URTEIL DES GERICHTSHOFS (Große Kammer)
4. Juli 2023(*)
Inhaltsverzeichnis
Rechtlicher Rahmen
Unionsrecht
Verordnung (EG) Nr. 1/2003
DSGVO
Deutsches Recht
Ausgangsrechtsstreit und Vorlagefragen
Zu den Vorlagefragen
Zur ersten und zur siebten Frage
Zur zweiten Frage
Zu Frage 2 Buchst. a
Zu Frage 2 Buchst. b
Zu den Fragen 3 bis 5
Vorbemerkungen
Zu den Fragen 3 und 4
Zur fünften Frage
Zur sechsten Frage
Kosten
„Vorlage zur Vorabentscheidung – Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten – Verordnung (EU) 2016/679 – Soziale Online-Netzwerke – Missbrauch einer beherrschenden Stellung durch den Betreiber eines solchen Netzwerks – Missbrauch durch die in den Allgemeinen Nutzungsbedingungen des betreffenden Netzwerks vorgesehene Verarbeitung personenbezogener Daten der Nutzer dieses Netzwerks – Zuständigkeiten einer mitgliedstaatlichen Wettbewerbsbehörde im Hinblick auf die Feststellung, dass diese Verarbeitung gegen die Verordnung 2016/679 verstößt – Verhältnis zu den Zuständigkeiten der nationalen Datenschutzaufsichtsbehörden – Art. 4 Abs. 3 EUV – Grundsatz der loyalen Zusammenarbeit – Art. 6 Abs. 1 Unterabs. 1 Buchst. a bis f der Verordnung 2016/679 – Rechtmäßigkeit der Verarbeitung – Art. 9 Abs. 1 und 2 – Verarbeitung besonderer Kategorien personenbezogener Daten – Art. 4 Nr. 11 – Begriff ‚Einwilligung‘“
In der Rechtssache C‑252/21
betreffend ein Vorabentscheidungsersuchen nach Art. 267 AEUV, eingereicht vom Oberlandesgericht Düsseldorf (Deutschland) mit Entscheidung vom 24. März 2021, beim Gerichtshof eingegangen am 22. April 2021, in dem Verfahren
Meta Platforms Inc., vormals Facebook Inc.,
Meta Platforms Ireland Ltd, vormals Facebook Ireland Ltd,
Facebook Deutschland GmbH
gegen
Bundeskartellamt,
Beteiligte:
Verbraucherzentrale Bundesverband e. V.,
erlässt
DER GERICHTSHOF (Große Kammer)
unter Mitwirkung des Präsidenten K. Lenaerts, des Vizepräsidenten L. Bay Larsen, der Kammerpräsidentinnen A. Prechal und K. Jürimäe, der Kammerpräsidenten C. Lycourgos und M. Safjan, der Kammerpräsidentin L. S. Rossi (Berichterstatterin), des Kammerpräsidenten D. Gratsias, der Kammerpräsidentin M. L. Arastey Sahún, der Richter J.‑C. Bonichot, S. Rodin, F. Biltgen, M. Gavalec und Z. Csehi sowie der Richterin O. Spineanu-Matei,
Generalanwalt: A. Rantos,
Kanzler: D. Dittert, Referatsleiter,
aufgrund des schriftlichen Verfahrens und auf die mündliche Verhandlung vom 10. Mai 2022,
unter Berücksichtigung der Erklärungen
– der Meta Platforms Inc., vormals Facebook Inc., der Meta Platforms Ireland Ltd, vormals Facebook Ireland Ltd, und der Facebook Deutschland GmbH, vertreten durch Rechtsanwälte M. Braun und M. Esser, Rechtsanwältin L. Hesse sowie Rechtsanwälte J. Höft und H.‑G. Kamann,
– des Bundeskartellamts, vertreten durch J. Nothdurft, K. Ost, I. Sewczyk und J. Topel als Bevollmächtigte,
– des Verbraucherzentrale Bundesverband e. V., vertreten durch Rechtsanwalt S. Louven,
– der deutschen Regierung, vertreten durch J. Möller und P.‑L. Krüger als Bevollmächtigte,
– der tschechischen Regierung, vertreten durch M. Smolek und J. Vláčil als Bevollmächtigte,
– der italienischen Regierung, vertreten durch G. Palmieri als Bevollmächtigte im Beistand von E. De Bonis und P. Gentili, Avvocati dello Stato,
– der österreichischen Regierung, vertreten durch A. Posch, J. Schmoll und G. Kunnert als Bevollmächtigte,
– der Europäischen Kommission, vertreten durch F. Erlbacher, H. Kranenborg und G. Meessen als Bevollmächtigte,
nach Anhörung der Schlussanträge des Generalanwalts in der Sitzung vom 20. September 2022
folgendes
Urteil
1 Das Vorabentscheidungsersuchen betrifft die Auslegung von Art. 4 Abs. 3 EUV sowie von Art. 6 Abs. 1, Art. 9 Abs. 1 und 2, Art. 51 Abs. 1 und Art. 56 Abs. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. 2016, L 119, S. 1, berichtigt in ABl. 2018, L 127, S. 2, im Folgenden: DSGVO).
2 Es ergeht im Rahmen eines Rechtsstreits zwischen der Meta Platforms Inc. (vormals Facebook Inc.), der Meta Platforms Ireland Ltd (vormals Facebook Ireland Ltd) und der Facebook Deutschland GmbH einerseits und dem Bundeskartellamt (Deutschland) andererseits über dessen Entscheidung, diesen Unternehmen die in den Allgemeinen Nutzungsbedingungen des sozialen Netzwerks Facebook (im Folgenden: Allgemeine Nutzungsbedingungen) vorgesehene Verarbeitung bestimmter personenbezogener Daten zu untersagen.
Rechtlicher Rahmen
Unionsrecht
Verordnung (EG) Nr. 1/2003
3 Art. 5 („Zuständigkeit der Wettbewerbsbehörden der Mitgliedstaaten“) der Verordnung (EG) Nr. 1/2003 des Rates vom 16. Dezember 2002 zur Durchführung der in den Artikeln [101 und 102 AEUV] niedergelegten Wettbewerbsregeln (ABl. 2003, L 1, S. 1) sieht vor:
„Die Wettbewerbsbehörden der Mitgliedstaaten sind für die Anwendung der Artikel [101 und 102 AEUV] in Einzelfällen zuständig. Sie können hierzu von Amts wegen oder aufgrund einer Beschwerde Entscheidungen erlassen, mit denen
– die Abstellung von Zuwiderhandlungen angeordnet wird,
– einstweilige Maßnahmen angeordnet werden,
– Verpflichtungszusagen angenommen werden oder
– Geldbußen, Zwangsgelder oder sonstige im innerstaatlichen Recht vorgesehene Sanktionen verhängt werden.
Sind die Voraussetzungen für ein Verbot nach den ihnen vorliegenden Informationen nicht gegeben, so können sie auch entscheiden, dass für sie kein Anlass besteht, tätig zu werden.“
DSGVO
4 In den Erwägungsgründen 1, 4, 38, 42, 43, 46, 47, 49 und 51 der DSGVO heißt es:
„(1) Der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten ist ein Grundrecht. Gemäß Artikel 8 Absatz 1 der Charta der Grundrechte der Europäischen Union (im Folgenden ‚Charta‘) sowie Artikel 16 Absatz 1 [AEUV] hat jede Person das Recht auf Schutz der sie betreffenden personenbezogenen Daten.
…
(4) Die Verarbeitung personenbezogener Daten sollte im Dienste der Menschheit stehen. Das Recht auf Schutz der personenbezogenen Daten ist kein uneingeschränktes Recht; es muss im Hinblick auf seine gesellschaftliche Funktion gesehen und unter Wahrung des Verhältnismäßigkeitsprinzips gegen andere Grundrechte abgewogen werden. Diese Verordnung steht im Einklang mit allen Grundrechten und achtet alle Freiheiten und Grundsätze, die mit der Charta anerkannt wurden und in den Europäischen Verträgen verankert sind, insbesondere Achtung des Privat- und Familienlebens, der Wohnung und der Kommunikation, Schutz personenbezogener Daten, Gedanken‑, Gewissens- und Religionsfreiheit, Freiheit der Meinungsäußerung und Informationsfreiheit, unternehmerische Freiheit, Recht auf einen wirksamen Rechtsbehelf und ein faires Verfahren und Vielfalt der Kulturen, Religionen und Sprachen.
…
(38) Kinder verdienen bei ihren personenbezogenen Daten besonderen Schutz, da Kinder sich der betreffenden Risiken, Folgen und Garantien und ihrer Rechte bei der Verarbeitung personenbezogener Daten möglicherweise weniger bewusst sind. Ein solcher besonderer Schutz sollte insbesondere die Verwendung personenbezogener Daten von Kindern für Werbezwecke oder für die Erstellung von Persönlichkeits- oder Nutzerprofilen und die Erhebung von personenbezogenen Daten von Kindern bei der Nutzung von Diensten, die Kindern direkt angeboten werden, betreffen. Die Einwilligung des Trägers der elterlichen Verantwortung sollte im Zusammenhang mit Präventions- oder Beratungsdiensten, die unmittelbar einem Kind angeboten werden, nicht erforderlich sein.
…
(42) Erfolgt die Verarbeitung mit Einwilligung der betroffenen Person, sollte der Verantwortliche nachweisen können, dass die betroffene Person ihre Einwilligung zu dem Verarbeitungsvorgang gegeben hat. … Damit sie in Kenntnis der Sachlage ihre Einwilligung geben kann, sollte die betroffene Person mindestens wissen, wer der Verantwortliche ist und für welche Zwecke ihre personenbezogenen Daten verarbeitet werden sollen. Es sollte nur dann davon ausgegangen werden, dass sie ihre Einwilligung freiwillig gegeben hat, wenn sie eine echte oder freie Wahl hat und somit in der Lage ist, die Einwilligung zu verweigern oder zurückzuziehen, ohne Nachteile zu erleiden.
(43) Um sicherzustellen, dass die Einwilligung freiwillig erfolgt ist, sollte diese in besonderen Fällen, wenn zwischen der betroffenen Person und dem Verantwortlichen ein klares Ungleichgewicht besteht, insbesondere wenn es sich bei dem Verantwortlichen um eine Behörde handelt, und es deshalb in Anbetracht aller Umstände in dem speziellen Fall unwahrscheinlich ist, dass die Einwilligung freiwillig gegeben wurde, keine gültige Rechtsgrundlage liefern. Die Einwilligung gilt nicht als freiwillig erteilt, wenn zu verschiedenen Verarbeitungsvorgängen von personenbezogenen Daten nicht gesondert eine Einwilligung erteilt werden kann, obwohl dies im Einzelfall angebracht ist, oder wenn die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung abhängig ist, obwohl diese Einwilligung für die Erfüllung nicht erforderlich ist.
…
(46) Die Verarbeitung personenbezogener Daten sollte ebenfalls als rechtmäßig angesehen werden, wenn sie erforderlich ist, um ein lebenswichtiges Interesse der betroffenen Person oder einer anderen natürlichen Person zu schützen. Personenbezogene Daten sollten grundsätzlich nur dann aufgrund eines lebenswichtigen Interesses einer anderen natürlichen Person verarbeitet werden, wenn die Verarbeitung offensichtlich nicht auf eine andere Rechtsgrundlage gestützt werden kann. Einige Arten der Verarbeitung können sowohl wichtigen Gründen des öffentlichen Interesses als auch lebenswichtigen Interessen der betroffenen Person dienen; so kann beispielsweise die Verarbeitung für humanitäre Zwecke einschließlich der Überwachung von Epidemien und deren Ausbreitung oder in humanitären Notfällen insbesondere bei Naturkatastrophen oder vom Menschen verursachten Katastrophen erforderlich sein.
(47) Die Rechtmäßigkeit der Verarbeitung kann durch die berechtigten Interessen eines Verantwortlichen, auch eines Verantwortlichen, dem die personenbezogenen Daten offengelegt werden dürfen, oder eines Dritten begründet sein, sofern die Interessen oder die Grundrechte und Grundfreiheiten der betroffenen Person nicht überwiegen; dabei sind die vernünftigen Erwartungen der betroffenen Person, die auf ihrer Beziehung zu dem Verantwortlichen beruhen, zu berücksichtigen. … Auf jeden Fall wäre das Bestehen eines berechtigten Interesses besonders sorgfältig abzuwägen, wobei auch zu prüfen ist, ob eine betroffene Person zum Zeitpunkt der Erhebung der personenbezogenen Daten und angesichts der Umstände, unter denen sie erfolgt, vernünftigerweise absehen kann, dass möglicherweise eine Verarbeitung für diesen Zweck erfolgen wird. Insbesondere dann, wenn personenbezogene Daten in Situationen verarbeitet werden, in denen eine betroffene Person vernünftigerweise nicht mit einer weiteren Verarbeitung rechnen muss, könnten die Interessen und Grundrechte der betroffenen Person das Interesse des Verantwortlichen überwiegen. … Die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung kann als eine einem berechtigten Interesse dienende Verarbeitung betrachtet werden.
…
(49) Die Verarbeitung von personenbezogenen Daten … stellt in dem Maße ein berechtigtes Interesse des jeweiligen Verantwortlichen dar, wie dies für die Gewährleistung der Netz- und Informationssicherheit unbedingt notwendig und verhältnismäßig ist, d. h. soweit dadurch die Fähigkeit eines Netzes oder Informationssystems gewährleistet wird, mit einem vorgegebenen Grad der Zuverlässigkeit Störungen oder widerrechtliche oder mutwillige Eingriffe abzuwehren, die die Verfügbarkeit, Authentizität, Vollständigkeit und Vertraulichkeit von gespeicherten oder übermittelten personenbezogenen Daten sowie die Sicherheit damit zusammenhängender Dienste, die über diese Netze oder Informationssysteme angeboten werden bzw. zugänglich sind, beeinträchtigen. …
…
(51) Personenbezogene Daten, die ihrem Wesen nach hinsichtlich der Grundrechte und Grundfreiheiten besonders sensibel sind, verdienen einen besonderen Schutz, da im Zusammenhang mit ihrer Verarbeitung erhebliche Risiken für die Grundrechte und Grundfreiheiten auftreten können. Diese personenbezogenen Daten sollten personenbezogene Daten umfassen, aus denen die rassische oder ethnische Herkunft hervorgeht, wobei die Verwendung des Begriffs ‚rassische Herkunft‘ in dieser Verordnung nicht bedeutet, dass die [Europäische] Union Theorien, mit denen versucht wird, die Existenz verschiedener menschlicher Rassen zu belegen, gutheißt. Die Verarbeitung von Lichtbildern sollte nicht grundsätzlich als Verarbeitung besonderer Kategorien von personenbezogenen Daten angesehen werden, da Lichtbilder nur dann von der Definition des Begriffs ‚biometrische Daten‘ erfasst werden, wenn sie mit speziellen technischen Mitteln verarbeitet werden, die die eindeutige Identifizierung oder Authentifizierung einer natürlichen Person ermöglichen. Derartige personenbezogene Daten sollten nicht verarbeitet werden, es sei denn, die Verarbeitung ist in den in dieser Verordnung dargelegten besonderen Fällen zulässig, wobei zu berücksichtigen ist, dass im Recht der Mitgliedstaaten besondere Datenschutzbestimmungen festgelegt sein können, um die Anwendung der Bestimmungen dieser Verordnung anzupassen, damit die Einhaltung einer rechtlichen Verpflichtung oder die Wahrnehmung einer Aufgabe im öffentlichen Interesse oder die Ausübung öffentlicher Gewalt, die dem Verantwortlichen übertragen wurde, möglich ist. Zusätzlich zu den speziellen Anforderungen an eine derartige Verarbeitung sollten die allgemeinen Grundsätze und andere Bestimmungen dieser Verordnung, insbesondere hinsichtlich der Bedingungen für eine rechtmäßige Verarbeitung, gelten. Ausnahmen von dem allgemeinen Verbot der Verarbeitung dieser besonderen Kategorien personenbezogener Daten sollten ausdrücklich vorgesehen werden, unter anderem bei ausdrücklicher Einwilligung der betroffenen Person oder bei bestimmten Notwendigkeiten, insbesondere wenn die Verarbeitung im Rahmen rechtmäßiger Tätigkeiten bestimmter Vereinigungen oder Stiftungen vorgenommen wird, die sich für die Ausübung von Grundfreiheiten einsetzen.“
5 Art. 4 DSGVO sieht vor:
„Im Sinne dieser Verordnung bezeichnet der Ausdruck:
1. ‚personenbezogene Daten‘ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden ‚betroffene Person‘) beziehen; …
2. ‚Verarbeitung‘ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;
…
7. ‚Verantwortlicher‘ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden;
…
11. ‚Einwilligung‘ der betroffenen Person jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist;
…
23. ‚grenzüberschreitende Verarbeitung‘ entweder
a) eine Verarbeitung personenbezogener Daten, die im Rahmen der Tätigkeiten von Niederlassungen eines Verantwortlichen oder eines Auftragsverarbeiters in der Union in mehr als einem Mitgliedstaat erfolgt, wenn der Verantwortliche oder Auftragsverarbeiter in mehr als einem Mitgliedstaat niedergelassen ist, oder
b) eine Verarbeitung personenbezogener Daten, die im Rahmen der Tätigkeiten einer einzelnen Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt, die jedoch erhebliche Auswirkungen auf betroffene Personen in mehr als einem Mitgliedstaat hat oder haben kann;
…“
6 Art. 5 („Grundsätze für die Verarbeitung personenbezogener Daten“) DSGVO bestimmt in den Abs. 1 und 2:
„(1) Personenbezogene Daten müssen
a) auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden (‚Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz‘);
b) für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; …
c) dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein (‚Datenminimierung‘);
…
(2) Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können (‚Rechenschaftspflicht‘).“
7 In Art. 6 („Rechtmäßigkeit der Verarbeitung“) DSGVO heißt es:
„(1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;
b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;
c) die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;
d) die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;
e) die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.
