Seite drucken Entscheidung als PDF runterladen
I.
Das Verfahren wird ausgesetzt.
II.
Dem Gerichtshof der Europäischen Union werden zur Auslegung der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46 EG (Datenschutz-Grundverordnung, nachfolgend auch: DSGVO) und zur Auslegung von Art. 4 Abs. 3 EUV folgende Fragen zur Vorab-entscheidung vorgelegt:
1.
a) Ist es mit Artt. 51 ff. DSGVO vereinbar, wenn eine nationale Kartellbehörde eines Mitgliedstaats, wie das Bundeskartellamt, die nicht Aufsichtsbehörde im Sinne der Artt. 51 ff. DSGVO ist und in deren Mitgliedstaat ein außerhalb der Europäischen Union ansässiges Unternehmen eine Niederlassung unterhält, die die in einem anderen Mitgliedstaat belegene Hauptniederlassung dieses Unternehmens, welcher die ausschließliche Verantwortung für die Verarbeitung personenbezogener Daten für das gesamte Gebiet der Europäischen Union obliegt, im Bereich Werbung, Kommunikation und Öffentlichkeitsarbeit unterstützt, für die kartellrechtliche Missbrauchsaufsicht einen Verstoß von Vertragsbedingungen der Hauptniederlassung zur Datenverarbeitung und von deren Durchführung gegen die DSGVO feststellt und eine Verfügung zur Abstellung dieses Verstoßes erlässt?
b) Wenn ja: Ist dies mit Art. 4 Abs. 3 EUV vereinbar, wenn gleichzeitig die federführende Aufsichtsbehörde im Mitgliedstaat der Hauptniederlassung im Sinne des Art. 56 Abs. 1 DSGVO deren Vertragsbedingungen zur Datenverarbeitung einem Untersuchungsverfahren unterzieht?
Wenn Frage 1. zu bejahen ist:
2.
a) Handelt es sich dann, wenn ein Internetnutzer Webseiten oder Apps, die Bezug zu den Kriterien des Art. 9 Abs. 1 DSGVO haben, wie etwa Flirting-Apps, Homosexuellen-Partnerbörsen, Webseiten politischer Parteien, gesundheitsbezogene Webseiten, entweder nur aufruft oder dort auch Eingaben tätigt, etwa bei Registrierung oder Bestellungen, und ein anderes Unternehmen, wie Facebook Ireland, über in die Webseiten und Apps eingebundene Schnittstellen, wie „Facebook Business Tools“, oder über auf dem Computer oder mobilen Endgerät des Internetnutzers eingesetzte Cookies oder ähnliche Speichertechnologien die Daten über den Aufruf der Webseiten und Apps durch den Nutzer und über dort getätigte Eingaben des Nutzers erfasst, mit den Daten des Facebook.com-Kontos des Nutzers verknüpft und verwendet, bei der Erfassung und/oder der Verknüpfung und/oder der Verwendung um die Verarbeitung sensibler Daten im Sinne der Norm?
b) Wenn ja: Stellt der Aufruf dieser Webseiten und Apps und/oder die Tätigung von Eingaben und/oder die Betätigung der in diese Webseiten oder Apps eingebundenen Schaltflächen („soziale Plugins“ wie „Gefällt mir“, „Teilen“ oder „Facebook Login“ oder „Account Kit“) eines Anbieters wie Facebook Ireland ein offensichtliches Öffentlichmachen der Daten über den Aufruf als solches und/oder die Eingaben durch den Nutzer im Sinne des Art. 9 Abs. 2 lit. e) DSGVO dar?
3.
Kann ein Unternehmen wie Facebook Ireland, das ein werbefinanziertes, digitales soziales Netzwerk betreibt und in seinen Nutzungsbedingungen die Personalisierung der Inhalte und der Werbung, Netzwerksicherheit, Produktverbesserung und durchgängige und nahtlose Nutzung aller konzerneigenen Produkte anbietet, sich auf den Rechtfertigungsgrund der Erforderlichkeit zur Vertragserfüllung gemäß Art. 6 Abs. 1 lit. b) DSGVO oder der Wahrnehmung berechtigter Interessen gemäß Art. 6 Abs. 1 lit. f) DSGVO berufen, wenn es zu diesen Zwecken Daten aus anderen konzerneigenen Diensten und aus dritten Webseiten und Apps über in diese eingebundene Schnittstellen, wie „Facebook Business Tools“, oder über auf dem Computer oder mobilen Endgerät des Internetnutzers eingesetzte Cookies oder ähnliche Speichertechnologien erfasst, mit dem Facebook.com-Konto des Nutzers verknüpft und verwendet?
4.
Können in einem solchen Fall auch
- die Minderjährigkeit der Nutzer für die Personalisierung von Inhalten und Werbung, Produktverbesserung, Netzwerksicherheit und Nicht-Marketing-Kommunikation mit dem Nutzer,
- die Bereitstellung von Messungen, Analysen und sonstigen Unternehmens-Services an Werbekunden, Entwickler und sonstige Partner, damit diese ihre Leistungen bewerten und verbessern können,
- die Bereitstellung von Marketing-Kommunikation mit dem Nutzer, damit das Unternehmen seine Produkte verbessern und Direktmarketing durchführen kann,
- Forschung und Innovation für soziale Zwecke, um den Stand der Technik bzw. das wissenschaftliche Verständnis bezüglich wichtiger sozialer Themen zu fördern und um die Gesellschaft und Welt positiv zu beeinflussen,
- die Information von Strafverfolgungs- und Vollstreckungsbehörden und die Antwort auf rechtliche Anfragen, um Straftaten, unberechtigte Nutzung, Verstöße gegen die Nutzungsbedingungen und Richtlinien und sonstige schädliche Verhaltensweisen zu verhindern, aufzudecken und zu verfolgen,
berechtigte Interessen im Sinne des Art. 6 Abs. 1 lit. f) DSGVO sein, wenn das Unternehmen zu diesen Zwecken Daten aus anderen konzerneigenen Diensten und aus dritten Webseiten und Apps über in diese eingebundene Schnittstellen, wie „Facebook Business Tools“, oder über auf dem Computer oder mobilen Endgerät des Internetnutzers eingesetzte Cookies oder ähnliche Speichertechnologien erfasst, mit dem Facebook.com-Konto des Nutzers verknüpft und verwendet?
5.
Kann in einem solchen Fall die Erfassung von Daten aus anderen konzerneigenen Diensten und aus dritten Webseiten und Apps über in diese eingebundene Schnittstellen, wie „Facebook Business Tools“, oder über auf dem Computer oder mobilen Endgerät des Internetnutzers eingesetzte Cookies oder ähnliche Speichertechnologien, die Verknüpfung mit dem Facebook.com-Konto des Nutzers und die Verwendung oder die Verwendung bereits anderweit rechtmäßig erfasster und verknüpfter Daten im Einzelfall auch gemäß Art. 6 Abs. 1 lit. c), d) und e) DSGVO gerechtfertigt sein, um etwa eine rechtsgültige Anfrage für bestimmte Daten zu beantworten (lit. c)), um schädliches Verhalten zu bekämpfen und die Sicherheit zu fördern (lit. d)), zur Forschung zum Wohle der Gesellschaft und zur Förderung von Schutz, Integrität und Sicherheit (lit. e))?
6.
Kann gegenüber einem marktbeherrschenden Unternehmen wie Facebook Ireland eine wirksame, insbesondere nach Art. 4 Nr. 11 DSGVO freiwillige, Einwilligung im Sinne der Artt. 6 Abs. 1 lit. a), 9 Abs. 2 lit. a) DSGVO erklärt werden?
Wenn Frage 1. zu verneinen ist:
7.
a) Kann eine nationale Kartellbehörde eines Mitgliedstaats, wie das Bundeskartellamt, die nicht Aufsichtsbehörde im Sinne der Artt. 51 ff. DSGVO ist und die einen Verstoß eines marktbeherrschenden Unternehmens gegen das kartellrechtliche Missbrauchsverbot prüft, der nicht in einem Verstoß von dessen Datenverarbeitungsbedingungen und ihrer Durchführung gegen die DSGVO besteht, etwa im Rahmen der Interessenabwägung Feststellungen dazu treffen, ob die Datenverarbeitungsbedingungen dieses Unternehmens und ihre Durchführung der DSGVO entsprechen?
b) Wenn ja: Gilt dies im Hinblick auf Art. 4 Abs. 3 EUV auch dann, wenn gleichzeitig die gemäß Art. 56 Abs. 1 DSGVO zuständige federführende Aufsichtsbehörde die Datenverarbeitungsbedingungen dieses Unternehmens einem Untersuchungsverfahren unterzieht?
Wenn Frage 7. zu bejahen ist, bedarf es der Beantwortung der Fragen 3. bis 5. in Bezug auf die Daten aus der Nutzung des konzerneigenen Dienstes Instagram.
G r ü n d e
2I.
