EuGH-Urteil C-446/21: Meta darf öffentliche personenbezogene Daten nur eingeschränkt für zielgerichtete Werbung verwenden und muss Datennutzung für Werbung einschränken – Welche Auswirkungen ergeben sich für die Praxis?
Am 4. Oktober 2024 hat der Europäische Gerichtshof (EuGH) in der Rechtssache C-446/21 ein richtungsweisendes Urteil gefällt, das weitreichende Konsequenzen für die Verarbeitung personenbezogener Daten durch Meta Platforms Ireland Ltd. und die gesamte digitale Werbebranche hat.
Im Zentrum des Verfahrens stand die Frage, inwieweit Online-Plattformen wie Meta personenbezogene Daten ihrer Nutzer, insbesondere sensible Informationen, ohne ausdrückliche Einwilligung für personalisierte Werbung nutzen dürfen.
Was sind die Folgen dieses Urteils und worum geht es?
Das EuGH-Urteil vom 04.10.2024 bringt neue datenschutzrechtliche Vorgaben für die Datenverarbeitung und die digitale Werbebranche mit sich, die zukünftig im Rahmen von Werbung durch Unternehmen zu beachten sind.
Das Urteil bezieht sich auf wesentliche Bestimmungen der Datenschutz-Grundverordnung (DSGVO) und hebt die Bedeutung der Grundsätze der Datenminimierung, Zweckbindung und des Schutzes sensibler Daten hervor. Die Entscheidung des EuGH hat tiefgreifende Folgen, die Unternehmen, die mit Nutzerdaten arbeiten, zwingt, ihre Datenverarbeitungsprozesse grundlegend zu überarbeiten.
Hintergrund des Verfahrens: Die Klage von Maximilian Schrems
Die Klage wurde von Herrn Maximilian Schrems, einem bekannten Datenschutzaktivisten, gegen Meta Platforms Ireland Ltd. eingereicht.
Herr Schrems hat in der Vergangenheit bereits Entscheidungen zum Privacy-Shield erstritten (z.B. EuGH, Rechtssache C- 311/18 – Schrems II“, wodurch der Durchführungsbeschluss zum Privacy Shield für unwirksam erklärt wurde und bereits zuvor „Schrems I gegen Meta Platforms Ireland Ltd.“). Im Anschluss an die Entscheidung „Schrems II“ musste die EU-Kommission die unzureichenden datenschutzrechtlichen Grundlagen für die Datenübermittlung an zertifizierte Organisationen mit dem Angemessenheitsbeschluss zum EU-U.S. Data Privacy Framework vom 10.07.2023 überarbeiten.
Herr Schrems beanstandete, dass Meta personenbezogene Daten von Nutzern, darunter auch sensible Daten wie die sexuelle Orientierung, ohne ausdrückliche Einwilligung verarbeitet und zielgerichtet für personalisierte Werbekampagnen nutzt. Meta berief sich auf die Zustimmung der Nutzer zu den allgemeinen Nutzungsbedingungen der Plattform, welche die Verarbeitung personenbezogener Daten für Werbezwecke beinhalteten. Herr Schrems argumentierte jedoch, dass diese allgemeine Einwilligung nicht ausreiche, um der umfassenden Datenverarbeitung durch Meta zuzustimmen, insbesondere nicht für die Nutzung besonders sensibler Daten.
Der Oberste Gerichtshof Österreichs legte dem EuGH daraufhin mehrere Fragen zur Vorabentscheidung vor, um die genaue Auslegung der DSGVO im Hinblick auf die Datenverarbeitung durch Online-Plattformen und Netzwerken zu klären.
Im Fokus standen die Grundsätze der Datenminimierung, Zweckbindung und die spezifischen Anforderungen an die Verarbeitung sensibler Daten nach Art. 9 DSGVO.
Für ein Unternehmen, das ein digitales Netzwerk betreibt, wie auch für andere Unternehmen, die im Bereich digitaler Werbung aktiv sind, bedeutet dies unter anderem auch, dass eine klarere Unterscheidung für den datenschutzrechtlichen Umgang mit personenbezogenen Daten vorzunehmen ist.
Was sind die Kernaussagen des EuGH-Urteils?
