, die direkt auf sie hinweisen, sondern auch von Daten, aus denen diese Situation hervorgeht, mit sich bringen würde, und genetischen Daten andererseits unterschieden würde, bei denen sich das Verbot der Verarbeitung nicht auf Daten erstrecken würde, aus denen diese Situation lediglich hervorgeht. Dem ist hinzuzufügen, dass die Unterscheidung zwischen Daten, aus denen bestimmte Situationen hervorgehen (z. B. die rassische und ethnische Herkunft), und solchen Daten, die andere Situationen (z. B. die Gesundheit) betreffen [in der französischen Fassung: „concernant“], nicht immer klar zu treffen wäre. In diesem Zusammenhang merke ich an, dass sich [die französische Fassung von] Art. 9 Abs. 1 DSGVO zwar u. a. auf Daten bezieht, die die Gesundheit betreffen [des données concernant la santé], Art. 4 Nr. 15 DSGVO „Gesundheitsdaten“ aber definiert als „personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen“ (Hervorhebung nur hier). Wie die deutsche Regierung zu verstehen gibt, stellt diese Unstimmigkeit im Wortlaut der in Rede stehenden Bestimmung möglicherweise nur einen nicht besonders gelungenen Versuch dar, zwischen reinen Daten mit unmittelbarem Informationsgehalt und „Metadaten“ zu unterscheiden, bei denen sich ein entsprechender Informationsgehalt erst durch eine Bewertung oder Verknüpfung in einem konkreten Kontext ergibt.

42 Grundsätzlich sind diese beiden Aspekte, wie die Beschwerdeführerin des Ausgangsverfahrens geltend macht, unterschiedlich. Die bloße Tatsache, dass ein Nutzer eine Website aufgerufen oder mit ihr interagiert hat, gehört nämlich für sich genommen nicht zwangsläufig zu den Informationen über seine Überzeugungen, seine Gesundheit, seine politischen Meinungen usw., weil aus dem Interesse für eine Website nicht automatisch eine Zustimmung zu den von dieser Website vertretenen Ansichten oder eine Zugehörigkeit zu den darin dargestellten Kategorien hervorgeht. Dies gilt insbesondere für den Aufruf einer Website, die von einer politischen Partei betrieben wird oder eine bestimmte politische Ideologie vertritt, weil dieser Aufruf nicht zwangsläufig bedeutet, dass der Nutzer dieser Ideologie anhängt, sondern auch aus Neugier oder sogar aus einer kritischen Haltung gegenüber dieser Ideologie erfolgt sein kann.

43 Nach Auffassung von Meta Platforms gehen aus der Tatsache, dass ein Nutzer eine Website aufgerufen oder mit ihr interagiert hat, an sich noch keine sensiblen Informationen hervor, denn selbst wenn ein Interesse an einer Website beobachtet oder genutzt würde, sei dies keine Verarbeitung sensibler personenbezogener Daten. Dies wäre nur dann der Fall, wenn die Nutzer anhand dieser Daten kategorisiert würden. Daher fielen die Daten, die Gegenstand der streitigen Praxis seien, nur dann unter den Schutz nach Art. 9 Abs. 1 DSGVO, wenn sie sich auf eine der von diesem Schutz erfassten Kategorien bezögen und subjektiv in Kenntnis der Sachlage und in der Absicht verarbeitet würden, daraus diese Informationskategorien abzuleiten. Nach der meines Erachtens zu starren Auslegung des Bundeskartellamts soll dagegen bereits der bloße Umstand, dass die betroffene Person eine bestimmte Internetseite aufruft oder eine bestimmte App nutzt, deren Hauptgegenstand zu den in Art. 9 Abs. 1 DSGVO aufgeführten Bereichen gehört, in den Schutzbereich dieser Bestimmung fallen. Der Schutz sensibler personenbezogener Daten sei nicht von der Absicht des für die Verarbeitung Verantwortlichen abhängig, diese Daten zu verwenden, weil die Rechte der betroffenen Person bereits dadurch beeinträchtigt würden, dass diese Daten ihrer Einflusssphäre entzogen würden.

44 Wie der Europäische Datenschutzausschuss (EDSA) anerkannt hat, bedeutet nämlich die bloße Tatsache, dass ein Anbieter sozialer Medien große Datenmengen verarbeitet, die potenziell genutzt werden könnten, um Rückschlüsse in Bezug auf besondere Kategorien von Daten zu ziehen, nicht automatisch, dass die Verarbeitung unter Art. 9 DSGVO fällt (vgl. EDSA, Leitlinien 8/2020 vom 13. April 2021 über die gezielte Ansprache von Nutzer:innen sozialer Medien[im Folgenden: EDSA-Leitlinien 8/2020], Abs. 124).

