Schrems vs. META - Sensible Daten müssen geschützt werden!

EuGH – Schrems/META – Urt. v. 4.10.2024 – C-446/21
EuGH (Vierte Kammer) Urt. v. 4.10.2024 – C-446/21 (Maximilian Schrems/Meta)

Ausgangsfall:

Maximilian Schrems, ein Nutzer des sozialen Netzwerks Facebook, klagte gegen Meta Platforms Ireland Ltd (vormals Facebook Ireland Ltd) wegen der rechtswidrigen Verarbeitung seiner personenbezogenen Daten. Meta Platforms Ireland, verantwortlich für die Verarbeitung der Daten von Facebook-Nutzern in der EU, hatte personenbezogene Daten von Schrems sowohl innerhalb als auch außerhalb der Plattform gesammelt und für personalisierte Werbung verwendet.

Klagepunkte von Schrems:

Schrems beklagte folgende Punkte, die vom EuGH entschieden werden mußten:

Unwirksame Einwilligung: Schrems argumentierte, dass seine Zustimmung zu den Nutzungsbedingungen von Facebook nicht den Anforderungen der DS-GVO entspreche und daher unwirksam sei.
Verarbeitung sensibler Daten: Schrems behauptete, dass Meta Platforms Ireland sensible Daten über ihn, wie seine sexuelle Orientierung, ohne die erforderliche Einwilligung gemäß Art. 9 DS-GVO verarbeitet habe. Schrems führte weiter an, dass Meta Platforms Ireland personenbezogene Daten, die von Dritten (z.B. durch Cookies und Social Plugins) erhalten wurden, ohne seine wirksame Einwilligung für personalisierte Werbung verarbeitet habe.

Schrems beantragte daher, dass Meta Platforms Ireland es unterlassen solle, seine personenbezogenen Daten für personalisierte Werbung zu verarbeiten und/oder diese Daten, die von Dritten erlangt wurden, zu nutzen.

Diese Klagepunkte führten zu einer rechtlichen Auseinandersetzung, die schließlich vor dem Europäischen Gerichtshof (EuGH) landete.

Unwirksame Einwilligung

Meta Platforms Ireland Ltd (Facebook) verlangte von Nutzern, dass sie den allgemeinen Nutzungsbedingungen zustimmen, um den Dienst nutzen zu können. Diese Nutzungsbedingungen umfassten auch die Zustimmung zur Verarbeitung personenbezogener Daten für personalisierte Werbung.

Maximilian Schrems argumentierte, dass seine Zustimmung zu diesen Nutzungsbedingungen nicht den Anforderungen der Datenschutz-Grundverordnung (DS-GVO) entsprach. Er führte an, dass die Einwilligung nicht freiwillig und ausreichend informiert war, da sie eine zwingende Voraussetzung für die Nutzung des Dienstes darstellte.

Der EuGH stellte fest, dass die Einwilligung von Schrems zu den Nutzungsbedingungen von Facebook nicht den Anforderungen der DS-GVO entsprach. Die DS-GVO verlangt, dass eine Einwilligung freiwillig, spezifisch, informiert und unmissverständlich ist. Die Einwilligung muss sich auf spezifische Verarbeitungszwecke beziehen und darf nicht pauschal für verschiedene Zwecke erteilt werden. Der EuGH entschied, dass die Einwilligung spezifisch sein muss und nicht für eine Vielzahl von Verarbeitungszwecken pauschal erteilt werden darf (Rn. 48).

Im Fall von Schrems war die Einwilligung jedoch nicht freiwillig, da sie eine Bedingung für die Nutzung des sozialen Netzwerks war. Nutzer hatten keine echte Wahl, da sie entweder zustimmen mussten oder den Dienst nicht nutzen konnten.

Verarbeitung sensibler Daten (sexuelle Orientierung):

Schrems machte geltend, dass die Verarbeitung sensibler Daten, wie Informationen über seine sexuelle Orientierung (Anm.: Ein Video einer Podiumsdiskussion bei der diese thematisiert wurde zirkulierte in Facebook), ohne seine ausdrückliche Einwilligung unzulässig sei. Er betonte, dass er Meta Platforms Ireland nicht erlaubt habe, solche Daten zu verarbeiten, insbesondere nicht die Daten, die von Dritten außerhalb der Plattform erhoben wurden.

