Rechtsdatenbank
Welche Fragen Arbeitgeber auch zum Thema Sozialversicherungsrecht bewegen: Die Rechtsdatenbank der AOK liefert die Antworten – einfach, fundiert und topaktuell.
Rechtsdatenbank
Welche Fragen Arbeitgeber auch zum Thema Sozialversicherungsrecht bewegen: Die Rechtsdatenbank der AOK liefert die Antworten – einfach, fundiert und topaktuell.
EuGH 04.10.2024 - C-446/21
EuGH 04.10.2024 - C-446/21 - URTEIL DES GERICHTSHOFS (Vierte Kammer) - 4. Oktober 2024 ( *1) - „Vorlage zur Vorabentscheidung – Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten – Verordnung (EU) 2016/679 – Soziale Online-Netzwerke – Allgemeine Nutzungsbedingungen für Verträge zwischen einer digitalen Plattform und einem Nutzer – Personalisierte Werbung – Art. 5 Abs. 1 Buchst. b – Grundsatz der Zweckbindung – Art. 5 Abs. 1 Buchst. c – Grundsatz der Datenminimierung – Art. 9 Abs. 1 und 2 – Verarbeitung besonderer Kategorien personenbezogener Daten – Daten zur sexuellen Orientierung – Von der betroffenen Person öffentlich gemachte Daten“
Leitsatz
In der Rechtssache C-446/21
betreffend ein Vorabentscheidungsersuchen nach Art. 267 AEUV, eingereicht vom Obersten Gerichtshof (Österreich) mit Beschluss vom 23. Juni 2021, beim Gerichtshof eingegangen am 20. Juli 2021, in dem Verfahren
Maximilian Schrems
gegen
Meta Platforms Ireland Ltd, vormals Facebook Ireland Ltd,
erlässt
DER GERICHTSHOF (Vierte Kammer)
unter Mitwirkung des Kammerpräsidenten C. Lycourgos, der Richterin O. Spineanu-Matei, der Richter J.-C. Bonichot und S. Rodin sowie der Richterin L. S. Rossi (Berichterstatterin),
Generalanwalt: A. Rantos,
Kanzler: N. Mundhenke, Verwaltungsrätin,
aufgrund des schriftlichen Verfahrens und auf die mündliche Verhandlung vom 8. Februar 2024,
unter Berücksichtigung der Erklärungen
von Herrn Maximilian Schrems, vertreten durch Rechtsanwältin K. Raabe-Stuppnig,
der Meta Platforms Ireland Ltd, vertreten durch Rechtsanwältin K. Hanschitz, Rechtsanwalt H.-G. Kamann, Rechtsanwältinnen, S. Khalil und B. Knötzl sowie Rechtsanwalt A. Natterer,
der österreichischen Regierung, vertreten durch A. Posch, J. Schmoll, C. Gabauer, G. Kunnert und E. Riedl als Bevollmächtigte,
der französischen Regierung, vertreten durch R. Bénard und A.-L. Desjonquères als Bevollmächtigte,
der italienischen Regierung, vertreten durch G. Palmieri als Bevollmächtigte im Beistand von E. De Bonis, Avvocato dello Stato,
der portugiesischen Regierung, vertreten durch P. Barros da Costa, A. Pimenta, J. Ramos und C. Vieira Guerra als Bevollmächtigte,
der Europäischen Kommission, vertreten durch A. Bouchagiar, F. Erlbacher, M. Heller und H. Kranenborg als Bevollmächtigte,
nach Anhörung der Schlussanträge des Generalanwalts in der Sitzung vom 25. April 2024
folgendes
Entscheidungsgründe
Urteil
Das Vorabentscheidungsersuchen betrifft die Auslegung von Art. 5 Abs. 1 Buchst. b und c, Art. 6 Abs. 1 Buchst. a und b sowie Art. 9 Abs. 1 und Abs. 2 Buchst. e der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. 2016, L 119, S. 1, im Folgenden: DSGVO).
Es ergeht im Rahmen eines Rechtsstreits, den Herr Maximilian Schrems, ein Nutzer des sozialen Netzwerks Facebook, gegen die Meta Platforms Ireland Ltd, vormals Facebook Ireland Ltd, mit Sitz in Irland führt, da diese seine personenbezogenen Daten rechtswidrig verarbeitet haben soll.
Rechtlicher Rahmen
Unionsrecht
In den Erwägungsgründen 1, 4, 39, 42, 43, 50 und 51 DSGVO heißt es:
Der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten ist ein Grundrecht. Gemäß Artikel 8 Absatz 1 der Charta der Grundrechte der Europäischen Union (im Folgenden ‚Charta‘) sowie Artikel 16 Absatz 1 [AEUV] hat jede Person das Recht auf Schutz der sie betreffenden personenbezogenen Daten.
…
Die Verarbeitung personenbezogener Daten sollte im Dienste der Menschheit stehen. Das Recht auf Schutz der personenbezogenen Daten ist kein uneingeschränktes Recht; es muss im Hinblick auf seine gesellschaftliche Funktion gesehen und unter Wahrung des Verhältnismäßigkeitsprinzips gegen andere Grundrechte abgewogen werden. Diese Verordnung steht im Einklang mit allen Grundrechten und achtet alle Freiheiten und Grundsätze, die mit der Charta anerkannt wurden und in den Europäischen Verträgen verankert sind, insbesondere Achtung des Privat- und Familienlebens, der Wohnung und der Kommunikation, Schutz personenbezogener Daten, Gedanken-, Gewissens- und Religionsfreiheit, Freiheit der Meinungsäußerung und Informationsfreiheit, unternehmerische Freiheit, Recht auf einen wirksamen Rechtsbehelf und ein faires Verfahren und Vielfalt der Kulturen, Religionen und Sprachen.
…
Jede Verarbeitung personenbezogener Daten sollte rechtmäßig und nach Treu und Glauben erfolgen. Für natürliche Personen sollte Transparenz dahingehend bestehen, dass sie betreffende personenbezogene Daten erhoben, verwendet, eingesehen oder anderweitig verarbeitet werden und in welchem Umfang die personenbezogenen Daten verarbeitet werden und künftig noch verarbeitet werden. … Natürliche Personen sollten über die Risiken, Vorschriften, Garantien und Rechte im Zusammenhang mit der Verarbeitung personenbezogener Daten informiert und darüber aufgeklärt werden, wie sie ihre diesbezüglichen Rechte geltend machen können. Insbesondere sollten die bestimmten Zwecke, zu denen die personenbezogenen Daten verarbeitet werden, eindeutig und rechtmäßig sein und zum Zeitpunkt der Erhebung der personenbezogenen Daten feststehen. Die personenbezogenen Daten sollten für die Zwecke, zu denen sie verarbeitet werden, angemessen und erheblich sowie auf das für die Zwecke ihrer Verarbeitung notwendige Maß beschränkt sein. Dies erfordert insbesondere, dass die Speicherfrist für personenbezogene Daten auf das unbedingt erforderliche Mindestmaß beschränkt bleibt. Personenbezogene Daten sollten nur verarbeitet werden dürfen, wenn der Zweck der Verarbeitung nicht in zumutbarer Weise durch andere Mittel erreicht werden kann. Um sicherzustellen, dass die personenbezogenen Daten nicht länger als nötig gespeichert werden, sollte der Verantwortliche Fristen für ihre Löschung oder regelmäßige Überprüfung vorsehen. …
…
Erfolgt die Verarbeitung mit Einwilligung der betroffenen Person, sollte der Verantwortliche nachweisen können, dass die betroffene Person ihre Einwilligung zu dem Verarbeitungsvorgang gegeben hat. … Damit sie in Kenntnis der Sachlage ihre Einwilligung geben kann, sollte die betroffene Person mindestens wissen, wer der Verantwortliche ist und für welche Zwecke ihre personenbezogenen Daten verarbeitet werden sollen. Es sollte nur dann davon ausgegangen werden, dass sie ihre Einwilligung freiwillig gegeben hat, wenn sie eine echte oder freie Wahl hat und somit in der Lage ist, die Einwilligung zu verweigern oder zurückzuziehen, ohne Nachteile zu erleiden.