45 Eine solche Auslegung würde meiner Meinung nach die von der Beschwerdeführerin des Ausgangsverfahrens beklagte Situation vermeiden können, in der der für die Verarbeitung Verantwortliche im Wesentlichen standardmäßig gegen die DSGVO verstoßen würde, weil er nicht verhindern könne, möglicherweise (insbesondere durch automatisierte Mittel) Informationen zu erhalten, die einen indirekten Bezug zu den Kategorien sensibler Daten haben, unbeschadet seiner Verpflichtung, gemäß Art. 32 DSGVO geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten.

46 Vgl. in diesem Sinne EDSA Leitlinien 8/2020, Abs. 125.

47 Das vorlegende Gericht nennt in diesem Zusammenhang die Personalisierung des sozialen Netzwerks und der Werbung, die Netzwerksicherheit, die Verbesserung der Dienste, die Bereitstellung von Mess- und Analysediensten für Werbepartner, die Forschung zum Wohle aller, die Antwort auf rechtliche Anfragen, die Einhaltung rechtlicher Verpflichtungen, den Schutz lebenswichtiger Interessen von Nutzern und Dritten sowie Aufgaben, die im öffentlichen Interesse wahrgenommen werden.

48 Vgl. entsprechend – zur Auslegung von Art. 15 Abs. 1 der Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) (ABl. 2002, L 201, S. 37) in der durch die Richtlinie 2009/136/EG des Europäischen Parlaments und des Rates vom 25. November 2009 (ABl. 2009, L 337, S. 11) geänderten Fassung – Urteil vom 21. Dezember 2016, Tele2 Sverige und Watson u. a. (C‑203/15 und C‑698/15, EU:C:2016:970, Rn. 89 und die dort angeführte Rechtsprechung).

49 Vgl. auch S. 10 und 11 der Stellungnahme 6/2014 der Artikel‑29‑Arbeitsgruppe, eines mit Art. 29 der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. 1995, L 281, S. 31) geschaffenen unabhängigen Beratungsorgans, das mit Erlass der DSGVO durch den EDSA ersetzt worden ist.

50 Diese Voraussetzung kommt der der Einwilligung der betroffenen Person meines Erachtens sehr nahe.

51 Ich weise darauf hin, dass nach Art. 5 Abs. 2 DSGVO der für die Verarbeitung Verantwortliche die Beweislast dafür trägt, dass die personenbezogenen Daten gemäß dem Standard der DSGVO verarbeitet werden.

52 Außerdem dürfte einem aufmerksamen Nutzer zwar bewusst sein, dass die Verbindungsdaten für den Betreiber der betreffenden Website oder App zugänglich sind, aber meines Erachtens nach liegt es keineswegs ebenso nahe, dass ihm bewusst ist, dass diese Informationen auch für den Betreiber seines Facebook-Kontos zugänglich sind.

53 Dem Nutzer ist allenfalls seine „Beziehung“ zum Betreiber der Website oder App und zu den Dritten bewusst, an die der Betreiber diese Informationen übermittelt, aber selbst dieses Bewusstsein kann ihm fehlen, weil er unter Umständen den Eindruck haben könnte, Informationen – möglicherweise anonymisiert – an ein schlichtes Gerät weiterzugeben.

54 Es handelt sich um Schaltflächen wie „Gefällt mir“, „Teilen“ usw. (siehe Fn. 39 der vorliegenden Schlussanträge).

55 Beispielsweise bietet Facebook dem Nutzer in ihren Einstellungen mehrere Optionen, um die auf seinem Facebook-Konto verfügbaren Informationen zu teilen.