Unterabsatz 1 Buchstabe f gilt nicht für die von Behörden in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung.
…
(3) Die Rechtsgrundlage für die Verarbeitungen gemäß Absatz 1 Buchstaben c und e wird festgelegt durch
a) Unionsrecht oder
b) das Recht der Mitgliedstaaten, dem der Verantwortliche unterliegt.
… Das Unionsrecht oder das Recht der Mitgliedstaaten müssen ein im öffentlichen Interesse liegendes Ziel verfolgen und in einem angemessenen Verhältnis zu dem verfolgten legitimen Zweck stehen.“
8 Art. 7 („Bedingungen für die Einwilligung“) DSGVO sieht vor:
„(1) Beruht die Verarbeitung auf einer Einwilligung, muss der Verantwortliche nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat.
…
(4) Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich [ist].“
9 Art. 9 („Verarbeitung besonderer Kategorien personenbezogener Daten“) DSGVO bestimmt:
„(1) Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person [sind] untersagt.
(2) Absatz 1 gilt nicht in folgenden Fällen:
a) Die betroffene Person hat in die Verarbeitung der genannten personenbezogenen Daten für einen oder mehrere festgelegte Zwecke ausdrücklich eingewilligt, es sei denn, nach Unionsrecht oder dem Recht der Mitgliedstaaten kann das Verbot nach Absatz 1 durch die Einwilligung der betroffenen Person nicht aufgehoben werden,
…
e) die Verarbeitung bezieht sich auf personenbezogene Daten, die die betroffene Person offensichtlich öffentlich gemacht hat,
f) die Verarbeitung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder bei Handlungen der Gerichte im Rahmen ihrer justiziellen Tätigkeit erforderlich,
…“
10 Art. 13 („Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person“) DSGVO sieht in Abs. 1 vor:
„Werden personenbezogene Daten bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten Folgendes mit:
…
c) die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung;
d) wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden;
…“
11 Kapitel VI („Unabhängige Aufsichtsbehörden“) der DSGVO umfasst die Art. 51 bis 59 dieser Verordnung.
12 Art. 51 („Aufsichtsbehörde“) DSGVO sieht in den Abs. 1 und 2 vor:
„(1) Jeder Mitgliedstaat sieht vor, dass eine oder mehrere unabhängige Behörden für die Überwachung der Anwendung dieser Verordnung zuständig sind, damit die Grundrechte und Grundfreiheiten natürlicher Personen bei der Verarbeitung geschützt werden und der freie Verkehr personenbezogener Daten in der Union erleichtert wird …
(2) Jede Aufsichtsbehörde leistet einen Beitrag zur einheitlichen Anwendung dieser Verordnung in der gesamten Union. Zu diesem Zweck arbeiten die Aufsichtsbehörden untereinander sowie mit der [Europäischen] Kommission gemäß Kapitel VII zusammen.“
13 In Art. 55 („Zuständigkeit“) DSGVO heißt es:
„(1) Jede Aufsichtsbehörde ist für die Erfüllung der Aufgaben und die Ausübung der Befugnisse, die ihr mit dieser Verordnung übertragen wurden, im Hoheitsgebiet ihres eigenen Mitgliedstaats zuständig.
(2) Erfolgt die Verarbeitung durch Behörden oder private Stellen auf der Grundlage von Artikel 6 Absatz 1 Buchstabe c oder e, so ist die Aufsichtsbehörde des betroffenen Mitgliedstaats zuständig. In diesem Fall findet Artikel 56 keine Anwendung.“
14 Art. 56 („Zuständigkeit der federführenden Aufsichtsbehörde“) Abs. 1 DSGVO lautet:
„Unbeschadet des Artikels 55 ist die Aufsichtsbehörde der Hauptniederlassung oder der einzigen Niederlassung des Verantwortlichen oder des Auftragsverarbeiters gemäß dem Verfahren nach Artikel 60 die zuständige federführende Aufsichtsbehörde für die von diesem Verantwortlichen oder diesem Auftragsverarbeiter durchgeführte grenzüberschreitende Verarbeitung.“
15 Art. 57 („Aufgaben“) DSGVO bestimmt in Abs. 1:
„Unbeschadet anderer in dieser Verordnung dargelegter Aufgaben muss jede Aufsichtsbehörde in ihrem Hoheitsgebiet
a) die Anwendung dieser Verordnung überwachen und durchsetzen;
…
g) mit anderen Aufsichtsbehörden zusammenarbeiten, auch durch Informationsaustausch, und ihnen Amtshilfe leisten, um die einheitliche Anwendung und Durchsetzung dieser Verordnung zu gewährleisten;
…“
16 Art. 58 DSGVO enthält in Abs. 1 eine Liste der Untersuchungsbefugnisse, über die jede Aufsichtsbehörde verfügt, und bestimmt in Abs. 5, dass „[j]eder Mitgliedstaat … durch Rechtsvorschriften vor[sieht], dass seine Aufsichtsbehörde befugt ist, Verstöße gegen diese Verordnung den Justizbehörden zur Kenntnis zu bringen und gegebenenfalls die Einleitung eines gerichtlichen Verfahrens zu betreiben oder sich sonst daran zu beteiligen, um die Bestimmungen dieser Verordnung durchzusetzen“.
17 Abschnitt 1 („Zusammenarbeit“) von Kapitel VII („Zusammenarbeit und Kohärenz“) der DSGVO umfasst die Art. 60 bis 62 dieser Verordnung. Art. 60 („Zusammenarbeit zwischen der federführenden Aufsichtsbehörde und den anderen betroffenen Aufsichtsbehörden“) sieht in Abs. 1 vor:
„Die federführende Aufsichtsbehörde arbeitet mit den anderen betroffenen Aufsichtsbehörden im Einklang mit diesem Artikel zusammen und bemüht sich dabei, einen Konsens zu erzielen. Die federführende Aufsichtsbehörde und die betroffenen Aufsichtsbehörden tauschen untereinander alle zweckdienlichen Informationen aus.“
18 Art. 61 („Gegenseitige Amtshilfe“) DSGVO bestimmt in Abs. 1:
„Die Aufsichtsbehörden übermitteln einander maßgebliche Informationen und gewähren einander Amtshilfe, um diese Verordnung einheitlich durchzuführen und anzuwenden, und treffen Vorkehrungen für eine wirksame Zusammenarbeit. Die Amtshilfe bezieht sich insbesondere auf Auskunftsersuchen und aufsichtsbezogene Maßnahmen, beispielsweise Ersuchen um vorherige Genehmigungen und eine vorherige Konsultation, um Vornahme von Nachprüfungen und Untersuchungen.“
19 Art. 62 („Gemeinsame Maßnahmen der Aufsichtsbehörden“) DSGVO sieht in den Abs. 1 und 2 vor:
„(1) Die Aufsichtsbehörden führen gegebenenfalls gemeinsame Maßnahmen einschließlich gemeinsamer Untersuchungen und gemeinsamer Durchsetzungsmaßnahmen durch, an denen Mitglieder oder Bedienstete der Aufsichtsbehörden anderer Mitgliedstaaten teilnehmen.
(2) Verfügt der Verantwortliche oder der Auftragsverarbeiter über Niederlassungen in mehreren Mitgliedstaaten oder werden die Verarbeitungsvorgänge voraussichtlich auf eine bedeutende Zahl betroffener Personen in mehr als einem Mitgliedstaat erhebliche Auswirkungen haben, ist die Aufsichtsbehörde jedes dieser Mitgliedstaaten berechtigt, an den gemeinsamen Maßnahmen teilzunehmen. …“
20 Abschnitt 2 („Kohärenz“) von Kapitel VII der DSGVO umfasst die Art. 63 bis 67 dieser Verordnung. Art. 63 („Kohärenzverfahren“) lautet:
„Um zur einheitlichen Anwendung dieser Verordnung in der gesamten Union beizutragen, arbeiten die Aufsichtsbehörden im Rahmen des in diesem Abschnitt beschriebenen Kohärenzverfahrens untereinander und gegebenenfalls mit der Kommission zusammen.“
21 Art. 64 Abs. 2 DSGVO bestimmt:
„Jede Aufsichtsbehörde, der Vorsitz des [Europäischen Datenschutzausschusses] oder die Kommission können beantragen, dass eine Angelegenheit mit allgemeiner Geltung oder mit Auswirkungen in mehr als einem Mitgliedstaat vom [Europäischen Datenschutzausschuss] geprüft wird, um eine Stellungnahme zu erhalten, insbesondere wenn eine zuständige Aufsichtsbehörde den Verpflichtungen zur Amtshilfe gemäß Artikel 61 oder zu gemeinsamen Maßnahmen gemäß Artikel 62 nicht nachkommt.“
22 Art. 65 („Streitbeilegung durch den Ausschuss“) DSGVO sieht in Abs. 1 vor:
„Um die ordnungsgemäße und einheitliche Anwendung dieser Verordnung in Einzelfällen sicherzustellen, erlässt der [Europäische Datenschutzausschuss] in den folgenden Fällen einen verbindlichen Beschluss:
a) wenn eine betroffene Aufsichtsbehörde in einem Fall nach Artikel 60 Absatz 4 einen maßgeblichen und begründeten Einspruch gegen einen Beschlussentwurf der federführenden Aufsichtsbehörde eingelegt hat und sich die federführende Aufsichtsbehörde dem Einspruch nicht angeschlossen hat oder den Einspruch als nicht maßgeblich oder nicht begründet abgelehnt hat. Der verbindliche Beschluss betrifft alle Angelegenheiten, die Gegenstand des maßgeblichen und begründeten Einspruchs sind, insbesondere die Frage, ob ein Verstoß gegen diese Verordnung vorliegt,
b) wenn es widersprüchliche Standpunkte dazu gibt, welche der betroffenen Aufsichtsbehörden für die Hauptniederlassung zuständig ist,
…“
Deutsches Recht
23 § 19 Abs. 1 des Gesetzes gegen Wettbewerbsbeschränkungen in der Fassung der Bekanntmachung vom 26. Juni 2013 (BGBl. 2013 I S. 1750, 3245), zuletzt geändert durch Art. 2 des Gesetzes vom 16. Juli 2021 (BGBl. 2021 I S. 2959) (im Folgenden: GWB), bestimmt:
„Der Missbrauch einer marktbeherrschenden Stellung durch ein oder mehrere Unternehmen ist verboten.“
24 In § 32 Abs. 1 GWB heißt es:
„Die Kartellbehörde kann Unternehmen oder Vereinigungen von Unternehmen verpflichten, eine Zuwiderhandlung gegen eine Vorschrift dieses Teils oder gegen Artikel 101 oder 102 des Vertrages über die Arbeitsweise der Europäischen Union abzustellen.“
25 § 50f Abs. 1 GWB sieht vor:
„Die Kartellbehörden, Regulierungsbehörden, die oder der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit und die Landesbeauftragten für Datenschutz sowie die zuständigen Behörden im Sinne des § 2 des EU-Verbraucherschutzdurchführungsgesetzes können unabhängig von der jeweils gewählten Verfahrensart untereinander Informationen einschließlich personenbezogener Daten und Betriebs- und Geschäftsgeheimnisse austauschen, soweit dies zur Erfüllung ihrer jeweiligen Aufgaben erforderlich ist, sowie diese in ihren Verfahren verwerten. …“
Ausgangsrechtsstreit und Vorlagefragen
26 Meta Platforms Ireland betreibt in der Union das soziale Online-Netzwerk Facebook und bietet u. a. über www.facebook.com Dienste an, die für private Nutzer kostenlos sind. Andere Unternehmen des Meta-Konzerns bieten in der Union weitere Online-Dienste an, darunter Instagram, WhatsApp, Oculus und – bis zum 13. März 2020 – Masquerade.
27 Das Geschäftsmodell des sozialen Online-Netzwerks Facebook basiert auf der Finanzierung durch Online-Werbung, die auf den individuellen Nutzer des sozialen Netzwerks insbesondere nach Maßgabe seines Konsumverhaltens, seiner Interessen, seiner Kaufkraft und seiner Lebenssituation zugeschnitten ist. Technische Grundlage dieser Art von Werbung ist die automatisierte Erstellung von detaillierten Profilen der Nutzer des Netzwerks und der auf Ebene des Meta-Konzerns angebotenen Online-Dienste. Zu diesem Zweck werden neben den Daten, die diese Nutzer bei ihrer Registrierung für die betreffenden Online-Dienste direkt angeben, weitere nutzer- und gerätebezogene Daten innerhalb und außerhalb des sozialen Netzwerks und der vom Meta-Konzern bereitgestellten Online-Dienste erhoben und mit den verschiedenen Nutzerkonten verknüpft. In ihrer Gesamtheit lassen diese Daten detaillierte Rückschlüsse auf die Präferenzen und Interessen der Nutzer zu.
28 Für die Verarbeitung dieser Daten stützt sich Meta Platforms Ireland auf den Nutzungsvertrag, den die Nutzer des sozialen Netzwerks Facebook durch Betätigung der Schaltfläche „Registrieren“ abschließen und mit dem sie den von diesem Unternehmen festgelegten Allgemeinen Nutzungsbedingungen zustimmen. Die Zustimmung zu diesen Bedingungen ist notwendig, um das soziale Netzwerk Facebook nutzen zu können. Hinsichtlich der Verarbeitung personenbezogener Daten verweisen die Allgemeinen Nutzungsbedingungen auf die von diesem Unternehmen festgelegten Richtlinien für die Verwendung von Daten und Cookies. Danach erfasst Meta Platforms Ireland nutzer- und gerätebezogene Daten über Nutzeraktivitäten innerhalb und außerhalb des sozialen Netzwerks und ordnet sie den Facebook-Konten der betroffenen Nutzer zu. Bei den Daten, die Aktivitäten außerhalb des sozialen Netzwerks betreffen (im Folgenden auch: Off-Facebook-Daten), handelt es sich zum einen um Daten über den Aufruf dritter Websites und Apps, die über Programmierschnittstellen („Facebook Business Tools“) mit Facebook verbunden sind, und zum anderen um Daten über die Nutzung der anderen zum Meta-Konzern gehörenden Online-Dienste, darunter Instagram, WhatsApp, Oculus und – bis zum 13. März 2020 – Masquerade.
29 Das Bundeskartellamt leitete gegen Meta Platforms, Meta Platforms Ireland und Facebook Deutschland ein Verfahren ein, an dessen Ende es diesen Unternehmen mit Beschluss vom 6. Februar 2019, der auf § 19 Abs. 1 und § 32 GWB gestützt wurde, im Wesentlichen untersagte, in den Allgemeinen Nutzungsbedingungen die Nutzung des sozialen Netzwerks Facebook durch in Deutschland wohnhafte private Nutzer von der Verarbeitung ihrer Off-Facebook-Daten abhängig zu machen und diese Daten ohne ihre Einwilligung auf der Grundlage der damals geltenden Allgemeinen Nutzungsbedingungen zu verarbeiten. Außerdem verpflichtete das Bundeskartellamt diese Unternehmen, die Allgemeinen Nutzungsbedingungen so anzupassen, dass aus ihnen eindeutig hervorgeht, dass die fraglichen Daten nicht ohne Einwilligung des betreffenden Nutzers erfasst, mit den Facebook-Nutzerkonten verknüpft und verwendet werden. Das Bundeskartellamt stellte klar, dass eine solche Einwilligung ungültig sei, wenn sie eine Bedingung für die Nutzung des sozialen Netzwerks darstelle.