Um sicherzustellen, dass die Einwilligung freiwillig erfolgt ist, sollte diese in besonderen Fällen, wenn zwischen der betroffenen Person und dem Verantwortlichen ein klares Ungleichgewicht besteht, insbesondere wenn es sich bei dem Verantwortlichen um eine Behörde handelt, und es deshalb in Anbetracht aller Umstände in dem speziellen Fall unwahrscheinlich ist, dass die Einwilligung freiwillig gegeben wurde, keine gültige Rechtsgrundlage liefern. Die Einwilligung gilt nicht als freiwillig erteilt, wenn zu verschiedenen Verarbeitungsvorgängen von personenbezogenen Daten nicht gesondert eine Einwilligung erteilt werden kann, obwohl dies im Einzelfall angebracht ist, oder wenn die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung abhängig ist, obwohl diese Einwilligung für die Erfüllung nicht erforderlich ist.
…
Die Verarbeitung personenbezogener Daten für andere Zwecke als die, für die die personenbezogenen Daten ursprünglich erhoben wurden, sollte nur zulässig sein, wenn die Verarbeitung mit den Zwecken, für die die personenbezogenen Daten ursprünglich erhoben wurden, vereinbar ist. In diesem Fall ist keine andere gesonderte Rechtsgrundlage erforderlich als diejenige für die Erhebung der personenbezogenen Daten. …
Personenbezogene Daten, die ihrem Wesen nach hinsichtlich der Grundrechte und Grundfreiheiten besonders sensibel sind, verdienen einen besonderen Schutz, da im Zusammenhang mit ihrer Verarbeitung erhebliche Risiken für die Grundrechte und Grundfreiheiten auftreten können. … Derartige personenbezogene Daten sollten nicht verarbeitet werden, es sei denn, die Verarbeitung ist in den in dieser Verordnung dargelegten besonderen Fällen zulässig … Zusätzlich zu den speziellen Anforderungen an eine derartige Verarbeitung sollten die allgemeinen Grundsätze und andere Bestimmungen dieser Verordnung, insbesondere hinsichtlich der Bedingungen für eine rechtmäßige Verarbeitung, gelten. Ausnahmen von dem allgemeinen Verbot der Verarbeitung dieser besonderen Kategorien personenbezogener Daten sollten ausdrücklich vorgesehen werden, unter anderem bei ausdrücklicher Einwilligung der betroffenen Person oder bei bestimmten Notwendigkeiten …“
In Art. 4 DSGVO heißt es:
„Im Sinne dieser Verordnung bezeichnet der Ausdruck:
‚personenbezogene Daten‘ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden ‚betroffene Person‘) beziehen …
‚Verarbeitung‘ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;
…
‚Verantwortlicher‘ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden;
…
‚Einwilligung‘ der betroffenen Person jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist;
…
‚grenzüberschreitende Verarbeitung‘ entweder
eine Verarbeitung personenbezogener Daten, die im Rahmen der Tätigkeiten von Niederlassungen eines Verantwortlichen oder eines Auftragsverarbeiters in der Union in mehr als einem Mitgliedstaat erfolgt, wenn der Verantwortliche oder Auftragsverarbeiter in mehr als einem Mitgliedstaat niedergelassen ist, oder
eine Verarbeitung personenbezogener Daten, die im Rahmen der Tätigkeiten einer einzelnen Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt, die jedoch erhebliche Auswirkungen auf betroffene Personen in mehr als einem Mitgliedstaat hat oder haben kann;
…“
Art. 5 („Grundsätze für die Verarbeitung personenbezogener Daten“) Abs. 1 und 2 DSGVO bestimmt:
„(1) Personenbezogene Daten müssen
auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden (‚Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz‘);
für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden … (‚Zweckbindung‘);
dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein (‚Datenminimierung‘);
…
in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist … (‚Speicherbegrenzung‘);
…
(2) Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können (‚Rechenschaftspflicht‘).“
In Art. 6 („Rechtmäßigkeit der Verarbeitung“) DSGVO heißt es:
„(1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;
die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;
…
(4) Beruht die Verarbeitung zu einem anderen Zweck als zu demjenigen, zu dem die personenbezogenen Daten erhoben wurden, nicht auf der Einwilligung der betroffenen Person oder auf einer Rechtsvorschrift der Union oder der Mitgliedstaaten, die in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme zum Schutz der in Artikel 23 Absatz 1 genannten Ziele darstellt, so berücksichtigt der Verantwortliche – um festzustellen, ob die Verarbeitung zu einem anderen Zweck mit demjenigen, zu dem die personenbezogenen Daten ursprünglich erhoben wurden, vereinbar ist – unter anderem
jede Verbindung zwischen den Zwecken, für die die personenbezogenen Daten erhoben wurden, und den Zwecken der beabsichtigten Weiterverarbeitung,
den Zusammenhang, in dem die personenbezogenen Daten erhoben wurden, insbesondere hinsichtlich des Verhältnisses zwischen den betroffenen Personen und dem Verantwortlichen,
die Art der personenbezogenen Daten, insbesondere ob besondere Kategorien personenbezogener Daten gemäß Artikel 9 verarbeitet werden oder ob personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 verarbeitet werden,
die möglichen Folgen der beabsichtigten Weiterverarbeitung für die betroffenen Personen,
das Vorhandensein geeigneter Garantien, wozu Verschlüsselung oder Pseudonymisierung gehören kann.“
Art. 7 („Bedingungen für die Einwilligung“) DSGVO sieht vor:
„(1) Beruht die Verarbeitung auf einer Einwilligung, muss der Verantwortliche nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat.
…
(3) Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Die betroffene Person wird vor Abgabe der Einwilligung hiervon in Kenntnis gesetzt. Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein.
(4) Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind.“
Art. 9 („Verarbeitung besonderer Kategorien personenbezogener Daten“) DSGVO bestimmt:
„(1) Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt.
(2) Absatz 1 gilt nicht in folgenden Fällen:
Die betroffene Person hat in die Verarbeitung der genannten personenbezogenen Daten für einen oder mehrere festgelegte Zwecke ausdrücklich eingewilligt, es sei denn, nach Unionsrecht oder dem Recht der Mitgliedstaaten kann das Verbot nach Absatz 1 durch die Einwilligung der betroffenen Person nicht aufgehoben werden,
…
die Verarbeitung bezieht sich auf personenbezogene Daten, die die betroffene Person offensichtlich öffentlich gemacht hat,
…“
Art. 13 („Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person“) DSGVO sieht vor:
„(1) Werden personenbezogene Daten bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten Folgendes mit:
…
die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung;
…
(3) Beabsichtigt der Verantwortliche, die personenbezogenen Daten für einen anderen Zweck weiterzuverarbeiten als den, für den die personenbezogenen Daten erlangt wurden, so stellt er der betroffenen Person vor dieser Weiterverarbeitung Informationen über diesen anderen Zweck und alle anderen maßgeblichen Informationen gemäß Absatz 2 zur Verfügung.
…“
Art. 25 Abs. 2 DSGVO lautet:
„Der Verantwortliche trifft geeignete technische und organisatorische Maßnahmen, die sicherstellen, dass durch Voreinstellung nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden. Diese Verpflichtung gilt für die Menge der erhobenen personenbezogenen Daten, den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit. Solche Maßnahmen müssen insbesondere sicherstellen, dass personenbezogene Daten durch Voreinstellungen nicht ohne Eingreifen der Person einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden.“
Ausgangsverfahren und Vorlagefragen
Meta Platforms Ireland, die die Dienste des sozialen Online-Netzwerks Facebook in der Union bereitstellt, ist die Verantwortliche für die Verarbeitung personenbezogener Daten von Nutzern dieses sozialen Netzwerks in der Union. Sie hat keine Zweigniederlassung in Österreich. Meta Platforms Ireland bietet u. a. unter der Adresse www.facebook.com Dienste an, die privaten Nutzern bis zum 5. November 2023 kostenlos zur Verfügung gestellt wurden. Seit dem 6. November 2023 sind diese Dienste nur noch für die Nutzer kostenlos, die zugestimmt haben, dass ihre personenbezogenen Daten erhoben und verwendet werden, um personalisierte Werbung an sie zu richten, wobei die Nutzer die Möglichkeit haben, ein kostenpflichtiges Abonnement abzuschließen, um Zugang zu einer Version dieser Dienste ohne zielgerichtete Werbung zu erhalten.