Der Europäische Gerichtshof (EuGH) entschied in zwei zentralen Punkten, die für die Verarbeitung personenbezogener Daten durch Unternehmen wie Meta entscheidend sind:
- Datenminimierung und Zweckbindung gemäß Art. 5 Abs. 1 Buchst. b und c DSGVO
Der EuGH betonte, dass der Grundsatz der Datenminimierung bedeutet, dass personenbezogene Daten nur im unbedingt erforderlichen Umfang erhoben und verarbeitet werden dürfen. Das Urteil stellt klar, dass Unternehmen wie Meta nicht berechtigt sind, sämtliche personenbezogenen Daten ihrer Nutzer unbegrenzt zu speichern und zu Werbezwecken zu nutzen. Daten, die nicht mehr für den ursprünglichen Verarbeitungszweck erforderlich sind, müssen gelöscht werden. Darüber hinaus ist eine flexible Nutzung der Daten für andere Zwecke ohne ausdrückliche Zustimmung der Nutzer unzulässig. Die Zweckbindung gemäß der DSGVO verlangt, dass Daten nur für die Zwecke verarbeitet werden dürfen, für die sie ursprünglich erhoben wurden. - Verarbeitung sensibler Daten gemäß Art. 9 DSGVO
Ein weiterer zentraler Aspekt des Urteils betrifft die Verarbeitung sensibler Daten, wie Informationen zur sexuellen Orientierung oder politischen Überzeugungen. Der EuGH stellte klar, dass die Verarbeitung solcher Daten nur unter strengen Bedingungen erfolgen darf. Selbst wenn eine Person sensible Daten öffentlich macht, etwa im Rahmen einer Podiumsdiskussion, berechtigt dies das Unternehmen nicht dazu, diese oder ähnliche Daten ohne ausdrückliche Einwilligung für Werbezwecke zu verarbeiten. Die Ausnahme des Art. 9 Abs. 2 Buchst. e DSGVO, die es erlaubt, Daten zu verarbeiten, die „offensichtlich öffentlich gemacht“ wurden, ist eng auszulegen, um den Schutz sensibler personenbezogener Daten zu gewährleisten.
Das hat Folgen für Meta als Netzwerk und die datengetriebene Geschäftsstrategie und damit letztlich auch für den gesamten Bereich des Online-Marketings auch anderer Unternehmen und Betreiber digitaler Netzwerke:
Folgen für Meta und die datengetriebene Geschäftsstrategie
Das Urteil des EuGH stellt eine erhebliche Einschränkung für die Geschäftsstrategie von Meta dar.
Bisher beruhte das Werbemodell des Unternehmens auf der umfangreichen Sammlung und Analyse von Nutzerdaten, die aus verschiedenen Quellen stammten, darunter auch Drittanbieter und andere Plattformen des Meta-Konzerns wie Instagram und WhatsApp.
Durch das Urteil ist Meta nun gezwungen, seine Datenverarbeitungsprozesse zu überarbeiten und sicherzustellen, dass nur diejenigen Daten erhoben und verarbeitet werden, die für den jeweiligen Zweck unbedingt erforderlich sind.
Das betrifft insbesondere die Nutzung sensibler Daten, für die künftig strengere Einwilligungsprozesse erforderlich sind.
Zudem muss Meta klare Löschfristen für die Speicherung der personenbezogenen Daten einführen und sicherstellen, dass die Datenverarbeitung auf den jeweiligen Zweck beschränkt bleibt. Die Richter des höchsten europäischen Gerichts folgten damit der Empfehlung des Generalanwalts vom April 2024.
Die bisherige Praxis, Nutzerdaten aus unterschiedlichen Quellen zu aggregieren, also zusammenzuführen, und ohne zeitliche Begrenzung zu speichern, verstößt gegen den Grundsatz der Datenminimierung und muss entsprechend angepasst werden.
Für Meta bedeutet dies, dass das Unternehmen seine datengestützten Werbestrategien überdenken muss, da die uneingeschränkte Nutzung der Datenbasis für personalisierte Werbung nicht mehr ohne Weiteres möglich ist. Die Einschränkungen betreffen insbesondere die Verarbeitung von Off-Facebook-Daten, also Daten, die von Nutzern außerhalb der Plattform erhoben werden, beispielsweise durch Cookies, Social Plug-ins oder Tracking-Pixel, die auf Dritt-Webseiten eingebettet sind.
Die EuGH-Rechtsprechung vom 04.10.2024 hat daher erhebliche Folgen für die gesamte Werbebranche im digitalen Bereich:
Was sind die Folgen für die Werbebranche?
