Auch öffentlich geäußerte Angaben zur Person dürfen nicht uneingeschränkt für Werbung genutzt werden
Der Europäische Gerichtshof (EuGH) entschied in einem Fall gegen Meta, dass die Verwendung personenbezogener Daten für Werbung massiv eingeschränkt werden muss. Der Grundsatz der "Datenminimierung" gemäß Datenschutz-Grundverordnung (DSGVO) verlangt, dass nur notwendige Daten verarbeitet werden dürfen, selbst bei Zustimmung zur personalisierten Werbung. Erwirkt hatte das Urteil Max Schrems und sein Bürgerrechtsverein noyb.
In dem Urteil vom 4. Oktober 2024 (Rechtssache C-446/21, Schrems) entschied der Europäische Gerichtshof (EuGH), dass ein Online-Sozialnetzwerk wie Facebook nicht ohne zeitliche Beschränkung oder Unterscheidung zwischen den Datentypen sämtliche personenbezogenen Daten, die es über Nutzer erhält, für zielgerichtete Werbung verwenden darf. Dies betrifft sowohl Daten, die auf der Plattform selbst als auch von Drittanbietern außerhalb der Plattform gesammelt werden.
„Im vorliegenden Fall hatte Max Schrems gegen Meta Platforms Ireland geklagt, weil Facebook seine personenbezogenen Daten, darunter Informationen über seine sexuelle Orientierung, für personalisierte Werbung genutzt hatte.“
Meta sammelt unter anderem mithilfe von Cookies und sozialen Plug-ins Daten über Nutzer, sowohl auf Facebook als auch über deren Aktivitäten auf anderen Webseiten und Apps.
Ein zentrales Thema des Verfahrens war, ob Schrems durch eine öffentliche Aussage über seine sexuelle Orientierung im Rahmen einer Podiumsdiskussion Facebook berechtigt hat, weitere Daten zu diesem sensiblen Thema zu verarbeiten. Der EuGH entschied, dass die bloße öffentliche Äußerung über die sexuelle Orientierung nicht ausreiche, um Facebook zu erlauben, andere, aus externen Quellen stammende Daten über seine sexuelle Orientierung zu verarbeiten und für personalisierte Werbung zu nutzen.
Die Datenminimierung, wie sie in der DSGVO festgelegt ist, verbietet es, alle gesammelten personenbezogenen Daten ohne spezifische Zweckbindung oder zeitliche Einschränkung zu verwenden. Die nationale Gerichtsbarkeit, in diesem Fall das österreichische Höchstgericht, muss prüfen, ob Schrems seine sexuelle Orientierung in der Podiumsdiskussion tatsächlich öffentlich gemacht hat, was bestimmte Verarbeitungen nach der DSGVO erlauben könnte.
Das Gericht entschied somit über zwei Teilfragen: Erstens, muss die Nutzung personenbezogener Daten für Online-Werbung massiv eingeschränkt werden. Zweitens, können nicht schon wegen der öffentlichen Erwähnung von sensiblen Informationen, jegliche anderen sensiblen Daten rückwirkend für Werbung verwendet werden.
-
Dieser Artikel besagt, dass personenbezogene Daten nur in dem Maße gesammelt und verwendet werden dürfen, wie es wirklich notwendig ist. Das bedeutet, dass ein Betreiber einer Plattform (z.B. eines sozialen Netzwerks) nicht alle Daten, die er von einer Person oder von Dritten erhält, unbegrenzt speichern, analysieren und für zielgerichtete Werbung nutzen darf. Die Daten müssen einen konkreten Zweck haben und dürfen nicht einfach ohne zeitliche Begrenzung oder Unterscheidung nach Art der Daten verarbeitet werden.
Der EuGH sah diesen Grundsatz in Metas Praxis verletzt, "sämtliche personenbezogenen Daten, die ein Verantwortlicher wie der Betreiber einer Onlineplattform für ein soziales Netzwerk von der betroffenen Person oder von Dritten erhält und die sowohl auf als auch außerhalb dieser Plattform erhoben wurden, zeitlich unbegrenzt und ohne Unterscheidung nach ihrer Art für Zwecke der zielgerichteten Werbung aggregiert, analysiert und verarbeitet werden" -
Nach diesem Artikel der DSGVO ist die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt.
Der EUGh macht noch einmal klar, dass auch Art. 9 Absatz 2 dahingehend auszulegen ist, "dass dass der Umstand, dass sich eine Person bei einer öffentlich zugänglichen Podiumsdiskussion zu ihrer sexuellen Orientierung geäußert hat, dem Betreiber einer Onlineplattform für ein soziales Netzwerk nicht gestattet, andere Daten über die sexuelle Orientierung dieser Person zu verarbeiten, die er gegebenenfalls außerhalb dieser Plattform von Anwendungen und Websites dritter Partner im Hinblick darauf erhalten hat, sie zu aggregieren und zu analysieren, um dieser Person personalisierte Werbung anzubieten"
Was bedeutet das für die Datenschutzpraxis?
Für Datenschutzbeauftragte bedeutet dies konkret, dass sie sicherstellen müssen, dass der Grundsatz der Datenminimierung in ihrem Unternehmen strikt eingehalten wird. Dies umfasst die Verpflichtung, dafür zu sorgen, dass nur die zur Erfüllung eines bestimmten Zwecks erforderlichen personenbezogenen Daten verarbeitet werden. Unternehmen dürfen personenbezogene Daten nicht ohne spezifische Zweckbindung oder zeitliche Begrenzung verwenden, auch wenn die betroffene Person in die personalisierte Werbung eingewilligt hat.
Darüber hinaus müssen Datenschutzbeauftragte verstärkt darauf achten, dass sensible Daten, wie etwa Informationen zur sexuellen Orientierung, nicht allein aufgrund einer öffentlichen Äußerung der betroffenen Person für Werbezwecke verwendet werden. Es ist sicherzustellen, dass solche Informationen nur mit expliziter Einwilligung und in Übereinstimmung mit den Bestimmungen der DSGVO verarbeitet werden. Eine rückwirkende Verwendung sensibler Daten für zielgerichtete Werbung, insbesondere wenn diese aus externen Quellen stammen, ist unzulässig.
Zudem besteht eine klare Löschpflicht für unnötige oder nicht mehr relevante Daten. Datenschutzbeauftragte müssen Verfahren implementieren, die gewährleisten, dass personenbezogene Daten regelmäßig überprüft und gelöscht werden, sofern sie nicht mehr für den ursprünglichen Zweck benötigt werden.
Schließlich erfordert die Verwendung personenbezogener Daten für Werbung eine strengere Kontrolle. Die Nutzung von Daten, die sowohl auf der Plattform als auch durch Drittanbieter gesammelt werden, muss im Hinblick auf die neuen Anforderungen der DSGVO stark eingeschränkt werden. Datenschutzbeauftragte sollten die Einhaltung dieser Regelungen überwachen und regelmäßig überprüfen, um sicherzustellen, dass das Unternehmen nicht gegen die Vorgaben verstößt.