Das Geschäftsmodell des sozialen Online-Netzwerks Facebook beruht auf der Finanzierung durch Onlinewerbung, die sich gezielt an den individuellen Nutzer des sozialen Netzwerks insbesondere nach Maßgabe seines Konsumverhaltens, seiner Interessen und seiner Lebenssituation richtet. Diese Art der Werbung wird technisch ermöglicht, indem automatisiert detaillierte Profile der Nutzer des Netzwerks und der auf Ebene des Meta-Konzerns angebotenen Onlinedienste erstellt werden.
Für die Verarbeitung der personenbezogenen Daten der Nutzer des sozialen Netzwerks Facebook stützt sich Meta Platforms Ireland auf den Nutzungsvertrag, den die Nutzer durch Betätigung der Schaltfläche „Registrieren“ abschließen und mit dem sie den von Meta Platforms Ireland festgelegten allgemeinen Nutzungsbedingungen zustimmen. Zu dem im Ausgangsverfahren maßgeblichen Zeitpunkt war die Zustimmung zu diesen Bedingungen notwendig, um das soziale Netzwerk Facebook nutzen zu können. Hinsichtlich der Verarbeitung personenbezogener Daten der Nutzer verweisen die allgemeinen Nutzungsbedingungen auf die von Meta Platforms Ireland festgelegten Richtlinien für die Verwendung von Daten und Cookies. Nach diesen Richtlinien erfasst Meta Platforms Ireland nutzer- und gerätebezogene Daten über Nutzeraktivitäten sowohl innerhalb als auch außerhalb des sozialen Netzwerks und ordnet sie den Facebook-Konten der betroffenen Nutzer zu. Die Daten, die Aktivitäten außerhalb des sozialen Netzwerks betreffen (Off-Facebook-Daten), stammen zum einen aus dem Aufruf dritter Websites und Anwendungen, die über Programmierschnittstellen mit Facebook verbunden sind, und zum anderen aus der Nutzung der anderen zum Meta-Konzern gehörenden Onlinedienste, insbesondere Instagram und WhatsApp.
Vor Inkrafttreten der DSGVO erteilten die Nutzer von Facebook ihre ausdrückliche Einwilligung in die Verarbeitung ihrer Daten in Übereinstimmung mit den im damaligen Zeitraum geltenden Nutzungsbedingungen der Beklagten. In Anbetracht des Inkrafttretens der DSGVO am 25. Mai 2018 erstellte Meta Platforms Ireland am 19. April 2018 neue Nutzungsbedingungen, die sie ihren Nutzern zur Zustimmung vorlegte. Herr Schrems, dessen Konto gesperrt worden war, akzeptierte die neuen Nutzungsbedingungen, damit er Facebook weiter nutzen konnte. Diese Einwilligung war erforderlich, um den Zugang zu seinem Konto aufrechtzuerhalten und die entsprechenden Dienste zu nutzen.
Meta Platforms Ireland richtete verschiedene „Werkzeuge“ (Tools) ein, um den Nutzern einen Einblick in und eine Kontrolle über ihre gespeicherten Daten zu ermöglichen. In diesen Werkzeugen sind nicht alle verarbeiteten Daten ersichtlich, sondern nur die, die nach Ansicht der Gesellschaft für die Nutzer interessant und relevant sind. So kann ein Nutzer, der dies beantragt, beispielsweise sehen, dass er über sein Facebook-Profil eine Anwendung geöffnet, eine Webseite besucht, eine bestimmte Suche oder einen Kauf getätigt oder eine Werbeeinschaltung angeklickt hat.
Meta Platforms Ireland verwendet, wie in ihren Nutzungsbedingungen und Richtlinien festgehalten, Cookies, Social Plug-ins und Pixel. Sie kann durch die Cookies die Quelle der Aufrufe zuordnen. Ohne Aktivierung der Cookies sind viele von Meta Platforms Ireland erbrachte Dienste nicht nutzbar. Die „Social Plug-ins“ von Facebook werden von dritten Betreibern von Websites in ihre Seiten „eingebaut“. Am weitesten verbreitet ist die Schaltfläche „Gefällt mir“ von Facebook. Bei jedem Abruf von Websites, die diese Schaltfläche enthalten, werden die auf dem verwendeten Gerät hinterlegten Cookies, die URL der besuchten Seite und weitere Daten wie IP-Adressen und Zeitangaben an Meta Platforms Ireland übertragen. Zu diesem Zweck ist es nicht erforderlich, dass der Nutzer die Schaltfläche „Gefällt mir“ angeklickt hat, da die bloße Betrachtung einer Website, die ein solches Plug-in enthält, ausreicht, um diese Daten anschließend an diese Gesellschaft zu übermitteln.
Aus der Vorlageentscheidung geht hervor, dass sich Plug-ins auch auf Websites politischer Parteien und auf Websites, die sich an ein homosexuelles Publikum richten, befinden, die von Herrn Schrems besucht wurden. Aufgrund dieser „Plug-ins“ konnte Meta Platforms Ireland das Verhalten von Herrn Schrems im Internet verfolgen, was die Erhebung bestimmter sensibler personenbezogener Daten ausgelöst hat.
Pixel können, ebenso wie Social Plug-ins, in die Seiten von Websites integriert werden und ermöglichen es, Informationen über die Nutzer zu erheben, die diese Seiten besucht haben, insbesondere um die Werbung auf diesen Seiten zu messen und zu optimieren. Beispielsweise können Betreiber von Websites, indem sie einen Facebook-Pixel in ihre eigene Website integrieren, von Meta Platforms Ireland Berichte darüber erhalten, wie viele Personen ihre Werbung auf Facebook gesehen haben und sich dann anschließend mit ihrer eigenen Website verbunden haben, um diese zu besuchen oder einen Kauf zu tätigen.
Social Plug-ins und Pixel stellen in Verbindung mit Cookies somit einen wesentlichen Baustein der Internetwerbung dar, da die große Mehrheit der im Internet verfügbaren Inhalte über Werbung finanziert wird. Insbesondere Plug-ins ermöglichen es, den Nutzern relevante Anzeigen zu präsentieren, und Pixel dienen den Werbetreibenden zur Messung der Leistung von Werbekampagnen und zur Gewinnung von Informationen über bestimmte Zielgruppen von Nutzern.
Vorliegend geht aus der Vorlageentscheidung hervor, dass Herr Schrems Meta Platforms Ireland nicht erlaubt hat, seine personenbezogenen Daten über seine Tätigkeiten außerhalb von Facebook, die Meta Platforms Ireland von Werbetreibenden und anderen Partnern erhalte, für personalisierte Werbezwecke zu verarbeiten. Jedoch habe Meta Platforms Ireland bestimmte Daten über Herrn Schrems aufgrund von Cookies, Social Plug-ins und vergleichbaren auf Webseiten Dritter integrierten Technologien erlangt und diese verwendet, um Facebook-Produkte zu verbessern und Herrn Schrems personalisierte Werbung zukommen zu lassen.
Des Weiteren ergibt sich aus der Vorlageentscheidung auch, dass Herr Schrems auf seinem Facebook-Profil keine sensiblen Daten angegeben hat, dass nur seine „Freunde“ seine Aktivitäten oder die Informationen auf seiner „Timeline“ (Chronik) sehen können und dass seine „Freundesliste“ nicht öffentlich ist. Herr Schrems hat sich auch dagegen entschieden, Meta Platforms Ireland die Verwendung der Felder seines Profils zu Beziehungsstatus, Arbeitgeber, Berufsbezeichnung und Ausbildung für gezielte Werbung zu gestatten.
Meta Platforms Ireland kann jedoch anhand der ihr zur Verfügung stehenden Daten auch das Interesse von Herrn Schrems an sensiblen Themen wie Gesundheit, sexuelle Orientierung, ethnische Gruppen und politische Parteien erkennen, was es ihr ermöglicht, zielgerichtete Werbung an ihn zu richten, die beispielsweise auf eine bestimmte sexuelle Orientierung oder eine bestimmte politische Überzeugung abzielt.
So erhielt Herr Schrems zum einen Werbung für eine österreichische Politikerin. Diese Werbung beruhte auf der Analyse von Meta Platforms Ireland, wonach er Gemeinsamkeiten mit anderen Nutzern aufweise, die diese Politikerin mit „Gefällt mir“ markiert hatten. Zum anderen erhielt Herr Schrems auch regelmäßig Werbung, die auf ein homosexuelles Publikum abzielte, und Einladungen zu entsprechenden Veranstaltungen, obwohl er sich zuvor für diese Veranstaltungen nicht interessiert hatte und den Veranstaltungsort nicht kannte. Diese Werbungen und Einladungen orientierten sich nicht unmittelbar an der sexuellen Orientierung des Klägers des Ausgangsverfahrens oder seiner „Freunde“, sondern an der Analyse deren Interessen, vorliegend an der Tatsache, dass einer der Freunde von Herrn Schrems ein Produkt durch Betätigung der Schaltfläche „Gefällt mir“ markiert habe.
