Datenschutz HubRechtsprechung

EuGH, Urt. v. 04.10.2024, C-446/21, Schrems/Meta

Reichweite sensibler Daten nach Art. 9 DSGVO bei Werbung in sozialen Netzwerken; restriktive Auslegung des Art. 9 Abs. 2 lit. e und Pflicht zur zeitlichen Begrenzung der Verarbeitung.

1 Überblick

Das Urteil betrifft einen Rechtsstreit des österreichischen Datenschutzaktivisten Maximilian Schrems gegen Meta Platforms Ireland und konkretisiert das Schutzregime des Art. 9 DSGVO im Kontext werbefinanzierter sozialer Netzwerke. Der Gerichtshof verschärft die Anforderungen an die Zweckbindung und Datenminimierung bei personalisierter Werbung und legt die Ausnahme „offensichtlich öffentlich gemachter Daten" (Art. 9 Abs. 2 lit. e DSGVO) restriktiv aus.

Fundstelle: EuGH, Urt. v. 04.10.2024, C-446/21, Schrems/Meta Platforms Ireland

2 Sachverhalt

Meta verarbeitet Nutzerdaten zu Zwecken personalisierter Werbung und führt dabei Daten aus unterschiedlichen Quellen zusammen, sowohl on-site (innerhalb der Facebook-Dienste) als auch off-site (aus anderen Webseiten und Apps). Schrems hatte auf einer öffentlichen Podiumsdiskussion Hinweise auf seine sexuelle Orientierung gegeben. Es war zu klären, unter welchen Voraussetzungen Meta solche Daten für personalisierte Werbung verwenden darf.

3 Entscheidung

3.1 Datenminimierung und zeitliche Begrenzung

Der Gerichtshof betont den Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO) als eigenständige Grenze: Eine zeitlich unbegrenzte, unterscheidungslose Verarbeitung personenbezogener Daten für Werbezwecke ist auch bei rechtmäßiger Erhebung nicht zulässig. Der Verantwortliche muss die Speicher- und Verarbeitungsdauer am Zweck ausrichten und die Datenbestände kontinuierlich minimieren.

3.2 Restriktive Auslegung von Art. 9 Abs. 2 lit. e DSGVO

Für die Ausnahme der offensichtlich öffentlich gemachten Daten verlangt der Gerichtshof, dass die betroffene Person die Absicht hatte, die Daten durch eine ausdrückliche und eindeutig bestätigende Handlung der breiten Öffentlichkeit zugänglich zu machen. Eine pauschale Freigabe aller später zugänglichen Daten folgt aus einer öffentlichen Selbstoffenbarung nicht.

Selbst wenn die sexuelle Orientierung einer Person in einem öffentlichen Format (z.B. live gestreamte Podiumsdiskussion) bekannt wird, rechtfertigt dies nicht die weitergehende Verarbeitung zur Aggregation und Analyse im Rahmen personalisierter Werbung. Zweckbindung und Verhältnismäßigkeit schränken die Reichweite der Ausnahme auch bei bejahendem Tatbestand ein.

3.3 Auswirkungen auf personalisierte Werbung

Aus den Grundsätzen der Zweckbindung und Datenminimierung ergeben sich konkrete Pflichten für werbefinanzierte Plattformen:

  • Differenzierung zwischen on-site und off-site erhobenen Daten bei der Zweckprüfung,
  • Begrenzung der Verarbeitung sensibler Daten auf das, was zum konkreten Zweck unbedingt erforderlich ist,
  • kontinuierliche Prüfung der Speicherdauer und Löschpflichten,
  • klare Trennung zwischen Ausnahmetatbestand des Art. 9 Abs. 2 DSGVO und Einhaltung der allgemeinen Grundsätze der Art. 5 und 6 DSGVO.

4 Bedeutung

Das Urteil stärkt die Stellung der Datenschutzgrundsätze gegenüber den Zulässigkeitstatbeständen. Es macht deutlich, dass Art. 9 Abs. 2 lit. e DSGVO keine „Schutzlosigkeit" öffentlich gewordener Daten auslöst und dass der Grundsatz der Datenminimierung eine eigenständige, dauerhafte Verpflichtung des Verantwortlichen bleibt. Geschäftsmodelle, die auf dauerhafter, zwecküberschießender Datensammlung beruhen, müssen nachweisen, dass sie die zeitliche und zweckbezogene Begrenzung gewährleisten.

Über den Autor

Über den Autor

Dieser Beitrag wurde von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München, verfasst.

Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.

Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland (2024/25) gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.

Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.

Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.

Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.

EuGH, Urt. v. 09.01.2025, C-394/23, Mousse

Erforderlichkeit nach Art. 6 Abs. 1 lit. f DSGVO; Widerspruchsrecht aus Art. 21 DSGVO bei der Erforderlichkeitsprüfung nicht zu berücksichtigen; Verhältnis zur Transparenzpflicht.

EuGH, Urt. v. 04.10.2024, C-21/23, Lindenapotheke

Bestelldaten für apothekenpflichtige Arzneimittel sind Gesundheitsdaten iSd Art. 9 Abs. 1 DSGVO; Zulässigkeit nationaler Klagebefugnisse von Mitbewerbern nach Lauterkeitsrecht.

Auf dieser Seite

1 Überblick2 Sachverhalt3 Entscheidung3.1 Datenminimierung und zeitliche Begrenzung3.2 Restriktive Auslegung von Art. 9 Abs. 2 lit. e DSGVO3.3 Auswirkungen auf personalisierte Werbung4 Bedeutung