56 Zwar lässt sich nicht ausschließen, dass der Nutzer durch solche Handlungen in bestimmten Einzelfällen tatsächlich Informationen über sich an eine unbestimmte Anzahl von Personen weitergeben will. Zum Beispiel ist es möglich, dass der Nutzer die Optionen für das Teilen seines Facebook-Kontos so konfiguriert hat, dass Inhalte, die sich in seinem Profil befinden, für alle Nutzer dieses sozialen Netzwerks zugänglich sind, und er sich dessen bewusst ist. Allerdings ist es selbst unter solchen Umständen angesichts des strikten Ausnahmecharakters der in Rede stehenden Bestimmung (siehe Nr. 42 der vorliegenden Schlussanträge) nicht selbstverständlich, dass der Nutzer durch ein solches Verhalten zweifelsfrei die Absicht zum Ausdruck bringen wollte, die betreffenden personenbezogenen Daten offensichtlich öffentlich zu machen (siehe Nr. 42 der vorliegenden Schlussanträge).

57 Vgl. in diesem Sinne Urteil vom 29. Juli 2019, Fashion ID (C‑40/17, EU:C:2019:629, Rn. 87 bis 89).

58 Insbesondere „Cookies“ (vgl. 25. Erwägungsgrund der Richtlinie 2002/58).

59 Darüber hinaus kann diese Einwilligung auch nicht als ausdrückliche Einwilligung in die Verarbeitung dieser Daten im Sinne von Art. 9 Abs. 2 Buchst. a DSGVO angesehen werden. Auch eine Einwilligung in das Profiling im Sinne von Art. 22 Abs. 1 Buchst. c DSGVO, deren Gegenstand sich offenkundig auf die Verarbeitung zur Profilerstellung beschränkt, kann nicht relevant sein.

60 Was die fünfte Vorlagefrage betrifft, hat das vorlegende Gericht in die streitige Praxis – neben der Erfassung von Daten aus anderen konzerneigenen Diensten und aus Websites und Apps Dritter, ihrer Verknüpfung mit dem Facebook-Konto des Nutzers und ihrer Verwendung (siehe Nr. 10 der vorliegenden Schlussanträge) – auch „die Verwendung bereits anderweit rechtmäßig erfasster und [mit dem Facebook-Konto des Nutzers] verknüpfter Daten“ einbezogen.

61 Art. 6 Abs. 1 Buchst. b DSGVO.

62 Art. 6 Abs. 1 Buchst. f DSGVO.

63 Art. 6 Abs. 1 Buchst. f DSGVO.

64 Nämlich der Minderjährigkeit der Nutzer, der Bereitstellung von Messungen, Analysen und sonstigen Unternehmensdienstleistungen, der Bereitstellung von Marketing-Kommunikation mit dem Nutzer, der Forschung und Innovation für soziale Zwecke sowie der Weitergabe von Informationen an Strafverfolgungsbehörden und der Beantwortung rechtlicher Anfragen.

65 Art. 6 Abs. 1 Buchst. c DSGVO.

66 Art. 6 Abs. 1 Buchst. d DSGVO.

67 Art. 6 Abs. 1 Buchst. e DSGVO.

68 Mit der vierten Vorlagefrage wird der Gerichtshof nämlich offenbar ersucht, sich eher zur Anwendung als zur Auslegung von Art. 6 Abs. 1 Buchst. f DSGVO zu äußern, und die fünfte Vorlagefrage erläutert nicht die Gründe, aus denen das vorlegende Gericht Zweifel hinsichtlich der richtigen Auslegung von Art. 6 Abs. 1 Buchst. c, d und e dieser Verordnung hegt.

69 Vgl. EDSA, Leitlinien 2/2019 vom 8. Oktober 2019 für die Verarbeitung personenbezogener Daten gemäß Artikel 6 Absatz 1 Buchstabe b DSGVO im Zusammenhang mit der Erbringung von Online-Diensten für betroffene Personen (im Folgenden: EDSA-Leitlinien 2/2019), Abs. 1.

70 In dieser Hinsicht sind sich die Parteien des Ausgangsverfahrens zwar im Wesentlichen über die Prämisse einig, dass für die Anwendung der in Rede stehenden Rechtfertigungsgründe eine Einzelfallprüfung erforderlich ist, vertreten aber hinsichtlich der praktischen Folgen dieser Prämisse unterschiedliche Standpunkte. Das Bundeskartellamt weist darauf hin, dass es dem für die Verarbeitung Verantwortlichen obliegt, substanziiert darzulegen, welche Daten bei welchem Nutzungsszenario konkret verarbeitet werden, und argumentiert insbesondere, dass die Beschwerdeführerin des Ausgangsverfahrens lediglich vorgetragen habe, dass die gesamte Verarbeitung von Daten aus Quellen außerhalb von Facebook für jeden einzelnen der in den Nutzungsbedingungen aufgeführten Datenverarbeitungszwecke erforderlich sei. Meta Platforms Ireland ist dagegen der Ansicht, dass das Bundeskartellamt ohne Prüfung der Besonderheiten jeder einzelnen Verarbeitung nicht habe ausschließen können, dass die streitige Praxis auf die in Rede stehenden Rechtfertigungsgründe gestützt werden könne, und daher nicht zu dem Ergebnis hätte gelangen dürfen, dass diese Praxis mit der DSGVO unvereinbar sei.