3Die Beschwerdeführerin zu 2. (nachfolgend auch: Facebook Ireland) betreibt in Europa das für private Nutzer unentgeltliche digitale soziale Netzwerk Facebook.com. Die Beschwerdeführerin zu 1. ist deren amerikanische Muttergesellschaft. Die Beschwerdeführerin zu 3. ist eine deutsche Schwestergesellschaft von Facebook Ireland und unterstützt diese im Bereich Werbung, Kommunikation und Öffentlichkeitsarbeit (nachfolgend für die Beschwerdeführerinnen zusammen auch: Facebook).
4Der private Nutzer kann auf Facebook.com eine persönliche Facebook-Seite einrichten, über die er mit Dritten kommunizieren kann. Er kann u.a. eigene Beiträge in den „Newsfeed“ auf seiner Facebook-Seite einstellen und nach seiner Wahl unter seinen Facebook-Freunden oder Netzwerk-öffentlich verbreiten, zudem in seinem „Newsfeed“ Mitteilungen seiner Facebook-Freunde oder anderer auf Facebook.com vertretener Inhalteanbieter und Unternehmen, die er abonniert hat, erhalten. Ferner kann er Inhalte von dritten Webseiten und Apps in seinem „Newsfeed“ und im „Newsfeed“ seiner Facebook-Freunde anzeigen lassen, indem er dort die Schaltflächen der „sozialen Plugins“ (insbesondere „Gefällt mir“ oder „Teilen“) anklickt. Mit dem „Facebook Login“ und „Account Kit“ kann der Nutzer allein mit seinen Facebook-Registrierungsdaten sich auf dritten Webseiten und Apps einloggen oder dort ein Profil erstellen.
5Facebook bietet Unternehmen die Einbindung der Schaltflächen der „sozialen Plugins“ (insbesondere „Gefällt mir“ und „Teilen“) sowie des „Facebook Login“ und „Account Kit“ in deren Webseiten und Apps über von Facebook vordefinierte Schnittstellen unter dem Begriff „Facebook Business Tools“ an. Diese Schnittstellen unterstützen einen Datenfluss über die Nutzer an Facebook.com, der nicht von der tatsächlichen Betätigung der Schaltflächen durch die Nutzer der Webseite oder App abhängig ist.
6Facebook.com wird durch Online-Werbung finanziert, die auf den individuellen Nutzer des sozialen Netzwerks zugeschnitten ist und darauf abzielt, dem Nutzer diejenige Werbung zu zeigen, die ihn auf Grund seines persönlichen Konsumverhaltens, seiner Interessen, Kaufkraft und Lebenssituation interessieren könnte. Werbetreibende können mittels des „Werbeanzeigenmanagers“ die gewünschte Zielgruppe spezifizieren und die Werbung den Nutzern anzeigen lassen, zudem ihre Kundenlisten in verschlüsselter Form an Facebook übermitteln und ihre Werbung durch Abgleich mit den Daten aus dem sozialen Netzwerk weiter verfeinern. Mit weiteren Analyse- und Messtools (Werbeanzeigenberichte und „Facebook Analytics“), die Facebook ebenfalls unter dem Begriff „Facebook Business Tools“ anbietet, können Werbetreibende den Erfolg ihrer Werbung messen und ihre eigenen Online-Dienste analysieren sowie aggregierte Statistiken über ihre Zielgruppe erhalten. Dies geschieht ebenfalls über die Integration von Schnittstellen („Facebook Pixel“ oder „SDK“), die das Nutzerverhalten auch auf dritten Webseiten und Apps unabhängig von einer entsprechenden Handlung des Nutzers erfassen.
7Der Facebook-Konzern bietet über das soziale Netzwerk hinaus weitere Dienste an, u.a. das in Europa ebenfalls von Facebook Ireland betriebene – werbefinanzierte, kostenfreie - Instagram zum „Teilen“ von Fotos und kurzen Videoclips, das in Europa von WhatsApp Ireland Ltd. betriebene – nicht werbefinanzierte, kostenfreie – WhatsApp zum Senden und Empfangen einer Vielzahl von Medien wie zum Beispiel Textnachrichten, Bildern, Videos, Kontakten, Dokumenten, Standorten sowie Sprachnachrichten und –anrufen und das in Europa von der weiteren Tochtergesellschaft Facebook Technologies Ireland Ltd. betriebene Oculus, über das „virtual reality“-Brillen und Software abgesetzt werden. Bis zum 13. März 2020 bot Facebook zudem den Dienst Masquerade zur Bearbeitung und zum „Teilen“ von Fotos an.
8Private Nutzer in Europa schließen mit der Betätigung der Schaltfläche „Registrieren“ einen Nutzungsvertrag über Facebook.com ab und stimmen damit gleichzeitig den von Facebook Ireland gestellten Nutzungsbedingungen zu. Nach diesen verarbeitet Facebook Ireland personenbezogene Daten, für deren Erläuterung insbesondere auf die von Facebook Ireland gestellten Daten- und Cookie-Richtlinien verwiesen wird. Danach erfasst Facebook Ireland nutzer- und gerätebezogene Daten über Nutzeraktivitäten innerhalb und außerhalb des sozialen Netzwerks und ordnet sie den Facebook.com-Konten der betroffenen Nutzer zu. Bei den außerhalb des sozialen Netzwerks stattfindenden Nutzeraktivitäten geht es zum einen um den Besuch von dritten Webseiten und Apps, die mittels Programmierschnittstellen („Facebook Business Tools“) mit Facebook.com verbunden sind, und zum anderen um die Nutzung der anderen zu Facebook gehörenden Dienste Instagram, WhatsApp und Oculus, in Bezug auf die eine Datenverarbeitung „über die anderen Facebook-Unternehmen und –Produkte hinweg“ erfolgt.
9Mit Beschluss vom 6. Februar 2019 hat das Bundeskartellamt den Beschwerdeführerinnen und den mit ihnen gemäß § 36 Abs. 2 GWB verbundenen Unternehmen die in den Nutzungsbedingungen vorgesehene Datenverarbeitung sowie ihre Durchführung nach §§ 19 Abs. 1, 32 GWB untersagt und Abstellungsmaßnahmen auferlegt. Die Untersagung erfasst die Verwendung von Nutzungsbedingungen einschließlich deren Konkretisierung in Daten- und Cookie-Richtlinien, nach denen die Nutzung des Netzwerks Facebook.com von in Deutschland ansässigen privaten Nutzern davon abhängig ist, dass Facebook Ireland nutzer- und gerätebezogene Daten aus der Nutzung von Instagram, WhatsApp, Oculus und Masquerade und aus dem Besuch von dritten Webseiten oder Apps über „Facebook Business Tools“ ohne Einwilligung der Nutzer erfassen, mit deren Facebook.com-Daten verknüpfen und verwenden kann (Beschlussausspruch zu 1.). Darüber hinaus hat das Bundeskartellamt den Beschwerdeführerinnen und den mit ihnen gemäß § 36 Abs. 2 GWB verbundenen Unternehmen die Durchführung dieser Konditionen mit den tatsächlichen Datenverarbeitungsvorgängen, die Facebook Ireland auf der Grundlage der Daten- und Cookie-Richtlinie vornimmt, untersagt (Beschlussausspruch zu 2.) und die Beschwerdeführerinnen und die mit ihnen gemäß § 36 Abs. 2 GWB verbundenen Unternehmen verpflichtet, die Nutzungsbedingungen und ihre Durchführung anzupassen und dabei ausdrücklich klarzustellen, dass die nutzer- und gerätebezogenen Daten aus der Nutzung von Instagram, WhatsApp, Oculus und Masquerade sowie aus den „Facebook Business Tools“ nicht oder nicht ohne Einwilligung der Nutzer erfasst, mit dem Facebook.com-Konto verknüpft und verwendet werden (Beschlussausspruch zu 3.). In Ziffer 4. seines Beschlusses hat das Amt schließlich klargestellt, dass eine Einwilligung des Nutzers nicht vorliegt, wenn die Bereitstellung von Facebook.com von der Erteilung der Einwilligung abhängig gemacht wird.
10Gegen den Beschluss des Bundeskartellamts haben die Beschwerdeführerinnen am 11. Februar 2019 beim Oberlandesgericht Düsseldorf frist- und formgerecht Beschwerde eingelegt.
11Facebook Ireland hat – auf Initiative der Europäischen Kommission und der nationalen Verbraucherschutzverbände der Mitgliedstaaten - am 31. Juli 2019 neue – im wesentlichen gleichlautende - Nutzungsbedingungen eingeführt, die unter Nr. 2 ausdrücklich darauf hinweisen, dass der Nutzer anstatt einer Zahlung für die Nutzung der Facebook-Produkte sich mit der Anzeige von Werbung einverstanden erklärt. Seit dem 28. Januar 2020 bietet Facebook weltweit die sogenannte Off-Facebook-Activity (im folgenden: OFA) an. Damit können Facebook-Nutzer sich eine Zusammenfassung derjenigen Informationen anzeigen lassen, die Facebook bezüglich deren Aktivitäten auf anderen Webseiten und Apps erhält, und diese Daten auf Wunsch für Vergangenheit und Zukunft von ihrem Facebook.com-Konto trennen.
12II.
