Ist der Umgang von Facebook Inc. u.a. mit personenbezogenen Daten ein Konditionsmissbrauch gemäß § 19 Abs. 1 GWB wegen unangemessener Datenverarbeitung? Dieser Frage ging das Bundeskartellamt in dem aktuell nun zunächst abgeschlossenen Verfahren nach. Am 7.2.2019 gab die Behörde bekannt, dass sie Facebook die Zusammenführung von Nutzerdaten aus verschiedenen Quellen untersagt.
Erwägungsgründe des Bundeskartellamts
Das Bundeskartellamt stützt sich im Rahmen seiner Entscheidung u.a. auf folgende Untersuchungsergebnisse:
- Die Datenverarbeitungskonditionen für die Nutzung von Facebook stellen eine missbräuchliche Ausnutzung der marktbeherrschenden Stellung auf dem Markt für soziale Netzwerke für private Nutzer dar.
- Die beabsichtigten Datenverarbeitungskonditionen verstoßen gegen die Wertungen des Datenschutzrechts, wie sie in der DSGVO zum Ausdruck kommen.
Nach Ansicht der Wettbewerbsbehörde liege ein Missbrauch im Sinne des § 19 Abs. 1 GWB (Konditionenmissbrauch) bereits dann vor, wenn als Ausfluss der Marktmacht die von einem Normadressaten verwendete Datenverarbeitungskonditionen gegen die Wertungen der DSGVO verstoßen. Oder auch, wenn die verwendeten allgemeinen Geschäftsbedingungen nach den gesetzlichen Wertungen der §§ 307 ff. BGB unzulässig sind.
Einen möglichen Konflikt zwischen den Anwendungsbereichen von Kartellrecht und Datenschutzrecht sieht das Bundeskartellamt hier überraschenderweise nicht.
Insbesondere sieht sich das Bundeskartellamt offensichtlich als zuständige Behörde an, die bei der Anwendung des § 19 Abs. 1 GWB auch auf Datenschutzwertungen Rückgriff nehmen und materiell-rechtliche Prüfungen vornehmen zu können. Sie sei an der Durchsetzung des Missbrauchsverbots von der Heranziehung datenschutzrechtlicher Wertungen nicht gehindert. Es würden lediglich die Wertungen des europäischen Datenschutzrechts als bedeutende Anhaltspunkte für die kartellrechtliche Beurteilung der Angemessenheit des Verhaltens eines marktbeherrschenden Unternehmens berücksichtigt. Die Datenverarbeitung sei ein unternehmerisches und in hohem Maße wettbewerbsrelevantes Verhalten. Die wirtschaftliche Nutzung von Kunden- und Nutzerdaten sowie Daten Dritter sei zudem ein wettbewerblich bedeutender Faktor.
Grundsätzlich fehle es zudem an der Rechtfertigung zur Datenverarbeitung (wohl nach Art. 6 oder Art. 9 DSGVO). Weder entspreche die derzeitige Einwilligung den Anforderungen nach Art. 6 Abs. 1 Satz 1 lit. a und Art. 9 Abs. 2 lit. b DSGVO, noch sei die Datenverarbeitung im Rahmen des Datenaustausch für die Vertragserfüllung nach Art. 6 Abs. 1 Satz 1 lit. b DSGVO erforderlich. Ein überwiegendes Interesse von Facebook oder den Drittanbietern im Sinne von Art. 6 Abs. 1 Satz 1 lit. f DSGVO sei ebenfalls nicht gegeben.
Mehr Informationen findet sich in dem veröffentlichten Hintergrundpapier (pdf).
Kritik an dem Vorgehen des Bundeskartellamts
Zuständigkeit nach Art. 51 Abs. 1, Art. 55 DSGVO
Besonders überraschend ist hier die selbstverständliche Haltung der Wettbewerbsbehörde zur doch fragwürdigen Zuständigkeit bei angeblich vorliegenden Verstößen gegen die DSGVO. Die Zulässigkeit zur datenschutzrechtlichen Ahndung von Verstößen als Befugnis nach Art. 58 DSGVO (insbesondere die Verhängung von Bußgeldern nach Art. 58 Abs. 2 lit. i) iVm Art. 83 ff. DSGVO) ist für die nach Art. 51 Abs. 1 DSGVO von den Mitgliedstaaten bestimmten und zuständigen Behörden vorgesehen. Das Bundeskartellamt ist jedoch keine weitere Instanz, die zur Einhaltung datenschutzrechtlicher Bestimmungen befähigt ist. Das Bundeskartellamt wurde von Deutschland auch nicht errichtet oder mit Befugnissen auf der Grundlage der DSGVO ausgestattet, um Verstöße gegen das Datenschutzrecht mit hoheitlichen Sanktionen zu ahnden. Unter Beachtung des Vorrangs des EU-weiten und einheitlichen Datenschutzrechts können meines Erachtens nicht einfach durch nationale Regelungen aus anderen Rechtsgebieten die Tatbestände für Sanktionen (wie Untersagungen) oder gar Bußgelder ausgeweitet und auch auf andere, nicht auf der Grundlage der DSGVO zuständige Behörden übertragen werden, wie es hier die Wettbewerbsbehörde durch § 19 Abs. 1 GWB versucht. Es gehört zu den grundlegenden Aufgaben der Datenschutzbehörde, DSGVO-relevante Untersuchungen durchzuführen (Art. 58 DSGVO) und gegebenenfalls durch Bußgelder oder Sanktionen zu ahnden (Art. 83 ff.). Im Grunde würde aus dem Vorgehen des Bundeskartellamts eine parallele Datenschutzaufsicht folgen. Dann müsste sich das Bundeskartellamt aber auch die Frage gefallen lassen, ob es alle Anforderungen an eine Aufsichtsbehörde nach der DSGVO erfüllt.