Das Urteil des Europäischen Gerichtshofs (EuGH) in der Rechtssache C-446/21 vom 04.10.2024 betrifft nicht nur Meta, sondern hat weitreichende Konsequenzen für die gesamte digitale Werbebranche.
Die Entscheidung, dass personenbezogene Daten nur im Einklang mit den strengen Anforderungen der Datenschutz-Grundverordnung (DSGVO) verarbeitet werden dürfen, zwingt Unternehmen dazu, ihre bisherigen Datenverarbeitungspraktiken umfassend zu überdenken und anzupassen. Die grundlegenden Prinzipien der Datenminimierung und Zweckbindung sowie der Schutz sensibler Daten spielen dabei eine zentrale Rolle.
Verstärkte Compliance-Anforderungen und rechtliche Risiken
Die strengen Vorgaben des EuGH, die den Umfang der Verarbeitung personenbezogener Daten für Werbezwecke stark einschränken, setzen die gesamte Werbebranche unter erheblichen Druck.
Unternehmen müssen ihre Compliance-Prozesse an die neuen Anforderungen anpassen und sicherstellen, dass alle Schritte der Datenerhebung und -verarbeitung den Grundsätzen der DSGVO entsprechen.
Dabei ist besonders wichtig, dass nur Daten verarbeitet werden, die für einen klar definierten Zweck notwendig sind, und dass diese Daten nach Ablauf der benötigten Verwendungsdauer gelöscht werden. Dafür sind wiederum Löschkonzepte erforderlich, die selbst auch den datenschutzrechtlichen Anforderungen entsprechen müssen, um Datenschutzverstöße zu vermeiden.
Das hat auch Auswirkungen auf die Datenschutz-Compliance und die Datenschutz-Due Diligence in Unternehmen.
Denn ein unzureichender Datenschutz kann beispielsweise für eine Unternehmens-bewertung nachteilig sein und sich daher bei einem Unternehmensverkauf nachteilig auswirken.
Gerade auch schwebende Verfahren bei einer Datenschutzbehörde oder nicht absehbare Folgen, z.B. wegen hohen Bußgeldrisiken und bereits verhängten oder zukünftigen Bußgeldern können sich für Unternehmen extrem nachteilig auswirken, auch im Hinblick auf einen damit verbundenen evtl. Prestigeverlust im Rahmen der Kundenwahrnehmung am Markt.
Unternehmen sollten daher dringend darauf achten, die Datenschutzvorgaben insgesamt einzuhalten.
Dabei kann ein datenschutzkonformes Datenschutzmanagement sehr hilfreich sein.
Denn auch dieses Das Urteil des Europäischen Gerichtshofs vom 04.10.2024 bringt eine deutliche Erhöhung des rechtlichen und auch finanziellen Risikos für Unternehmen mit sich, die personenbezogene Daten verarbeiten, insbesondere im Bereich der personalisierten und zielgerichteten Werbung.
Denn es ist davon auszugehen, dass Datenschutzbehörden nach diesem Urteil verstärkt auf die Einhaltung der DSGVO-Vorgaben achten werden und Unternehmen, die diese nicht befolgen, mit empfindlichen Bußgeldern und anderen Sanktionen belegen, die bis zu 20 Mio. Euro oder vier Prozent vom Jahresvorumsatz betragen können, wobei auch der weltweite Konzernumsatz in die Bußgeldberechnung miteinbezogen werden kann.
Da die DSGVO somit Bußgelder von bis zu 4 % des weltweiten Jahresumsatzes eines Unternehmens vorsieht, können Verstöße gegen diese Regelungen zu erheblichen finanziellen Belastungen führen. Dadurch kann für Unternehmen das Risiko bestehen, dass infolge von Bußgeldzahlungen oder Schadensersatzzahlungen benötigte Investitionen zurückgestellt werden müssen. Auch kann dadurch unter Umständen eine Expansion von Unternehmen aus finanziellen Gründen nicht erfolgen.
Für Unternehmen wird es deshalb zukünftig noch entscheidender sein, ihre Datenschutzprozesse regelmäßig zu überprüfen und anzupassen, um rechtliche Konsequenzen zu vermeiden.
Die Umsetzung von Datenschutz-Compliance-Themen und einer datenschutzrechtlichen Due Diligence in Unternehmen zur Vermeidung eines unzureichenden Datenschutzniveaus mit dem Ziel der Herstellung einer ausreichenden Datenschutzkonformität zur Einhaltung der gesetzlichen Vorgaben im Datenschutz wird daher für Unternehmen in Zukunft immer wichtiger.