30 Das Bundeskartellamt begründete seinen Beschluss damit, dass die in den Allgemeinen Nutzungsbedingungen vorgesehene und von Meta Platforms Ireland durchgeführte Verarbeitung der Daten der betroffenen Nutzer eine missbräuchliche Ausnutzung der beherrschenden Stellung dieses Unternehmens auf dem Markt für soziale Online-Netzwerke für private Nutzer in Deutschland im Sinne von § 19 Abs. 1 GWB darstelle. Insbesondere seien die Allgemeinen Nutzungsbedingungen als Ausfluss dieser beherrschenden Stellung missbräuchlich, weil die darin vorgesehene Verarbeitung der Off-Facebook-Daten nicht mit den der DSGVO zugrunde liegenden Werten im Einklang stehe und insbesondere nicht nach Maßgabe von Art. 6 Abs. 1 und Art. 9 Abs. 2 dieser Verordnung gerechtfertigt werden könne.
31 Am 11. Februar 2019 legten Meta Platforms, Meta Platforms Ireland und Facebook Deutschland gegen den Beschluss des Bundeskartellamts beim Oberlandesgericht Düsseldorf (Deutschland) Beschwerde ein.
32 Am 31. Juli 2019 führte Meta Platforms Ireland neue Allgemeine Nutzungsbedingungen ein, in denen ausdrücklich darauf hingewiesen wurde, dass sich der Nutzer, anstatt für die Nutzung der Facebook-Produkte zu bezahlen, mit der Anzeige von Werbung einverstanden erklärt.
33 Außerdem bietet Meta Platforms seit dem 28. Januar 2020 weltweit die „Off-Facebook-Activity“ an, die es den Nutzern des sozialen Netzwerks Facebook ermöglicht, sich eine Zusammenfassung der sie betreffenden Informationen anzeigen zu lassen, die die Unternehmen des Meta-Konzerns im Zusammenhang mit ihren Aktivitäten auf anderen Websites und Apps erhalten, und diese Daten auf Wunsch von ihrem Facebook.com-Konto zu trennen, und zwar sowohl für die Vergangenheit als auch für die Zukunft.
34 Das Oberlandesgericht Düsseldorf hegt Zweifel in Bezug auf folgende Punkte: erstens die Befugnis nationaler Wettbewerbsbehörden, im Rahmen der Ausübung ihrer Zuständigkeiten zu prüfen, ob eine Verarbeitung personenbezogener Daten den Anforderungen der DSGVO entspricht, zweitens die Möglichkeit für den Betreiber eines sozialen Online-Netzwerks, sensible personenbezogene Daten der betroffenen Person im Sinne von Art. 9 Abs. 1 und 2 DSGVO zu verarbeiten, drittens die Rechtmäßigkeit der Verarbeitung der personenbezogenen Daten des betreffenden Nutzers durch einen solchen Betreiber gemäß Art. 6 Abs. 1 DSGVO und viertens die Gültigkeit der einem Unternehmen mit beherrschender Stellung auf dem nationalen Markt für soziale Online-Netzwerke im Hinblick auf eine solche Verarbeitung erteilten Einwilligung nach Maßgabe von Art. 6 Abs. 1 Unterabs. 1 Buchst. a und Art. 9 Abs. 2 Buchst. a DSGVO.
35 Da das Oberlandesgericht Düsseldorf der Ansicht ist, dass die Entscheidung des Ausgangsrechtsstreits von der Beantwortung dieser Fragen abhänge, hat es beschlossen, das Verfahren auszusetzen und dem Gerichtshof folgende Fragen zur Vorabentscheidung vorzulegen:
1. a) Ist es mit den Art. 51 ff. DSGVO vereinbar, wenn eine nationale Kartellbehörde eines Mitgliedstaats, wie das Bundeskartellamt, die nicht Aufsichtsbehörde im Sinne der Art. 51 ff. DSGVO ist und in deren Mitgliedstaat ein außerhalb der Europäischen Union ansässiges Unternehmen eine Niederlassung unterhält, die die in einem anderen Mitgliedstaat belegene Hauptniederlassung dieses Unternehmens, welcher die ausschließliche Verantwortung für die Verarbeitung personenbezogener Daten für das gesamte Gebiet der Europäischen Union obliegt, im Bereich Werbung, Kommunikation und Öffentlichkeitsarbeit unterstützt, für die kartellrechtliche Missbrauchsaufsicht einen Verstoß von Vertragsbedingungen der Hauptniederlassung zur Datenverarbeitung und von deren Durchführung gegen die DSGVO feststellt und eine Verfügung zur Abstellung dieses Verstoßes erlässt?
b) Wenn ja: Ist dies mit Art. 4 Abs. 3 EUV vereinbar, wenn gleichzeitig die federführende Aufsichtsbehörde im Mitgliedstaat der Hauptniederlassung im Sinne des Art. 56 Abs. 1 DSGVO deren Vertragsbedingungen zur Datenverarbeitung einem Untersuchungsverfahren unterzieht?
Wenn Frage 1 zu bejahen ist:
2. a) Handelt es sich dann, wenn ein Internetnutzer Webseiten oder Apps, die Bezug zu den Kriterien des Art. 9 Abs. 1 DSGVO haben, wie etwa Flirting-Apps, Homosexuellen-Partnerbörsen, Webseiten politischer Parteien, gesundheitsbezogene Webseiten, entweder nur aufruft oder dort auch Eingaben tätigt, etwa bei Registrierung oder Bestellungen, und ein … Unternehmen wie Meta Platforms Ireland über in die Webseiten und Apps eingebundene Schnittstellen, wie „Facebook Business Tools“, oder über auf dem Computer oder mobilen Endgerät des Internetnutzers eingesetzte Cookies oder ähnliche Speichertechnologien die Daten über den Aufruf der Webseiten und Apps durch den Nutzer und über dort getätigte Eingaben des Nutzers erfasst, mit den Daten des Facebook.com-Kontos des Nutzers verknüpft und verwendet, bei der Erfassung und/oder der Verknüpfung und/oder der Verwendung um die Verarbeitung sensibler Daten im Sinne der Norm?
b) Wenn ja: Stellt der Aufruf dieser Webseiten und Apps und/oder die Tätigung von Eingaben und/oder die Betätigung der in diese Webseiten oder Apps eingebundenen Schaltflächen („soziale Plug-ins“ wie „Gefällt mir“, „Teilen“ oder „Facebook Log-in“ oder „Account Kit“) eines Anbieters wie Meta Platforms Ireland ein offensichtliches Öffentlichmachen der Daten über den Aufruf als solchen und/oder die Eingaben durch den Nutzer im Sinne des Art. 9 Abs. 2 Buchst. e DSGVO dar?
3. Kann ein Unternehmen wie Meta Platforms Ireland, das ein werbefinanziertes, digitales soziales Netzwerk betreibt und in seinen Nutzungsbedingungen die Personalisierung der Inhalte und der Werbung, Netzwerksicherheit, Produktverbesserung und durchgängige und nahtlose Nutzung aller konzerneigenen Produkte anbietet, sich auf den Rechtfertigungsgrund der Erforderlichkeit zur Vertragserfüllung gemäß Art. 6 Abs. 1 Buchst. b DSGVO oder der Wahrnehmung berechtigter Interessen gemäß Art. 6 Abs. 1 Buchst. f DSGVO berufen, wenn es zu diesen Zwecken Daten aus anderen konzerneigenen Diensten und aus dritten Webseiten und Apps über in diese eingebundene Schnittstellen, wie „Facebook Business Tools“, oder über auf dem Computer oder mobilen Endgerät des Internetnutzers eingesetzte Cookies oder ähnliche Speichertechnologien erfasst, mit dem Facebook.com-Konto des Nutzers verknüpft und verwendet?
4. Können in einem solchen Fall auch
– die Minderjährigkeit der Nutzer für die Personalisierung von Inhalten und Werbung, Produktverbesserung, Netzwerksicherheit und Nicht-Marketing-Kommunikation mit dem Nutzer,
– die Bereitstellung von Messungen, Analysen und sonstigen Unternehmens-Services an Werbekunden, Entwickler und sonstige Partner, damit diese ihre Leistungen bewerten und verbessern können,
– die Bereitstellung von Marketing-Kommunikation mit dem Nutzer, damit das Unternehmen seine Produkte verbessern und Direktmarketing durchführen kann,
– Forschung und Innovation für soziale Zwecke, um den Stand der Technik bzw. das wissenschaftliche Verständnis bezüglich wichtiger sozialer Themen zu fördern und um die Gesellschaft und Welt positiv zu beeinflussen,
– die Information von Strafverfolgungs- und Vollstreckungsbehörden und die Antwort auf rechtliche Anfragen, um Straftaten, unberechtigte Nutzung, Verstöße gegen die Nutzungsbedingungen und Richtlinien und sonstige schädliche Verhaltensweisen zu verhindern, aufzudecken und zu verfolgen,
berechtigte Interessen im Sinne des Art. 6 Abs. 1 Buchst. f DSGVO sein, wenn das Unternehmen zu diesen Zwecken Daten aus anderen konzerneigenen Diensten und aus dritten Webseiten und Apps über in diese eingebundene Schnittstellen, wie „Facebook Business Tools“, oder über auf dem Computer oder mobilen Endgerät des Internetnutzers eingesetzte Cookies oder ähnliche Speichertechnologien erfasst, mit dem Facebook.com-Konto des Nutzers verknüpft und verwendet?
5. Kann in einem solchen Fall die Erfassung von Daten aus anderen konzerneigenen Diensten und aus dritten Webseiten und Apps über in diese eingebundene Schnittstellen, wie „Facebook Business Tools“, oder über auf dem Computer oder mobilen Endgerät des Internetnutzers eingesetzte Cookies oder ähnliche Speichertechnologien, die Verknüpfung mit dem Facebook.com-Konto des Nutzers und die Verwendung oder die Verwendung bereits anderweit rechtmäßig erfasster und verknüpfter Daten im Einzelfall auch gemäß Art. 6 Abs. 1 Buchst. c, d und e DSGVO gerechtfertigt sein, um etwa eine rechtsgültige Anfrage für bestimmte Daten zu beantworten (Buchst. c), um schädliches Verhalten zu bekämpfen und die Sicherheit zu fördern (Buchst. d), zur Forschung zum Wohle der Gesellschaft und zur Förderung von Schutz, Integrität und Sicherheit (Buchst. e)?
6. Kann gegenüber einem marktbeherrschenden Unternehmen wie Meta Platforms Ireland eine wirksame, insbesondere nach Art. 4 Nr. 11 DSGVO freiwillige, Einwilligung im Sinne der Art. 6 Abs. 1 Buchst. a, 9 Abs. 2 Buchst. a DSGVO erklärt werden?
Wenn Frage 1 zu verneinen ist:
7. a) Kann eine nationale Kartellbehörde eines Mitgliedstaats, wie das Bundeskartellamt, die nicht Aufsichtsbehörde im Sinne der Art. 51 ff. DSGVO ist und die einen Verstoß eines marktbeherrschenden Unternehmens gegen das kartellrechtliche Missbrauchsverbot prüft, der nicht in einem Verstoß von dessen Datenverarbeitungsbedingungen und ihrer Durchführung gegen die DSGVO besteht, etwa im Rahmen der Interessenabwägung Feststellungen dazu treffen, ob die Datenverarbeitungsbedingungen dieses Unternehmens und ihre Durchführung der DSGVO entsprechen?
b) Wenn ja: Gilt dies im Hinblick auf Art. 4 Abs. 3 EUV auch dann, wenn gleichzeitig die gemäß Art. 56 Abs. 1 DSGVO zuständige federführende Aufsichtsbehörde die Datenverarbeitungsbedingungen dieses Unternehmens einem Untersuchungsverfahren unterzieht?
Wenn Frage 7 zu bejahen ist, bedarf es der Beantwortung der Fragen 3 bis 5 in Bezug auf die Daten aus der Nutzung des konzerneigenen Dienstes Instagram.
Zu den Vorlagefragen
Zur ersten und zur siebten Frage
36 Mit seiner ersten und seiner siebten Frage, die zusammen zu behandeln sind, möchte das vorlegende Gericht im Wesentlichen wissen, ob die Art. 51 ff. DSGVO dahin auszulegen sind, dass eine mitgliedstaatliche Wettbewerbsbehörde im Rahmen der Prüfung, ob ein Missbrauch einer beherrschenden Stellung durch ein Unternehmen im Sinne von Art. 102 AEUV vorliegt, feststellen kann, dass die Allgemeinen Nutzungsbedingungen dieses Unternehmens, soweit sie sich auf die Verarbeitung personenbezogener Daten beziehen, und die Durchführung dieser Nutzungsbedingungen nicht mit der DSGVO vereinbar sind, und wenn ja, ob Art. 4 Abs. 3 EUV dahin auszulegen ist, dass eine solche inzidente Feststellung der Wettbewerbsbehörde auch dann möglich ist, wenn diese Nutzungsbedingungen gleichzeitig einem Untersuchungsverfahren durch die gemäß Art. 56 Abs. 1 DSGVO zuständige federführende Aufsichtsbehörde unterliegen.
37 Zur Beantwortung dieser Frage ist zunächst darauf hinzuweisen, dass nach Art. 55 Abs. 1 DSGVO jede Aufsichtsbehörde grundsätzlich für die Erfüllung der ihr mit dieser Verordnung übertragenen Aufgaben und die Ausübung der ihr mit der Verordnung übertragenen Befugnisse im Hoheitsgebiet ihres eigenen Mitgliedstaats zuständig ist (Urteil vom 15. Juni 2021, Facebook Ireland u. a., C‑645/19, EU:C:2021:483, Rn. 47 und die dort angeführte Rechtsprechung).
38 Zu den Aufgaben der Aufsichtsbehörden gehört es nach Art. 51 Abs. 1 und Art. 57 Abs. 1 Buchst. a DSGVO, die Anwendung der DSGVO zu überwachen und durchzusetzen, um die Grundrechte und Grundfreiheiten natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten zu schützen und den freien Verkehr solcher Daten in der Union zu erleichtern. Außerdem arbeiten die Aufsichtsbehörden gemäß Art. 51 Abs. 2 und Art. 57 Abs. 1 Buchst. g DSGVO zusammen, auch durch Informationsaustausch, und leisten sich gegenseitig Amtshilfe, um die einheitliche Anwendung und Durchsetzung der Verordnung zu gewährleisten.
39 Zur Erfüllung dieser Aufgaben verleiht Art. 58 DSGVO den Aufsichtsbehörden in Abs. 1 Untersuchungsbefugnisse, in Abs. 2 Abhilfebefugnisse und in Abs. 5 die Befugnis, Verstöße gegen die DSGVO den Justizbehörden zur Kenntnis zu bringen und gegebenenfalls die Einleitung eines gerichtlichen Verfahrens zu betreiben, um die Bestimmungen dieser Verordnung durchzusetzen.
40 Unbeschadet der in Art. 55 Abs. 1 DSGVO genannten Zuständigkeitsregel sieht Art. 56 Abs. 1 dieser Verordnung für grenzüberschreitende Verarbeitungen im Sinne von Art. 4 Nr. 23 DSGVO ein „Verfahren der Zusammenarbeit und Kohärenz“ vor, das auf einer Aufteilung der Zuständigkeiten zwischen einer „federführenden Aufsichtsbehörde“ und den anderen betroffenen Aufsichtsbehörden sowie auf einer Zusammenarbeit zwischen all diesen Behörden gemäß dem in Art. 60 dieser Verordnung vorgesehenen Verfahren der Zusammenarbeit beruht.
41 Darüber hinaus verpflichtet Art. 61 Abs. 1 DSGVO die Aufsichtsbehörden u. a. dazu, einander maßgebliche Informationen zu übermitteln und Amtshilfe zu gewähren, um die Verordnung in der gesamten Union einheitlich durchzuführen und anzuwenden. Hierzu ist das in den Art. 64 und 65 DSGVO geregelte Kohärenzverfahren vorgesehen, wie in Art. 63 der Verordnung klargestellt wird (Urteil vom 15. Juni 2021, Facebook Ireland u. a., C‑645/19, EU:C:2021:483, Rn. 52 und die dort angeführte Rechtsprechung).
42 Die in der DSGVO enthaltenen Vorschriften über die Zusammenarbeit richten sich allerdings nicht an die nationalen Wettbewerbsbehörden, sondern regeln die Zusammenarbeit zwischen den betreffenden nationalen Aufsichtsbehörden und der federführenden Aufsichtsbehörde sowie gegebenenfalls die Zusammenarbeit dieser Behörden mit dem Europäischen Datenschutzausschuss und der Kommission.