Das Bundeskartellamt kann sich vorliegend auch nicht auf die Argumentation zurückziehen, dass ja materielles Datenschutzrecht nicht geprüft werde, sondern nur Wertungen aus der DSGVO übernommen würden. Die Informationen im Hintergrundpapier zeigen deutlich, dass die Wettbewerbsbehörde klar eine detailreiche materiellrechtliche Prüfung der Vorgaben der DSGVO vornimmt.
Eine Parallelität von mehreren Datenschutzaufsichten für einen Verantwortlichen (was die Folge der Sichtweise des Bundeskartellamts wäre) ist in der DSGVO gerade nicht vorgesehen und sogar explizit nicht gewollt (dazu sogleich).
Zusammenarbeit und Kohärenzverfahren nach Art. 60 ff. DSGVO
Sind mehrere Datenschutz(!)behörden zuständig, sieht die DSGVO nun das sog. Kohärenzverfahren vor. Datenschutzbehörden (ob in Deutschland oder auch EU-Ebene) müssen sich im Zweifel untereinander abstimmen. Am Ende soll es für Unternehmen eine verbindliche, zwischen mehreren zuständigen Behörden abgestimmte, Entscheidung geben. Das Bundeskartellamt verweist zwar auf die Zusammenarbeit mit Datenschutzbehörden, doch umgeht sie dabei die nach der DSGVO vorgeschriebene Zusammenarbeit der Behörden untereinander. Die federführende Behörde ist hinsichtlich Facebook nun einmal die irische Datenschutzbehörde, die hier wohl völlig übergangen wurde. Der Austausch mit der federführenden Aufsichtsbehörde soll insbesondere bei der Beurteilung von Verarbeitungsvorgängen, die Personen in mehreren Mitgliedstaaten betreffen, stattfinden. Nur so kann eine einheitliche Anwendung dieser Verordnung in der gesamten Union sichergestellt werden (ErwG 123 DSGVO). Im Grunde wird durch das Vorgehen des Bundeskartellamts das Kohärenzverfahren nach der DSGVO und, in Streitfällen zwischen Aufsichtsbehörden, die Entscheidungsbefugnis des Europäischen Datenschutzausschusses schlicht übergangen. Würde sich dieses Vorgehen durchsetzen, würde am Ende gerade nicht mehr ein einheitliches Vorgehen der fachlich zuständigen Behörden stehen.
Kartell- und Datenschutzrecht
Die anzuzweifelnde Zuständigkeit des Bundeskartellamts versucht es durch die Vereinbarkeit der Prüfung von Datenschutzrecht innerhalb des Kartellrechts zu widerlegen. Die Behörde geht davon aus, dass die Datenverarbeitung durch Unternehmen grundsätzlich ein wettbewerbsrelevantes Verhalten darstelle und folglich den wettbewerbsrechtlichen Vorschriften unterliege. Doch für eine Trennung von Kartell- und Datenschutzrecht haben sich bereits die Europäische Kommission und auch der EuGH ausgesprochen, die in Anbetracht der europarechtlichen Auslegung der DSGVO auch eingehalten werden sollte:
„Etwaige Fragen im Zusammenhang mit der Sensibilität personenbezogener Daten, sind als solche nicht wettbewerbsrechtlicher Natur sind, [sind] nach den einschlägigen Bestimmungen zum Schutz solcher Daten zu beantworten.“ (EuGH, Urteil vom 23.11.2006 – C238/05
Noch strikter trennt die Europäische Kommission, indem sie auf die jeweiligen geschützten Rechtsgüter der legislativen Vorgaben abstellt:
„COM said that both competition law and data protection concern economic values, whereas data protection protects values of the data subject.“ (Ratsdokument 17831/13, S. 226, Fn. 567). Das Kartellrecht verfolgt gerade nicht dieselben Ziele wie das Datenschutzrecht.
„For the purposes of this decision, the Commission notes that any privacy-related concerns flowing from the use of data within the control of the Parties do not fall within the scope of the EU competition law rules but within the scope of the EU data protection rules.“ (Entscheidung der Kommission vom 23/02/2016 zur Vereinbarkeit eines Zusammenschlusses mit dem Gemeinsamen Markt (Fall COMP/M.7813 – SANOFI / GOOGLE / DMI JV) gemäß der Verordnung (EG) Nr. 139/2004 des Rates; S. 11 Rn. 70)
Fazit
Das hochinteressante Verfahren, das einige diskussionswürdige Fragen aufwirft, wird sicherlich seinen Weg in den Instanzenzug der Gerichte finden. Eventuell muss am Ende der EuGH noch einmal zu der Frage entscheiden, wie sich das Kartell- und Datenschutzrecht zueinander und insbesondere die Zuständigkeit der Behörden verhalten.
Pingback: Bundeskartellamt beschränkt das Zusammenführen von Nutzerdaten | DataAgenda
Wenn das „einheitliche Vorgehen“ so aussieht, dass die irische Datenschutzbehörde völlig untätig bleibt und damit EU-Bürgern effektiven Grundrechteschutz verwehrt ist das doch genauso problematisch. Der Gesetzgeber hat es doch, als er die Regelungen der DS-GVO entwarf nicht vorgesehen, dass sich die Datenschutzbehörden einzelner Mitgliedstaaten wirtschaftliche Vorteile durch Nichttätigwerden verschaffen können.