Herr Schrems gab eine Analyse zu den Rückschlüssen in Auftrag, die aus seiner Freundesliste herausgerechnet werden können. Diese ergab, dass er seinen Zivildienst beim Roten Kreuz in Salzburg abgeleistet habe und homosexuell sei. Des Weiteren befinden sich auf der von Meta Platforms Ireland geführten Liste seiner Aktivitäten außerhalb von Facebook u. a. Anwendungen und Internetseiten für die Partnersuche für Homosexuelle sowie die Website einer österreichischen politischen Partei. Zu den gespeicherten Daten des Klägers des Ausgangsverfahrens gehört auch eine E-Mail-Adresse, die in seinem Facebook-Profil nicht angegeben war, er aber bei Anfragen an Meta Platforms Ireland benutzt hatte.
Aus der Vorlageentscheidung geht ferner hervor, dass Herr Schrems seine Homosexualität öffentlich kommuniziert. Er hat seine sexuelle Orientierung aber nicht in seinem Facebook-Profil angegeben.
Herr Schrems machte vor dem Landesgericht für Zivilrechtssachen Wien (Österreich) geltend, dass die Verarbeitung seiner personenbezogenen Daten durch Meta Platforms Ireland gegen mehrere Bestimmungen der DSGVO verstoße. Seiner Ansicht nach erfüllt seine Zustimmung zu den Nutzungsbedingungen der digitalen Plattform der Beklagten des Ausgangsverfahrens nicht die Voraussetzungen von Art. 6 Abs. 1 und Art. 7 DSGVO. Zudem verarbeite Meta Platforms Ireland sensiblen Daten des Klägers des Ausgangsverfahrens im Sinne von Art. 9 DSGVO ohne die hierfür erforderliche Einwilligung nach Art. 7 DSGVO. Ferner habe Herr Schrems in die Verarbeitung der personenbezogenen Daten, die Meta Platforms Ireland von Dritten erhalten habe, nicht wirksam eingewilligt. In diesem Zusammenhang beantragte Herr Schrems u. a., die Beklagte zu verurteilen, es zu unterlassen, seine personenbezogenen Daten für die Zwecke personalisierter Werbung zu verarbeiten, und/oder diese Daten, die sich aus dem Abruf von Websites Dritter ergeben und von Dritten erlangt wurden, zu nutzen.
Meta Platforms Ireland war hingegen der Ansicht, dass die Verarbeitung der Daten von Herrn Schrems entsprechend den Nutzungsbedingungen des sozialen Online-Netzwerks erfolgt sei, die mit den Anforderungen der DSGVO vereinbar seien. Diese Datenverarbeitung sei rechtmäßig und stütze sich nicht auf die Einwilligung des Klägers des Ausgangsverfahrens, die im Fall von Art. 6 Abs. 1 Buchst. a DSGVO vorliegen müsse, sondern auf andere Rechtfertigungsgründe, darunter hauptsächlich die Erforderlichkeit dieser Verarbeitung für die Erfüllung des zwischen dem Kläger und der Beklagten des Ausgangsverfahrens geschlossen Vertrags im Sinne von Art. 6 Abs. 1 Buchst. b DSGVO.
Im Ausgangsverfahren ist dem Gerichtshof bereits ein Vorabentscheidungsersuchen vorgelegt worden, zu dem das Urteil vom 25. Januar 2018, Schrems (C-498/16, EU:C:2018:37), ergangen ist. Im Anschluss an dieses Urteil wies das Landesgericht für Zivilrechtssachen Wien mit Urteil vom 30. Juni 2020 die Anträge von Herrn Schrems zurück. Ebenso wies das Oberlandesgericht Wien (Österreich), bei dem Berufung eingelegt wurde, die Berufung von Herrn Schrems gegen dieses Urteil u. a. mit der Begründung ab, dass die Verarbeitung seiner personenbezogenen Daten als Nutzer der Onlineplattform, einschließlich der dortigen personalisierten Werbung, integraler Bestandteil des zwischen den Parteien geschlossenen Vertrags über die Nutzung dieser Plattform sei. Die Verarbeitung dieser Daten sei daher für die Erfüllung dieses Vertrags erforderlich im Sinne von Art. 6 Abs. 1 Buchst. b DSGVO.
Der Oberste Gerichtshof (Österreich), bei dem eine Revision von Herrn Schrems anhängig ist, stellt fest, dass das wirtschaftliche Modell von Meta Platforms Ireland darin bestehe, Einnahmen durch zielgerichtete Werbung und kommerzielle Inhalte zu generieren, die auf den Vorlieben und Interessen der Nutzer von Facebook beruhten, indem die persönlichen Daten dieser Nutzer verarbeitet würden. Diese Verarbeitung könne, da sie Facebook ermögliche, seinen Nutzern Dienste unentgeltlich anzubieten, als im Sinne von Art. 6 Abs. 1 Buchst. b DSGVO für die Erfüllung des mit diesen Nutzern geschlossenen Vertrags erforderlich angesehen werden.
Jedoch dürfe diese eng auszulegende Bestimmung eine solche Datenverarbeitung nicht ohne die Einwilligung der betroffenen Person erlauben.
Außerdem verarbeite Meta Platforms Ireland personenbezogene Daten, die nach Art. 9 Abs. 1 DSGVO als „sensibel“ eingestuft werden könnten.
Vorliegend verarbeite Meta Platforms Ireland Daten über die politischen Überzeugungen und die sexuelle Orientierung von Herrn Schrems. Nach den Feststellungen des Obersten Gerichtshofs kommuniziert Herr Schrems seine sexuelle Orientierung öffentlich. Insbesondere habe er im Rahmen einer Podiumsdiskussion, an der er in Wien am 12. Februar 2019 auf Einladung der Vertretung der Europäischen Kommission in Österreich teilgenommen habe, auf seine sexuelle Orientierung Bezug genommen, um die Verarbeitung personenbezogener Daten durch Facebook, einschließlich der Verarbeitung seiner eigenen Daten, zu kritisieren. Wie Herr Schrems jedoch bei dieser Gelegenheit auch erklärt habe, habe er diesen Gesichtspunkt seines Privatlebens in seinem Facebook-Profil nie angegeben.
Nach Auffassung des vorlegenden Gerichts stellt sich somit die Frage, ob der betroffene Nutzer ihn betreffende sensible personenbezogene Daten offensichtlich öffentlich gemacht und somit deren Verarbeitung gemäß Art. 9 Abs. 2 Buchst. e DSGVO genehmigt habe.
Unter diesen Umständen hat der Oberste Gerichtshof (Österreich) beschlossen, das Verfahren auszusetzen und dem Gerichtshof folgende Fragen zur Vorabentscheidung vorzulegen:
Sind die Bestimmungen der Art. 6 Abs. 1 Buchst. a und b DSGVO dahin gehend auszulegen, dass die Rechtmäßigkeit von Vertragsbestimmungen in allgemeinen Nutzungsbedingungen über Plattformverträge wie jenem im Ausgangsverfahren (insbesondere Vertragsbestimmungen wie: „Anstatt [für diesen Dienst] zu zahlen … erklärst du dich durch Nutzung der Facebook-Produkte, für die diese Nutzungsbedingungen gelten, einverstanden, dass wir dir Werbeanzeigen zeigen dürfen … Wir verwenden deine personenbezogenen Daten … um dir Werbeanzeigen zu zeigen, die relevanter für dich sind.“), die die Verarbeitung von personenbezogenen Daten für Aggregation und Analyse von Daten zum Zwecke der personalisierten Werbung beinhalten, nach den Anforderungen des Art. 6 Abs. 1 Buchst. a in Verbindung mit Art. 7 DSGVO zu beurteilen sind, die nicht durch die Berufung auf Art. 6 Abs. 1 Buchst. b DSGVO ersetzt werden können?