71 Die Einwilligung des Nutzers ist in Art. 6 Abs. 1 Buchst. a DSGVO vorgesehen.

72 In diesem Zusammenhang stellen die EDSA-Leitlinien 2/2019 in Abs. 16 insbesondere klar, dass die Grundsätze der Zweckbindung (Art. 5 Abs. 1 Buchst. b DSGVO) und der Datenminimierung (Art. 5 Abs. 1 Buchst. c DSGVO) bei Verträgen über Online-Dienste, die typischerweise nicht individuell ausgehandelt werden, besonders relevant sind, und zwar aufgrund des erhöhten Risikos, dass die für die Verarbeitung Verantwortlichen versuchen, Klauseln aufzunehmen, die auf die Erhebung und Verwendung möglichst vieler Daten gerichtet sind, ohne diese Zwecke angemessen zu präzisieren und Verpflichtungen zur Datenminimierung vorzusehen.

73 Nach Abs. 2 der EDSA-Leitlinien 2/2019 unterstützt diese Bestimmung die in Art. 16 der Charta garantierte unternehmerische Freiheit und spiegelt die Tatsache wider, dass mitunter die vertraglichen Verpflichtungen gegenüber der betroffenen Person nicht erfüllt werden können, ohne dass die betroffene Person bestimmte personenbezogene Daten zur Verfügung stellt. Ich weise darauf hin, dass der zweite in dieser Bestimmung vorgesehene Fall, der die Erforderlichkeit der Verarbeitung zur Durchführung vorvertraglicher Maßnahmen betrifft, die auf Anfrage der betroffenen Person erfolgen, im vorliegenden Fall nicht relevant ist. Das Gleiche gilt für die Frage, ob ein Vertrag sowohl nach dem anwendbaren Vertragsrecht als auch nach anderen gesetzlichen Anforderungen, einschließlich derjenigen für Verbraucherverträge (vgl. u. a. die Richtlinie 93/13/EWG des Rates vom 5. April 1993 über missbräuchliche Klauseln in Verbraucherverträgen [ABl. 1993, L 95, S. 29]), gültig ist; diese Frage ist nicht Gegenstand des Vorabentscheidungsersuchens.

74 Vgl. – in Bezug auf die dem Art. 6 Abs. 1 Buchst. b DSGVO entsprechende Bestimmung in Art. 7 Buchst. e der Richtlinie 95/46 – Urteil vom 16. Dezember 2008, Huber (C‑524/06, EU:C:2008:724, Rn. 52).

75 Auch wenn die bloße Erwähnung oder Bezugnahme auf die Verarbeitung personenbezogener Daten in einem Vertrag nicht ausreicht, um die fragliche Verarbeitung in den Anwendungsbereich von Art. 6 Abs. 1 Buchst. b DSGVO zu bringen, kann die Verarbeitung andererseits unbeschadet der Transparenzverpflichtungen des für die Verarbeitung Verantwortlichen auch dann objektiv erforderlich sein, wenn sie im Vertrag nicht ausdrücklich erwähnt wird (vgl. EDSA-Leitlinien 2/2019, Abs. 27).

76 Vgl. EDSA-Leitlinien 2/2019, Abs. 25.

77 Vgl. in diesem Sinne Urteil vom 9. November 2010, Volker und Markus Schecke und Eifert (C‑92/09 und C‑93/09, EU:C:2010:662, Rn. 86), sowie EDSA-Leitlinien 2/2019, Abs. 25. In diesem Zusammenhang beziehen sich diese Leitlinien in den Abs. 27 bis 32 insbesondere darauf, dass die Verarbeitung objektiv für einen Zweck erforderlich ist, der integraler Bestandteil der Erbringung dieses vertraglichen Dienstes an die betroffene Person ist, wobei der für die Verarbeitung Verantwortliche in der Lage sein muss, nachzuweisen, inwiefern der Hauptzweck des spezifischen Vertrags mit der betroffenen Person ohne die spezifische Verarbeitung der fraglichen personenbezogenen Daten tatsächlich nicht erfüllt werden kann. Insoweit geben diese Leitlinien in Abs. 33 Leitfragen vor.