Dies wird auch deshalb immer entscheidender werden, weil sich die EU-Vorgaben immer stärker verzahnen und beispielsweise neben der DSGVO zukünftig auch die KI-Verordnung von Unternehmen zu beachten ist, die noch höhere Bußgelder vorsieht als die DSGVO.
Einschränkungen bei der Personalisierung von Werbung
Die Verarbeitung personenbezogener Daten für personalisierte Werbung war bisher ein zentrales Geschäftsmodell für viele Unternehmen in der digitalen Werbebranche.
Das Urteil des EuGH schränkt jedoch die Nutzung dieser Daten erheblich ein, insbesondere wenn es um sensible personenbezogene Daten wie sexuelle Orientierung, politische Meinungen oder Gesundheitsdaten geht.
Die Verarbeitung solcher Daten ist nur unter sehr strengen Bedingungen zulässig und bedarf einer klaren, informierten Einwilligung der betroffenen Personen.
Für die Werbebranche bedeutet dies, dass sie ihre bisherigen Strategien zur Zielgruppenansprache überdenken muss.
Es ist aufgrund der Entwicklung in der Rechtsprechung davon auszugehen, dass es in Zukunft immer schwieriger werden wird, personalisierte Werbung auf Grundlage umfangreicher Nutzerprofile zielgerichtet zu schalten, da viele dieser Daten entweder nur noch eingeschränkt oder gar nicht mehr verarbeitet werden dürfen.
Dies kann für Unternehmen dazu führen, dass die Effektivität vieler Werbekampagnen sinkt, da weniger gezielte Werbung geschaltet werden kann.
Unternehmen, die auf Datenaggregation und Cross-Platform-Tracking angewiesen sind, um umfassende Nutzerprofile zu erstellen, werden ebenfalls vor erheblichen Herausforderungen stehen.
Technologien wie Cookies, Tracking-Pixel und Social Plug-ins, die bislang zur Sammlung und Verknüpfung von Nutzerdaten über verschiedene Plattformen hinweg genutzt wurden, stehen unter verstärkter rechtlicher Prüfung.
Die weitreichende Erhebung von Off-Website-Daten durch diese Techniken wird durch das Urteil erheblich eingeschränkt, was viele Werbetreibende dazu zwingt, alternative Methoden der Zielgruppenanalyse zu finden.
Anstieg der Bedeutung von Einwilligungsprozessen
Die Einwilligung der Nutzer spielt im Rahmen der DSGVO eine zentrale Rolle, insbesondere wenn es um die Verarbeitung sensibler Daten oder die Nutzung personenbezogener Daten für andere Zwecke als den ursprünglichen Verarbeitungszweck geht.
Das jetzige Urteil des EuGH in der Rechtssache C-446/21 vom 04.10.2024 betont, dass die Einwilligung freiwillig, spezifisch, informiert und eindeutig sein muss.
Außerdem muss der Nutzer die Möglichkeit haben, seine Einwilligung jederzeit ohne negative Konsequenzen zu widerrufen.
Denn ansonsten ist eine solche Einwilligung datenschutzrechtliche nicht wirksam und gilt damit letztlich als nicht existent.
Ohne wirksame Einwilligung als eine datenschutzrechtliche Grundlage für die Zulässigkeit der Datenverarbeitung bestehen für Unternehmen erheblichen finanzielle Risiken aufgrund von Datenschutzverstößen, insbesondere wegen Bußgeldern oder auch Schadensersatzansprüchen von betroffenen Personen.
Für Unternehmen in der Werbebranche bedeutet dies, dass sie ihre Einwilligungsprozesse erheblich verstärken müssen.
Dazu gehört insbesondere auch, bereits bestehende Datenschutzprozesse auf die Einhaltung von datenschutzrechtlichen Vorgaben und damit auf Datenschutzkonformität zu überprüfen und an die aktuelle Rechtsprechung anzupassen.
Letztlich sollte der gesamte Datenschutz im Unternehmen auf den Prüfstand gestellt werden oder zumindest turnusmäßig immer wieder geprüft werden, ob sich aktuelle Entwicklungen bei Gerichten und Datenschutzbehörden ergeben, die eine Anpassung des Datenschutzes in Unternehmen notwendig machen.