43 Weder die DSGVO noch ein anderes Instrument des Unionsrechts sehen spezifische Regeln für die Zusammenarbeit zwischen einer nationalen Wettbewerbsbehörde und den betroffenen nationalen Aufsichtsbehörden oder der federführenden Aufsichtsbehörde vor. Außerdem verbietet keine Bestimmung der DSGVO den nationalen Wettbewerbsbehörden, im Rahmen der Wahrnehmung ihrer Pflichten festzustellen, dass eine Datenverarbeitung, die von einem Unternehmen in beherrschender Stellung vorgenommen wird und möglicherweise einen Missbrauch dieser Stellung darstellt, nicht mit dieser Verordnung vereinbar ist.
44 Insoweit ist erstens klarzustellen, dass die Aufsichtsbehörden einerseits und die nationalen Wettbewerbsbehörden andererseits unterschiedliche Pflichten wahrnehmen und jeweils eigene Ziele und Aufgaben verfolgen.
45 Zum einen besteht nämlich, wie in Rn. 38 des vorliegenden Urteils ausgeführt, nach Art. 51 Abs. 1 und 2 sowie Art. 57 Abs. 1 Buchst. a und g DSGVO die Hauptaufgabe der Aufsichtsbehörde darin, die Anwendung dieser Verordnung zu überwachen und durchzusetzen und gleichzeitig zu ihrer einheitlichen Anwendung in der Union beizutragen, und zwar mit dem Ziel, die Grundrechte und Grundfreiheiten natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten zu schützen und den freien Verkehr solcher Daten in der Union zu erleichtern. Zu diesem Zweck verfügt die Aufsichtsbehörde, wie in Rn. 39 des vorliegenden Urteils ausgeführt, über die verschiedenen Befugnisse, die ihr nach Art. 58 DSGVO übertragen sind.
46 Zum anderen sind die nationalen Wettbewerbsbehörden nach Art. 5 der Verordnung Nr. 1/2003 u. a. für den Erlass von Entscheidungen zuständig, mit denen der Missbrauch einer beherrschenden Stellung durch ein Unternehmen im Sinne von Art. 102 AEUV festgestellt wird, wobei das Ziel der letztgenannten Vorschrift darin besteht, ein System zu errichten, das den Wettbewerb innerhalb des Binnenmarkts vor Verfälschungen schützt, auch unter Berücksichtigung der Folgen eines solchen Missbrauchs für die Verbraucher im Binnenmarkt.
47 Wie der Generalanwalt in Nr. 23 seiner Schlussanträge im Wesentlichen ausgeführt hat, muss eine Wettbewerbsbehörde beim Erlass einer solchen Entscheidung anhand aller besonderen Umstände des Einzelfalls beurteilen, ob das Verhalten des Unternehmens in beherrschender Stellung die Aufrechterhaltung des auf dem Markt bestehenden Grades an Wettbewerb oder die Entwicklung des Wettbewerbs durch den Einsatz von Mitteln behindert, die von den Mitteln eines normalen Produkt- oder Dienstleistungswettbewerbs abweichen (vgl. in diesem Sinne Urteil vom 25. März 2021, Deutsche Telekom/Kommission, C‑152/19 P, EU:C:2021:238, Rn. 41 und 42). Insoweit kann die Vereinbarkeit oder Unvereinbarkeit eines solchen Verhaltens mit den Bestimmungen der DSGVO gegebenenfalls – als Teil der relevanten Umstände des Einzelfalls – ein wichtiges Indiz sein, um festzustellen, ob dieses Verhalten den Einsatz von Mitteln eines normalen Wettbewerbs darstellt, und um die Folgen einer bestimmten Praxis auf dem Markt oder für die Verbraucher zu beurteilen.
48 Folglich kann es sich für die Wettbewerbsbehörde des betreffenden Mitgliedstaats im Rahmen der Prüfung, ob ein Unternehmen auf einem bestimmten Markt eine beherrschende Stellung missbraucht, als notwendig erweisen, auch zu prüfen, ob das Verhalten dieses Unternehmens mit anderen als den wettbewerbsrechtlichen Vorschriften, etwa mit den Vorschriften der DSGVO über den Schutz personenbezogener Daten, vereinbar ist.
49 In Anbetracht der unterschiedlichen Ziele, die zum einen mit den Wettbewerbsregeln, insbesondere mit Art. 102 AEUV, und zum anderen mit den Vorschriften der DSGVO über den Schutz personenbezogener Daten verfolgt werden, ist indessen festzustellen, dass eine nationale Wettbewerbsbehörde, wenn sie im Rahmen der Feststellung des Missbrauchs einer beherrschenden Stellung einen Verstoß gegen die DSGVO feststellt, nicht an die Stelle der Aufsichtsbehörden tritt. Insbesondere überwacht eine solche nationale Wettbewerbsbehörde weder die Anwendung dieser Verordnung, noch setzt sie diese Anwendung mit dem in Art. 51 Abs. 1 DSGVO genannten Ziel durch, nämlich um die Grundrechte und Grundfreiheiten natürlicher Personen bei der Verarbeitung zu schützen und den freien Verkehr personenbezogener Daten in der Union zu erleichtern. Außerdem nimmt eine solche Behörde dadurch, dass sie die Unvereinbarkeit einer Datenverarbeitung mit der DSGVO allein zum Zweck der Feststellung des Missbrauchs einer beherrschenden Stellung feststellt und Maßnahmen zur Abstellung dieses Missbrauchs auf der Basis einer sich aus dem Wettbewerbsrecht ergebenden Rechtsgrundlage auferlegt, keine der in Art. 57 DSGVO genannten Aufgaben wahr und macht auch nicht von den Befugnissen Gebrauch, die nach Art. 58 DSGVO der Aufsichtsbehörde vorbehalten sind.
50 Im Übrigen ist festzustellen, dass der Zugang zu personenbezogenen Daten sowie deren Verwertung im Rahmen der digitalen Wirtschaft von erheblicher Bedeutung sind. Diese Bedeutung wird im Ausgangsrechtsstreit durch das vom sozialen Netzwerk Facebook verfolgte Geschäftsmodell veranschaulicht, das, wie in Rn. 27 des vorliegenden Urteils dargelegt, vorsieht, dass durch die Kommerzialisierung von Werbenachrichten, die anhand von Nutzerprofilen (die ihrerseits auf von Meta Platforms Ireland erhobenen personenbezogenen Daten basieren) personalisiert werden, Einnahmen generiert werden.
51 Wie u. a. die Kommission hervorgehoben hat, sind der Zugang zu personenbezogenen Daten und die Möglichkeit ihrer Verarbeitung zu einem bedeutenden Parameter des Wettbewerbs zwischen Unternehmen der digitalen Wirtschaft geworden. Daher würde der Ausschluss der Vorschriften über den Schutz personenbezogener Daten aus dem rechtlichen Rahmen, den die Wettbewerbsbehörden bei der Prüfung des Missbrauchs einer beherrschenden Stellung zu berücksichtigen haben, die tatsächliche wirtschaftliche Entwicklung verkennen und die Wirksamkeit des Wettbewerbsrechts in der Union gefährden.
52 Zweitens ist jedoch darauf hinzuweisen, dass in dem Fall, dass eine nationale Wettbewerbsbehörde es im Rahmen einer Entscheidung über den Missbrauch einer beherrschenden Stellung für erforderlich hält, darüber zu befinden, ob eine Verarbeitung personenbezogener Daten durch das betreffende Unternehmen mit der DSGVO vereinbar ist, diese Behörde und die betreffende Aufsichtsbehörde oder gegebenenfalls die zuständige federführende Aufsichtsbehörde im Sinne dieser Verordnung zusammenarbeiten müssen, um eine kohärente Anwendung der Verordnung zu gewährleisten.
53 Denn auch wenn, wie in den Rn. 42 und 43 des vorliegenden Urteils festgestellt, weder die DSGVO noch andere Instrumente des Unionsrechts insoweit spezielle Regeln vorsehen, sind dennoch, wie der Generalanwalt in Nr. 28 seiner Schlussanträge im Wesentlichen ausgeführt hat, alle beteiligten nationalen Behörden bei der Anwendung der DSGVO an den in Art. 4 Abs. 3 EUV verankerten Grundsatz der loyalen Zusammenarbeit gebunden. Gemäß ständiger Rechtsprechung müssen sich die Mitgliedstaaten, einschließlich ihrer Verwaltungsbehörden, nach diesem Grundsatz in den vom Unionsrecht erfassten Bereichen bei der Erfüllung der Aufgaben, die sich aus den Verträgen ergeben, gegenseitig achten und unterstützen, alle geeigneten Maßnahmen zur Erfüllung der Verpflichtungen ergreifen, die sich u. a. aus den Rechtsakten der Unionsorgane ergeben, sowie alle Maßnahmen unterlassen, die die Verwirklichung der Ziele der Union gefährden könnten (vgl. in diesem Sinne Urteile vom 7. November 2013, UPC Nederland, C‑518/11, EU:C:2013:709, Rn. 59, sowie vom 1. August 2022, Sea Watch, C‑14/21 und C‑15/21, EU:C:2022:604, Rn. 156).
54 Unter Berücksichtigung dieses Grundsatzes sind die nationalen Wettbewerbsbehörden, wenn sie in Ausübung ihrer Zuständigkeiten zu prüfen haben, ob ein Verhalten eines Unternehmens mit den Bestimmungen der DSGVO vereinbar ist, somit verpflichtet, sich abzustimmen und loyal mit den betreffenden nationalen Aufsichtsbehörden bzw. der federführenden Aufsichtsbehörde zusammenzuarbeiten. In diesem Kontext müssen alle diese Behörden ihre jeweiligen Befugnisse und Zuständigkeiten dergestalt einhalten, dass die Verpflichtungen aus der DSGVO und die Ziele dieser Verordnung beachtet werden und ihre praktische Wirksamkeit gewahrt wird.
55 Wenn eine Wettbewerbsbehörde das Verhalten eines Unternehmens anhand der DSGVO prüft, kann dies nämlich die Gefahr von Divergenzen zwischen dieser Behörde und den Aufsichtsbehörden in Bezug auf die Auslegung dieser Verordnung mit sich bringen.
56 Hält es eine nationale Wettbewerbsbehörde im Rahmen der Prüfung, ob ein Unternehmen eine beherrschende Stellung im Sinne von Art. 102 AEUV missbraucht, für erforderlich, die Vereinbarkeit eines Verhaltens dieses Unternehmens mit den Bestimmungen der DSGVO zu prüfen, so muss sie daher ermitteln, ob dieses oder ein ähnliches Verhalten bereits Gegenstand einer Entscheidung durch die zuständige nationale Aufsichtsbehörde oder die federführende Aufsichtsbehörde oder auch durch den Gerichtshof war. Ist dies der Fall, darf die nationale Wettbewerbsbehörde davon nicht abweichen, wobei es ihr aber freisteht, daraus eigene Schlussfolgerungen unter dem Gesichtspunkt der Anwendung des Wettbewerbsrechts zu ziehen.
57 Wenn sie Zweifel hinsichtlich der Tragweite der von der zuständigen nationalen Aufsichtsbehörde bzw. der federführenden Aufsichtsbehörde vorgenommenen Beurteilung hat, wenn das in Rede stehende Verhalten oder ein ähnliches Verhalten gleichzeitig Gegenstand einer Prüfung durch diese Behörden ist oder wenn sie bei Nichtvorliegen einer Untersuchung dieser Behörden der Auffassung ist, dass das Verhalten eines Unternehmens nicht mit den Bestimmungen der DSGVO vereinbar ist, muss die nationale Wettbewerbsbehörde diese Behörden konsultieren und um deren Mitarbeit bitten, um ihre Zweifel auszuräumen oder zu klären, ob sie eine Entscheidung der betreffenden Aufsichtsbehörde abwarten muss, bevor sie mit ihrer eigenen Beurteilung beginnt.
58 Wird die Aufsichtsbehörde von einer nationalen Wettbewerbsbehörde eingeschaltet, muss sie auf dieses Ersuchen um Auskunft oder Zusammenarbeit innerhalb einer angemessenen Frist antworten, indem sie der Wettbewerbsbehörde die ihr vorliegenden Informationen übermittelt, mit denen die Zweifel dieser Behörde hinsichtlich der Tragweite der von der Aufsichtsbehörde vorgenommenen Beurteilung ausgeräumt werden können, oder gegebenenfalls die nationale Wettbewerbsbehörde darüber in Kenntnis setzt, ob sie beabsichtigt, das Verfahren der Zusammenarbeit mit den anderen betroffenen Aufsichtsbehörden oder der federführenden Aufsichtsbehörde gemäß den Art. 60 ff. DSGVO in Gang zu setzen, um zu einer Entscheidung zu gelangen, mit der festgestellt wird, ob das fragliche Verhalten mit dieser Verordnung im Einklang steht oder nicht.
59 Antwortet die ersuchte Aufsichtsbehörde nicht innerhalb einer angemessenen Frist, so kann die nationale Wettbewerbsbehörde ihre eigene Untersuchung fortsetzen. Das Gleiche gilt, wenn die zuständige nationale Aufsichtsbehörde und die federführende Aufsichtsbehörde keine Einwände dagegen erheben, dass eine solche Untersuchung fortgesetzt wird, ohne dass eine Entscheidung ihrerseits abgewartet wird.
60 Im vorliegenden Fall geht aus den dem Gerichtshof zur Verfügung stehenden Akten hervor, dass das Bundeskartellamt im Oktober und im November 2018, d. h. vor Erlass des Beschlusses vom 6. Februar 2019, mit dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) (Deutschland), dem für Facebook Deutschland zuständigen Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (Deutschland) sowie mit der Data Protection Commission (DPC) (Datenschutzbehörde, Irland) Kontakt aufgenommen hat, um diese Behörden über sein Tätigwerden zu informieren. Außerdem hat das Bundeskartellamt offenbar die Bestätigung erhalten, dass diese Behörden damals keine Ermittlungen zu einem ähnlichen Sachverhalt wie dem im Ausgangsverfahren in Rede stehenden durchführten, und diese Behörden haben gegen das Tätigwerden des Bundeskartellamts keine Einwände erhoben. Im Übrigen hat das Bundeskartellamt in den Rn. 555 und 556 seines Beschlusses vom 6. Februar 2019 ausdrücklich auf diese Zusammenarbeit Bezug genommen.
61 Unter diesen Umständen scheint das Bundeskartellamt – vorbehaltlich der vom vorlegenden Gericht vorzunehmenden Überprüfungen – seine Pflicht zur loyalen Zusammenarbeit mit den betreffenden nationalen Aufsichtsbehörden und der federführenden Aufsichtsbehörde erfüllt zu haben.
62 Nach alledem ist auf die erste und die siebte Frage zu antworten, dass die Art. 51 ff. DSGVO sowie Art. 4 Abs. 3 EUV dahin auszulegen sind, dass eine mitgliedstaatliche Wettbewerbsbehörde im Rahmen der Prüfung, ob ein Missbrauch einer beherrschenden Stellung durch ein Unternehmen im Sinne von Art. 102 AEUV vorliegt, vorbehaltlich der Erfüllung ihrer Pflicht zur loyalen Zusammenarbeit mit den Aufsichtsbehörden feststellen kann, dass die Allgemeinen Nutzungsbedingungen dieses Unternehmens, soweit sie sich auf die Verarbeitung personenbezogener Daten beziehen, und die Durchführung dieser Nutzungsbedingungen nicht mit der DSGVO vereinbar sind, wenn diese Feststellung erforderlich ist, um das Vorliegen eines solchen Missbrauchs zu belegen.
63 Angesichts dieser Pflicht zur loyalen Zusammenarbeit darf die nationale Wettbewerbsbehörde von einer Entscheidung der zuständigen nationalen Aufsichtsbehörde oder der zuständigen federführenden Aufsichtsbehörde in Bezug auf diese Allgemeinen Nutzungsbedingungen oder ähnliche allgemeine Bedingungen nicht abweichen. Wenn sie Zweifel hinsichtlich der Tragweite einer solchen Entscheidung hat, wenn die fraglichen Bedingungen oder ähnliche Bedingungen gleichzeitig Gegenstand einer Prüfung durch diese Behörden sind oder wenn sie bei Nichtvorliegen einer Untersuchung oder Entscheidung dieser Behörden der Auffassung ist, dass die fraglichen Bedingungen nicht mit der DSGVO vereinbar sind, muss die Wettbewerbsbehörde diese Aufsichtsbehörden konsultieren und um deren Mitarbeit bitten, um ihre Zweifel auszuräumen oder zu klären, ob sie eine Entscheidung der Aufsichtsbehörden abwarten muss, bevor sie mit ihrer eigenen Beurteilung beginnt. Wird von den Aufsichtsbehörden innerhalb einer angemessenen Frist kein Einwand erhoben oder keine Antwort erteilt, so kann die nationale Wettbewerbsbehörde ihre eigene Untersuchung fortsetzen.