Ist Art. 5 Abs. 1 Buchst. c DSGVO (Datenminimierung) dahin auszulegen, dass alle personenbezogenen Daten, über die eine Plattform wie im Ausgangsverfahren verfügt (insbesondere durch den Betroffenen oder durch Dritte auf und außerhalb der Plattform), ohne Einschränkung nach Zeit oder Art der Daten für Zwecke der zielgerichteten Werbung aggregiert, analysiert und verarbeitet werden können?
Ist Art. 9 Abs. 1 DSGVO dahin auszulegen, dass er auf die Verarbeitung von Daten anzuwenden ist, die eine gezielte Filterung von besonderen Kategorien personenbezogener Daten wie politische Überzeugung oder sexuelle Orientierung (etwa für Werbung) erlaubt, auch wenn der Verantwortliche zwischen diesen Daten nicht differenziert?
Ist Art. 5 Abs. 1 Buchst. b in Verbindung mit Art. 9 Abs. 2 Buchst. e DSGVO dahin auszulegen, dass eine Äußerung über die eigene sexuelle Orientierung für die Zwecke einer Podiumsdiskussion die Verarbeitung von anderen Daten zur sexuellen Orientierung für Zwecke der Aggregation und Analyse von Daten zum Zwecke der personalisierten Werbung erlaubt?
Verfahren vor dem Gerichtshof
Der Präsident des Gerichtshofs hat mit Entscheidung vom 7. April 2022 das vorliegende Verfahren bis zu der das Verfahren beendenden Entscheidung in der Rechtssache C-252/21, Meta Platforms u. a., ausgesetzt.
Mit Entscheidung vom 7. Juli 2023 hat der Präsident des Gerichtshofs dem vorlegenden Gericht in der vorliegenden Rechtssache das Urteil vom 4. Juli 2023, Meta Platforms u. a. (Allgemeine Nutzungsbedingungen eines sozialen Netzwerks) (C-252/21, EU:C:2023:537) zugestellt, es gefragt, ob es unter Berücksichtigung dieses Urteils sein Vorabentscheidungsersuchen ganz oder teilweise aufrechterhalten wolle, und es gebeten, im Fall einer teilweisen Rücknahme dieses Ersuchens die Gründe für dessen teilweise Aufrechterhaltung darzulegen.
Mit Beschluss vom 19. Juli 2023, der am 9. August 2023 bei der Kanzlei des Gerichtshofs eingegangen ist, hat das vorlegende Gericht seine erste und seine dritte Vorlagefrage zurückgenommen, da das genannte Urteil diese Fragen beantworte. Dagegen hat es seine zweite und seine vierte Vorlagefrage aufrechterhalten, da diese Fragen in diesem Urteil nicht in vollem Umfang beantwortet worden seien.
Zur zweiten Frage
Mit seiner zweiten Frage möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 5 Abs. 1 Buchst. c DSGVO dahin auszulegen ist, dass der darin festgelegte Grundsatz der „Datenminimierung“ dem entgegensteht, dass sämtliche personenbezogenen Daten, die ein Verantwortlicher wie der Betreiber einer Onlineplattform für ein soziales Netzwerk von der betroffenen Person oder von Dritten erhält und die sowohl auf als auch außerhalb dieser Plattform erhoben wurden, zeitlich unbegrenzt und ohne Unterscheidung nach ihrer Art für Zwecke der zielgerichteten Werbung aggregiert, analysiert und verarbeitet werden.
Zur Zulässigkeit
Die Beklagte des Ausgangsverfahrens ist der Auffassung, dass diese Frage unzulässig sei. Denn zum einen habe das vorlegende Gericht nicht erläutert, aus welchen Gründen eine Antwort auf diese Frage für die Entscheidung des Ausgangsrechtsstreits sachdienlich sei. Zum anderen habe sich das vorlegende Gericht auf eine unzutreffende Tatsachenannahme gestützt, indem es zu Unrecht festgestellt habe, dass die Beklagte des Ausgangsverfahrens alle ihr zur Verfügung stehenden personenbezogenen Daten zeitlich unbegrenzt und ohne Unterscheidung nach ihrer Art zu Werbezwecken verwende.
Was als Erstes das Vorbringen betrifft, das vorlegende Gericht habe nicht dargelegt, aus welchen Gründen es eine Antwort auf seine zweite Frage für die Entscheidung des Ausgangsrechtsstreits für sachdienlich halte, ist die Notwendigkeit hervorzuheben, dass das nationale Gericht die genauen Gründe angibt, aus denen ihm die Auslegung des Unionsrechts fraglich und die Vorlage von Vorabentscheidungsfragen an den Gerichtshof erforderlich erscheinen (Urteile vom 6. Dezember 2005, ABNA u. a.,C-453/03, C-11/04, C-12/04 und C-194/04, EU:C:2005:741, Rn. 46, sowie vom 29. Februar 2024, Staatssecretaris van Justitie en Veiligheid [Gegenseitiges Vertrauen im Fall einer Überstellung], C-392/22, EU:C:2024:195, Rn. 85). Vorliegend ergibt sich jedoch aus den Ausführungen im Vorabentscheidungsersuchen, dass das vorlegende Gericht klären möchte, ob – unterstellt, die im Ausgangsverfahren fragliche Verarbeitung zu Werbezwecken ist gemäß Art. 6 Abs. 1 Unterabs. 1 Buchst. b DSGVO gerechtfertigt – der Umfang der von der Beklagten des Ausgangsverfahrens auf diese Weise verarbeiteten Daten mit dem Grundsatz der Datenminimierung in Einklang steht oder ob eine derart umfangreiche Verarbeitung gegen die Verpflichtungen des Verantwortlichen aus Art. 5 DSGVO verstößt. Die Gründe, aus denen die Antwort auf diese Frage für die Entscheidung des Ausgangsrechtsstreits sachdienlich ist, gehen daher hinreichend aus dem Vorabentscheidungsersuchen hervor.
Was als Zweites das Vorbringen betrifft, das vorlegende Gericht habe sich auf unzutreffende Tatsachenannahmen gestützt, trifft es zu, dass die zweite Vorlagefrage auf der Annahme beruht, dass zum einen, wie in Rn. 20 des vorliegenden Urteils dargelegt, Herr Schrems Meta Platforms Ireland zwar nicht gestattet hat, seine personenbezogenen Daten, die seine Tätigkeiten außerhalb von Facebook betreffen, zu verarbeiten, Meta Platforms Ireland jedoch auf der Grundlage, dass Herr Schrems den allgemeinen Nutzungsbedingungen des sozialen Netzwerks zugestimmt hatte, einige dieser Daten, die sie von Dritten als Partner u. a. aufgrund der Cookies und der Social Plug-ins von Facebook, die auf den Websites dieser Dritten integriert waren, erhalten haben soll, gleichwohl verarbeitet hat. Zum anderen wurden diese personenbezogenen Daten von Meta Platforms Ireland ohne zeitliche Beschränkung und ohne Unterscheidung nach der Art dieser Daten verarbeitet.
Es ist indessen daran zu erinnern, dass Art. 267 AEUV nach ständiger Rechtsprechung ein Verfahren des unmittelbaren Zusammenwirkens des Gerichtshofs und der Gerichte der Mitgliedstaaten vorsieht. Im Rahmen dieses Verfahrens, das auf einer klaren Aufgabentrennung zwischen den nationalen Gerichten und dem Gerichtshof beruht, fällt jede Beurteilung des Sachverhalts in die Zuständigkeit des nationalen Gerichts, das im Hinblick auf die Besonderheiten der Rechtssache sowohl die Erforderlichkeit einer Vorabentscheidung für den Erlass seines Urteils als auch die Erheblichkeit der dem Gerichtshof vorzulegenden Fragen zu beurteilen hat, während der Gerichtshof nur befugt ist, sich auf der Grundlage des ihm vom nationalen Gericht unterbreiteten Sachverhalts zur Auslegung oder zur Gültigkeit einer Unionsvorschrift zu äußern (Urteil vom 25. Oktober 2017, Polbud – Wykonawstwo, C-106/16, EU:C:2017:804, Rn. 27 und die dort angeführte Rechtsprechung).
Somit ist die gestellte Frage auf der Grundlage dieser Annahme – deren Richtigkeit jedoch vom vorlegenden Gericht zu prüfen ist – zu beantworten.
Folglich ist die zweite Vorlagefrage zulässig.