Um diese Aufgabe zentral und übersichtlich zu erledigen bietet sich die Nutzung eines effektiven Datenschutzmanagement-Systems für Unternehmen an. Dadurch können auch personelle und finanzielle Ressourcen in Unternehmen geschont werden.
Die Praxis, Einwilligungen durch allgemeine Nutzungsbedingungen oder undurchsichtige Opt-out-Verfahren einzuholen, reicht jedenfalls nicht mehr aus.
Unternehmen müssen den Nutzern klare, verständliche Informationen darüber geben, welche Daten zu welchem Zweck verarbeitet werden und sicherstellen, dass diese Einwilligungen rechtskonform sind. Auch dies ist ein wichtiger Baustein von Datenschutz-Compliance und Due Diligence im Bereich der Datenschutzgrundverordnung.
Darüber hinaus müssen Werbetreibende in der Lage sein, die Einwilligung jederzeit nachweisen zu können. Dies ergibt sich insbesondere aus dem datenschutzrechtlichen Grundsatz der Rechenschaftspflicht für Unternehmen.
Das bedeutet, dass Unternehmen ihre technischen und organisatorischen Maßnahmen (die sog. TOMs) zur Verwaltung von Einwilligungen (z. B. durch Consent-Management-Plattformen) ausbauen müssen.
Auch hier kann ein modernes Datenschutzmanagement-System in Firmen, Betrieben und Unternehmen helfen, den Überblick im Datenschutz zu behalten.
Diese Maßnahmen können zunehmend zu einem entscheidenden Wettbewerbsvorteil werden und gleichzeitig eine Absicherung für Unternehmen darstellen, da regelmäßig nur Unternehmen, die eine transparente und DSGVO-konforme Einwilligung einholen, weiterhin personenbezogene Daten umfassend nutzen dürfen.
Veränderung des Geschäftsmodells: Weg von personalisierter hin zu kontextbasierter Werbung
Eine mögliche Folge des Urteils ist, dass viele Unternehmen ihre Werbestrategien von der personalisierten Werbung hin zu datenschutzfreundlicheren Alternativen, wie der kontextbasierten Werbung, verlagern müssen.
Bei der kontextbasierten Werbung wird die Anzeige von Inhalten abhängig von der Umgebung, in der sich der Nutzer befindet, geschaltet, ohne dass dabei auf persönliche Daten der Nutzer zugegriffen wird. Diese Methode berücksichtigt den Inhalt einer besuchten Webseite oder einer App, um relevante Anzeigen anzuzeigen, anstatt auf das Verhalten oder die Interessen der Nutzer zurückzugreifen.
Die kontextbasierte Werbung bietet regelmäßig eine datenschutzfreundliche Alternative, die es Unternehmen ermöglichen kann, weiterhin gezielte Anzeigen zu schalten, ohne dabei gegen die strengen Vorgaben der DSGVO zu verstoßen.
Da diese Form der Werbung gerade keine umfassende Profilbildung erfordert, sondern lediglich auf den unmittelbaren Kontext der Seite oder Anwendung abzielt, auf der die Anzeige platziert wird, sind hier weniger datenschutzrechtliche Risiken zu erwarten.
Dennoch sollte auch der Einsatz einer solchen kontextbasierten Werbung im jeweiligen Einzelfall im Vorfeld rechtlich überprüft werden, damit der Einsatz einer solchen Werbung auch tatsächlich im Einklang mit den Datenschutzvorgaben erfolgt.
Denn ansonsten können auch hier erhebliche rechtliche und finanzielle Risiken, insbesondere durch Bußgelder und Schadensersatz- oder Schmerzensgeldansprüchen von Betroffenen drohen, die sich durch die Datenverarbeitung betroffen fühlen. Denn in der Rechtssache EuGH C?340/21 hat der Europäische Gerichtshof am 14.12.2023 entschieden, dass die Geltendmachung von Schmerzensgeld nach Datenpanne auch ohne echten Schaden für betroffene Personen möglich ist.
Es kann daher für betroffene Personen auch ein sog. immaterieller Schadenersatzanspruch (Schmerzensgeld) bestehen, wenn sich Personen durch einen Datenschutzvorfall betroffen fühlen. Entscheidend ist aber auch hier der Einzelfall, d.h., nur weil eine Person einen solchen Schmerzensgeldanspruch gegenüber einem Unternehmen geltend macht, bedeutet dies nicht, dass ein solcher Anspruch auch tatsächlich durchsetzbar ist. Dies muss aber im Einzelfall datenschutzrechtlich mit entsprechender Expertise geprüft werden.
