EuGH zur Verarbeitung sensibler Daten und Datenminimierung in sozialen Netzwerken

Am 4. Oktober 2024 hat der Europäische Gerichtshof (EuGH) ein weiteres Urteil (Rechtssache C-446/21) zur Verarbeitung personenbezogener Daten in sozialen Online-Netzwerken und der personalisierten Werbung gefällt. Im Fokus des Verfahrens stand die Klage des österreichischen Datenschutzaktivisten Maximilian Schrems gegen Meta Platforms Ireland Ltd (vormals Facebook). Der EuGH hatte sich mit zentralen Fragen zur Datenverarbeitung, insbesondere zur Datenminimierung und der Verarbeitung besonderer Kategorien personenbezogener Daten, zu befassen.

Hintergrund des Falls

Maximilian Schrems warf Meta Platforms vor, seine personenbezogenen Daten ohne seine Einwilligung zu Werbezwecken zu verarbeiten. Meta Platforms nutzte dabei sowohl die Aktivitäten von Schrems auf Facebook als auch außerhalb der Plattform durch den Einsatz von Cookies und Social Plug-ins. Diese Praxis betraf auch besonders sensible Datenkategorien, wie Schrems’ sexuelle Orientierung, obwohl diese nicht explizit in seinem Facebook-Profil angegeben waren. Schrems argumentierte, dass dies einen Verstoß gegen die Datenschutz-Grundverordnung (DSGVO) darstelle.

Meta Platforms verteidigte sich, indem sie geltend machte, dass die Datenverarbeitung notwendig sei, um den Nutzern die Dienste kostenlos anbieten zu können, und berief sich auf die Einwilligung, die Schrems bei der Nutzung von Facebook erteilt habe.

Entscheidung des EuGH

  1. Datenminimierung und Zweckbindung
    Der EuGH stellte fest, dass der Grundsatz der Datenminimierung nach Art. 5 Abs. 1 Buchst. c DSGVO bedeutet, dass personenbezogene Daten nur insoweit verarbeitet werden dürfen, wie es für den jeweiligen Verarbeitungszweck erforderlich ist. Die Praxis von Meta Platforms, sämtliche personenbezogenen Daten von Nutzern, sowohl innerhalb als auch außerhalb der Plattform, zu erheben und ohne zeitliche Begrenzung für Werbezwecke zu nutzen, verstößt gegen diesen Grundsatz. Der EuGH betonte, dass die Speicherung und Verarbeitung dieser Daten über einen längeren Zeitraum unverhältnismäßig sei und die Privatsphäre der Nutzer unangemessen beeinträchtige.
  2. Verarbeitung sensibler Daten
    In Bezug auf die sensiblen Datenkategorien, wie beispielsweise die sexuelle Orientierung, entschied der EuGH, dass die Verarbeitung solcher Daten nur unter strengen Voraussetzungen zulässig ist. Selbst wenn ein Nutzer Informationen über seine sexuelle Orientierung öffentlich äußert, wie dies Schrems in einer Podiumsdiskussion tat, erlaubt dies Meta Platforms nicht automatisch, weitere Daten zu seiner sexuellen Orientierung zu verarbeiten. Der EuGH stellte klar, dass dies nur dann möglich sei, wenn die betroffene Person die Daten „offensichtlich öffentlich gemacht“ habe und dies in einer Weise geschah, die die breite Öffentlichkeit einschloss.

Auswirkungen des Urteils

Dieses Urteil hat weitreichende Implikationen für die Geschäftspraktiken von sozialen Netzwerken, insbesondere hinsichtlich der personalisierten Werbung. Unternehmen wie Meta Platforms müssen sicherstellen, dass sie die Prinzipien der Datenminimierung strikt einhalten und sensibel mit den Daten der Nutzer umgehen. Eine unbegrenzte Datensammlung, selbst zu Zwecken der gezielten Werbung, wird in Zukunft schwerer durchsetzbar sein.

Für Verbraucher bedeutet das Urteil einen weiteren Schritt zum Schutz ihrer Privatsphäre und ihrer sensiblen Daten im digitalen Raum. Es verdeutlicht, dass Plattformen, auch wenn sie auf personalisierte Werbung setzen, in der Verantwortung stehen, den Datenschutz der Nutzer nicht zu verletzen.

Fazit

Der EuGH hat mit diesem Urteil erneut die Rechte der Nutzer von sozialen Netzwerken gestärkt und die Anforderungen an die Einhaltung der DSGVO präzisiert. Insbesondere die Prinzipien der Datenminimierung und der Zweckbindung bei der Verarbeitung von personenbezogenen Daten wurden hervorgehoben. Unternehmen, die personenbezogene Daten für kommerzielle Zwecke verarbeiten, müssen sich auf strengere Kontrollen einstellen.

Stefan Lutz, LL.M.

Rechtsanwalt und Fachanwalt für IT-Recht
externer Datenschutzbeauftragter
Lehrbeauftragter für IT-Recht an der RWU

Rechtsanwalt und Fachanwalt für IT-Recht Stefan Lutz, LL.M. berät Firmen und private Mandanten in den Rechtsgebieten des IT-Rechts, wozu unter anderem das Datenschutzrecht (BDSG, DSGVO, TDDDG...), Urheberrecht, Wettbewerbsrecht, Markenrecht, E-Commerce-Recht, Social Media Recht und das Recht der Künstlichen Intelligenz gehören.

Telefon: 0751 / 27 088 530

 lutz@datenschutz-rv.de  https://www.datenschutz-rv.de