Zur Beantwortung der Vorlagefrage
Als Erstes ist darauf hinzuweisen, dass das Ziel der DSGVO, wie aus ihrem Art. 1 und aus ihren Erwägungsgründen 1 und 10 hervorgeht, insbesondere darin besteht, ein hohes Niveau des Schutzes der Grundrechte und Grundfreiheiten natürlicher Personen – insbesondere ihres in Art. 8 Abs. 1 der Charta und in Art. 16 Abs. 1 AEUV verankerten Rechts auf Privatleben – bei der Verarbeitung personenbezogener Daten zu gewährleisten (Urteil vom 7. März 2024, IAB Europe,C-604/22, EU:C:2024:214, Rn. 53 und die dort angeführte Rechtsprechung).
Zu diesem Zweck enthalten die Kapitel II und III der Verordnung die Grundsätze für die Verarbeitung personenbezogener Daten bzw. die Rechte der betroffenen Person, die bei jeder Verarbeitung personenbezogener Daten beachtet werden müssen. Vorbehaltlich der in Art. 23 der Verordnung vorgesehenen Ausnahmen muss jede Verarbeitung personenbezogener Daten insbesondere zum einen im Einklang mit den in Art. 5 der Verordnung aufgestellten Grundsätzen zur Verarbeitung solcher Daten im Einklang stehen und die in Art. 6 der Verordnung genannten Rechtmäßigkeitsvoraussetzungen erfüllen sowie zum anderen die in den Art. 12 bis 22 DSGVO genannten Rechte der betroffenen Person beachten (Urteil vom 11. Juli 2024, Meta Platforms Ireland [Verbandsklage], C-757/22, EU:C:2024:598, Rn. 49 und die dort angeführte Rechtsprechung).
Wie der Gerichtshof bereits klargestellt hat, gelten die in Art. 5 DSGVO niedergelegten Grundsätze für die Verarbeitung personenbezogener Daten kumulativ (Urteil vom 20. Oktober 2022, Digi,C-77/21, EU:C:2022:805, Rn. 47).
Gemäß Art. 5 Abs. 1 Buchst. a DSGVO müssen personenbezogene Daten auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden. Diese Daten müssen gemäß Art. 5 Abs. 1 Buchst. b DSGVO für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden.
Des Weiteren bestimmt Art. 5 Abs. 1 Buchst. c DSGVO, in dem der sogenannte Grundsatz der „Datenminimierung“ verankert ist, dass personenbezogene Daten „dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein“ müssen (Urteil vom 4. Juli 2023, Meta Platforms u. a. [Allgemeine Nutzungsbedingungen eines sozialen Netzwerks], C-252/21, Rn. 109 sowie die dort angeführte Rechtsprechung).
Mit diesem Grundsatz wird, wie der Gerichtshof bereits entschieden hat, der Grundsatz der Verhältnismäßigkeit zum Ausdruck gebracht (vgl. in diesem Sinne Urteile vom 22. Juni 2021, Latvijas Republikas Saeima [Strafpunkte], C-439/19, EU:C:2021:504, Rn. 98 und die dort angeführte Rechtsprechung, sowie vom 30. Januar 2024, Direktor na Glavna direktsiaNatsionalna politsia pri MVR – Sofia, C-118/22, EU:C:2024:97, Rn. 41).
Gemäß dem in Art. 5 Abs. 2 DSGVO genannten Grundsatz der Rechenschaftspflicht muss der Verantwortliche nachweisen können, dass die personenbezogenen Daten unter Einhaltung der in Abs. 1 dieses Artikels genannten Grundsätze erhoben und verarbeitet werden (vgl. in diesem Sinne Urteil vom 20. Oktober 2022, Digi,C-77/21, EU:C:2022:805, Rn. 24). Außerdem obliegt es nach Art. 13 Abs. 1 Buchst. c dieser Verordnung, wenn personenbezogene Daten bei der betroffenen Person erhoben werden, dem Verantwortlichen, diese Person über die Zwecke, für die diese Daten verarbeitet werden sollen, sowie über die Rechtsgrundlage für die Verarbeitung zu informieren (Urteil vom 4. Juli 2023, Meta Platforms u. a. [Allgemeine Nutzungsbedingungen eines sozialen Netzwerks], C-252/21, Rn. 95).
Als Zweites ist zur zeitlichen Begrenzung einer Verarbeitung personenbezogener Daten wie der Verarbeitung, um die es im Ausgangsverfahren geht, darauf hinzuweisen, dass der Gerichtshof bereits entschieden hat, dass der Verantwortliche unter Berücksichtigung des Grundsatzes der Datenminimierung verpflichtet ist, den Zeitraum der Erhebung der betreffenden personenbezogenen Daten auf das im Hinblick auf den Zweck der beabsichtigten Verarbeitung absolut Notwendige zu beschränken (Urteil vom 24. Februar 2022, Valsts ieņēmumu dienests [Verarbeitung personenbezogener Daten für steuerliche Zwecke], C-175/20, EU:C:2022:124, Rn. 79).
Die Folgen für die Interessen und das Privatleben der betroffenen Person sind nämlich umso schwerer und die Anforderungen an die Rechtmäßigkeit der Speicherung der betreffenden Daten sind umso höher, je länger diese gespeichert werden (vgl. in diesem Sinne Urteil vom 7. Dezember 2023, SCHUFA Holding [Restschuldbefreiung], C-26/22 und C-64/22, EU:C:2023:958, Rn. 95).
Des Weiteren ist darauf hinzuweisen, dass gemäß Art. 5 Abs. 1 Buchst. e DSGVO die personenbezogenen Daten in einer Form gespeichert werden müssen, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist.
Somit ist diesem Artikel eindeutig zu entnehmen, dass der in ihm verankerte Grundsatz der „Speicherbegrenzung“ verlangt, dass der Verantwortliche in der Lage ist, gemäß dem Grundsatz der Rechenschaftspflicht, auf den in Rn. 51 des vorliegenden Urteils hingewiesen worden ist, nachzuweisen, dass die personenbezogenen Daten nur so lange gespeichert werden, wie es für die Erreichung der Zwecke, für die sie erhoben oder weiterverarbeitet wurden, erforderlich ist (vgl. in diesem Sinne Urteil vom 20. Oktober 2022, Digi,C-77/21, EU:C:2022:805, Rn. 53).
Daraus ergibt sich, wie der Gerichtshof bereits entschieden hat, dass selbst eine ursprünglich zulässige Verarbeitung von Daten im Lauf der Zeit gegen die DSGVO verstoßen kann, wenn diese Daten für die Erreichung der Zwecke, für die sie erhoben oder später verarbeitet wurden, nicht mehr erforderlich sind, und dass diese Daten gelöscht werden müssen, wenn diese Zwecke erreicht sind (vgl. in diesem Sinne Urteil vom 20. Oktober 2022, Digi,C-77/21, EU:C:2022:805, Rn. 54 und die dort angeführte Rechtsprechung).
Daher ist es, wie der Generalanwalt in Nr. 22 seiner Schlussanträge im Wesentlichen ausgeführt hat, Sache des nationalen Gerichts, unter Berücksichtigung aller maßgeblichen Umstände und unter Anwendung des Grundsatzes der Verhältnismäßigkeit, auf den in Art. 5 Abs. 1 Buchst. c DSGVO hingewiesen wird, zu beurteilen, ob die Dauer der Speicherung der personenbezogenen Daten durch den Verantwortlichen im Hinblick auf das Ziel, die Schaltung personalisierter Werbung zu ermöglichen, angemessen gerechtfertigt ist.
Jedenfalls ist eine zeitlich unbegrenzte Speicherung personenbezogener Daten der Nutzer einer Plattform für ein soziales Netzwerk zu Zwecken der zielgerichteten Werbung als unverhältnismäßiger Eingriff in die Rechte, die die DSGVO diesen Nutzern garantiert, anzusehen.
Was als Drittes den Umstand betrifft, dass die im Ausgangsverfahren fraglichen personenbezogenen Daten ohne Unterscheidung nach ihrer Art für Zwecke der zielgerichteten Werbung erhoben, aggregiert, analysiert und verarbeitet werden, hat der Gerichtshof bereits entschieden, dass der Verantwortliche in Anbetracht des in Art. 5 Abs. 1 Buchst. c DSGVO festgelegten Grundsatzes der Datenminimierung nicht allgemein und unterschiedslos personenbezogene Daten erheben darf und er von der Erhebung von Daten absehen muss, die für die Zwecke der Verarbeitung nicht unbedingt notwendig sind (Urteil vom 24. Februar 2022, Valsts ieņēmumu dienests [Verarbeitung personenbezogener Daten für steuerliche Zwecke], C-175/20, EU:C:2022:124, Rn. 74).