Denn zumindest nach Teilen der deutschen Rechtsprechung reicht ein reines Störgefühl alleine reicht dabei nicht für ein Schmerzensgeld aus (so hat z.B. das OLG Hamm mit Urteil vom 15.08.2023, Az. 7 U 19/23).
Daher muss im Einzelfall sehr genau geprüft werden, ob die Voraussetzungen für eine erfolgreiche Durchsetzung von datenschutzrechtlichen Ansprüchen überhaupt vorliegt. Das gilt insbesondere z.B. auch bei von Datenschutzbehörden verhängten Bußgeldern oder Untersagungsverfügungen.
Unternehmen, die frühzeitig auf kontextbasierte Werbung umsteigen, könnten hier unter Umständen daher einen Wettbewerbsvorteil erzielen, da sie weniger von den Einschränkungen durch die DSGVO betroffen sind.
Es kann sich daher für Unternehmen lohnen, die bisherigen Werbestrategien auf die Einhaltung von Datenschutzvorgaben zu überprüfen.
Technologische Anpassungen: Anonymisierung und Pseudonymisierung von Daten
Eine weitere wichtige Folge des Urteils des EuGH in der Rechtssache C-446/21 vom 04.10.2024 ist der steigende Druck auf Unternehmen, Technologien zur Anonymisierung und Pseudonymisierung von Nutzerdaten zu implementieren.
Diese Techniken ermöglichen es, personenbezogene Daten so zu verarbeiten, dass eine Identifizierung der betroffenen Personen entweder nicht mehr möglich oder nur mit zusätzlichen Informationen möglich ist. Dadurch können Unternehmen regelmäßig weiterhin Daten für Analyse- und Werbezwecke verwenden, ohne gegen die Vorgaben der DSGVO zu verstoßen.
Die Anonymisierung von Daten stellt sicher, dass alle persönlichen Identifikatoren aus den Daten entfernt werden, sodass sie nicht mehr auf eine bestimmte Person zurückgeführt werden können. Das bietet Unternehmen bei datenschutzkonformem Einsatz grundsätzlich die Möglichkeit, anonymisierte Daten für Marktforschung, statistische Analysen und Werbung zu verwenden, ohne den strengen Vorgaben der DSGVO unterworfen zu sein.
Die Pseudonymisierung ermöglicht es Unternehmen demgegenüber, personenbezogene Daten zu verarbeiten, indem direkte Identifikatoren durch Pseudonyme ersetzt werden. Während die Daten weiterhin verarbeitet werden können, sind sie nur dann wieder einer bestimmten Person zuzuordnen, wenn zusätzliche Informationen (wie ein Pseudonymschlüssel) verfügbar sind. Diese Methode erlaubt bei datenschutzkonformem Einsatz daher grundsätzlich eine datenschutzfreundliche Verarbeitung, die auch in der Werbung eingesetzt werden kann, ohne dass personenbezogene Daten offengelegt werden
Steigende Bedeutung von Datenschutz als Wettbewerbsvorteil
Mit dem zunehmenden Bewusstsein für Datenschutz und den hohen datenschutzrechtlichen Anforderungen, die auch dieses EuGH-Urteil in der Rechtssache C-446/21 vom 04.10.2024 mit sich bringt, ist davon auszugehen, dass der Datenschutz zunehmend zu einem Wettbewerbsvorteil werden wird für Betriebe, Firmen und Unternehmen, die den Datenschutz ernst nehmen und auf die Einhaltung der Datenschutzvorgaben achten.
Es ist daher zu erwarten, dass diejenigen Unternehmen, die bereits frühzeitig auf transparente, datenschutzkonforme Prozesse setzen, im Wettbewerb zukünftig durchaus besser abschneiden können. Das betrifft nicht nur die Einhaltung der DSGVO, sondern auch den Aufbau von Vertrauen bei den Nutzern, also die Wahrnehmung und Akzeptanz am Markt. Dadurch können unter Umständen auch Marktanteile gehalten und ausgebaut werden. Denn die Einhaltung des Datenschutzes kann für Kunden und Nutzer zunehmend ein entscheidender Faktor sein, um eher zu Unternehmen zu tendieren, die ihre Daten transparent und verantwortungsvoll verarbeiten.