13Die für die Beurteilung des Beschwerdeverfahrens maßgeblichen Vorschriften des deutschen Rechts haben folgenden Wortlaut:
14§ 19 Abs. 1 GWB in der bis zum 18. Januar 2021 geltenden Fassung:
15(1) Die missbräuchliche Ausnutzung einer marktbeherrschenden Stellung durch ein oder mehrere Unternehmen ist verboten.
16§ 19 Abs. 1 GWB in der seit dem 19. Januar 2021 geltenden Fassung:
17(1) Der Missbrauch einer marktbeherrschenden Stellung durch ein oder mehrere Unternehmen ist verboten.
18§ 32 Abs. 1 GWB:
19(1) Die Kartellbehörde kann Unternehmen oder Vereinigungen von Unternehmen verpflichten, eine Zuwiderhandlung gegen eine Vorschrift dieses Teils oder gegen Artikel 101 oder 102 des Vertrages über die Arbeitsweise der Europäischen Union abzustellen.
20III.
21Der Erfolg der Beschwerde von Facebook Ireland – die sich nach Einstellung des Dienstes Masquerade und der Erklärung des Bundeskartellamts, aus dem angefochtenen Beschluss insoweit keine Rechte mehr herzuleiten, nur noch gegen den Beschluss im übrigen richtet - hängt von der Beantwortung der in der Entscheidungsformel gestellten Vorfragen ab. Vor einer Sachentscheidung über das Rechtsmittel ist deshalb das Verfahren auszusetzen und gemäß Art. 267 AEUV eine Vorabentscheidung des Gerichtshofs der Europäischen Union einzuholen.
221. Das Bundeskartellamt hat seine auf §§ 19 Abs. 1, 32 GWB gestützte Verfügung zunächst allein damit begründet, dass die Datenverarbeitung aus den von Facebook.com getrennt angebotenen konzerneigenen Diensten und aus den „Facebook Business Tools“, wie sie in den Nutzungsbedingungen niedergelegt ist und durchgeführt wird, eine missbräuchliche Ausnutzung der marktbeherrschenden Stellung auf dem Markt für soziale Netzwerke für private Nutzer in Deutschland in Form des Konditionenmissbrauchs nach der Generalklausel in § 19 Abs. 1 GWB darstellt, weil diese Datenverarbeitung als Ausfluss von Marktmacht gegen die DSGVO verstoße, da keine hinreichenden Rechtfertigungsgründe nach Art. 6 Abs. 1, Art. 9 Abs. 2 DSGVO vorlägen. Darüber hinaus zeitige der Missbrauch Behinderungswirkungen zum Nachteil von Wettbewerbern auf dem Markt für soziale Netzwerke und auf Drittmärkten. Eine zusätzliche kartellrechtliche Interessenabwägung sei entbehrlich, führe im übrigen zu demselben Ergebnis wie die datenschutzrechtliche Interessenabwägung. Da das von der deutschen Rechtsprechung zur Generalklausel des § 19 Abs. 1 GWB entwickelte Schutzkonzept in der europäischen Rechtsprechung und Anwendungspraxis bisher keine Entsprechung gefunden habe, werde die Entscheidung allein auf den insoweit gegenüber Art. 102 AEUV strengeren § 19 Abs. 1 GWB gestützt.
23Während die Verfügung des Bundeskartellamts aufzuheben sein wird, soweit sie sich gegen die Beschwerdeführerinnen zu 1. und 3. und alle mit den Beschwerdeführerinnen gemäß § 36 Abs. 2 GWB verbundenen Unternehmen richtet, weil letztere nicht am Verwaltungsverfahren beteiligt waren und kein rechtliches Gehör erhalten haben und weil die Verfügung keinerlei Ermessenserwägungen dazu enthält, warum die Beschwerdeführerinnen zu 1. und 3. in Anspruch genommen werden und die nach § 32 Abs. 1 GWB erforderliche Ermessensausübung nicht erstmals im Beschwerdeverfahren erfolgen kann, geht der Senat für Facebook Ireland von Folgendem aus:
24a) Facebook Ireland ist auf dem sachlich relevanten Angebotsmarkt für digitale soziale Netzwerke für private Nutzer, der für die Zwecke der Missbrauchsaufsicht wegen der nach den unangegriffenen Feststellungen des Bundeskartellamts vorwiegend innerhalb Deutschlands wirkenden Netzwerkeffekte national abgegrenzt werden kann, marktbeherrschend und damit Normadressatin des § 19 Abs. 1 GWB.
25b) Ein Verstoß der Nutzungsbedingungen von Facebook Ireland und ihrer Durchführung gegen die DSGVO kann einen Konditionenmissbrauch zum Nachteil der privaten Nutzer nach der Generalklausel des § 19 Abs. 1 GWB darstellen, da § 19 GWB – ebenso wie Art. 102 AEUV – Verbraucher nicht nur mittelbar vor einer marktmachtbedingten Verfälschung der Wettbewerbsbedingungen, sondern auch unmittelbar vor einer Ausbeutung durch ein marktbeherrschendes Unternehmen schützt, ohne dass es auf Auswirkungen auf die Wettbewerbsstruktur ankommt (vgl. EuGH, Urteil vom 15.03.2007 – C-95/04, Rn. 106 bei juris – British Airways; BGH, Urteil vom 07.12.2010 – KZR 5/10, Rn. 55 bei juris – Entega II). Der wettbewerblich relevante Schaden bestünde in einer Verletzung der durch die DSGVO geschützten Dispositionsfreiheit der Nutzer über ihre personenbezogenen Daten. Eine Vergleichsmarktbetrachtung und ein Erheblichkeitszuschlag auf die ermittelten Vergleichsbedingungen, wie sie zur Feststellung eines missbräuchlich überhöhten Preises im Sinne des § 19 Abs. 2 Nr. 2 GWB vorgenommen werden, finden nicht statt, wenn der Missbrauchsvorwurf in einem (relevanten) Gesetzesverstoß besteht (vgl. BGH, Urteil vom 06.11.2013 – KZR 58/11, Rn. 66 bei juris – VBL-Gegenwert I). Dann ist auch kein Raum für die auch im Rahmen der Generalklausel des § 19 Abs. 1 GWB grundsätzlich erforderliche Interessenabwägung (vgl. BGH, Urteil vom 07.06.2016 – KZR 6/15, Rn. 48 bei juris – Pechstein/International Skating Union [ECLI:DE:BGH:2016:070616UKZR6.15.0]). Die - nach § 19 Abs. 1 GWB wie nach Art. 102 S. 1 AEUV - erforderliche kausale Verbindung zwischen Missbrauch und Marktmacht (vgl. EuGH, Urteil vom 14.11.1996 – C-333/94, Rn. 27 bei juris – Tetrapak [ECLI:EU:C:1996:436]; Urteil vom 14.02.1978 – C-27/76, Rn. 248/257 bei juris – United Brands [ECLI:EU:C:1978:22]; BGH, Beschluss vom 23.06.2020 – KVR 69/19, Rn. 73 bei juris – Facebook [ECLI:DE:BGH:2020:230620BKVR69.19.0]) wäre gegeben, und zwar sowohl im Sinne einer weiter verstandenen Verhaltenskausalität, weil Facebook Ireland bei funktionierendem Wettbewerb sinnvollerweise keine Bedingungen über eine Datenverarbeitung fordern würde, die nach der DSGVO unzulässig ist, als auch im Sinne einer Ergebniskausalität, weil die Nutzer – obgleich auch nicht marktbeherrschende Unternehmen gegen die DSGVO verstoßen können – dann, wenn der Verstoß durch ein quasimonopolartiges Unternehmen wie Facebook Ireland erfolgt, praktisch keine Ausweichmöglichkeit haben (vgl. auch die Urteile vom 05.10.1988 – C-247/86, bei juris – Alsatel [ECLI:EU:C:1988:469] und vom 27.03.1974 – C-127/73, juris - BRT et Société belge [ECLI:EU:C:1974:25], in denen der Europäische Gerichtshof den Zusammenhang zwischen Missbrauch und Marktmacht nicht in Frage stellt). Facebook Ireland kann sich beim Missbrauchstatbestand nicht auf ein Konzernprivileg aus § 36 Abs. 2 GWB berufen (vgl. EuGH, Urteil vom 24.10.1996 – C-73/95 P, Rn. 17 bei juris – Viho; BGH, Beschluss vom 06.11.2012 – KVR 54/11, Rn. 19, 22 bei juris – Gasversorgung Ahrensburg; Urteil vom 23.06.2009 – KZR 21/08, Rn. 16 bei juris – Entega I).