78 Vgl. EDSA-Leitlinien 2/2019, Abs. 32.

79 Vgl. EDSA-Leitlinien 2/2019, Abs. 37.

80 Insoweit weist die österreichische Regierung zutreffend darauf hin, dass die Beschwerdeführerin des Ausgangsverfahrens den Facebook-Nutzern früher die Wahl zwischen einer chronologischen und einer personalisierten Anzeige der Inhalte des Newsfeeds ermöglicht hatte, was zeigt, dass eine alternative Modalität denkbar ist.

81 Vorbehaltlich der Beurteilung durch das vorlegende Gericht glaube ich nicht, dass die Erhebung und Verwendung personenbezogener Daten außerhalb von Facebook für die Erbringung der im Rahmen des Facebook-Profils angebotenen Dienstleistungen erforderlich und somit durch die ursprünglich für den Zugang zum sozialen Netzwerk (d. h. für die Eröffnung eines Facebook-Profils) erteilte Einwilligung wirksam abgedeckt sein kann. In einem solchen Fall wäre die Inanspruchnahme der fraglichen Dienstleistungen nämlich von einer Einwilligung abhängig, die für die Erfüllung des Vertrags nicht erforderlich ist, und nach Art. 7 Abs. 4 DSGVO müsste das vorlegende Gericht diesem Umstand (der nach dem 43. Erwägungsgrund der DSGVO eine Vermutung der Ungültigkeit der Einwilligung begründet, die der für die Verarbeitung Verantwortliche im Sinne von Art. 7 Abs. 1 DSGVO zu widerlegen hat) in größtmöglichem Umfang Rechnung tragen. Außerdem würde eine solche Einwilligung meines Erachtens auch gegen die Regel verstoßen, wonach eine gesonderte Einwilligung in unterschiedliche Verarbeitungen personenbezogener Daten erforderlich ist (siehe dritter Teil von Nr. 74 der vorliegenden Schlussanträge), weil zwischen der ursprünglichen Einwilligung des Nutzers in die Eröffnung des Facebook-Kontos und seiner etwaigen Einwilligung in die Verarbeitung personenbezogener Daten außerhalb von Facebook kein Zusammenhang besteht. Darüber hinaus ist es selbst im Fall einer möglichen späteren Einwilligung, die speziell für die Verwendung der Daten außerhalb von Facebook erteilt wird, wichtig, zu prüfen, ob der für die Verarbeitung Verantwortliche die Wahl eines gleichwertigen Dienstes anbietet, der keine Einwilligung in die Verarbeitung personenbezogener Daten für zusätzliche Zwecke erfordert (vgl. Abs. 37 der EDSA-Leitlinien 5/2020 vom 4. Mai 2020 zur Einwilligung gemäß Verordnung 2016/679 [im Folgenden: EDSA-Leitlinien 5/2020], in denen es in Abs. 38 auch heißt, dass der für die Verarbeitung Verantwortliche nicht auf einen gleichwertigen Dienst verweisen darf, der von einem anderen Betreiber angeboten wird).

82 In diesem Zusammenhang kommt es meines Erachtens entscheidend auf die Feststellung an, auf die auch die österreichische Regierung hinweist, dass die unterschiedlichen Produkte des Konzerns jeweils unabhängig voneinander verwendet werden können und der Nutzung jedes Dienstes ein gesonderter Nutzungsvertrag zugrunde liegt. Im Übrigen sollte die durchgängige und nahtlose Nutzung der konzerneigenen Dienste, wie das Bundeskartellamt anmerkt, nicht als für das Funktionieren dieser Dienste erforderlich, sondern eher als ein Interesse des Nutzers angesehen werden, so dass es grundsätzlich zweckmäßiger erschiene, dem Nutzer die Wahl zu belassen.

83 Vgl. entsprechend – zu der dem Art. 6 Abs. 1 Buchst. f DSGVO entsprechenden Bestimmung in Art. 7 Buchst. f der Richtlinie 95/46 – Urteil vom 4. Mai 2017, Rīgas satiksme (C‑13/16, EU:C:2017:336, Rn. 28).