Zur zweiten Frage
64 Mit seiner Frage 2 Buchst. a möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 9 Abs. 1 DSGVO dahin auszulegen ist, dass in dem Fall, dass ein Nutzer eines sozialen Online-Netzwerks Websites oder Apps, die einen Bezug zu einer oder mehreren der in dieser Bestimmung genannten Kategorien aufweisen, aufruft und dort gegebenenfalls Daten eingibt, indem er sich registriert oder Online-Bestellungen aufgibt, die Verarbeitung personenbezogener Daten durch den Betreiber dieses sozialen Online-Netzwerks, die darin besteht, dass dieser Betreiber die aus dem Aufruf dieser Websites und Apps stammenden Daten sowie die vom Nutzer eingegebenen Daten über integrierte Schnittstellen, Cookies oder ähnliche Speichertechnologien erhebt, die Gesamtheit dieser Daten mit dem jeweiligen Nutzerkonto des sozialen Netzwerks verknüpft und diese Daten verwendet, als eine „Verarbeitung besonderer Kategorien personenbezogener Daten“ im Sinne dieser Bestimmung anzusehen ist, die vorbehaltlich der in Art. 9 Abs. 2 DSGVO vorgesehenen Ausnahmen grundsätzlich untersagt ist.
65 Für den Fall, dass dies zu bejahen ist, möchte das vorlegende Gericht mit seiner Frage 2 Buchst. b im Wesentlichen wissen, ob Art. 9 Abs. 2 Buchst. e DSGVO dahin auszulegen ist, dass dann, wenn ein Nutzer eines sozialen Online-Netzwerks Websites oder Apps aufruft, die mit den in Art. 9 Abs. 1 DSGVO genannten Kategorien in Verbindung stehen, Daten auf diesen Websites oder in diesen Apps eingibt oder darin eingebundene Schaltflächen betätigt – wie etwa „Gefällt mir“ oder „Teilen“ oder Schaltflächen, die es dem Nutzer ermöglichen, sich auf diesen Websites oder in diesen Apps unter Verwendung der Anmeldedaten, die mit seinem Konto als Nutzer des sozialen Online-Netzwerks, seiner Telefonnummer oder seiner E‑Mail-Adresse verknüpft sind, zu identifizieren –, die Daten, die der Betreiber dieses sozialen Online-Netzwerks dabei über Cookies oder ähnliche Speichertechnologien erhebt, als von diesem Nutzer offensichtlich öffentlich gemacht im Sinne der erstgenannten Bestimmung gelten.
Zu Frage 2 Buchst. a
66 Im 51. Erwägungsgrund der DSGVO heißt es, dass personenbezogene Daten, die ihrem Wesen nach hinsichtlich der Grundrechte und Grundfreiheiten besonders sensibel sind, einen besonderen Schutz verdienen, da im Zusammenhang mit ihrer Verarbeitung erhebliche Risiken für die Grundrechte und Grundfreiheiten auftreten können. Ferner wird in diesem Erwägungsgrund ausgeführt, dass derartige personenbezogene Daten nicht verarbeitet werden sollten, es sei denn, die Verarbeitung ist in den in dieser Verordnung dargelegten besonderen Fällen zulässig.
67 In diesem Zusammenhang stellt Art. 9 Abs. 1 DSGVO den Grundsatz auf, dass die Verarbeitung der in dieser Vorschrift genannten besonderen Kategorien personenbezogener Daten untersagt ist. Dabei handelt es sich u. a. um Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen oder religiöse Überzeugungen hervorgehen, sowie um Gesundheitsdaten und Daten zum Sexualleben oder zur sexuellen Orientierung einer natürlichen Person.
68 Für die Zwecke der Anwendung von Art. 9 Abs. 1 DSGVO ist im Fall einer Verarbeitung personenbezogener Daten durch den Betreiber eines sozialen Online-Netzwerks zu prüfen, ob diese Daten die Offenlegung von Informationen ermöglichen, die unter eine der in dieser Bestimmung genannten Kategorien fallen, unabhängig davon, ob diese Informationen einen Nutzer dieses Netzwerks oder eine andere natürliche Person betreffen. Ist dies der Fall, ist eine solche Verarbeitung personenbezogener Daten vorbehaltlich der in Art. 9 Abs. 2 DSGVO vorgesehenen Ausnahmen untersagt.
69 Wie der Generalanwalt in den Nrn. 40 und 41 seiner Schlussanträge im Wesentlichen ausgeführt hat, gilt dieses in Art. 9 Abs. 1 DSGVO vorgesehene grundsätzliche Verbot unabhängig davon, ob die durch die fragliche Verarbeitung offengelegte Information richtig ist oder nicht und ob der Verantwortliche mit dem Ziel handelt, Informationen zu erhalten, die unter eine der in dieser Bestimmung genannten besonderen Kategorien fallen.
70 In Anbetracht der erheblichen Risiken für die Grundfreiheiten und Grundrechte der betroffenen Personen, die sich aus jeder Verarbeitung personenbezogener Daten ergeben, die unter eine der in Art. 9 Abs. 1 DSGVO genannten Kategorien fallen, zielt diese Vorschrift nämlich darauf ab, solche Datenverarbeitungen unabhängig von ihrem erklärten Zweck zu verbieten.
71 Im vorliegenden Fall besteht die im Ausgangsverfahren in Rede stehende Verarbeitung durch Meta Platforms Ireland erstens in der Erhebung personenbezogener Daten der Nutzer des sozialen Netzwerks Facebook, wenn diese Nutzer Websites oder Apps – einschließlich solcher, die Informationen offenbaren können, die unter eine oder mehrere der in Art. 9 Abs. 1 DSGVO genannten Kategorien fallen – aufrufen und dort gegebenenfalls Informationen eingeben, indem sie sich registrieren oder Online-Bestellungen aufgeben, zweitens in der Verknüpfung dieser Daten mit dem jeweiligen Nutzerkonto des sozialen Netzwerks und drittens in der Verwendung dieser Daten.
72 Insoweit wird es Sache des vorlegenden Gerichts sein, festzustellen, ob die so erhobenen Daten allein oder durch ihre Verknüpfung mit den Facebook-Konten der betreffenden Nutzer tatsächlich die Offenlegung solcher Informationen ermöglichen, unabhängig davon, ob diese Informationen einen Nutzer dieses Netzwerks oder eine andere natürliche Person betreffen. In Anbetracht der Fragen des vorlegenden Gerichts ist jedoch darauf hinzuweisen, dass – vorbehaltlich der von ihm vorzunehmenden Überprüfungen – in bestimmten Fällen wohl schon die Verarbeitung der Daten über den Aufruf der fraglichen Websites oder Apps solche Informationen offenbaren kann, ohne dass die Nutzer dort Informationen eingeben müssten, indem sie sich registrieren oder Online-Bestellungen aufgeben.
73 Nach alledem ist auf Frage 2 Buchst. a zu antworten, dass Art. 9 Abs. 1 DSGVO dahin auszulegen ist, dass in dem Fall, dass ein Nutzer eines sozialen Online-Netzwerks Websites oder Apps mit Bezug zu einer oder mehreren der in dieser Bestimmung genannten Kategorien aufruft und dort gegebenenfalls Daten eingibt, indem er sich registriert oder Online-Bestellungen aufgibt, die Verarbeitung personenbezogener Daten durch den Betreiber dieses sozialen Online-Netzwerks, die darin besteht, dass dieser Betreiber die aus dem Aufruf dieser Websites und Apps stammenden Daten sowie die vom Nutzer eingegebenen Daten über integrierte Schnittstellen, Cookies oder ähnliche Speichertechnologien erhebt, die Gesamtheit dieser Daten mit dem jeweiligen Nutzerkonto des sozialen Netzwerks verknüpft und diese Daten verwendet, als eine „Verarbeitung besonderer Kategorien personenbezogener Daten“ im Sinne dieser Bestimmung anzusehen ist, die vorbehaltlich der in Art. 9 Abs. 2 DSGVO vorgesehenen Ausnahmen grundsätzlich untersagt ist, wenn diese Datenverarbeitung die Offenlegung von Informationen ermöglicht, die in eine dieser Kategorien fallen, unabhängig davon, ob diese Informationen einen Nutzer dieses Netzwerks oder eine andere natürliche Person betreffen.
Zu Frage 2 Buchst. b
74 Zur Frage 2 Buchst. b (wie in Rn. 65 des vorliegenden Urteils umformuliert), die sich auf die in Art. 9 Abs. 2 Buchst. e DSGVO vorgesehene Ausnahme bezieht, ist darauf hinzuweisen, dass nach dieser Bestimmung das in Art. 9 Abs. 1 DSGVO aufgestellte grundsätzliche Verbot jeder Verarbeitung besonderer Kategorien personenbezogener Daten nicht gilt, wenn sich die Verarbeitung auf personenbezogene Daten bezieht, die „die betroffene Person offensichtlich öffentlich gemacht hat“.
75 Diese Ausnahme gilt wohlgemerkt nur für Daten, die „die betroffene Person“ offensichtlich öffentlich gemacht hat. Sie gilt also nicht für Daten, die andere Personen betreffen als diejenige, die diese Daten öffentlich gemacht hat.
76 Zudem ist Art. 9 Abs. 2 DSGVO, da er eine Ausnahme vom Grundsatz des Verbots der Verarbeitung besonderer Kategorien personenbezogener Daten vorsieht, eng auszulegen (vgl. in diesem Sinne Urteile vom 17. September 2014, Baltic Agro, C‑3/13, EU:C:2014:2227, Rn. 24 und die dort angeführte Rechtsprechung, sowie vom 6. Juni 2019, Weil, C‑361/18, EU:C:2019:473, Rn. 43 und die dort angeführte Rechtsprechung).
77 Folglich ist für die Zwecke der Anwendung der in Art. 9 Abs. 2 Buchst. e DSGVO vorgesehenen Ausnahme zu prüfen, ob die betroffene Person die Absicht hatte, die fraglichen personenbezogenen Daten ausdrücklich und durch eine eindeutige bestätigende Handlung der breiten Öffentlichkeit zugänglich zu machen.
78 Insoweit ist zum einen hinsichtlich des Aufrufs von Websites oder Apps mit Bezug zu einer oder mehreren der in Art. 9 Abs. 1 DSGVO genannten Kategorien festzustellen, dass der betreffende Nutzer mit diesem Aufruf keineswegs beabsichtigt, die Tatsache, dass er diese Websites oder Apps aufgerufen hat, und die diesen Aufruf betreffenden Daten, die seiner Person zugeordnet werden können, öffentlich zu machen. Er kann allenfalls damit rechnen, dass der Betreiber der Website bzw. der App Zugang zu diesen Daten hat und sie gegebenenfalls, sofern der Nutzer ausdrücklich einwilligt, an bestimmte Dritte, nicht aber an die breite Öffentlichkeit, weiterleitet.
79 Somit kann aus dem bloßen Aufruf solcher Websites oder Apps durch einen Nutzer nicht abgeleitet werden, dass diese personenbezogenen Daten von diesem Nutzer im Sinne von Art. 9 Abs. 2 Buchst. e DSGVO offensichtlich öffentlich gemacht worden wären.
80 Zum anderen ist in Bezug auf die Handlungen, die darin bestehen, Daten auf diesen Websites oder in diesen Apps einzugeben und darin eingebundene Schaltflächen zu betätigen – wie etwa „Gefällt mir“ oder „Teilen“ oder Schaltflächen, die es dem Nutzer ermöglichen, sich auf einer Website oder in einer App unter Verwendung der Anmeldedaten, die mit seinem Facebook-Nutzerkonto, seiner Telefonnummer oder seiner E‑Mail-Adresse verknüpft sind, zu identifizieren –, darauf hinzuweisen, dass mit diesen Handlungen eine Interaktion zwischen dem Nutzer und der betreffenden Website oder App und gegebenenfalls der Website des sozialen Online-Netzwerks einhergeht, wobei die Öffentlichkeit dieser Interaktion unterschiedliche Formen annehmen kann, da der Nutzer insoweit individuelle Einstellungen vornehmen kann.
81 Vor diesem Hintergrund wird das vorlegende Gericht zu prüfen haben, ob die betreffenden Nutzer die Möglichkeit haben, mit Hilfe von in Kenntnis der Sachlage vorgenommenen Einstellungen zu entscheiden, ob sie die auf den fraglichen Websites bzw. in den fraglichen Apps eingegebenen Daten sowie die Daten, die sich aus der Betätigung der in diese Websites oder Apps eingebundenen Schaltflächen ergeben, der breiten Öffentlichkeit oder vielmehr einem mehr oder weniger begrenzten Kreis ausgewählter Personen zugänglich machen.
82 Haben die betreffenden Nutzer tatsächlich eine solche Wahl, so kann, wenn sie Daten aus freien Stücken auf einer Website oder in einer App eingeben oder darin eingebundene Schaltflächen betätigen, nur dann davon ausgegangen werden, dass sie im Sinne von Art. 9 Abs. 2 Buchst. e DSGVO Daten, die sie betreffen, offensichtlich öffentlich machen, wenn sie – was das vorlegende Gericht zu prüfen haben wird – durch in voller Kenntnis der Sachlage vorgenommene individuelle Einstellungen klar ihre Entscheidung zum Ausdruck gebracht haben, dass diese Daten einer unbegrenzten Zahl von Personen zugänglich gemacht werden sollen.
83 Werden solche individuellen Einstellungen nicht angeboten, ist hingegen in Anbetracht der Ausführungen in Rn. 77 des vorliegenden Urteils davon auszugehen, dass Nutzer, wenn sie Daten freiwillig auf einer Website oder in einer App eingeben oder darin eingebundene Schaltflächen betätigen, diese Daten nur dann offensichtlich öffentlich gemacht haben, wenn sie auf der Grundlage einer auf dieser Website bzw. in dieser App erteilten expliziten Information vor einer solchen Eingabe bzw. Betätigung ausdrücklich darin eingewilligt haben, dass die Daten von jeder Person, die Zugang zu dieser Website bzw. App hat, eingesehen werden können.
84 Nach alledem ist auf Frage 2 Buchst. b zu antworten, dass Art. 9 Abs. 2 Buchst. e DSGVO dahin auszulegen ist, dass ein Nutzer eines sozialen Online-Netzwerks, wenn er Websites oder Apps mit Bezug zu einer oder mehreren der in Art. 9 Abs. 1 DSGVO genannten Kategorien aufruft, die diesen Aufruf betreffenden Daten, die der Betreiber dieses sozialen Online-Netzwerks über Cookies oder ähnliche Speichertechnologien erhebt, nicht im Sinne der erstgenannten Bestimmung offensichtlich öffentlich macht.
85 Gibt ein solcher Nutzer Daten auf solchen Websites oder in solchen Apps ein oder betätigt er darin eingebundene Schaltflächen – wie etwa „Gefällt mir“ oder „Teilen“ oder Schaltflächen, die es dem Nutzer ermöglichen, sich auf diesen Websites oder in diesen Apps unter Verwendung der Anmeldedaten, die mit seinem Konto als Nutzer des sozialen Netzwerks, seiner Telefonnummer oder seiner E‑Mail-Adresse verknüpft sind, zu identifizieren –, so macht er die eingegebenen oder sich aus der Betätigung dieser Schaltflächen ergebenden Daten nur dann im Sinne von Art. 9 Abs. 2 Buchst. e DSGVO offensichtlich öffentlich, wenn er zuvor, gegebenenfalls durch in voller Kenntnis der Sachlage vorgenommene individuelle Einstellungen, explizit seine Entscheidung zum Ausdruck gebracht hat, die ihn betreffenden Daten einer unbegrenzten Zahl von Personen öffentlich zugänglich zu machen.
Zu den Fragen 3 bis 5
86 Mit seiner dritten und seiner vierten Frage, die zusammen zu prüfen sind, möchte das vorlegende Gericht im Wesentlichen wissen, ob und unter welchen Voraussetzungen Art. 6 Abs. 1 Unterabs. 1 Buchst. b und f DSGVO dahin auszulegen ist, dass die Verarbeitung personenbezogener Daten durch den Betreiber eines sozialen Online-Netzwerks, die darin besteht, dass Daten der Nutzer eines solchen Netzwerks, die aus anderen Diensten des Konzerns, zu dem dieser Betreiber gehört, stammen oder sich aus dem Aufruf dritter Websites oder Apps durch diese Nutzer ergeben, erhoben, mit dem jeweiligen Nutzerkonto des sozialen Netzwerks verknüpft und verwendet werden, als im Sinne von Buchst. b für die Erfüllung eines Vertrags, dessen Vertragsparteien die betroffenen Personen sind, erforderlich oder im Sinne von Buchst. f zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich angesehen werden kann. Das vorlegende Gericht fragt sich insbesondere, ob in dieser Hinsicht bestimmte Interessen, die es ausdrücklich anführt, ein „berechtigtes Interesse“ im Sinne der letztgenannten Bestimmung darstellen.