26c) Die Verfügung ist formell rechtswidrig, weil das Bundeskartellamt entgegen Art. 3 Abs. 1 S. 2 der Verordnung (EG) Nr. 1/2003 des Rates vom 16. Dezember 2002 zur Durchführung der in den Artikel 81 und 82 des Vertrages niedergelegten Wettbewerbsregeln (nachfolgend: Durchführungsverordnung – DVO) Art. 102 Abs. 1 AEUV nicht geprüft hat, obwohl die marktbeherrschende Stellung von Facebook Ireland in Deutschland einer marktbeherrschenden Stellung auf einem wesentlichen Teil des Binnenmarkts im Sinne des Art. 102 Abs. 1 AEUV entspricht (vgl. EuGH, Urteil vom 23.04.1991 – C-41/90, Rn. 28 bei juris – Höfner-Elsner; Urteil vom 09.11.1983 – C-322/81, Rn. 28 bei juris – Michelin [ECLI:EU:C:1983:313]) und aufgrund der Feststellung, dass der Verstoß gegen die DSGVO zu „tatsächlichen und potentiellen Behinderungswirkungen zu Lasten von Wettbewerbern“ führt (Rn. 885 des Amtsbeschlusses), auch die Voraussetzung der Zwischenstaatlichkeit des Art. 102 Abs. 1 AEUV anzunehmen gewesen wäre (vgl. EuGH, Urteil vom 23.04.1991 – C-41/90, Rn. 32 bei juris – Höfner-Elsner; Urteil vom 09.11.1983 – C-322/81, Rn. 104 bei juris – Michelin [ECLI:EU:C:1983:313]). Weder dürfte Art. 3 Abs. 2 S. 2 DVO die lediglich strengere Auslegung gleichlautender Normen erfassen (vgl. EuGH, Urteil vom 21.11.2002 – C-356/00, Rn. 45 bei juris – Testa) noch ist ersichtlich, warum der gegenüber Facebook Ireland erhobene Missbrauchsvorwurf zwar unter die Generalklausel des § 19 Abs. 1 GWB subsumierbar sein soll, nicht aber unter die gleichlautende Generalklausel des Art. 102 Abs. 1 AEUV (Rn. 914 des Amtsbeschlusses, S. 93 f. des Schriftsatzes des Bundeskartellamts vom 25.01.2021), zumal der Europäische Gerichtshof mehrfach unangemessene (allgemeine) Geschäftsbedingungen im Vertikalverhältnis unter dem Gesichtspunkt des kartellrechtlichen Missbrauchsverbots geprüft hat (vgl. EuGH, Urteil vom 05.10.1988 – C-247/86, juris – Alsatel [ECLI:EU:C:1988:469]; Urteil vom 27.03.1974 – C-127/73, juris - BRT et Société belge [ECLI:EU:C:1974:25]). Wegen des vielmehr anzunehmenden Gleichlaufs von § 19 Abs. 1 GWB und Art. 102 Abs. 1 AEUV (vgl. BGH, Urteil vom 08.04.2014 – KZR 53/12, Rn. 46 bei juris – VBL-Versicherungspflicht; Urteil vom 06.11.2013 – KZR 58/11, Rn. 51 bei juris – VBL-Gegenwert I) ist der Verfahrensfehler allerdings unbeachtlich, wenn die Verfügung nach § 19 Abs. 1 GWB rechtmäßig ist, und führt er zu keiner beachtlichen weitergehenden Rechtswidrigkeit, wenn sie nach § 19 Abs. 1 GWB rechtswidrig ist.
27d) Es kommt deshalb darauf an, ob das Bundeskartellamt feststellen kann, ob die Nutzungsbedingungen von Facebook Ireland und deren Durchführung gegen die DSGVO verstoßen, und gegen einen entsprechenden Verstoß die angeordneten Abhilfemaßnahmen verhängen kann.
28aa) Dazu soll mit Vorlagefrage 1. a) geklärt werden, ob es mit den Zuständigkeits-, Zusammenarbeits- und Kohärenzregelungen der Artt. 51 ff. DSGVO, insbesondere des Art. 56 Abs. 1 DSGVO, und den Befugnisbestimmungen der Artt. 57, 58 DSGVO vereinbar ist, dass das Bundeskartellamt für die kartellrechtliche Missbrauchsaufsicht einen Verstoß der Nutzungsbedingungen von Facebook Ireland und ihrer Durchführung gegen die DSGVO feststellt und Abhilfemaßnahmen anordnet. Denn das Bundeskartellamt ist keine Aufsichtsbehörde im Sinne der DSGVO, und die federführende Aufsichtsbehörde gemäß Art. 56 Abs. 1 DSGVO ist die irische Aufsichtsbehörde, da Facebook Ireland die Hauptniederlassung von Facebook in Europa ist, das soziale Netzwerk in Europa betreibt, einheitliche Nutzungsbedingungen in allen Mitgliedstaaten der Union verwendet und Verantwortliche für die Datenverarbeitung personenbezogener Daten für das gesamte Gebiet der Europäischen Union im Sinne des Art. 4 Nr. 7 DSGVO ist.
29Soweit in diesem Zusammenhang auch die Möglichkeit zivilrechtlichen Rechtsschutzes nach Art. 82 DSGVO und insbesondere die Möglichkeit anderer Sanktionen nach Art. 84 Abs. 1 DSGVO in den Blick zu nehmen sind, weist der Senat darauf hin, dass die §§ 19, 32 GWB nicht zu den Vorschriften gehören, die Deutschland der Europäischen Kommission gemäß Art. 84 Abs. 2 DSGVO mitgeteilt hat (Rn. 201 der Beschwerdebegründung).
30bb) Falls es mit den Zuständigkeitsregeln der DSGVO vereinbar ist, dass das Bundeskartellamt für die kartellrechtliche Missbrauchsaufsicht einen Verstoß der Nutzungsbedingungen und ihrer Durchführung gegen die DSGVO feststellt und ahndet, soll mit Vorlagefrage 1. b) geklärt werden, ob dies mit dem in Art. 4 Abs. 3 EUV verankerten Grundsatz der loyalen Zusammenarbeit vereinbar ist, wenn die gemäß Art. 56 Abs. 1 DSGVO federführende Aufsichtsbehörde einen solchen bereits prüft, wie hier die irische Aufsichtsbehörde, die sich nach dem unstreitigen Vortrag von Facebook (Rn. 188, 217 der Beschwerdebegründung) in Zusammenarbeit mit anderen betroffenen Aufsichtsbehörden in der Union bereits im Zeitpunkt der Amtsentscheidung und auch weiterhin mit einem möglichen Verstoß der Datenverarbeitung durch Facebook Ireland gegen die DSGVO befasste.
31e) Wenn das Bundeskartellamt für die kartellrechtliche Missbrauchsaufsicht einen Verstoß der Nutzungsbedingungen von Facebook Ireland und ihrer Durchführung gegen die DSGVO feststellen und Abhilfeanordnungen erlassen kann, kommt es weiter darauf an, ob die Nutzungsbedingungen (konkretisiert durch die Daten- und Cookie-Richtlinie) zur Datenverarbeitung aus den anderen konzerneigenen Diensten und den „Facebook Business Tools“ (nachfolgend zusammengefasst auch: Off-Facebook-Daten) und deren Durchführung gegen die DSGVO verstoßen und ob das Bundeskartellamt die Nutzungsbedingungen und deren Durchführung untersagen und anordnen kann, dass diese Datenverarbeitung nicht oder nur mit gesonderter Einwilligung der Nutzer - von der die Facebook.com-Nutzung nicht abhängen darf - stattfinden kann.
32aa) Zutreffend nimmt das Bundeskartellamt an, dass es sich bei den Off-Facebook-Daten um personenbezogene Daten im Sinne des Art. 4 Nr. 1 DSGVO handelt (vgl. EuGH, Urteil vom 19.10.2016 – C-582/14, Rn. 49 bei juris – Breyer; Urteil vom 24.11.2011 – C-70/10, Rn. 51 bei juris – Scarlet; BGH, EuGH-Vorlage vom 05.10.2017 – I ZR 7/16, Rn. 23 bei juris – Cookie-Einwilligung I [ECLI:DE:BGH:2017: 051017BIZR7.16.0]), dass die Datenverwendung zum Zwecke der Personalisierung des Netzwerks und der Werbung ein „Profiling“ im Sinne des Art. 4 Nr. 4 DSGVO darstellt und dass Facebook Ireland Verantwortliche für die Datenverarbeitung im Sinne des Art. 4 Nr. 7 DSGVO ist (vgl. EuGH, Urteil vom 29.07.2019 – C-40/17, Rn. 84 bei juris – FashionId [ECLI:EU:C:2019:629]).
33bb) Das Bundeskartellamt geht mit Recht davon aus, dass mit dem Anklicken der Schaltfläche „Registrieren“ – auch unter Berücksichtigung von Nr. 2 der neuen Nutzungsbedingungen vom 31. Juli 2019 - keine Einwilligung in die Verarbeitung der Off-Facebook-Daten gemäß Artt. 6 Abs. 1 lit. a), 9 Abs. 2 lit. a) DSGVO erklärt wird (vgl. EuGH, Urteil vom 01.10.2019 – C-673/17, Rn. 58 ff. – Planet49 [ECLI:EU:C:2019: 801]) und dass die Einwilligung der Nutzer, die Facebook Ireland für die Verwendung von Daten aus den „Facebook Business Tools“ zur Anzeige personalisierter Werbung einholt, nur die Verwendung der Daten zu diesem Zweck, nicht aber allgemein die Erfassung und Verknüpfung mit dem Facebook.com-Konto betrifft. Zutreffend geht das Bundeskartellamt auch davon aus, dass die Möglichkeit, im Endgerät des Nutzers oder in seinem Web-Browser die Platzierung von Cookies zu sperren oder solche zu löschen, die Möglichkeit, im Betriebssystem des Mobilfunkgeräts Werbe-IDs zurückzusetzen, und die Ende Januar 2020 eingeführte OFA-Funktion die Voraussetzungen an eine Einwilligung nach Artt. 6 Abs. 1 lit. a), 9 Abs. 2 lit. a) DSGVO nicht erfüllen.