84 Wie Generalanwalt Bobek in seinen Schlussanträgen in der Rechtssache Fashion ID (C‑40/17, EU:C:2018:1039, Nr. 122) feststellt, ist der Begriff „berechtigte Interessen“ im Rahmen der Richtlinie 95/46 offenbar recht dehnbar und offen. Wie die Beschwerdeführerin des Ausgangsverfahrens geltend macht, hat der Gerichtshof nämlich mehrere Interessen als berechtigt anerkannt (vgl. u. a. Urteile vom 13. Mai 2014, Google Spain und Google [C‑131/12, EU:C:2014:317, Rn. 81], vom 19. Oktober 2016, Breyer [C‑582/14, EU:C:2016:779, Rn. 55], vom 4. Mai 2017, Rīgas satiksme [C‑13/16, EU:C:2017:336, Rn. 29], vom 24. September 2019, GC u. a. [Auslistung sensibler Daten] [C‑136/17, EU:C:2019:773, Rn. 53], vom 11. Dezember 2019, Asociaţia de Proprietari bloc M5A-ScaraA [C‑708/18, EU:C:2019:1064, Rn. 59], und vom 17. Juni 2021, M.I.C.M. [C‑597/19, EU:C:2021:492, Rn. 108 und 109]). Die gleiche Schlussfolgerung ist meines Erachtens aus der DSGVO zu ziehen, deren 47. Erwägungsgrund zur Veranschaulichung u. a. die Fälle erwähnt, in denen die betroffene Person ein Kunde des Verantwortlichen ist oder in seinen Diensten steht oder die personenbezogenen Daten zum Zweck der Verhinderung von Betrug oder für Zwecke der Direktwerbung verarbeitet werden, und in deren 49. Erwägungsgrund die Netz- und Informationssicherheit sowie damit zusammenhängende Dienste erwähnt werden.

85 Dies schließt meines Erachtens das Erfordernis ein, anzugeben, welcher Verarbeitungsvorgang auf welches berechtigte Interesse gestützt wird.

86 Vgl. Urteile vom 4. Mai 2017, Rīgas satiksme (C‑13/16, EU:C:2017:336, Rn. 30), und vom 17. Juni 2021, M.I.C.M. (C‑597/19, EU:C:2021:492, Rn. 110).

87 Vgl. in diesem Sinne Urteile vom 4. Mai 2017, Rīgas satiksme (C‑13/16, EU:C:2017:336, Rn. 31), und vom 17. Juni 2021, M.I.C.M. (C‑597/19, EU:C:2021:492, Rn. 111). Der Gerichtshof hat insoweit darauf hingewiesen, dass Art. 7 Buchst. f der Richtlinie 95/46 (der Art. 6 Abs. 1 Buchst. f der DSGVO entspricht) einen Mitgliedstaat daran hindert, kategorisch und ganz allgemein die Verarbeitung bestimmter Kategorien personenbezogener Daten auszuschließen, ohne Raum für eine Abwägung der im konkreten Einzelfall einander gegenüberstehenden Rechte und Interessen zu lassen, und dabei klargestellt, dass ein Mitgliedstaat daher für diese Kategorien das Ergebnis der Abwägung der einander gegenüberstehenden Rechte und Interessen nicht abschließend vorschreiben kann, ohne Raum für ein Ergebnis zu lassen, das aufgrund besonderer Umstände des Einzelfalls anders ausfällt (Urteil vom 19. Oktober 2016, Breyer, C‑582/14, EU:C:2016:779, Rn. 62 und die dort angeführte Rechtsprechung).

88 Die Stellungnahme 6/2014 der Artikel‑29‑Arbeitsgruppe enthält hierzu interessante Überlegungen in ihrem Abschnitt III.3.4.

89 Nach dem 49. Erwägungsgrund der DSGVO stellt die Verarbeitung personenbezogener Daten, soweit sie für die Gewährleistung der Netz- und Informationssicherheit, wie sie dort näher beschrieben wird, unbedingt notwendig und verhältnismäßig ist, nämlich ein berechtigtes Interesse des für die Verarbeitung Verantwortlichen dar. Ein solches berechtigtes Interesse könnte beispielsweise darin bestehen, den Zugang Unbefugter zu elektronischen Kommunikationsnetzen und die Verbreitung schädlicher Programmcodes zu verhindern. Ich weise auch darauf hin, dass nach Art. 32 DSGVO u. a. der für die Verarbeitung Verantwortliche geeignete technische und organisatorische Maßnahmen zu treffen hat, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten, und dass nach Art. 5 Abs. 1 Buchst. f dieser Verordnung personenbezogene Daten in einer Weise verarbeitet werden müssen, die eine angemessene Sicherheit dieser Daten gewährleistet.