87 Mit seiner fünften Frage möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 6 Abs. 1 Unterabs. 1 Buchst. c bis e DSGVO dahin auszulegen ist, dass eine solche Verarbeitung personenbezogener Daten als im Sinne von Buchst. c zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt, als im Sinne von Buchst. d erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen, oder als im Sinne von Buchst. e für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde, angesehen werden kann, sofern diese Verarbeitung zur Beantwortung einer rechtsgültigen Anfrage für bestimmte Daten (Buchst. c), zur Bekämpfung schädlichen Verhaltens und zur Förderung der Sicherheit (Buchst. d) oder zur Forschung zum Wohle der Gesellschaft und zur Förderung von Schutz, Integrität und Sicherheit (Buchst. e) erfolgt.
Vorbemerkungen
88 Vorab ist erstens darauf hinzuweisen, dass die Fragen 3 bis 5 deshalb gestellt werden, weil nach den Feststellungen des Bundeskartellamts in seinem Beschluss vom 6. Februar 2019 nicht davon ausgegangen werden kann, dass die Nutzer des sozialen Netzwerks Facebook in die Verarbeitung ihrer im Ausgangsverfahren in Rede stehenden Daten im Sinne von Art. 6 Abs. 1 Unterabs. 1 Buchst. a und Art. 9 Abs. 2 Buchst. a DSGVO eingewilligt haben. Vor diesem Hintergrund hält das vorlegende Gericht, wenngleich es den Gerichtshof mit seiner sechsten Frage zu dieser Prämisse befragt, die Prüfung für notwendig, ob diese Verarbeitung einer der übrigen, in Art. 6 Abs. 1 Unterabs. 1 Buchst. b bis f DSGVO genannten Rechtmäßigkeitsvoraussetzungen entspricht.
89 In diesem Zusammenhang ist darauf hinzuweisen, dass die in den Fragen 3 bis 5 angeführten Vorgänge der Erhebung, Verknüpfung und Verwendung von Daten sowohl sensible Daten im Sinne von Art. 9 Abs. 1 DSGVO als auch nicht sensible Daten umfassen können. Wenn ein Datensatz, der sowohl sensible als auch nicht sensible Daten enthält, Gegenstand solcher Vorgänge ist und insbesondere als Ganzes erhoben wird, ohne dass die Daten zum Zeitpunkt dieser Erhebung voneinander getrennt werden können, ist die Verarbeitung dieses Datensatzes aber als im Sinne von Art. 9 Abs. 1 DSGVO untersagt anzusehen, sofern sie mindestens ein sensibles Datum umfasst und keine der in Art. 9 Abs. 2 DSGVO genannten Ausnahmen greift.
90 Zweitens ist zur Beantwortung der Fragen 3 bis 5 darauf hinzuweisen, dass Art. 6 Abs. 1 Unterabs. 1 DSGVO eine erschöpfende und abschließende Liste der Fälle enthält, in denen eine Verarbeitung personenbezogener Daten als rechtmäßig angesehen werden kann. Daher muss eine Verarbeitung unter einen der in dieser Bestimmung vorgesehenen Fälle subsumierbar sein, um als rechtmäßig angesehen werden zu können (Urteil vom 22. Juni 2021, Latvijas Republikas Saeima [Strafpunkte], C‑439/19, EU:C:2021:504, Rn. 99 und die dort angeführte Rechtsprechung).
91 Nach Art. 6 Abs. 1 Unterabs. 1 Buchst. a DSGVO ist die Verarbeitung personenbezogener Daten rechtmäßig, wenn und soweit die betroffene Person ihre Einwilligung dazu für einen oder mehrere bestimmte Zwecke gegeben hat.
92 Liegt keine solche Einwilligung vor oder wurde die Einwilligung nicht freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich im Sinne von Art. 4 Nr. 11 DSGVO erteilt, ist eine solche Verarbeitung gleichwohl gerechtfertigt, wenn sie eine der in Art. 6 Abs. 1 Unterabs. 1 Buchst. b bis f genannten Voraussetzungen in Bezug auf die Erforderlichkeit erfüllt.
93 In diesem Zusammenhang sind die in Art. 6 Abs. 1 Unterabs. 1 Buchst. b bis f DSGVO vorgesehenen Rechtfertigungsgründe eng auszulegen, da sie dazu führen können, dass eine Verarbeitung personenbezogener Daten trotz fehlender Einwilligung der betroffenen Person rechtmäßig ist (vgl. in diesem Sinne Urteil vom 24. Februar 2022, Valsts ieņēmumu dienests [Verarbeitung personenbezogener Daten für steuerliche Zwecke], C‑175/20, EU:C:2022:124, Rn. 73 und die dort angeführte Rechtsprechung).
94 Außerdem braucht nach der Rechtsprechung des Gerichtshofs, wenn festgestellt werden kann, dass eine Verarbeitung personenbezogener Daten aus einem der in Art. 6 Abs. 1 Unterabs. 1 Buchst. b bis f DSGVO vorgesehenen Gründe erforderlich ist, nicht geprüft zu werden, ob diese Verarbeitung auch unter einen anderen dieser Gründe fällt (vgl. in diesem Sinne Urteil vom 1. August 2022, Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, Rn. 71).
95 Schließlich ist klarzustellen, dass nach Art. 5 DSGVO der Verantwortliche die Beweislast dafür trägt, dass die Daten u. a. für festgelegte, eindeutige und legitime Zwecke erhoben und auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden. Außerdem obliegt es nach Art. 13 Abs. 1 Buchst. c dieser Verordnung, wenn personenbezogene Daten bei der betroffenen Person erhoben werden, dem Verantwortlichen, diese Person über die Zwecke, für die diese Daten verarbeitet werden sollen, sowie über die Rechtsgrundlage für die Verarbeitung zu informieren.
96 Es ist zwar Sache des vorlegenden Gerichts, festzustellen, ob die verschiedenen Elemente der im Ausgangsverfahren in Rede stehenden Verarbeitung durch eines der in Art. 6 Abs. 1 Unterabs. 1 Buchst. b bis f DSGVO genannten Erfordernisse gerechtfertigt sind, doch kann der Gerichtshof ihm sachdienliche Hinweise für die Entscheidung des bei ihm anhängigen Rechtsstreits geben.
Zu den Fragen 3 und 4
97 Als Erstes ist zu Art. 6 Abs. 1 Unterabs. 1 Buchst. b DSGVO festzustellen, dass eine Verarbeitung personenbezogener Daten danach rechtmäßig ist, wenn sie „für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich [ist], die auf Anfrage der betroffenen Person erfolgen“.
98 Damit eine Verarbeitung personenbezogener Daten als für die Erfüllung eines Vertrags erforderlich im Sinne dieser Bestimmung angesehen werden kann, muss sie objektiv unerlässlich sein, um einen Zweck zu verwirklichen, der notwendiger Bestandteil der für die betroffene Person bestimmten Vertragsleistung ist. Der Verantwortliche muss somit nachweisen können, inwiefern der Hauptgegenstand des Vertrags ohne die betreffende Verarbeitung nicht erfüllt werden könnte.
99 Der etwaige Umstand, dass eine solche Verarbeitung im Vertrag erwähnt wird oder für dessen Erfüllung lediglich von Nutzen ist, ist insoweit für sich genommen unerheblich. Entscheidend für die Anwendung des in Art. 6 Abs. 1 Unterabs. 1 Buchst. b DSGVO genannten Rechtfertigungsgrundes ist nämlich, dass die Verarbeitung personenbezogener Daten durch den Verantwortlichen für die ordnungsgemäße Erfüllung des zwischen ihm und der betroffenen Person geschlossenen Vertrags wesentlich ist und dass daher keine praktikablen und weniger einschneidenden Alternativen bestehen.
100 Wie der Generalanwalt in Nr. 54 seiner Schlussanträge ausgeführt hat, ist im Fall eines Vertrags, der mehrere Dienstleistungen oder mehrere eigenständige Elemente einer Dienstleistung umfasst, die unabhängig voneinander erbracht werden können, die Anwendbarkeit von Art. 6 Abs. 1 Unterabs. 1 Buchst. b DSGVO für jede dieser Dienstleistungen gesondert zu beurteilen.
101 Im vorliegenden Fall nennt das vorlegende Gericht im Rahmen der Rechtfertigungsgründe, die in den Anwendungsbereich dieser Vorschrift fallen könnten, als Gesichtspunkte, die die angemessene Erfüllung des zwischen Meta Platforms Ireland und ihren Nutzern geschlossenen Vertrags gewährleisten sollen, die Personalisierung der Inhalte sowie die durchgängige und nahtlose Nutzung der Dienste des Meta-Konzerns.
102 Was erstens die auf die Personalisierung der Inhalte gestützte Rechtfertigung betrifft, so ist eine solche Personalisierung für den Nutzer zwar insofern von Nutzen, als sie es u. a. ermöglicht, dass ihm ein Inhalt angezeigt wird, der weitgehend seinen Interessen entspricht. Gleichwohl erscheint die Personalisierung der Inhalte – vorbehaltlich der Überprüfung durch das vorlegende Gericht – nicht erforderlich, um dem Nutzer die Dienste des sozialen Online-Netzwerks anzubieten. Diese Dienste können gegebenenfalls in Form einer gleichwertigen Alternative an ihn erbracht werden, die nicht mit einer solchen Personalisierung verbunden ist, so dass diese nicht objektiv unerlässlich ist, um einen Zweck zu verwirklichen, der notwendiger Bestandteil der Dienste ist.
103 Was zweitens die Rechtfertigung mit der durchgängigen und nahtlosen Nutzung der Dienste des Meta-Konzerns anbelangt, so geht aus den dem Gerichtshof vorliegenden Akten hervor, dass keine Verpflichtung besteht, sich für die verschiedenen vom Meta-Konzern angebotenen Dienste anzumelden, um im sozialen Netzwerk Facebook ein Nutzerkonto einrichten zu können. Die verschiedenen von diesem Konzern angebotenen Produkte und Dienste können vielmehr unabhängig voneinander genutzt werden, und die Nutzung jedes Produkts oder Dienstes beruht jeweils auf dem Abschluss eines gesonderten Nutzungsvertrags.
104 Vorbehaltlich der Überprüfung durch das vorlegende Gericht scheint daher eine Verarbeitung personenbezogener Daten, die aus anderen Diensten des Meta-Konzerns als dem des sozialen Online-Netzwerks stammen, nicht erforderlich zu sein, um die Erbringung des letztgenannten Dienstes zu ermöglichen.
105 Als Zweites ist zu Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO festzustellen, dass eine Verarbeitung personenbezogener Daten danach rechtmäßig ist, wenn sie „zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich [ist], sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt“.
106 Wie der Gerichtshof bereits entschieden hat, sind Verarbeitungen personenbezogener Daten nach dieser Bestimmung unter drei kumulativen Voraussetzungen rechtmäßig: Erstens muss von dem für die Verarbeitung Verantwortlichen oder von einem Dritten ein berechtigtes Interesse wahrgenommen werden, zweitens muss die Verarbeitung der personenbezogenen Daten zur Verwirklichung des berechtigten Interesses erforderlich sein und drittens dürfen die Interessen oder Grundrechte und Grundfreiheiten der Person, deren Daten geschützt werden sollen, gegenüber dem berechtigten Interesse des Verantwortlichen oder eines Dritten nicht überwiegen (Urteil vom 17. Juni 2021, M.I.C.M., C‑597/19, EU:C:2021:492, Rn. 106 und die dort angeführte Rechtsprechung).
107 Was erstens die Voraussetzung der Wahrnehmung eines berechtigten Interesses betrifft, ist darauf hinzuweisen, dass es nach Art. 13 Abs. 1 Buchst. d DSGVO dem Verantwortlichen obliegt, einer betroffenen Person zu dem Zeitpunkt, zu dem personenbezogene Daten bei ihr erhoben werden, die verfolgten berechtigten Interessen mitzuteilen, wenn diese Verarbeitung auf Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO beruht.
108 Was zweitens die Voraussetzung der Erforderlichkeit der Verarbeitung personenbezogener Daten zur Verwirklichung des wahrgenommenen berechtigten Interesses betrifft, so verlangt diese vom vorlegenden Gericht, zu prüfen, ob das berechtigte Interesse an der Verarbeitung der Daten nicht in zumutbarer Weise ebenso wirksam mit anderen Mitteln erreicht werden kann, die weniger stark in die Grundrechte und Grundfreiheiten der betroffenen Personen, insbesondere die durch die Art. 7 und 8 der Charta garantierten Rechte auf Achtung des Privatlebens und auf Schutz personenbezogener Daten, eingreifen (vgl. in diesem Sinne Urteil vom 22. Juni 2021, Latvijas Republikas Saeima [Strafpunkte], C‑439/19, EU:C:2021:504, Rn. 110 und die dort angeführte Rechtsprechung).
109 In diesem Zusammenhang ist auch darauf hinzuweisen, dass die Voraussetzung der Erforderlichkeit der Datenverarbeitung gemeinsam mit dem sogenannten Grundsatz der „Datenminimierung“ zu prüfen ist, der in Art. 5 Abs. 1 Buchst. c DSGVO verankert ist und verlangt, dass personenbezogene Daten „dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt“ sind (vgl. in diesem Sinne Urteil vom 11. Dezember 2019, Asociația de Proprietari bloc M5A-ScaraA, C‑708/18, EU:C:2019:1064, Rn. 48).
110 Was drittens die Voraussetzung betrifft, dass die Interessen oder Grundfreiheiten und Grundrechte der Person, deren Daten geschützt werden sollen, gegenüber dem berechtigten Interesse des Verantwortlichen oder eines Dritten nicht überwiegen, so hat der Gerichtshof bereits entschieden, dass diese Voraussetzung eine Abwägung der jeweiligen einander gegenüberstehenden Rechte und Interessen gebietet, die grundsätzlich von den konkreten Umständen des Einzelfalls abhängt, und dass es daher Sache des vorlegenden Gerichts ist, diese Abwägung unter Berücksichtigung dieser spezifischen Umstände vorzunehmen (Urteil vom 17. Juni 2021, M.I.C.M., C‑597/19, EU:C:2021:492, Rn. 111 und die dort angeführte Rechtsprechung).
111 Insoweit ergibt sich bereits aus dem Wortlaut von Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO, dass im Rahmen einer solchen Abwägung besonderes Augenmerk auf den Fall zu richten ist, dass es sich bei der betroffenen Person um ein Kind handelt. Nach dem 38. Erwägungsgrund dieser Verordnung verdienen Kinder nämlich bei der Verarbeitung ihrer personenbezogenen Daten besonderen Schutz, da sie sich der betreffenden Risiken, Folgen und Garantien sowie ihrer Rechte im Zusammenhang mit einer solchen Verarbeitung personenbezogener Daten möglicherweise weniger bewusst sind. Daher muss ein solcher besonderer Schutz insbesondere dann gelten, wenn personenbezogene Daten von Kindern für Werbezwecke, zur Erstellung von Persönlichkeits- oder Nutzerprofilen oder zum Zweck des Anbietens von Diensten, die sich unmittelbar an Kinder richten, verarbeitet werden.
112 Außerdem können, wie sich aus dem 47. Erwägungsgrund der DSGVO ergibt, die Interessen und Grundrechte der betroffenen Person das Interesse des Verantwortlichen insbesondere dann überwiegen, wenn personenbezogene Daten in Situationen verarbeitet werden, in denen eine betroffene Person vernünftigerweise nicht mit einer solchen Verarbeitung rechnet.
113 Im vorliegenden Fall verweist das vorlegende Gericht im Rahmen der Rechtfertigungsgründe, die in den Anwendungsbereich von Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO fallen könnten, auf die Personalisierung der Werbung, die Netzwerksicherheit, die Produktverbesserung, die Information von Strafverfolgungs- und Strafvollstreckungsbehörden, die etwaige Minderjährigkeit des Nutzers, Forschung und Innovation für soziale Zwecke sowie das an Werbekunden und sonstige Geschäftspartner gerichtete Angebot von Dienstleistungen für die Marketing-Kommunikation mit dem Nutzer und von Analyseinstrumenten, die es ihnen ermöglichen, ihre Leistungen zu bewerten.
114 Hierzu ist zunächst festzustellen, dass das Vorabentscheidungsersuchen keine Erläuterungen enthält, anhand deren sich nachvollziehen ließe, inwiefern Forschung und Innovation für soziale Zwecke oder die etwaige Minderjährigkeit des Nutzers als berechtigte Interessen im Sinne von Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO die Erhebung und Verwertung der fraglichen Daten rechtfertigen könnten. Folglich kann der Gerichtshof darüber nicht befinden.