Für die Werbebranche bedeutet dies, dass Investitionen in Datenschutztechnologien und datenschutzkonforme Werbestrategien nicht nur regulatorische Notwendigkeiten aufgrund von gesetzlichen Vorgaben der DSGVO sind, sondern auch entscheidend für den Unternehmenserfolg sein können.
Es ist daher zukünftig noch stärker zu erwarten, dass Unternehmen, die den Datenschutz vernachlässigen, nicht nur rechtliche Sanktionen wie Bußgelder und Schadensersatzansprüche riskieren, sondern auch den Verlust von Kunden und Marktanteilen.
Fazit: Die Werbebranche muss sich neu erfinden
Das EuGH-Urteil C-446/21 vom 04.10.2024 stellt einen Wendepunkt für die gesamte digitale Werbebranche dar.
Die neuen Vorgaben zwingen Unternehmen dazu, ihre Datenverarbeitungsprozesse umfassend anzupassen und neue, datenschutzfreundliche Ansätze für die zielgerichtete Zielgruppenansprache zu entwickeln.
Insbesondere der Übergang von personalisierter zu kontextbasierter Werbung und die Nutzung von Technologien zur Anonymisierung und Pseudonymisierung von Daten werden in Zukunft dabei eine zentrale Rolle spielen.
Die strengen Compliance-Anforderungen im Bereich des Datenschutzes, gerade auch durch die Entscheidungen der Gerichte, und das gestiegene rechtliche Risiko durch Bußgelder und Sanktionen, machen deutlich, dass der Datenschutz in der Werbebranche nicht länger nur eine rein regulatorische Pflicht ist, sondern immer stärker als ein entscheidender Erfolgsfaktor im geschäftlichen Bereich und am Markt wahrgenommen wird.
Unternehmen, die frühzeitig auf diese Entwicklungen reagieren und ihre Werbestrategien entsprechend datenschutzrechtlich anpassen, haben die Möglichkeit und Chance, ihre Position im Markt auch in Zukunft zu behaupten, perspektivisch zu verbessern und gleichzeitig das Vertrauen der Verbraucher und Marktbeteiligten stärker zu gewinnen.
Was folgt für Unternehmen im Ergebnis aus der Entwicklung in der Rechtsprechung zum Datenschutz?
Zusammenfassend lässt sich festhalten, dass Unternehmen das Thema Datenschutz stärker beachten müssen, nun insbesondere auch im Bereich der Werbedaten, für die der Europäische Gerichtshof ein Verfallsdatum für personenbezogene Daten bzw. persönliche Nutzerdaten verlangt.
Das hat zur Folge, dass Unternehmen daher insbesondere die datenschutzrechtlich erforderlichen Löschkonzepte auf Aktualität und Rechtskonformität überprüfen sollten.
Falls im Unternehmen noch keine Löschkonzepte existieren sollten oder zwar solche Konzepte vorliegen, diese aber veraltet oder nicht datenschutzkonform sind, besteht im Hinblick auf die Vorgaben des EuGH in datenschutzrechtlicher Hinsicht Handlungsbedarf, damit sich Unternehmen keinem Bußgeldrisiko oder der Gefahr von Schadensersatzansprüchen bzw. Schmerzensgeldansprüchen von Betroffenen aussetzen.
Dasselbe gilt für die sonstigen Anforderungen der Datenschutzgrundverordnung.
Das bedeutet, dass wenn z.B. bisher keine Verzeichnisse von Verarbeitungstätigkeiten in Unternehmen existieren oder diese veraltet sind, keine oder unzureichende TOMs im Unternehmen vorliegen oder auch beispielsweise bisher keine sog. Datenschutzfolgeabschätzungen, insbesondere vor Anschaffung und Einführung von neuer Hardware und Software durchgeführt wurden, so sollte dies zur Vermeidung von etwaigen rechtlichen und finanziellen Nachteilen von Unternehmensseite dringend nachgeholt werden und zwar, bevor sich eine Datenschutzbehörde oder eine datenschutzrechtliche betroffene Person, sich beim Unternehmen meldet. Denn dann kann es zur Vermeidung von Bußgeldern und Schadensersatzzahlungen bei vorliegenden berechtigten Datenschutzverstößen, z.B. aufgrund von Datenpannen im Bereich der IT, bereits zu spät sein.