90 Es ist daher zu prüfen, inwieweit sich die Verarbeitung personenbezogener Daten außerhalb der Website oder App von Facebook als für die Sicherheit von Facebook erforderlich erweist. Soweit das vorlegende Gericht in diesem Zusammenhang auf die Möglichkeit der Verwendung von WhatsApp-Daten zur Bekämpfung von Spam (indem Informationen von WhatsApp-Konten, die Spam versenden, genutzt werden, um gegen entsprechende Facebook-Konten vorzugehen) und von Instagram-Daten zur Aufdeckung bedenklicher oder rechtswidriger Verhaltensweisen hinweist, bezweifle ich, dass die Beschwerdeführerin des Ausgangsverfahrens das Recht für sich in Anspruch nehmen kann, personenbezogene Daten zu „ordnungspolizeilichen“ Zwecken im weiteren Sinne zu verarbeiten, zumal nach der Rechtsprechung des Gerichtshofs im (anderen, aber verwandten) Bereich der elektronischen Kommunikationsdaten sogar gesetzgeberische Maßnahmen, die präventiv eine allgemeine und unterschiedslose Vorratsspeicherung von Verkehrs- und Standortdaten vorsehen, nicht mit der Richtlinie 2002/58 vereinbar sind (vgl. Urteil vom 6. Oktober 2020, La Quadrature du Net u. a., C‑511/18, C‑512/18 und C‑520/18, EU:C:2020:791, Rn. 168). Darüber hinaus kann sich der für die Verarbeitung Verantwortliche in einem Fall, in dem sich die Notwendigkeit, die Netzsicherheit zu gewährleisten, aus einer gesetzlichen Anforderung ergibt, auf den besonderen Rechtfertigungsgrund des Art. 6 Abs. 1 Buchst. c DSGVO berufen.

91 Gemäß Art. 6 Abs. 1 Buchst. c, d und e DSGVO.

92 Siehe Nr. 48 der vorliegenden Schlussanträge.

93 In Anbetracht des breiten Spektrums berechtigter Interessen, die die Rechtsprechung anerkennt (siehe Nr. 60 der vorliegenden Schlussanträge). Beispielsweise erscheint es mir grundsätzlich offensichtlich, dass der Schutz Minderjähriger den Erlass geeigneter Schutzmaßnahmen rechtfertigen kann, die darauf abzielen, ihnen den Zugang zu unangemessenen oder gefährlichen Inhalten zu verwehren.

94 Nach Art. 13 Abs. 1 Buchst. c und d DSGVO hat der Verantwortliche nämlich für jeden Verarbeitungszweck u. a. die berechtigten Interessen anzugeben, die von ihm selbst oder einem Dritten verfolgt werden.

95 Im Urteil vom 11. November 2020, Orange Romania (C‑61/19, EU:C:2020:901, Rn. 35 und 36 sowie die dort angeführte Rechtsprechung) hat der Gerichtshof klargestellt, dass der Wortlaut von Art. 4 Nr. 11 DSGVO, der die „Einwilligung der betroffenen Person“ definiert, noch strenger erscheint als der Wortlaut von Art. 2 Buchst. h der Richtlinie 95/46, da er eine „freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene“ Willensbekundung der betroffenen Person in Form einer Erklärung oder einer „eindeutigen bestätigenden Handlung“ verlangt, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.

96 Wie der EDSA betont, impliziert das Adjektiv „frei[willig]“, dass die betroffenen Personen eine echte Wahl und Kontrolle haben (EDSA-Leitlinien 5/2020, Abs. 13). In demselben Absatz wird insbesondere klargestellt, dass die Einwilligung nicht freiwillig erteilt wurde, wenn sich die betroffene Person einerseits zur Einwilligung gedrängt fühlt oder erhebliche negative Auswirkungen erdulden muss, wenn sie nicht einwilligt, und andererseits die Einwilligung als ein nicht verhandelbarer Teil der allgemeinen Geschäftsbedingungen dargestellt wird. Die Einwilligung gilt daher nicht als freiwillig erteilt, wenn diese Person sie nicht verweigern oder zurückziehen kann, ohne Nachteile zu erleiden. Wie die Beschwerdeführerin des Ausgangsverfahrens hervorhebt, ist der einzige Nachteil, den die betroffene Person in diesem Fall in Kauf nehmen muss, dass der Dienst gegebenenfalls nicht die gleiche Funktionalität oder Qualität aufweist, soweit die Datenverarbeitung, in die nicht eingewilligt wurde, dafür technisch notwendig ist.