115 Was erstens die Personalisierung der Werbung betrifft, ist darauf hinzuweisen, dass nach dem 47. Erwägungsgrund der DSGVO die Verarbeitung personenbezogener Daten zum Zweck der Direktwerbung als eine einem berechtigten Interesse des Verantwortlichen dienende Verarbeitung betrachtet werden kann.
116 Darüber hinaus muss eine solche Verarbeitung aber auch zur Verwirklichung dieses Interesses erforderlich sein, und die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person dürfen gegenüber diesem Interesse nicht überwiegen. Bei der entsprechenden Abwägung der jeweiligen einander gegenüberstehenden Rechte und Interessen, d. h. derjenigen des Verantwortlichen einerseits und der betroffenen Person andererseits, sind, wie in Rn. 112 des vorliegenden Urteils dargelegt, insbesondere die vernünftigen Erwartungen der betroffenen Person sowie der Umfang der fraglichen Verarbeitung und deren Auswirkungen auf diese Person zu berücksichtigen.
117 Insoweit ist darauf hinzuweisen, dass, auch wenn die Dienste eines sozialen Online-Netzwerks wie Facebook unentgeltlich sind, der Nutzer dieses Netzwerks vernünftigerweise nicht damit rechnen kann, dass der Betreiber dieses sozialen Netzwerks seine personenbezogenen Daten ohne seine Einwilligung zum Zweck der Personalisierung der Werbung verarbeitet. Unter diesen Umständen ist davon auszugehen, dass die Interessen und Grundrechte eines solchen Nutzers gegenüber dem Interesse dieses Betreibers an einer solchen Personalisierung der Werbung, mit der er seine Tätigkeit finanziert, überwiegen, so dass die von ihm zu solchen Zwecken vorgenommene Verarbeitung nicht unter Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO fallen kann.
118 Im Übrigen ist die im Ausgangsverfahren in Rede stehende Verarbeitung besonders umfassend, da sie potenziell unbegrenzte Daten betrifft und erhebliche Auswirkungen auf den Nutzer hat, dessen Online-Aktivitäten zum großen Teil, wenn nicht sogar fast vollständig, von Meta Platforms Ireland aufgezeichnet werden, was bei ihm das Gefühl auslösen kann, dass sein Privatleben kontinuierlich überwacht wird.
119 Zweitens stellt das Ziel der Gewährleistung der Netzsicherheit, wie aus dem 49. Erwägungsgrund der DSGVO hervorgeht, ein berechtigtes Interesse von Meta Platforms Ireland dar, das geeignet ist, die im Ausgangsverfahren in Rede stehende Verarbeitung zu rechtfertigen.
120 Hinsichtlich der Erforderlichkeit der Verarbeitung zur Verwirklichung dieses berechtigten Interesses wird das vorlegende Gericht jedoch zu prüfen haben, ob und inwieweit sich die Verarbeitung personenbezogener Daten, die aus Quellen außerhalb des sozialen Netzwerks Facebook erhoben wurden, tatsächlich als erforderlich erweist, um zu gewährleisten, dass die innere Sicherheit dieses Netzwerks nicht beeinträchtigt wird.
121 In diesem Zusammenhang wird es, wie in den Rn. 108 und 109 des vorliegenden Urteils ausgeführt, auch zu prüfen haben, ob zum einen das berechtigte Interesse an der Verarbeitung der Daten nicht in zumutbarer Weise ebenso wirksam mit anderen Mitteln erreicht werden kann, die weniger stark in die Grundrechte und Grundfreiheiten der betroffenen Personen, insbesondere die durch die Art. 7 und 8 der Charta garantierten Rechte auf Achtung des Privatlebens und auf Schutz personenbezogener Daten, eingreifen, und zum anderen, ob der in Art. 5 Abs. 1 Buchst. c DSGVO verankerte Grundsatz der „Datenminimierung“ gewahrt wird.
122 Was drittens das Ziel der Produktverbesserung betrifft, so kann nicht von vornherein ausgeschlossen werden, dass das Interesse des Verantwortlichen, sein Produkt oder seine Dienstleistung zu verbessern, um es bzw. sie leistungsstärker und damit attraktiver zu machen, ein berechtigtes Interesse darstellen kann, mit dem sich eine Verarbeitung personenbezogener Daten rechtfertigen lässt, und dass eine solche Verarbeitung zur Verfolgung dieses Interesses erforderlich sein kann.
123 Bei der im Ausgangsverfahren in Rede stehenden Datenverarbeitung erscheint es – vorbehaltlich der vom vorlegenden Gericht insoweit vorzunehmenden abschließenden Beurteilung – in Anbetracht des Umfangs dieser Verarbeitung, ihrer erheblichen Auswirkungen auf den Nutzer sowie des Umstands, dass der Nutzer vernünftigerweise nicht damit rechnen kann, dass die Daten von Meta Platforms Ireland verarbeitet werden, allerdings zweifelhaft, ob das Ziel der Produktverbesserung Vorrang vor den Interessen und Grundrechten des Nutzers haben kann, zumal wenn es sich bei diesem um ein Kind handelt.
124 Viertens ist zu dem vom vorlegenden Gericht angeführten Ziel der Information von Strafverfolgungs- und Strafvollstreckungsbehörden, um Straftaten zu verhindern, aufzudecken und zu verfolgen, festzustellen, dass dieses Ziel grundsätzlich kein berechtigtes Interesse des Verantwortlichen im Sinne von Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO darstellen kann. Ein privater Wirtschaftsteilnehmer wie Meta Platforms Ireland kann sich nämlich nicht auf ein solches berechtigtes Interesse berufen, das mit seiner wirtschaftlichen und kommerziellen Tätigkeit nichts zu tun hat. Dagegen kann das fragliche Ziel die von einem solchen Wirtschaftsteilnehmer vorgenommene Verarbeitung rechtfertigen, wenn diese zur Erfüllung einer rechtlichen Verpflichtung, der dieser Wirtschaftsteilnehmer unterliegt, objektiv erforderlich ist.
125 Nach alledem ist auf die dritte und die vierte Frage zu antworten, dass Art. 6 Abs. 1 Unterabs. 1 Buchst. b DSGVO dahin auszulegen ist, dass die Verarbeitung personenbezogener Daten durch den Betreiber eines sozialen Online-Netzwerks, die darin besteht, dass Daten der Nutzer eines solchen Netzwerks, die aus anderen Diensten des Konzerns, zu dem dieser Betreiber gehört, stammen oder sich aus dem Aufruf dritter Websites oder Apps durch diese Nutzer ergeben, erhoben, mit dem jeweiligen Nutzerkonto des sozialen Netzwerks verknüpft und verwendet werden, nur dann als im Sinne dieser Vorschrift für die Erfüllung eines Vertrags, dessen Vertragsparteien die betroffenen Personen sind, erforderlich angesehen werden kann, wenn diese Verarbeitung objektiv unerlässlich ist, um einen Zweck zu verwirklichen, der notwendiger Bestandteil der für diese Nutzer bestimmten Vertragsleistung ist, so dass der Hauptgegenstand des Vertrags ohne diese Verarbeitung nicht erfüllt werden könnte.
126 Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO ist dahin auszulegen, dass eine solche Verarbeitung nur dann als zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich im Sinne dieser Vorschrift angesehen werden kann, wenn der fragliche Betreiber den Nutzern, bei denen die Daten erhoben wurden, ein mit der Datenverarbeitung verfolgtes berechtigtes Interesse mitgeteilt hat, wenn diese Verarbeitung innerhalb der Grenzen dessen erfolgt, was zur Verwirklichung dieses berechtigten Interesses unbedingt notwendig ist und wenn sich aus einer Abwägung der einander gegenüberstehenden Interessen unter Würdigung aller relevanten Umstände ergibt, dass die Interessen oder Grundrechte und Grundfreiheiten dieser Nutzer gegenüber dem berechtigten Interesse des Verantwortlichen oder eines Dritten nicht überwiegen.
Zur fünften Frage
127 Erstens ist, soweit sich diese Frage auf Art. 6 Abs. 1 Unterabs. 1 Buchst. c und e DSGVO bezieht, darauf hinzuweisen, dass nach Buchst. c eine Verarbeitung personenbezogener Daten rechtmäßig ist, wenn sie zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der der Verantwortliche unterliegt. Ferner ist nach Buchst. e auch eine Verarbeitung rechtmäßig, die für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde.
128 Art. 6 Abs. 3 DSGVO stellt in Bezug auf diese beiden Fälle der Rechtmäßigkeit klar, dass die Verarbeitung auf dem Unionsrecht oder dem Recht der Mitgliedstaaten beruhen muss, dem der Verantwortliche unterliegt, und dass die betreffende Rechtsgrundlage ein im öffentlichen Interesse liegendes Ziel verfolgen und in einem angemessenen Verhältnis zu dem verfolgten legitimen Zweck stehen muss.
129 Im vorliegenden Fall möchte das vorlegende Gericht wissen, ob eine Verarbeitung personenbezogener Daten wie die im Ausgangsverfahren in Rede stehende als nach Art. 6 Abs. 1 Unterabs. 1 Buchst. c DSGVO gerechtfertigt angesehen werden kann, wenn sie darauf abzielt, „eine rechtsgültige Anfrage für bestimmte Daten zu beantworten“, und nach Art. 6 Abs. 1 Unterabs. 1 Buchst. e DSGVO gerechtfertigt sein kann, wenn sie die „Forschung zum Wohle der Gesellschaft“ zum Gegenstand hat und die „Förderung von Schutz, Integrität und Sicherheit“ bezweckt.
130 Es ist jedoch festzustellen, dass das vorlegende Gericht dem Gerichtshof keine Angaben unterbreitet hat, die es ihm ermöglichen würden, sich hierzu konkret zu äußern.
131 Es ist daher Sache des vorlegenden Gerichts, anhand der in Rn. 128 des vorliegenden Urteils genannten Voraussetzungen zu prüfen, ob die fragliche Verarbeitung als durch die angeführten Zwecke gerechtfertigt angesehen werden kann.
132 In Anbetracht der Ausführungen in Rn. 124 des vorliegenden Urteils wird das vorlegende Gericht für die Zwecke der Anwendung von Art. 6 Abs. 1 Unterabs. 1 Buchst. c DSGVO insbesondere zu prüfen haben, ob Meta Platforms Ireland gesetzlich verpflichtet ist, personenbezogene Daten präventiv zu erheben und zu speichern, um jegliche Anfrage einer nationalen Behörde, die darauf abzielt, bestimmte Daten über ihre Nutzer zu erlangen, beantworten zu können.
133 Desgleichen wird das vorlegende Gericht nach Maßgabe von Art. 6 Abs. 1 Unterabs. 1 Buchst. e DSGVO zu beurteilen haben, ob Meta Platforms Ireland mit einer Aufgabe betraut ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, etwa im Hinblick auf die Forschung zum Wohle der Gesellschaft oder die Förderung von Schutz, Integrität und Sicherheit, wobei es angesichts der Art und des im Wesentlichen wirtschaftlichen und kommerziellen Charakters der Tätigkeit dieses privaten Wirtschaftsteilnehmers allerdings wenig wahrscheinlich erscheint, dass ihm eine solche Aufgabe übertragen worden ist.
134 Außerdem wird das vorlegende Gericht gegebenenfalls zu prüfen haben, ob die von Meta Platforms Ireland vorgenommene Datenverarbeitung unter Berücksichtigung ihres Umfangs und ihrer erheblichen Auswirkungen auf die Nutzer des sozialen Netzwerks Facebook in den Grenzen des unbedingt Notwendigen erfolgt.
135 Was zweitens Art. 6 Abs. 1 Unterabs. 1 Buchst. d DSGVO betrifft, so sieht diese Bestimmung vor, dass die Verarbeitung personenbezogener Daten rechtmäßig ist, wenn sie erforderlich ist, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen.
136 Wie aus dem 46. Erwägungsgrund der DSGVO hervorgeht, bezieht sich diese Vorschrift speziell auf den Fall, dass die Verarbeitung personenbezogener Daten erforderlich ist, um ein lebenswichtiges Interesse der betroffenen Person oder einer anderen natürlichen Person zu schützen; beispielhaft genannt werden humanitäre Zwecke wie die Überwachung von Epidemien und deren Ausbreitung sowie humanitäre Notfälle wie Naturkatastrophen oder vom Menschen verursachte Katastrophen.
137 Aus diesen Beispielen sowie aus der gebotenen engen Auslegung von Art. 6 Abs. 1 Unterabs. 1 Buchst. d DSGVO folgt, dass der Betreiber eines sozialen Online-Netzwerks, dessen Tätigkeit im Wesentlichen wirtschaftlicher und kommerzieller Natur ist, in Anbetracht der Art der von ihm erbrachten Dienste nicht den Schutz eines lebenswichtigen Interesses seiner Nutzer oder einer anderen Person geltend machen kann, um die Rechtmäßigkeit einer Datenverarbeitung wie der im Ausgangsverfahren in Rede stehenden pauschal in abstrakter und präventiver Weise zu rechtfertigen.
138 Nach alledem ist auf die fünfte Frage zu antworten, dass Art. 6 Abs. 1 Unterabs. 1 Buchst. c DSGVO dahin auszulegen ist, dass die Verarbeitung personenbezogener Daten durch den Betreiber eines sozialen Online-Netzwerks, die darin besteht, dass Daten der Nutzer eines solchen Netzwerks, die aus anderen Diensten des Konzerns, zu dem dieser Betreiber gehört, stammen oder sich aus dem Aufruf dritter Websites oder Apps durch diese Nutzer ergeben, erhoben, mit dem jeweiligen Nutzerkonto des sozialen Netzwerks verknüpft und verwendet werden, nach dieser Vorschrift gerechtfertigt ist, wenn sie zur Erfüllung einer rechtlichen Verpflichtung, der der Verantwortliche gemäß einer Vorschrift des Unionsrechts oder des Rechts des betreffenden Mitgliedstaats unterliegt, tatsächlich erforderlich ist, diese Rechtsgrundlage ein im öffentlichen Interesse liegendes Ziel verfolgt und in einem angemessenen Verhältnis zu dem verfolgten legitimen Ziel steht und diese Verarbeitung innerhalb der Grenzen des unbedingt Notwendigen erfolgt.
139 Art. 6 Abs. 1 Unterabs. 1 Buchst. d und e DSGVO ist dahin auszulegen, dass eine solche Verarbeitung personenbezogener Daten grundsätzlich – vorbehaltlich einer Überprüfung durch das vorlegende Gericht – nicht als im Sinne von Buchst. d erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen, oder als im Sinne von Buchst. e für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde, angesehen werden kann.
Zur sechsten Frage
140 Mit seiner sechsten Frage möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 6 Abs. 1 Unterabs. 1 Buchst. a und Art. 9 Abs. 2 Buchst. a DSGVO dahin auszulegen sind, dass eine Einwilligung, die der Nutzer eines sozialen Online-Netzwerks dem Betreiber eines solchen Netzwerks erteilt hat, als eine Einwilligung angesehen werden kann, die die in Art. 4 Nr. 11 dieser Verordnung vorgesehenen Gültigkeitsvoraussetzungen – insbesondere diejenige der freiwilligen Erteilung der Einwilligung – erfüllt, wenn dieser Betreiber auf dem Markt für soziale Online-Netzwerke eine beherrschende Stellung einnimmt.
141 Art. 6 Abs. 1 Unterabs. 1 Buchst. a und Art. 9 Abs. 2 Buchst. a DSGVO verlangen die Einwilligung der betroffenen Person im Hinblick auf die Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke bzw. die Verarbeitung besonderer Kategorien von Daten gemäß Art. 9 Abs. 1 DSGVO.
142 Nach Art. 4 Nr. 11 DSGVO bezeichnet der Ausdruck „Einwilligung“ „jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist“.
143 Mit Blick auf die Zweifel des vorlegenden Gerichts ist erstens darauf hinzuweisen, dass nach dem 42. Erwägungsgrund der DSGVO die Einwilligung nicht als freiwillig erteilt angesehen werden kann, wenn die betroffene Person nicht über eine echte Wahlfreiheit verfügt oder nicht in der Lage ist, ihre Einwilligung zu verweigern oder zu widerrufen, ohne Nachteile zu erleiden.
144 Zweitens heißt es im 43. Erwägungsgrund dieser Verordnung, dass, um sicherzustellen, dass die Einwilligung freiwillig erfolgt ist, diese keine gültige Rechtsgrundlage für die Verarbeitung personenbezogener Daten darstellen sollte, wenn zwischen der betroffenen Person und dem Verantwortlichen ein klares Ungleichgewicht besteht. In diesem Erwägungsgrund wird auch klargestellt, dass die Einwilligung als nicht freiwillig erteilt gilt, wenn in Bezug auf verschiedene Vorgänge der Verarbeitung personenbezogener Daten nicht gesondert eine Einwilligung erteilt werden kann, obwohl dies im Einzelfall angebracht ist.