Die Rechtsprechung des Europäischen Gerichtshofs hat zur Folge, dass sich Firmen, Betriebe und Unternehmen spätestens jetzt ein datenschutzrechtlich wirksames Löschkonzept für die von ihnen gesammelten Daten überlegen müssen und eine Bestandsaufnahme machen sollten, welche personenbezogenen Daten, die Unternehmen in der Vergangenheit gesammelt haben, sie unter dem Gesichtspunkt der Datenminimierung und Datensparsamkeit überhaupt noch behalten dürfen.
Außerdem sollten Unternehmen aufgrund der EuGH-Rechtsprechung die zeitlichen Grenzen für die Aufbewahrung der Daten genau prüfen und die erforderlichen Löschfristen in datenschutzkonformen Löschkonzepten entsprechend der Datenschutzgrundverordnung festlegen, damit die Löschkonzepte und die Datenschutzunterlagen bei Anfragen von Datenschutzbehörden direkt vorgelegt werden können.
Denn nach dieser Rechtsauffassung des Europäischen Gerichtshofs in der Entscheidung vom 04.10.2024 darf ein ein soziales Online-Netzwerk wie Facebook bzw. Meta nicht sämtliche personenbezogene Daten zeitlich unbegrenzt und ohne Unterscheidung nach ihrer Art verwenden
Das gilt neben Social-Media-Plattformen aber regelmäßig auch für alle anderen Online-Werbeunternehmen, und kann auch für sonstige Unternehmen gelten, die oft keine Verfahren zur Datenminimierung festgelegt haben. Auch hier kann aber eine Due-Diligence im Bereich des Datenschutzes und ein effektives und rechtskonformes Datenschutz-Managementsystem helfen.
Aber selbst wenn bereits Datenschutzprozesse im Unternehmen bestehen, sollten diese Prozesse, gerade auch wegen der sich immer weiter fortentwickelnden Rechtsprechung, immer wieder dahingehend überprüft werden, ob das aktuell geforderte Datenschutzniveau im Unternehmen auch tatsächlich noch eingehalten wird. Das gilt insbesondere für datenschutzrechtliche unternehmensinterne Prozesse zur Datenminimierung und bei Löschfristen sowie Löschkonzepten.
Neben den sonstigen Datenschutzvorgaben ist durch diese europäische Rechtsprechung gerade das durchaus komplexe Thema der datenschutzrechtlichen Löschkonzepte daher für Unternehmen zukünftig noch stärker zu beachten.
Selbst wenn eine Einwilligung vorliegt, müssen Werbeunternehmen zukünftig die Datensammlung regelmäßig im Hinblick auf die gesetzlichen Vorgaben der DSGVO minimieren und begrenzen und sich datenschutzkonform aufstellen. Riesige Datenpools können deshalb datenschutzrechtlich für Unternehmen äußerst problematisch sein. Es können empfindliche Bußgelder und Schadensersatzzahlungen drohen.
Denn der Europäische Gerichtshof in seiner Entscheidung vom 04.10.2024 stellt klar: Online-Werbung hat klare datenschutzrechtliche Grenzen.
Die EuGH-Rechtsprechung dürfte allerdings die Unsicherheit für Unternehmen bei der Verarbeitung von Daten zu Werbezwecken zukünftig weiter erhöhen, da unklar bleibt, wie genau die Begrenzung für die bezweckte Datenverarbeitung festzulegen ist und was dies konkret für die Verarbeitung bestimmter Datentypen, wie beispielsweise die besuchten Websites oder die Auswahl von Präferenzen, bedeutet.
Für die Unternehmen dürfte es daher zukünftig nicht einfacher werden selbst abzuschätzen, was noch als verhältnismäßig in datenschutzrechtlicher Hinsicht gilt.
Daher dürfte es zukünftig für Unternehmen umso wichtiger werden, den jeweiligen Einzelfall, gerade im Zusammenhang mit Werbedaten, auf Datenschutzkonformität prüfen zu lassen, um rechtliche und finanzielle Nachteile möglichst zu vermeiden.
Diese Entscheidung des Europäischen Gerichtshofs zeigt einmal mehr, wie wichtig es für Unternehmen und Fachabteilungen ist, sich datenschutzkonform aufzustellen und insbesondere auch die Fachabteilungen sowie die Beschäftigten für die Einhaltung der datenschutzrechtlichen Vorgaben der Datenschutzgrundverordnung zu sensibilisieren.