34cc) Da die in den Nutzungsbedingungen vorgesehene Verarbeitung der Off-Facebook-Daten und deren Durchführung – auch im Konzern – rechtmäßig ist, wenn mindestens einer der Rechtfertigungsgründe des Art. 6 Abs. 1 lit. a) bis f) DSGVO gegeben ist, und der Europäische Gerichtshof bereits zur wortgleichen Vorgängerregelung des Art. 7 der Datenschutzrichtlinie 95/46/EG entschieden hat, dass diese eine erschöpfende und abschließende Liste der Fälle vorsieht, in denen eine Verarbeitung personenbezogener Daten als rechtmäßig angesehen werden kann, und dass die Mitgliedstaaten weder neue Grundsätze in Bezug auf die Zulässigkeit der Verarbeitung personenbezogener Daten neben diesem Artikel einführen noch zusätzliche Bedingungen stellen dürfen, die die Tragweite eines der darin vorgesehenen Grundsätze verändern würden (vgl. EuGH, Urteil vom 29.07.2019 – C-40/17, Rn. 55 bei juris – FashionId [ECLI:EU:C:2019:629]; Urteil vom 19.10.2016 – C-582/14, Rn. 57 bei juris – Breyer; Urteil vom 24.11.2011 – C-468/10 und C-469/10, Rn. 30, 32 bei juris – ASNEF und FECEMD), kommt es darauf an, ob die in den Nutzungsbedingungen vorgesehene und durchgeführte Verarbeitung der Off-Facebook-Daten in allen Fällen ausschließlich durch eine Einwilligung gerechtfertigt sein kann. Denn nur dann könnte das Bundeskartellamt anordnen, dass sie aus datenschutzrechtlichen Gründen entweder nicht oder nur mit Einwilligung stattfindet.
35(1) Facebook Ireland bietet im Rahmen seines sozialen Netzwerks gemäß Ziff. 1 seiner aktuellen Nutzungsbedingungen (Anlage Bf 9) unter der Überschrift „Von uns angebotene Dienste“ – soweit hier von Interesse – im wesentlichen folgende Vertragsleistungen an: 1. die Personalisierung von Inhalten, 2. die Anzeige personalisierter Werbung, 3. Nutzer- und Netzwerksicherheit, 4. Produktverbesserung und 5. die durchgängige und nahtlose Nutzung der Produkte der Facebook-Unternehmen.
36Facebook Ireland erfasst die in seiner Datenrichtlinie (Anlage Bf 10) unter der Überschrift „Welche Arten von Informationen erfassen wir?“ im einzelnen genannten nutzer- und gerätebezogenen Daten aus der Nutzung der konzerneigenen Dienste und aus den „Facebook Business Tools“, verbindet sie mit den bei der Nutzung von Facebook.com erhobenen und gespeicherten Daten und verwendet sie gemäß den Erläuterungen unter der Überschrift „Wie verwenden wir diese Informationen“ zum Zweck der Bereitstellung, Personalisierung und Verbesserung seiner Produkte, zur Bereitstellung von Messungen, Analysen und sonstigen Unternehmens-Services, zur Förderung von Schutz, Integrität und Sicherheit, zur Kommunikation mit den Nutzern sowie zu Forschung und Innovation für soziale Zwecke und gemäß den Erläuterungen unter der Überschrift „Wie arbeiten die Facebook-Unternehmen zusammen?“ „auch über die Facebook-Unternehmen hinweg“.
37Facebook Ireland setzt gemäß seiner Cookie-Richtlinie (Anlage Bf 11) bei der Nutzung der konzerneigenen Dienste und dem Besuch von dritten Webseiten und Apps, die „Facebook Business Tools“ eingebunden haben, Cookies oder verwendet andere Speichertechnologien und erfasst darüber ohne weitere Handlung des Nutzers nutzer- und gerätebezogene Daten, die es zur Bereitstellung seiner Dienste, zu Sicherheits-, Werbe- und Analysezwecken nutzt.
38Die Arten der erfassten und verwendeten Daten im Einzelnen ergeben sich aus der Datenrichtlinie unter der Überschrift „Welche Arten von Informationen erfassen wir?“ (Anlage Bf 10) und Ziff. 2 lit. a) bis d) des Tenors des Amtsbeschlusses.
39Facebook Ireland beruft sich unter der Überschrift „Was ist unsere Rechtsgrundlage für die Verarbeitung von Daten?“ in seiner Datenschutzrichtlinie (Anlage Bf 10) auf alle Rechtfertigungsgründe des Art. 6 Abs. 1 DSGVO. Unter der Überschrift „Erfahre mehr über diese Rechtsgrundlagen“ (Anlage Bf 12) beruft Facebook Ireland sich auf eine Einwilligung im Sinne des Art. 6 Abs. 1 lit. a) DSGVO 1. für die Verarbeitung von Daten mit besonderem Schutz, die der Nutzer in seinem Facebook.com-Profil angegeben hat, zum Teilen mit den ausgewählten Personen und zur Personalisierung der Inhalte, 2. für die Verwendung der Gesichtserkennungstechnologie und 3. für die Verwendung von Daten, die Werbetreibende und Partner über die Nutzeraktivität außerhalb der Facebook-Produkte bereitstellen, zur Anzeige personalisierter Werbung, 4. für das Teilen von personenbezogenen Daten, die den Nutzer persönlich identifizieren, mit Werbetreibenden, 5. zum Erfassen von Informationen, deren Erhalt der Nutzer durch die von ihm aktivierten gerätebezogenen Einstellungen gestattet (GPS-Standort, Kamera, Fotos). Für diese Zwecke holt Facebook Ireland eine eigenständige Einwilligung der Nutzer ein bzw. bietet dem Nutzer die Möglichkeit zum Widerspruch (bei der Gesichtserkennung).
40In dem genannten Dokument (Anlage Bf 12) beruft Facebook Ireland sich auf den Rechtfertigungsgrund der Erforderlichkeit zur Vertragserfüllung im Sinne des Art. 6 Abs. 1 lit. b) DSGVO 1. zur Bereitstellung, Personalisierung und Verbesserung seiner Produkte, 2. zur Förderung von Schutz, Integrität und Sicherheit, 3. zur Datenübermittlung außerhalb des EWR, 4. zur Kommunikation mit dem Nutzer, 5. zur Bereitstellung durchgängiger und nahtloser Erlebnisse auf allen Facebook-Produkten.
41Auf den Rechtfertigungsgrund berechtigter Interessen gemäß Art. 6 Abs. 1 lit. f) DSGVO beruft Facebook Ireland sich 1. im Hinblick auf Minderjährige, 2. zur Bereitstellung von Messungen, Analysen und sonstigen Unternehmens-Services, 3. zur Bereitstellung von Marketing-Kommunikation, 4. für Forschung und Innovation für soziale Zwecke, 5. um Informationen mit anderen, einschließlich Strafverfolgungs- bzw. Vollstreckungsbehörden zu teilen und um auf rechtliche Anfragen zu reagieren.
42Facebook Ireland beruft sich ferner auf die Rechtfertigungsgründe der Einhaltung einer rechtlichen Verpflichtung (Art. 6 Abs. 1 lit. c) DSGVO), des Schutzes lebenswichtiger Interessen (Art. 6 Abs. 1 lit. d) DSGVO) und der Aufgabenwahrnehmung im öffentlichen Interesse (Art. 6 Abs. 1 lit. f) DSGVO) (vgl. im einzelnen Anlage Bf 12).
43(2) Eine Einwilligung wäre erforderlich, wenn und soweit es sich bei der Erfassung, Verknüpfung mit dem Facebook.com-Konto und Verwendung der sogenannten Off-Facebook-Daten um die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Art. 9 Abs. 1 DSGVO handelt, und kein anderer Erlaubnistatbestand außer der Einwilligung nach Art. 9 Abs. 2 lit. a) DSGVO in Betracht kommt.
44(a) Mit Vorlagefrage 2. a) soll geklärt werden, ob, wie das Bundeskartellamt meint (Rn. 584 ff. des Amtsbeschlusses), bei der Erfassung von Daten über den Besuch von Drittwebseiten und Apps über „Facebook Business Tools“, Cookies und andere Speichertechnologien und/oder deren Verknüpfung mit dem Facebook.com-Konto des Nutzers und/oder der Verwendung sensible Daten im Sinne des Art. 9 Abs. 1 DSGVO verarbeitet werden, wenn es sich um Webseiten oder Apps handelt, die Bezug zu den Kriterien des Abs. 1 haben, wie etwa Flirting-Apps, Homosexuellen-Partnerbörsen, Webseiten politischer Parteien, gesundheitsbezogene Webseiten (Rn. 587 des Amtsbeschlusses).