97 In diesem Zusammenhang erwähnen die EDSA-Leitlinien 5/2020 Täuschung, Einschüchterung, Nötigung oder beträchtliche nachteilige Folgen, wenn die betroffene Person ihre Einwilligung verweigert, und weisen darauf hin, dass der für die Verarbeitung Verantwortliche die Beweislast dafür trägt, dass die betroffene Person eine echte Wahlfreiheit in Bezug auf die Erteilung und den Widerruf der Einwilligung hatte (Abs. 47).

98 Abgesehen von den im 43. Erwägungsgrund erwähnten Fällen von Beziehungen zu Behörden und von Beschäftigungsverhältnissen, die im vorliegenden Fall nicht relevant sind, werden in Abs. 24 der EDSA-Leitlinien 5/2020 u. a. Situationen erwähnt, in denen die betroffene Person tatsächlich nicht in der Lage ist, eine Wahl zu treffen, oder in denen das Risiko einer Täuschung, Einschüchterung, Nötigung oder beträchtlicher nachteiliger Folgen (z. B. erheblicher Zusatzkosten) besteht, sollte sie die Einwilligung nicht erteilen.

99 Diese Frage überschneidet sich teilweise mit der Frage, die Gegenstand des ersten Teils der dritten Vorlagefrage ist (siehe Nrn. 53 bis 57 der vorliegenden Schlussanträge). Der 43. Erwägungsgrund Satz 2 der DSGVO stellt klar, dass die Einwilligung in einem solchen Fall nicht als freiwillig erteilt gilt (nach Abs. 26 der EDSA-Leitlinien 5/2020 stellt die DSGVO auf diese Weise sicher, dass die Verarbeitung personenbezogener Daten, für die die Einwilligung eingeholt wird, nicht direkt oder indirekt zur Gegenleistung für einen Vertrag werden kann), wobei die Verwendung der Formulierung „gilt …als“ deutlich zeigt, dass Fälle, in denen die Einwilligung gültig ist, die absolute Ausnahme darstellen werden (vgl. Abs. 35 dieser Leitlinien). Außerdem wurde Art. 7 Abs. 4 DSGVO durch die Verwendung des Ausdrucks „unter anderem“ auf eine nicht erschöpfende Weise verfasst, so dass eine Reihe anderer Situationen unter diese Bestimmung fallen können, einschließlich jeder Form des unangemessenen Drucks oder der Einflussnahme auf die betroffene Person, die diese von der Ausübung ihres freien Willens abhält (EDSA-Leitlinien 5/2020, Abs. 14).

100 Der 32. Erwägungsgrund der DSGVO stellt insbesondere klar, dass sich die erteilte Einwilligung auf alle zu demselben Zweck oder denselben Zwecken vorgenommenen Verarbeitungsvorgänge beziehen sollte und dass sie, wenn die Verarbeitung mehreren Zwecken dient, für alle diese Zwecke erteilt werden sollte. In dieser Hinsicht sprechen die EDSA-Leitlinien 5/2020 von der „Granularität“ der Einwilligung als Einschränkung ihrer Freiheit (Abs. 44).

101 Eine solche Situation begünstigt insbesondere die Auferlegung von Bedingungen, die für die Erfüllung des Vertrags nicht erforderlich sind (siehe Nrn. 53 bis 57 der vorliegenden Schlussanträge).

102 Mit anderen Worten kann, wie die Kommission ausführt, das Maß der für die Wirksamkeit einer Einwilligung nach der DSGVO kritischen relativen Marktmacht des Unternehmens nicht notwendigerweise mit der Schwelle der Marktbeherrschung im Sinne des Art. 102 AEUV gleichgesetzt werden.

103 Ebenso wie zum einen das Vorhandensein einer marktbeherrschenden Stellung für sich genommen nicht der Möglichkeit entgegensteht, eine freiwillige Einwilligung in die Verarbeitung personenbezogener Daten zu erteilen, reicht zum anderen das Fehlen einer solchen Stellung für sich allein natürlich nicht aus, um unter allen Umständen zu gewährleisten, dass eine solche Einwilligung wirksam erteilt wird.