Ferner muss der Verantwortliche gemäß Art. 25 Abs. 2 DSGVO geeignete Maßnahmen treffen, die sicherstellen, dass durch Voreinstellung nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden. Nach dieser Bestimmung gilt diese Verpflichtung u. a. für die Menge der erhobenen personenbezogenen Daten, den Umfang ihrer Verarbeitung und ihre Zugänglichkeit.
Vorliegend geht aus der Vorlageentscheidung hervor, dass Meta Platforms Ireland die personenbezogenen Daten der Nutzer von Facebook, darunter Herrn Schrems, über deren Tätigkeiten sowohl innerhalb als auch außerhalb dieses sozialen Netzwerks, darunter u. a. Daten über den Abruf der Onlineplattform sowie von Websites und Anwendungen Dritter, erhebt und auch das Navigationsverhalten der Nutzer auf diesen Seiten mittels Social Plug-ins und Pixels, die auf den betreffenden Websites eingefügt werden, verfolgt.
Wie der Gerichtshof bereits entschieden hat, ist eine solche Verarbeitung besonders umfassend, da sie potenziell unbegrenzte Daten betrifft und erhebliche Auswirkungen auf den Nutzer hat, dessen Onlineaktivitäten zum großen Teil, wenn nicht sogar fast vollständig, von Meta Platforms Ireland aufgezeichnet werden, was bei ihm das Gefühl auslösen kann, dass sein Privatleben kontinuierlich überwacht wird (Urteil vom 4. Juli 2023, Meta Platforms u. a. [Allgemeine Nutzungsbedingungen eines sozialen Netzwerks], C-252/21, Rn. 118).
Unter diesen Umständen stellt die im Ausgangsverfahren in Rede stehende Datenverarbeitung einen schweren Eingriff in die Grundrechte der betroffenen Personen dar, insbesondere in ihre durch die Art. 7 und 8 der Charta der Grundrechte der Europäischen Union gewährleisteten Rechte auf Achtung des Privatlebens und auf den Schutz personenbezogener Daten, der vorbehaltlich der vom vorlegenden Gericht vorzunehmenden Überprüfungen im Hinblick auf das Ziel, die Schaltung gezielter Werbung zu ermöglichen, nicht angemessen gerechtfertigt erscheint.
Jedenfalls erscheint die unterschiedslose Verwendung sämtlicher personenbezogener Daten, die von einer Plattform für ein soziales Netzwerk zu Werbezwecken gespeichert werden, unabhängig vom Sensibilitätsgrad dieser Daten nicht als ein verhältnismäßiger Eingriff in die Rechte, die den Nutzern dieser Plattform durch die DSGVO garantiert werden.
Nach alledem ist auf die zweite Frage zu antworten, dass Art. 5 Abs. 1 Buchst. c DSGVO dahin auszulegen ist, dass der darin festgelegte Grundsatz der „Datenminimierung“ dem entgegensteht, dass sämtliche personenbezogenen Daten, die ein Verantwortlicher wie der Betreiber einer Onlineplattform für ein soziales Netzwerk von der betroffenen Person oder von Dritten erhält und die sowohl auf als auch außerhalb dieser Plattform erhoben wurden, zeitlich unbegrenzt und ohne Unterscheidung nach ihrer Art für Zwecke der zielgerichteten Werbung aggregiert, analysiert und verarbeitet werden.
Zur vierten Frage
Mit der vierten Frage möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 9 Abs. 2 Buchst. e DSGVO dahin auszulegen ist, dass der Umstand, dass sich eine Person bei einer öffentlich zugänglichen Podiumsdiskussion zu ihrer sexuellen Orientierung geäußert hat, dem Betreiber einer Onlineplattform für ein soziales Netzwerk gestattet, andere Daten über die sexuelle Orientierung dieser Person zu verarbeiten, die er gegebenenfalls außerhalb dieser Plattform von Anwendungen und Websites dritter Partner im Hinblick darauf erhalten hat, sie zu aggregieren und zu analysieren, um dieser Person personalisierte Werbung anzubieten.
Insbesondere möchte das vorlegende Gericht wissen, ob Herr Schrems aufgrund der Äußerung, die er bei einer Podiumsdiskussion getätigt hat, keinen Anspruch mehr auf den durch Art. 9 Abs. 1 DSGVO gewährten Schutz hat und ob Facebook folglich berechtigt war, andere Daten über seine sexuelle Orientierung zu verarbeiten.
Zunächst ist festzustellen, dass die vom vorlegenden Gericht angeführte Podiumsdiskussion, in deren Rahmen Herr Schrems sich zu seiner sexuellen Orientierung äußerte, am 12. Februar 2019 stattfand und, wie aus der Vorlageentscheidung hervorgeht, Meta Platforms Ireland zu diesem Zeitpunkt bereits personenbezogene Daten zur sexuellen Orientierung von Herrn Schrems verarbeitete, so dass diese Äußerung nach dem Beginn einer solchen Datenverarbeitung erfolgte.
Daraus folgt, dass die vierte Frage des vorlegenden Gerichts so zu verstehen ist, dass sie nur etwaige Verarbeitungen von Daten über die sexuelle Orientierung von Herrn Schrems betrifft, die Meta Platforms Ireland nach dem 12. Februar 2019 vorgenommen haben soll. Es ist jedoch gemäß der in Rn. 42 des vorliegenden Urteils angeführten Rechtsprechung Sache des vorlegenden Gerichts, zu prüfen, ob nach diesem Zeitpunkt solche Verarbeitungen tatsächlich stattgefunden haben.
Zur Beantwortung dieser Frage ist als Erstes darauf hinzuweisen, dass nach dem 51. Erwägungsgrund der DSGVO personenbezogene Daten, die ihrem Wesen nach hinsichtlich der Grundrechte und Grundfreiheiten besonders sensibel sind, einen besonderen Schutz verdienen, da im Zusammenhang mit ihrer Verarbeitung erhebliche Risiken für die Grundrechte und Grundfreiheiten auftreten können. Ferner wird in diesem Erwägungsgrund ausgeführt, dass derartige personenbezogene Daten nicht verarbeitet werden sollten, es sei denn, die Verarbeitung ist in den in dieser Verordnung dargelegten besonderen Fällen zulässig.
In diesem Zusammenhang stellt Art. 9 Abs. 1 DSGVO den Grundsatz auf, dass die Verarbeitung der in dieser Vorschrift genannten besonderen Kategorien personenbezogener Daten untersagt ist. Dabei handelt es sich u. a. um Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen oder religiöse Überzeugungen hervorgehen, sowie um Gesundheitsdaten und Daten zum Sexualleben oder zur sexuellen Orientierung einer natürlichen Person.
Für die Zwecke der Anwendung von Art. 9 Abs. 1 DSGVO ist im Fall einer Verarbeitung personenbezogener Daten durch den Betreiber eines sozialen Online-Netzwerks zu prüfen, ob aus diesen Daten Informationen hervorgehen können, die unter eine der in dieser Bestimmung genannten Kategorien fallen, unabhängig davon, ob diese Informationen einen Nutzer dieses Netzwerks oder eine andere natürliche Person betreffen. Ist dies der Fall, ist eine solche Verarbeitung personenbezogener Daten vorbehaltlich der in Art. 9 Abs. 2 DSGVO vorgesehenen Ausnahmen untersagt.
Wie der Gerichtshof bereits entschieden hat, gilt dieses in Art. 9 Abs. 1 DSGVO vorgesehene grundsätzliche Verbot unabhängig davon, ob die aus der fraglichen Verarbeitung hervorgegangene Information richtig ist oder nicht und ob der Verantwortliche mit dem Ziel handelt, Informationen zu erhalten, die unter eine der in dieser Bestimmung genannten besonderen Kategorien fallen. In Anbetracht der erheblichen Risiken für die Grundfreiheiten und Grundrechte der betroffenen Personen, die sich aus jeder Verarbeitung personenbezogener Daten ergeben, die unter eine der in Art. 9 Abs. 1 DSGVO genannten Kategorien fallen, zielt diese Vorschrift nämlich darauf ab, solche Datenverarbeitungen unabhängig von ihrem erklärten Zweck zu verbieten (Urteil vom 4. Juli 2023, Meta Platforms u. a. [Allgemeine Nutzungsbedingungen eines sozialen Netzwerks], C-252/21, Rn. 69 und 70).