145 Drittens sieht Art. 7 Abs. 4 DSGVO vor, dass bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, in größtmöglichem Umfang dem Umstand Rechnung getragen werden muss, ob u. a. die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich ist.
146 Auf der Grundlage dieser Erwägungen ist die sechste Frage zu beantworten.
147 Insoweit ist festzustellen, dass der Umstand, dass der Betreiber eines sozialen Online-Netzwerks als für die Verarbeitung Verantwortlicher eine beherrschende Stellung auf dem Markt für soziale Netzwerke einnimmt, zwar für sich genommen nicht ausschließt, dass die Nutzer dieses sozialen Netzwerks im Sinne von Art. 4 Nr. 11 DSGVO wirksam in die Verarbeitung ihrer personenbezogenen Daten durch diesen Betreiber einwilligen können.
148 Gleichwohl muss, wie der Generalanwalt in Nr. 75 seiner Schlussanträge im Wesentlichen ausgeführt hat, ein solcher Umstand bei der Beurteilung der Wirksamkeit, insbesondere der Freiwilligkeit, der Einwilligung des Nutzers dieses Netzwerks berücksichtigt werden, da er geeignet ist, die Wahlfreiheit des Nutzers zu beeinträchtigen, der möglicherweise, wie es im 42. Erwägungsgrund der DSGVO heißt, nicht in der Lage ist, seine Einwilligung zu verweigern oder zu widerrufen, ohne Nachteile zu erleiden.
149 Außerdem kann aufgrund einer solchen beherrschenden Stellung zwischen der betroffenen Person und dem Verantwortlichen ein klares Ungleichgewicht im Sinne des 43. Erwägungsgrundes der DSGVO bestehen, wodurch es u. a. leichter wird, Bedingungen durchzusetzen, die für die Erfüllung des Vertrags nicht unbedingt erforderlich sind, was gemäß Art. 7 Abs. 4 DSGVO zu berücksichtigen ist. In diesem Zusammenhang ist daran zu erinnern, dass, wie in den Rn. 102 bis 104 des vorliegenden Urteils festgestellt worden ist, vorbehaltlich der vom vorlegenden Gericht vorzunehmenden Überprüfungen nicht ersichtlich ist, dass die im Ausgangsverfahren in Rede stehende Verarbeitung für die Erfüllung des Vertrags zwischen Meta Platforms Ireland und den Nutzern des sozialen Netzwerks Facebook unbedingt erforderlich wäre.
150 Daher müssen diese Nutzer die Freiheit haben, im Zuge des Vertragsabschlusses die Einwilligung in bestimmte Datenverarbeitungsvorgänge, die für die Erfüllung des Vertrags nicht erforderlich sind, einzeln zu verweigern, ohne dazu gezwungen zu sein, auf die Nutzung des vom Betreiber des sozialen Online-Netzwerks angebotenen Dienstes vollständig zu verzichten, was bedingt, dass ihnen, gegebenenfalls gegen ein angemessenes Entgelt, eine gleichwertige Alternative angeboten wird, die nicht mit solchen Datenverarbeitungsvorgängen einhergeht.
151 Außerdem ist es in Anbetracht des Umfangs der fraglichen Datenverarbeitung und ihrer erheblichen Auswirkungen auf die Nutzer dieses Netzwerks sowie angesichts des Umstands, dass diese Nutzer vernünftigerweise nicht damit rechnen können, dass andere Daten als die, die ihr Verhalten innerhalb des sozialen Netzwerks betreffen, von dessen Betreiber verarbeitet werden, im Sinne des 43. Erwägungsgrundes der DSGVO angebracht, dass eine Einwilligung gesondert für die Verarbeitung der letztgenannten Daten einerseits und die Off-Facebook-Daten andererseits erteilt werden kann. Es ist Sache des vorlegenden Gerichts, zu prüfen, ob eine solche Möglichkeit besteht; sollte dies nicht der Fall sein, müsste die Einwilligung der Nutzer in die Verarbeitung der Off-Facebook-Daten als nicht freiwillig erteilt gelten.
152 Schließlich ist darauf hinzuweisen, dass nach Art. 7 Abs. 1 DSGVO in Fällen, in denen die Verarbeitung auf einer Einwilligung beruht, der Verantwortliche die Beweislast dafür trägt, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat.
153 Anhand dieser Kriterien und einer eingehenden Prüfung aller Umstände des Einzelfalls wird das vorlegende Gericht zu ermitteln haben, ob die Nutzer des sozialen Netzwerks Facebook wirksam, insbesondere freiwillig, in die im Ausgangsverfahren in Rede stehende Verarbeitung eingewilligt haben.
154 Nach alledem ist auf die sechste Frage zu antworten, dass Art. 6 Abs. 1 Unterabs. 1 Buchst. a und Art. 9 Abs. 2 Buchst. a DSGVO dahin auszulegen sind, dass der Umstand, dass der Betreiber eines sozialen Online-Netzwerks eine beherrschende Stellung auf dem Markt für soziale Online-Netzwerke einnimmt, für sich genommen nicht ausschließt, dass die Nutzer eines solchen Netzwerks im Sinne von Art. 4 Nr. 11 DSGVO wirksam in die Verarbeitung ihrer personenbezogenen Daten durch diesen Betreiber einwilligen können. Gleichwohl ist dieser Umstand ein wichtiger Aspekt für die Prüfung, ob die Einwilligung tatsächlich wirksam, insbesondere freiwillig, erteilt wurde, wofür der betreffende Betreiber die Beweislast trägt.
Kosten
155 Für die Beteiligten des Ausgangsverfahrens ist das Verfahren Teil des beim vorlegenden Gericht anhängigen Verfahrens; die Kostenentscheidung ist daher Sache dieses Gerichts. Die Auslagen anderer Beteiligter für die Abgabe von Erklärungen vor dem Gerichtshof sind nicht erstattungsfähig.
Aus diesen Gründen hat der Gerichtshof (Große Kammer) für Recht erkannt:
1. Die Art. 51 ff. der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) sowie Art. 4 Abs. 3 EUV
sind dahin auszulegen, dass
eine mitgliedstaatliche Wettbewerbsbehörde im Rahmen der Prüfung, ob ein Missbrauch einer beherrschenden Stellung durch ein Unternehmen im Sinne von Art. 102 AEUV vorliegt, vorbehaltlich der Erfüllung ihrer Pflicht zur loyalen Zusammenarbeit mit den Aufsichtsbehörden feststellen kann, dass die Allgemeinen Nutzungsbedingungen dieses Unternehmens, soweit sie sich auf die Verarbeitung personenbezogener Daten beziehen, und die Durchführung dieser Nutzungsbedingungen nicht mit der Verordnung 2016/679 vereinbar sind, wenn diese Feststellung erforderlich ist, um das Vorliegen eines solchen Missbrauchs zu belegen.
Angesichts dieser Pflicht zur loyalen Zusammenarbeit darf die nationale Wettbewerbsbehörde von einer Entscheidung der zuständigen nationalen Aufsichtsbehörde oder der zuständigen federführenden Aufsichtsbehörde in Bezug auf diese Allgemeinen Nutzungsbedingungen oder ähnliche allgemeine Bedingungen nicht abweichen. Wenn sie Zweifel hinsichtlich der Tragweite einer solchen Entscheidung hat, wenn die fraglichen Bedingungen oder ähnliche Bedingungen gleichzeitig Gegenstand einer Prüfung durch diese Behörden sind oder wenn sie bei Nichtvorliegen einer Untersuchung oder Entscheidung dieser Behörden der Auffassung ist, dass die fraglichen Bedingungen nicht mit der Verordnung 2016/679 vereinbar sind, muss die Wettbewerbsbehörde diese Aufsichtsbehörden konsultieren und um deren Mitarbeit bitten, um ihre Zweifel auszuräumen oder zu klären, ob sie eine Entscheidung der Aufsichtsbehörden abwarten muss, bevor sie mit ihrer eigenen Beurteilung beginnt. Wird von den Aufsichtsbehörden innerhalb einer angemessenen Frist kein Einwand erhoben oder keine Antwort erteilt, so kann die nationale Wettbewerbsbehörde ihre eigene Untersuchung fortsetzen.
2. Art. 9 Abs. 1 der Verordnung 2016/679
ist dahin auszulegen, dass
in dem Fall, dass ein Nutzer eines sozialen Online-Netzwerks Websites oder Apps mit Bezug zu einer oder mehreren der in dieser Bestimmung genannten Kategorien aufruft und dort gegebenenfalls Daten eingibt, indem er sich registriert oder Online-Bestellungen aufgibt, die Verarbeitung personenbezogener Daten durch den Betreiber dieses sozialen Online-Netzwerks, die darin besteht, dass dieser Betreiber die aus dem Aufruf dieser Websites und Apps stammenden Daten sowie die vom Nutzer eingegebenen Daten über integrierte Schnittstellen, Cookies oder ähnliche Speichertechnologien erhebt, die Gesamtheit dieser Daten mit dem jeweiligen Nutzerkonto des sozialen Netzwerks verknüpft und diese Daten verwendet, als eine „Verarbeitung besonderer Kategorien personenbezogener Daten“ im Sinne dieser Bestimmung anzusehen ist, die vorbehaltlich der in Art. 9 Abs. 2 der Verordnung 2016/679 vorgesehenen Ausnahmen grundsätzlich untersagt ist, wenn diese Datenverarbeitung die Offenlegung von Informationen ermöglicht, die in eine dieser Kategorien fallen, unabhängig davon, ob diese Informationen einen Nutzer dieses Netzwerks oder eine andere natürliche Person betreffen.
3. Art. 9 Abs. 2 Buchst. e der Verordnung 2016/679
ist dahin auszulegen, dass
ein Nutzer eines sozialen Online-Netzwerks, wenn er Websites oder Apps mit Bezug zu einer oder mehreren der in Art. 9 Abs. 1 dieser Verordnung genannten Kategorien aufruft, die diesen Aufruf betreffenden Daten, die der Betreiber dieses sozialen Online-Netzwerks über Cookies oder ähnliche Speichertechnologien erhebt, nicht im Sinne der erstgenannten Bestimmung offensichtlich öffentlich macht.
Gibt ein solcher Nutzer Daten auf solchen Websites oder in solchen Apps ein oder betätigt er darin eingebundene Schaltflächen – wie etwa „Gefällt mir“ oder „Teilen“ oder Schaltflächen, die es dem Nutzer ermöglichen, sich auf diesen Websites oder in diesen Apps unter Verwendung der Anmeldedaten, die mit seinem Konto als Nutzer des sozialen Netzwerks, seiner Telefonnummer oder seiner E‑Mail-Adresse verknüpft sind, zu identifizieren –, so macht er die eingegebenen oder sich aus der Betätigung dieser Schaltflächen ergebenden Daten nur dann im Sinne von Art. 9 Abs. 2 Buchst. e der Verordnung 2016/679 offensichtlich öffentlich, wenn er zuvor, gegebenenfalls durch in voller Kenntnis der Sachlage vorgenommene individuelle Einstellungen, explizit seine Entscheidung zum Ausdruck gebracht hat, die ihn betreffenden Daten einer unbegrenzten Zahl von Personen öffentlich zugänglich zu machen.
4. Art. 6 Abs. 1 Unterabs. 1 Buchst. b der Verordnung 2016/679
ist dahin auszulegen, dass
die Verarbeitung personenbezogener Daten durch den Betreiber eines sozialen Online-Netzwerks, die darin besteht, dass Daten der Nutzer eines solchen Netzwerks, die aus anderen Diensten des Konzerns, zu dem dieser Betreiber gehört, stammen oder sich aus dem Aufruf dritter Websites oder Apps durch diese Nutzer ergeben, erhoben, mit dem jeweiligen Nutzerkonto des sozialen Netzwerks verknüpft und verwendet werden, nur dann als im Sinne dieser Vorschrift für die Erfüllung eines Vertrags, dessen Vertragsparteien die betroffenen Personen sind, erforderlich angesehen werden kann, wenn diese Verarbeitung objektiv unerlässlich ist, um einen Zweck zu verwirklichen, der notwendiger Bestandteil der für diese Nutzer bestimmten Vertragsleistung ist, so dass der Hauptgegenstand des Vertrags ohne diese Verarbeitung nicht erfüllt werden könnte.
5. Art. 6 Abs. 1 Unterabs. 1 Buchst. f der Verordnung 2016/679
ist dahin auszulegen, dass
die Verarbeitung personenbezogener Daten durch den Betreiber eines sozialen Online-Netzwerks, die darin besteht, dass Daten der Nutzer eines solchen Netzwerks, die aus anderen Diensten des Konzerns, zu dem dieser Betreiber gehört, stammen oder sich aus dem Aufruf dritter Websites oder Apps durch diese Nutzer ergeben, erhoben, mit dem jeweiligen Nutzerkonto des sozialen Netzwerks verknüpft und verwendet werden, nur dann als zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich im Sinne dieser Vorschrift angesehen werden kann, wenn der fragliche Betreiber den Nutzern, bei denen die Daten erhoben wurden, ein mit der Datenverarbeitung verfolgtes berechtigtes Interesse mitgeteilt hat, wenn diese Verarbeitung innerhalb der Grenzen dessen erfolgt, was zur Verwirklichung dieses berechtigten Interesses absolut notwendig ist und wenn sich aus einer Abwägung der einander gegenüberstehenden Interessen unter Würdigung aller relevanten Umstände ergibt, dass die Interessen oder Grundrechte und Grundfreiheiten dieser Nutzer gegenüber dem berechtigten Interesse des Verantwortlichen oder eines Dritten nicht überwiegen.
6. Art. 6 Abs. 1 Unterabs. 1 Buchst. c der Verordnung 2016/679
ist dahin auszulegen, dass
die Verarbeitung personenbezogener Daten durch den Betreiber eines sozialen Online-Netzwerks, die darin besteht, dass Daten der Nutzer eines solchen Netzwerks, die aus anderen Diensten des Konzerns, zu dem dieser Betreiber gehört, stammen oder sich aus dem Aufruf dritter Websites oder Apps durch diese Nutzer ergeben, erhoben, mit dem jeweiligen Nutzerkonto des sozialen Netzwerks verknüpft und verwendet werden, nach dieser Vorschrift gerechtfertigt ist, wenn sie zur Erfüllung einer rechtlichen Verpflichtung, der der Verantwortliche gemäß einer Vorschrift des Unionsrechts oder des Rechts des betreffenden Mitgliedstaats unterliegt, tatsächlich erforderlich ist, diese Rechtsgrundlage ein im öffentlichen Interesse liegendes Ziel verfolgt und in einem angemessenen Verhältnis zu dem verfolgten legitimen Ziel steht und diese Verarbeitung in den Grenzen des absolut Notwendigen erfolgt.
7. Art. 6 Abs. 1 Unterabs. 1 Buchst. d und e der Verordnung 2016/679
ist dahin auszulegen, dass
die Verarbeitung personenbezogener Daten durch den Betreiber eines sozialen Online-Netzwerks, die darin besteht, dass Daten der Nutzer eines solchen Netzwerks, die aus anderen Diensten des Konzerns, zu dem dieser Betreiber gehört, stammen oder sich aus dem Aufruf dritter Websites oder Apps durch diese Nutzer ergeben, erhoben, mit dem jeweiligen Nutzerkonto des sozialen Netzwerks verknüpft und verwendet werden, grundsätzlich – vorbehaltlich einer Überprüfung durch das vorlegende Gericht – nicht als im Sinne von Buchst. d erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen, oder als im Sinne von Buchst. e für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde, angesehen werden kann.
8. Art. 6 Abs. 1 Unterabs. 1 Buchst. a und Art. 9 Abs. 2 Buchst. a der Verordnung 2016/679
sind dahin auszulegen, dass
der Umstand, dass der Betreiber eines sozialen Online-Netzwerks eine beherrschende Stellung auf dem Markt für soziale Online-Netzwerke einnimmt, für sich genommen nicht ausschließt, dass die Nutzer eines solchen Netzwerks im Sinne von Art. 4 Nr. 11 dieser Verordnung wirksam in die Verarbeitung ihrer personenbezogenen Daten durch diesen Betreiber einwilligen können. Gleichwohl ist dieser Umstand ein wichtiger Aspekt für die Prüfung, ob die Einwilligung tatsächlich wirksam, insbesondere freiwillig, erteilt wurde, wofür der betreffende Betreiber die Beweislast trägt.
Lenaerts | Bay Larsen | Prechal |
Rossi | Gratsias | Arastey Sahún |
Gavalec | Csehi | Spineanu-Matei |
Verkündet in öffentlicher Sitzung in Luxemburg am 4. Juli 2023.
Der Kanzler | | Der Präsident |
A. Calot Escobar | | K. Lenaerts |