45Dabei ist auch klärungsbedürftig, ob bereits Daten über den Besuch der Webseite oder App als solches ausreichen oder ob der Nutzer dort auch bestimmte Eingaben gemacht, etwa sich registriert oder Bestellungen getätigt haben muss, und wie die Begriffe „Daten, aus denen … hervorgehen“ im Sinne der ersten Datenkategorie und „Daten“ im Sinne der zweiten Datenkategorie des Art. 9 Abs. 1 DSGVO auszulegen sind. Die Formulierung bezüglich der ersten Datenkategorie des Art. 9 Abs. 1 DSGVO („Daten, aus denen … hervorgehen“) könnte dafür sprechen, dass hier bereits die Verarbeitung der „Quelldaten“, also etwa des Seitenaufrufs oder der Eingaben des Nutzers, verboten sind, so dass es darauf ankommt, wann sensible Daten daraus „hervorgehen“. Demgegenüber scheint bei der zweiten Datenkategorie des Art. 9 Abs. 1 DSGVO nur die Verarbeitung der sensiblen Daten an sich verboten zu sein, so dass es darauf ankommt, ob der Aufruf entsprechender Seiten oder entsprechende Eingaben des Nutzers selbst sensible Daten sein können, wenngleich die Unterscheidung allerdings etwa durch die Legaldefinition in Art. 4 Nr. 15 DSGVO wieder relativiert wird, indem Gesundheitsdaten auch solche Daten sein können, aus denen Informationen über den Gesundheitszustand „hervorgehen“. Klärungsbedürftig ist auch, ob die Verwendungsabsicht für die Beurteilung von Bedeutung ist, hier also etwa die Personalisierung des sozialen Netzwerks und der Werbung, Netzwerkssicherheit, Verbesserung der Dienste, Bereitstellung von Mess- und Analysediensten für Werbepartner, Forschung für soziale Zwecke, Antwort auf rechtliche Anfragen und Erfüllung rechtlicher Verpflichtungen, Schutz der lebenswichtigen Interessen von Nutzern und Dritten, Aufgabenwahrnehmung im öffentlichen Interesse.
46(b) Soweit es sich um sensible Daten im Sinne des Art. 9 Abs. 1 DSGVO handelt, soll mit Vorlagefrage 2. b) geklärt werden, ob der Nutzer sie offensichtlich öffentlich gemacht hat, indem er die Webseite oder App aufgerufen und/oder dort Eingaben getätigt hat und/oder die in die Webseiten und Apps eingebundenen Schaltflächen, die Facebook Ireland anbietet, nämlich die „sozialen Plugins“ („Gefällt mir“, „Teilen“) oder das „Facebook Login“ oder „Account Kit“, betätigt hat (Art. 9 Abs. 2 lit. e) DSGVO), weil er dann den spezifischen Schutz des Art. 9 Abs. 1 DSGVO verloren hätte, ohne dass es einer Einwilligung nach Art. 9 Abs. 2 lit. a) DSGVO bedürfte. Weitere Erlaubnisgründe gemäß Art. 9 Abs. 2 DSGVO kommen wegen des Geschäftsfelds von Facebook praktisch nicht in Betracht oder werden von Facebook jedenfalls nicht geltend gemacht, insbesondere in den Nutzungsbedingungen nicht aufgeführt.
47(3) Soweit Facebook Ireland bei der Nutzung der anderen konzerneigenen Dienste und beim Aufruf von Webseiten und Apps, die „Facebook Business Tools“ eingebunden haben, Daten auch über Cookies und ähnliche Speichertechnologien in den Endgeräten der Nutzer erfasst, gilt zudem Art. 5 Abs. 3 der Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation). Wie der Bundesgerichtshof entschieden hat, lässt die DSGVO die Anwendbarkeit dieser Norm unberührt, so dass der die Richtlinie 2002/58/EG umsetzende § 15 Abs. 3 S. 1 Telemediengesetz weiter anwendbar und richtlinienkonform dahin auszulegen ist, dass für den Einsatz von Cookies zur Erstellung von Nutzerprofilen für Zwecke der Werbung oder Marktforschung die Einwilligung des Nutzers erforderlich ist (vgl. BGH, Urteil vom 28.05.2020 – I ZR 7/16, Rn. 47 ff. bei juris – Cookie-Einwilligung II; vgl. auch EuGH, Urteil vom 01.10.2019 – C-673/17, Rn. 38 ff. bei juris – Planet49 [ECLI:EU:C:2019:801]; Urteil vom 29.07.2019 – C-40/17, Rn. 88 ff. bei juris – Fashion-Id [ECLI:EU:C:2019:629]). Darauf, ob die für die Verwendung von Partnerdaten zur Anzeige personalisierter Werbung eingeholte Einwilligung hierfür ausreicht, kommt es vorliegend indes nicht weiter an, weil das Bundeskartellamt einen Verstoß Facebooks gegen das kartellrechtliche Missbrauchsverbot des § 19 Abs. 1 GWB nur mit einem Verstoß seiner Datenverarbeitung gegen die DSGVO und nicht gegen § 15 Abs. 3 S. 1 Telemediengesetz begründet hat.
48(4) Wenn und soweit nach Art. 9 Abs. 2 lit. a) DSGVO eine Einwilligung nicht erforderlich ist – also bei der Datenverarbeitung aus den anderen konzerneigenen Diensten, für die das Bundeskartellamt eine Verarbeitung möglicherweise sensibler Daten im Sinne des Art. 9 Abs. 1 DSGVO nicht festgestellt hat, und bei der Datenverarbeitung aus den „Facebook Business Tools“, wenn es sich nicht um sensible Daten handelt oder diese durch den Nutzer offensichtlich öffentlich gemacht worden sind – kommt es darauf an, ob und in welchem Umfang Facebook Ireland sich für die Verarbeitung der Off-Facebook-Daten auf andere Rechtfertigungsgründe gemäß Art. 6 Abs. 1 DSGVO berufen kann. Der Senat geht davon aus, dass bei einem offensichtlichen Öffentlichmachen im Sinne des Art. 9 Abs. 2 lit. e) DSGVO nur das Verarbeitungsverbot nach Abs. 1 der Norm entfällt, nicht das Erfordernis eines Rechtfertigungsgrunds nach Art. 6 Abs. 1 DSGVO (vgl. Erwägungsgrund 51 S. 5).
49(a) Mit Vorlagefrage 3. soll geklärt werden, ob Facebook Ireland, wenn es, wie oben erwähnt, 1. die Personalisierung von Inhalten, 2. die Anzeige personalisierter Werbung, 3. Nutzer- und Netzwerksicherheit, 4. Produktverbesserung sowie 5. die durchgängige und nahtlose Nutzung der Produkte der Facebook-Unternehmen als Vertragsleistung anbietet, sich auf den Rechtfertigungsgrund der Erforderlichkeit zur Vertragserfüllung gemäß Art. 6 Abs. 1 lit. b) DSGVO oder aber auf den Rechtfertigungsgrund der Wahrnehmung berechtigter Interessen gemäß Art. 6 Abs. 1 lit. f) DSGVO berufen kann, wenn es die Off-Facebook-Daten zu diesen Zwecken erfasst, mit dem Facebook.com-Konto der Nutzer verknüpft und verwendet.
50Nach Ansicht des Senats spricht aufgrund der Rechtsprechung des Europäischen Gerichtshofs zum Merkmal der Erforderlichkeit (vgl. EuGH, Urteil vom 04.05.2017 – C-13/16, Rn. 30 bei juris – Rigas satiksme) und aus den Erwägungen des Europäischen Datenausschusses in dessen Leitlinien 2/19 (Rn. 2, 26 ff., 48 ff. 57, Anlage Bf 42B) vieles dafür, dass eine Datenverarbeitung zum Zweck der Anzeige personalisierter Werbung, für die keine Cookies erforderlich sind, der Nutzer- und Netzwerksicherheit und der Produktverbesserung allenfalls im berechtigten Interesse des Unternehmens liegen kann, während es danach denkbar erscheint, die Datenverarbeitung zur Personalisierung von Inhalten und gegebenenfalls auch zur durchgängigen und nahtlosen Nutzung der Produkte der Facebook-Unternehmen im Fall von Facebook Ireland als zur Vertragserfüllung erforderlich anzusehen.
51Danach könnte etwa die Verarbeitung der WhatsApp-Daten zur Nutzer- und Netzwerksicherheit im berechtigten Interesse von Facebook Ireland liegen, weil das Unternehmen nach seinen Angaben unter der Überschrift „Wie arbeiten die Facebook-Unternehmen zusammen?“ in der Datenrichtlinie (Anlage Bf 10) Informationen von WhatsApp-Konten, die Spam senden, nutzt, um gegen solche Konten auf Facebook.com vorzugehen, während sie im Übrigen weder zur Vertragserfüllung erforderlich noch durch andere berechtigte Interessen gerechtfertigt sein dürfte, da Facebook Ireland die WhatsApp-Daten nicht zu Produkt- und Personalisierungszwecken auf Facebook.com nutzt (Rn. 746 des Amtsbeschlusses).