Zwar ist nach Art. 9 Abs. 1 DSGVO die Verarbeitung von Daten u. a. zur sexuellen Orientierung grundsätzlich untersagt, Art. 9 Abs. 2 DSGVO sieht allerdings in seinen Buchst. a bis j zehn Ausnahmen vor, die voneinander unabhängig sind und daher autonom zu beurteilen sind. Folglich ist ein Verantwortlicher durch die Tatsache, dass die Voraussetzungen für die Anwendung einer der in Art. 9 Abs. 2 aufgeführten Ausnahmen nicht erfüllt sind, nicht daran gehindert, sich auf eine andere in dieser Bestimmung genannte Ausnahme zu berufen (Urteil vom 21. Dezember 2023, Krankenversicherung Nordrhein,C-667/21, EU:C:2023:1022, Rn. 47).
Insbesondere zur Ausnahme des Art. 9 Abs. 2 Buchst. e DSGVO ist darauf hinzuweisen, dass nach dieser Bestimmung das in Art. 9 Abs. 1 DSGVO aufgestellte grundsätzliche Verbot jeder Verarbeitung besonderer Kategorien personenbezogener Daten nicht gilt, wenn sich die Verarbeitung auf personenbezogene Daten bezieht, die „die betroffene Person offensichtlich öffentlich gemacht hat“.
Da Art. 9 Abs. 2 Buchst. e DSGVO eine Ausnahme vom Grundsatz des Verbots der Verarbeitung besonderer Kategorien personenbezogener Daten vorsieht, ist er eng auszulegen (vgl. in diesem Sinne Urteil vom 4. Juli 2023, Meta Platforms u. a. [Allgemeine Nutzungsbedingungen eines sozialen Netzwerks], C-252/21, Rn. 76 und die dort angeführte Rechtsprechung).
Folglich ist für die Zwecke der Anwendung der in Art. 9 Abs. 2 Buchst. e DSGVO vorgesehenen Ausnahme zu prüfen, ob die betroffene Person die Absicht hatte, die fraglichen personenbezogenen Daten ausdrücklich und durch eine eindeutige bestätigende Handlung der breiten Öffentlichkeit zugänglich zu machen (Urteil vom 4. Juli 2023, Meta Platforms u. a. [Allgemeine Nutzungsbedingungen eines sozialen Netzwerks], C-252/21, Rn. 77).
Vorliegend geht aus der Vorlageentscheidung hervor, dass die am 12. Februar 2019 in Wien veranstaltete Podiumsdiskussion, in deren Rahmen Herr Schrems sich zu seiner sexuellen Orientierung äußerte, der Öffentlichkeit, die innerhalb der Grenzen der verfügbaren Plätze Eintrittskarten zur Teilnahme erhalten konnte, zugänglich war, und dass die Podiumsdiskussion per Streaming übertragen wurde. Zudem soll eine Aufzeichnung der Podiumsdiskussion später als Podcast sowie auf dem Youtube-Kanal der Kommission veröffentlicht worden sein.
Unter diesen Umständen und vorbehaltlich der vom nationalen Gericht vorzunehmenden Überprüfungen ist nicht auszuschließen, dass die betreffende Äußerung, auch wenn sie Teil eines umfassenderen Redebeitrags war und nur zu dem Zweck erfolgte, die Verarbeitung personenbezogener Daten durch Facebook zu kritisieren, eine Handlung darstellt, mit der der Betroffene in voller Kenntnis der Sachlage seine sexuelle Orientierung im Sinne von Art. 9 Abs. 2 Buchst. e der DSGVO offensichtlich öffentlich gemacht hat.
Als Zweites führt zwar der Umstand, dass die betroffene Person Daten zu ihrer sexuellen Orientierung offensichtlich öffentlich gemacht hat, dazu, dass diese Daten abweichend von dem Verbot gemäß Art. 9 Abs. 1 DSGVO und im Einklang mit den Anforderungen, die sich aus den anderen Bestimmungen der DSGVO ergeben, verarbeitet werden können (vgl. in diesem Sinne Urteil vom 24. September 2019, GC u. a. [Auslistung sensibler Daten], C-136/17, EU:C:2019:773, Rn. 64). Entgegen dem Vorbringen von Meta Platforms Ireland berechtigt dieser Umstand allein jedoch nicht, andere personenbezogene Daten zu verarbeiten, die sich auf die sexuelle Orientierung dieser Person beziehen.
So liefe es zum einen dem eng auszulegenden Art. 9 Abs. 2 Buchst. e DSGVO zuwider, wenn sämtliche Daten über die sexuelle Orientierung einer Person bereits deswegen dem Schutz des Art. 9 Abs. 1 DSGVO entzogen wären, weil die betroffene Person personenbezogene Daten, die sich auf ihre sexuelle Orientierung beziehen, offensichtlich öffentlich gemacht hat.
Zum anderen lässt die Tatsache, dass eine Person Daten über ihre sexuelle Orientierung offensichtlich öffentlich gemacht hat, nicht die Feststellung zu, dass sie ihre Zustimmung im Sinne von Art. 9 Abs. 2 Buchst. a DSGVO dazu erteilt hat, dass der Betreiber einer Onlineplattform für ein soziales Netzwerk andere Daten über ihre sexuelle Orientierung verarbeitet.
Nach alledem ist auf die vierte Frage zu antworten, dass Art. 9 Abs. 2 Buchst. e DSGVO dahin auszulegen ist, dass der Umstand, dass sich eine Person bei einer öffentlich zugänglichen Podiumsdiskussion zu ihrer sexuellen Orientierung geäußert hat, dem Betreiber einer Onlineplattform für ein soziales Netzwerk nicht gestattet, andere Daten über die sexuelle Orientierung dieser Person zu verarbeiten, die er gegebenenfalls außerhalb dieser Plattform von Anwendungen und Websites dritter Partner im Hinblick darauf erhalten hat, sie zu aggregieren und zu analysieren, um dieser Person personalisierte Werbung anzubieten.
Kosten
Für die Beteiligten des Ausgangsverfahrens ist das Verfahren Teil des beim vorlegenden Gericht anhängigen Verfahrens; die Kostenentscheidung ist daher Sache dieses Gerichts. Die Auslagen anderer Beteiligter für die Abgabe von Erklärungen vor dem Gerichtshof sind nicht erstattungsfähig.
Gründe
Aus diesen Gründen hat der Gerichtshof (Vierte Kammer) für Recht erkannt:
Art. 5 Abs. 1 Buchst. c der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)
ist dahin auszulegen, dass
der darin festgelegte Grundsatz der „Datenminimierung“ dem entgegensteht, dass sämtliche personenbezogenen Daten, die ein Verantwortlicher wie der Betreiber einer Onlineplattform für ein soziales Netzwerk von der betroffenen Person oder von Dritten erhält und die sowohl auf als auch außerhalb dieser Plattform erhoben wurden, zeitlich unbegrenzt und ohne Unterscheidung nach ihrer Art für Zwecke der zielgerichteten Werbung aggregiert, analysiert und verarbeitet werden.
Art. 9 Abs. 2 Buchst. e der Verordnung 2016/679
ist dahin auszulegen, dass
der Umstand, dass sich eine Person bei einer öffentlich zugänglichen Podiumsdiskussion zu ihrer sexuellen Orientierung geäußert hat, dem Betreiber einer Onlineplattform für ein soziales Netzwerk nicht gestattet, andere Daten über die sexuelle Orientierung dieser Person zu verarbeiten, die er gegebenenfalls außerhalb dieser Plattform von Anwendungen und Websites dritter Partner im Hinblick darauf erhalten hat, sie zu aggregieren und zu analysieren, um dieser Person personalisierte Werbung anzubieten.
Lycourgos
Spineanu-Matei
Bonichot
Rodin
Rossi
Verkündet in öffentlicher Sitzung in Luxemburg am 4. Oktober 2024.
Der Kanzler
A. Calot Escobar
Der Kammerpräsident
C. Lycourgos
( *1)Verfahrenssprache: Deutsch.
Kontakt zur AOK Rheinland/Hamburg
Persönlicher Ansprechpartner
Firmenkundenservice
E-Mail-Service