Der EuGH entschied, dass Meta Platforms Ireland nicht berechtigt war, sensible Daten wie die sexuelle Orientierung von Schrems zu verarbeiten, selbst wenn Schrems diese Informationen öffentlich gemacht hatte. Die Verarbeitung solcher Daten bedarf einer ausdrücklichen und spezifischen Einwilligung, die in diesem Fall nicht vorlag.

Öffentliches Bekanntmachen: Der EuGH stellte klar, dass der Umstand, dass sich eine Person bei einer öffentlich zugänglichen Podiumsdiskussion zu ihrer sexuellen Orientierung geäußert hat, nicht automatisch bedeutet, dass der Betreiber einer Onlineplattform berechtigt ist, andere Daten über die sexuelle Orientierung dieser Person zu verarbeiten (Rn. 83).

Enger Auslegung der Ausnahmen: Der EuGH betonte, dass die Ausnahmen vom Verbot der Verarbeitung sensibler Daten eng auszulegen sind. Selbst wenn eine Person bestimmte Daten öffentlich gemacht hat, bedeutet dies nicht, dass alle anderen Daten über diese Person ebenfalls verarbeitet werden dürfen (Rn. 76).

Daten von Dritten: Der EuGH entschied weiterhin, dass selbst wenn eine Person bestimmte Daten öffentlich gemacht hat, dies nicht bedeutet, dass der Betreiber einer Onlineplattform berechtigt ist, andere Daten über diese Person, die von Dritten stammen, zu verarbeiten. Die Verarbeitung solcher Daten ohne ausdrückliche Einwilligung verstößt gegen die DS-GVO (Rn. 83).

Folgen des Urteils

Strengere Einwilligungsanforderungen: Das Urteil betont die Notwendigkeit einer ausdrücklichen und informierten Einwilligung der betroffenen Personen, insbesondere bei der Verarbeitung sensibler Daten. Unternehmen müssen sicherstellen, dass sie klare und spezifische Einwilligungen einholen und dokumentieren, um rechtliche Risiken zu minimieren.
Einschränkungen bei der Nutzung von Daten von Dritten: Unternehmen dürfen personenbezogene Daten, die sie von Dritten erhalten, nicht ohne ausdrückliche Einwilligung der betroffenen Personen verarbeiten. Dies schränkt die Möglichkeiten der Datenaggregation und -analyse erheblich ein und erfordert eine sorgfältige Prüfung der Datenquellen und der rechtlichen Grundlagen für die Datenverarbeitung.
Notwendigkeit von Datenschutz-Folgenabschätzungen: Bei der Verarbeitung sensibler Daten oder bei umfangreichen Datenverarbeitungen müssen Unternehmen Datenschutz-Folgenabschätzungen durchführen, um die Risiken für die Rechte und Freiheiten der betroffenen Personen zu bewerten und geeignete Maßnahmen zur Risikominderung zu ergreifen.
Verstärkte Überwachung durch Datenschutzbehörden: Datenschutzbehörden werden verstärkt die Einhaltung der DS-GVO überwachen und bei Verstößen entsprechende Maßnahmen ergreifen. Unternehmen müssen daher mit einer intensiveren Überprüfung ihrer Datenschutzpraktiken rechnen und sollten proaktiv Maßnahmen ergreifen, um Compliance sicherzustellen.

Cookie	Type	Duration	Description
cookielawinfo-checkbox-analytics	1	11 months 29 days 23 hours 59 minutes	This cookies is set by GDPR Cookie Consent WordPress Plugin. The cookie is used to remember the user consent for the cookies under the category 'Analytics'.
cookielawinfo-checkbox-necessary	1	11 months 29 days 23 hours 59 minutes	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category 'Necessary'.
viewed_cookie_policy	1	11 months 30 days 5 hours 48 minutes	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.
viewed_cookie_policy	1	11 months 30 days 5 hours 48 minutes	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Schrems vs. META – Sensible Daten müssen geschützt werden!

Recent Posts

Recent Comments

Archives

Categories

Meta