52Die Verarbeitung der Instagram-Daten könnte, soweit sie zur Personalisierung der Inhalte und nahtlosen Nutzung der Facebook-Produkte erfolgt (damit dem Nutzer Personen oder Inhalte auf Facebook.com angezeigt werden können, weil sie ihn auch dort interessieren könnten), zur Vertragserfüllung erforderlich sein oder jedenfalls im berechtigten Interesse von Facebook Ireland liegen. Auch zur Anzeige personalisierter Werbung, zur Netzwerksicherheit und Produktverbesserung könnte diese Datenverarbeitung im berechtigten Interesse des Unternehmens liegen. Insbesondere verwendet Facebook Ireland etwa nach eigenen Angaben Instagram-Daten von Konten, die sich bedenklich verhalten oder eindeutig in rechtswidrige Aktivitäten involviert sind, um die Sicherheit von Facebook-Nutzern zu gewährleisten (Rn. 465 der Beschwerdebegründung). Dasselbe könnte im Grundsatz für die Verarbeitung der Oculus-Daten gelten, wenngleich es insoweit bislang an Feststellungen dazu fehlt, zu welchen Zwecken diese Daten auf Facebook.com konkret verwendet werden.
53Die Verarbeitung der Daten aus den „Facebook Business Tools“, insbesondere den sozialen Plugins „Gefällt mir“ und „Teilen“ sowie aus dem „Facebook Login“ und „Account Kit“, könnte zur Vertragserfüllung erforderlich sein oder jedenfalls im berechtigten Interesse von Facebook Ireland liegen, soweit sie zur Personalisierung der Inhalte und nahtlosen Nutzung der Facebook-Produkte erfolgt. Dies dürfte die Betätigung der entsprechenden Schaltflächen durch die Nutzer voraussetzen und sich auf die jeweils erforderlichen Datenverarbeitungsprozesse beschränken. Unabhängig von der Betätigung der Schaltflächen könnte die Datenerfassung und –verknüpfung mit dem Facebook.com-Konto im berechtigten Interesse Facebook Irelands liegen, wenn der Nutzer in die Datenverwendung zur Anzeige personalisierter Werbung eingewilligt hat. Auch Netzwerksicherheit oder Produktverbesserung könnten berechtigten Interessen Facebook Irelands für die Datenverarbeitung sein. So verwendet Facebook nach seinen Angaben Daten aus den „sozialen Plugins“, um aus der Vielzahl von Seitenaufrufen binnen kürzester Zeit zu erkennen, ob Bots versuchen, Facebook-Konnten zu eröffnen und zu betreiben (Rn. 465 der Beschwerdebegründung).
54(b) Mit Vorlagefrage 4. soll geklärt werden, ob auch
55- die Minderjährigkeit von Nutzern für die Personalisierung von Inhalten und Werbung, Produktverbesserung, Netzwerksicherheit und Nicht-Marketing-Kommunikation mit dem Nutzer,
56- die Bereitstellung von Messungen, Analysen und sonstigen Unternehmens-Services an Werbekunden, Entwickler und sonstige Partner, damit diese ihre Leistungen bewerten und verbessern können,
57- die Bereitstellung von Marketing-Kommunikation mit dem Nutzer, damit Facebook Ireland seine Produkte verbessern und Direktmarketing durchführen kann,
58- Forschung und Innovation für soziale Zwecke, um den Stand der Technik bzw. das wissenschaftliche Verständnis bezüglich wichtiger sozialer Themen zu fördern und um die Gesellschaft und Welt positiv zu beeinflussen,
59- die Information von Strafverfolgungs- und Vollstreckungsbehörden und die Antwort auf rechtliche Anfragen, um Straftaten, unberechtigte Nutzung, Verstöße gegen die Nutzungsbedingungen und Richtlinien und sonstige schädliche Verhaltensweisen zu verhindern, aufzudecken und zu verfolgen,
60berechtigte Interessen im Sinne des Art. 6 Abs. 1 lit. f) DSGVO für die Erfassung, Verknüpfung mit dem Facebook.com-Konto des Nutzers und Verwendung der Off-Facebook-Daten zu diesen Zwecken darstellen können.
61Klärungsbedürftig ist insbesondere, ob Facebook Ireland sich in Bezug auf Minderjährige, die das - in Deutschland nicht gemäß Art. 8 Abs. 1 S. 3 DSGVO herabgesetzte - Alter von 16 Jahren für eine eigenständige Einwilligung nach Art. 6 Abs. 1 lit. a) DSGVO nicht erreicht haben (Art. 8 Abs. 1 DSGVO) und die nach der - soweit ersichtlich einhelligen - deutschen Kommentarliteratur nicht eigenständig einen wirksamen Nutzungsvertrag im Sinne des Art. 6 Abs. 1 lit. b) DSGVO mit einem sozialen Netzwerk abschließen können, weil dieser – wegen der Datenverarbeitung – nicht lediglich rechtlich vorteilhaft ist (§ 107 BGB; vgl. Klumpp in: Staudinger, BGB, Neubearbeitung 2017, § 107 Rn. 30; Spickhoff in: MüKoBGB, 8. Auflage 2018, § 107 Rn. 82; Mansel in: Jauernig, BGB, 18. Auflage 2021, § 107 Rn. 3), und bei denen die erforderliche elterliche Zustimmung nicht vorliegt, sich für die Datenverarbeitung aus den anderen konzerneigenen Diensten und aus den „Facebook Business Tools“ auf den Rechtfertigungsgrund der Wahrnehmung berechtigter Interessen nach Art. 6 Abs. 1 lit. f) DSGVO berufen kann.
62Zweifelhaft erscheint auch, ob die Verarbeitung der Off-Facebook-Daten mit dem Interesse an Forschung und Innovation für soziale Zwecke, um den Stand der Technik bzw. das wissenschaftliche Verständnis bezüglich wichtiger sozialer Themen zu fördern und um die Gesellschaft und Welt positiv zu beeinflussen, gerechtfertigt werden kann.
63Demgegenüber könnte die Verwendung der Daten aus den „Facebook Business Tools“ zur Bereitstellung von Messungen, Analysen und sonstigen Unternehmens-Services an Werbekunden, Entwickler und sonstige Partner, damit diese ihre Leistungen bewerten und verbessern können, jedenfalls dann im berechtigten Interesse Facebook Irelands (und der Partner) liegen, wenn Nutzer in die Verwendung der Partnerdaten zur Anzeige personalisierter Werbung eingewilligt haben. Wenn und soweit die Datenverarbeitung aus den anderen konzerneigenen Diensten und/oder den „Facebook Business Tools“ zur Produktverbesserung gerechtfertigt ist, könnte dies auch für die Verwendung zur Bereitstellung von Marketing-Kommunikation mit dem Nutzer, damit Facebook seine Produkte verbessern und Direktmarketing durchführen kann, gelten.
64Ebenso könnte die Erfassung, Verknüpfung mit dem Facebook.com-Konto und Verwendung oder die Verwendung bereits anderweitig rechtmäßig erfasster und verknüpfter Off-Facebook-Daten zur Information von Strafverfolgungs- und Vollstreckungsbehörden und zur Antwort auf rechtliche Anfragen, um Straftaten, unberechtigte Nutzung, Verstöße gegen die Nutzungsbedingungen und Richtlinien und sonstige schädliche Verhaltensweisen zu verhindern, aufzudecken und zu verfolgen, im berechtigten Interesse von Facebook Ireland erfolgen.
65Bei der erforderlichen Abwägung könnte – neben dem gesetzlichen Widerspruchsrecht aus Art. 21 DSGVO - zu berücksichtigen sein, dass in Bezug auf „Facebook Business Tools“ Anbieter von Drittwebseiten, die diese eingebunden haben, die Möglichkeit haben, den Datenfluss an Facebook Ireland zu verzögern, bis sie die Einwilligung der Nutzer eingeholt haben (Rn. 868 des Amtsbeschlusses), und dass Facebook seit dem 28. Januar 2020 die OFA-Funktion anbietet, mit der Facebook.com-Nutzer sich eine Zusammenfassung derjenigen Informationen anzeigen lassen können, die Facebook bezüglich deren Aktivitäten auf anderen Webseiten und Apps erhält, und diese Daten auf Wunsch für Vergangenheit und Zukunft von ihrem Facebook.com-Konto trennen können (Rn. 148 f. der Beschwerdebegründung).
66(c) Mit Vorlagefrage 5. soll geklärt werden, ob die Erfassung, Verknüpfung mit dem Facebook.com-Konto und Verwendung oder die Verwendung der bereits anderweitig rechtmäßig erfassten und verknüpften Off-Facebook-Daten im Einzelfall nach Art. 6 Abs. 1 lit. c), d), und e) DSGVO gerechtfertigt sein kann, um – wie Facebook Ireland in dem als Anlage Bf 12 vorgelegten Dokument geltend macht - etwa eine rechtsgültige Anfrage für bestimmte Daten zu beantworten (lit. c)), um schädliches Verhalten zu bekämpfen und die Sicherheit zu fördern (lit. d)), zur Forschung zum Wohle der Gesellschaft und zur Förderung von Schutz, Integrität und Sicherheit (lit. e)), weil auch dann die Verarbeitung dieser Daten nicht ausnahmslos und für alle Fälle von einer Einwilligung der Nutzer abhängig gemacht werden kann, oder ob eine Rechtfertigung der Verarbeitung der Off-Facebook-Daten aus diesen Gründen generell ausgeschlossen ist.
67f) Auf die Frage, ob die Datenverarbeitungsbedingungen und ihre Durchführung, wenn sie unerlaubt oder nicht gerechtfertigt sind, auch einen Behinderungsmissbrauch im Sinne der Generalklausel des § 19 Abs. 1 GWB zum Nachteil von Wettbewerbern auf dem Markt für soziale Netzwerke für private Nutzer oder auf anderen Märkten darstellen, käme es dann nicht mehr entscheidend an.
68g) Wenn und soweit die Verarbeitung der Off-Facebook-Daten nur durch Einwilligung gerechtfertigt sein könnte, soll mit Vorlagefrage 6. geklärt werden, ob Nutzer gegenüber einem marktbeherrschenden Unternehmen wie Facebook Ireland überhaupt eine wirksame Einwilligung im Sinne der Artt. 6 Abs. 1 lit. a), 9 Abs. 2 lit. a) DSGVO erklären können, wie das Bundeskartellamt es zur Abstellung des angenommenen Verstoßes angeordnet hat, oder ob die hierfür nach Art. 4 Nr. 11 DSGVO erforderliche Freiwilligkeit gegenüber einem marktbeherrschenden Unternehmen auch dann, wenn die Vertragserfüllung nicht von der Einwilligung in die Datenverarbeitung abhängt, immer ausscheiden muss. Hierauf könnte Erwägungsgrund 43 S. 1 hindeuten.
692. Die Klärung der Vorlagefragen ist nicht deshalb entbehrlich, weil das Bundeskartellamt seine Verfügung im Beschwerdeverfahren „ergänzend“ (S. 88 der Beschwerdeerwiderung) auf die Begründung des Bundesgerichtshofs im vorausgegangenen Eilverfahren (Beschluss vom 23.06.2020 – KVR 69/19, bei juris – Facebook [ECLI:DE:BGH:2020:230620BKVR69.19.0]) stützt. Danach werde – so der BGH – dem Nutzer von Facebook.com mit der Verwendung der Daten aus der Nutzung der anderen konzerneigenen Dienste und aus den „Facebook Business Tools“ eine Leistungserweiterung aufgedrängt, die er „möglicherweise nicht wünsche“, wobei die beanstandeten Nutzungsbedingungen unter den Bedingungen eines funktionierenden Wettbewerbs nicht zu erwarten wären, sie aber geeignet seien, den Wettbewerb zu behindern und sich die Leistungserweiterung nach umfassender Würdigung und Abwägung der betroffenen Interessen, insbesondere mangels Rechtfertigung nach der DSGVO, als missbräuchlich erweise. Denn mit dieser Begründung lässt sich die Verfügung weitgehend schon deshalb nicht aufrechterhalten, weil das Bundeskartellamt die notwendigen Feststellungen jedenfalls zur Voraussetzung der Behinderungseignung der Datenverarbeitung nicht getroffen hat. Eine solche kommt lediglich für die Verarbeitung der Instagram-Daten ernsthaft in Betracht, doch kann auch insoweit nicht ohne Klärung der Vorlagefragen 7. und gegebenenfalls 3. bis 5. entschieden werden.
70a) Da der Bundesgerichtshof davon auszugehen scheint, dass das Bundeskartellamt seine Verfügung noch im Beschwerdeverfahren um diese Begründung ergänzen kann, obwohl damit der Missbrauchsvorwurf auf einen anderen Sachverhalt als einen Verstoß gegen die DSGVO gestützt wird und die im Tenor geforderte Einwilligung der Nutzer deshalb auch keine Einwilligung im Sinne der DSGVO, sondern eine andere, ggf. zusätzlich zur Einwilligung nach der DSGVO zu erteilende Einwilligung wäre, prüft der Senat die Verfügung auch anhand dieser Begründung.
71b) Das Bundeskartellamt hat weitgehend jedenfalls die notwendigen Feststellungen zu der Voraussetzung, dass die Verarbeitung der Off-Facebook-Daten geeignet sein muss, Wettbewerber zu behindern, nicht getroffen. Erforderlich wäre der Nachweis einer potentiellen wettbewerbswidrigen Wirkung - auf dem Netzwerkmarkt auf der Netzwerkseite etwa durch Erhöhung der Netzwerkeffekte oder durch Produktverbesserung oder auf der Werbeseite etwa durch den Besitz detaillierterer Daten oder auf (wie auch immer im einzelnen abzugrenzenden) Werbe- oder Drittmärkten -, während die Praxis eines Unternehmens in beherrschender Stellung in Ermangelung jeglicher wettbewerbswidriger Wirkung auf dem Markt nicht als missbräuchlich angesehen werden kann (vgl. EuGH, Urteil vom 06.12.2012 – C-457/10 P, Rn. 112 bei juris – Astra Zeneca; Urteil vom 17.02.2011 – C-52/09, Rn. 64 bei juris - TeliaSonera).
72Da Facebook Ireland die WhatsApp-Daten der Facebook.com-Nutzer nicht zu Personalisierungs- und Produktzwecken auf Facebook.com verwendet – und dies in Europa nach eigener Darstellung auch nicht beabsichtigt -, ist nicht ersichtlich und vom Bundeskartellamt auch nicht festgestellt, dass die Verarbeitung der WhatsApp-Daten in irgendeiner Weise geeignet wäre, Wettbewerber auf dem Netzwerkmarkt oder auf einem Werbemarkt oder einem Markt für Messenger-Dienste zu behindern. Das Bundeskartellamt hat auch keine Feststellungen dazu getroffen, inwiefern Oculus-Daten der Facebook.com-Nutzer für die Zwecke des Netzwerks Facebook.com verwendet werden und zu einer Behinderung von Wettbewerbern auf dem Netzwerkmarkt oder auf dem relevanten Werbemarkt oder dem Markt, auf dem Oculus angeboten wird, geeignet wären. Die Datenverarbeitung aus den „Facebook Business Tools“ wird von Facebook.com-Nutzern praktisch nur dann „möglicherweise nicht gewünscht“ sein, wenn diese die „sozialen Plugins“ („Gefällt mir“, „Teilen“) nicht betätigen, das „Facebook Login“ oder „Account Kit“ nicht nutzen und in die Anzeige personalisierter Werbung nicht eingewilligt haben. Inwiefern aber eine Datenverarbeitung aus den „Facebook Business Tools“, die nicht zur Personalisierung der Facebook.com-Nutzung, nicht zur nahtlosen Nutzung der Facebook-Produkte und nicht zur Anzeige personalisierter Werbung erfolgt, zur Behinderung von Wettbewerbern auf dem Netzwerkmarkt, auf einem Werbemarkt oder Drittmärkten geeignet sein kann, zumal Nutzer zusätzlich mit der OFA diese Daten von ihrem Facebook-Konto trennen können, hat das Bundeskartellamt ebenfalls nicht festgestellt.
73c) Lediglich in Bezug auf die Verarbeitung der Instagram-Daten der Facebook.com-Nutzer kommt eine Eignung zur Wettbewerberbehinderung ernsthaft in Betracht, weil mit diesen die Facebook.com-Nutzung personalisiert wird, indem Nutzern dort Personen vorgeschlagen werden, denen sie auf Instagram folgen, und insofern eine Erhöhung der Netzwerkeffekte eintreten kann und weil diese verknüpft mit den Facebook.com-Daten der Nutzer etwa zu Werbezwecken und zur Produktverbesserung auf Facebook.com verwendet werden. Für die Frage, ob bei funktionierendem Wettbewerb auf dem Markt für soziale Netzwerke eine solche diensteübergreifende Datenverarbeitung ohne gesonderte Einwilligung der Nutzer nicht zu erwarten wäre, und insbesondere für die umfassende Würdigung und Abwägung der betroffenen Interessen, anhand der festzustellen ist, ob das Verhalten von Facebook Ireland sowohl unter dem Gesichtspunkt der Ausbeutung der Nutzer als auch unter dem Gesichtspunkt der Wettbewerbsbehinderung missbräuchlich ist (vgl. BGH, Beschluss vom 23.06.2020 – KVR 69/19, Rn. 98 ff. bei juris – Facebook [ECLI:DE:BGH:2020:230620BKVR69.19.0]), kommt es auf die mit Vorlagefrage 7. zu klärende Frage an, ob das Bundeskartellamt jedenfalls zu diesem Zweck Feststellungen zu einem Verstoß dieser Datenverarbeitung gegen die DSGVO treffen kann, ferner auf die mit Vorlagefragen 3. bis 5. zu klärenden Fragen, ob diese Datenverarbeitung gegen die DSGVO verstößt, Facebook Ireland mithin Mittel einsetzt, die von den Mitteln eines normalen Produkt- und Dienstleistungswettbewerbs auf der Grundlage der Leistung der Wirtschaftsteilnehmer abweichen (vgl. EuGH, Urteil vom 06.10.2015 – C-23/14, Rn. 29 ff. – Post Danmark; Urteil vom 06.12.2012 – C-457/10, Rn. 74 f. bei juris – Astra Zeneca).