Aufsatz : Die Instagram/Meta – Entscheidung zum Datenschutz bei Minderjährigen als case study für ein Art. 65-Verfahren : aus der RDV 1/2023 Seite 22 bis 29
Am 15.09.2022 hat die Irish Data Protection Commission (IDPC) das bisher höchste Bußgeld gegen Meta Platforms Ireland Limited (MPIL) wegen Datenschutzverstößen auf Instagram verhängt. Zugleich ist es die erste europaweite Entscheidung des EDSA über Datenschutzrechte bei Minderjährigen. Neben den inhaltlichen Aspekten illustriert der Fall auch anschaulich das Art. 65-Verfahren und zeigt, wie im Zusammenspiel der europäischen Aufsichtsbehörden bei Wahrung des One-Stop-Shop-Prinzips im EDSA bindende Entscheidungen entstehen. Nicht zuletzt gibt der Fall einen Einblick in die Struktur der Bemessung von Bußgeldern in erheblicher Höhe.
I. Der Sachverhalt
Instagram ist ein in Europa sehr beliebter Dienst, nicht zuletzt unter Minderjährigen. Um sich als Instagram-Nutzer registrieren zu können, muss eine Person mindestens 13 Jahre alt sein. Dies wird durch die Abfrage des Geburtsdatums im Rahmen der Kontoregistrierung überprüft. Im Jahr 2016 wurde eine neue Art von Instagram-Konto eingeführt, das sogenannte Business-Konto. Bei solchen Konten muss eine E-Mail-Adresse oder Telefonnummer als Kontaktinformation angegeben werden, während dies bei den persönlichen Konten nicht vorgesehen ist. Business-Konten müssen zudem öffentlich sein, während persönliche Konten so eingestellt werden können, dass nur sogenannte Follower das jeweilige Profil einsehen können. Instagram ermöglicht es allen Nutzenden ohne zusätzliche Altersbeschränkung, von einem persönlichen zu einem Business-Konto zu wechseln.
Ein Sicherheitsforscher stellte fest, dass die Kontaktinformationen von Business-Konten beim Aufruf per Web-Browser im Quellcode der Seite einsehbar waren. Erkennbar befanden sich darunter viele Nutzer im Alter zwischen 13 und 17 Jahren. Auch wenn es im Einzelfall vorkommt, dass Minderjährige geschäftliche Konten bei Instagram unterhalten, wies die Menge an Betroffenen auf ein erhebliches Sicherheits- und Datenschutzproblem hin. Offenbar war vielen Nutzer, darunter auch Jugendlichen, die Bedeutung des Wechsels von einem persönlichen zu einem Business-Konto nicht bewusst. Im Ergebnis waren die Kontaktdaten Minderjähriger damit für jeden abrufbar. Der Sicherheitsforscher meldete das Problem bei Instagram und reichte die Meldung einer Datensicherheitsverletzung bei der irischen Aufsichtsbehörde ein. Nachdem er mit der dortigen Reaktion unzufrieden war, wandte er sich im Juli 2019 zusätzlich an den Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI), der sich im Rahmen der europäischen Zusammenarbeit seinerseits an die IDPC als federführende Behörde für Instagram wandte. Daraufhin leitete die IDPC im August 2019 Untersuchungen von Amts wegen ein und kam schließlich im Dezember 2021 in einem Beschlussentwurf zu dem Ergebnis, dass Instagram Jugendliche besser über die Voreinstellungen bei Business-Konten hätte aufklären müssen. Der Beschlussentwurf sah hierfür eine Verwarnung sowie Bußgelder für eine Reihe von Verstößen vor. Das europäische Kooperationsverfahren sieht vor, dass Entscheidungen von grenzüberschreitender Bedeutung unter den betroffenen europäischen Aufsichtsbehörden abgestimmt und gegebenenfalls gemeinsam gefasst werden. In diesem Rahmen legte der HmbBfDI gemeinsam mit anderen deutschen Aufsichtsbehörden einen koordinierten Einspruch nach Art. 60 Abs. 4 DS-GVO gegen den Beschlussentwurf aus Irland ein. Unter anderem wurde geltend gemacht, dass ohne eine wirksame Einwilligung für die Verarbeitung der Daten von Minderjährigen keine Rechtsgrundlage nach Art. 6 Abs. 1 DS-GVO bestand und daher auch dieser Verstoß gegen die DS-GVO mit einem Bußgeld sanktioniert werden müsse. Ähnliche Einsprüche wurden auch von anderen europäischen Aufsichtsbehörden eingelegt. Die IDPC ist den Einsprüchen in ihrem Beschlussentwurf nicht gefolgt und legte ihn entsprechend dem EDSA im Rahmen des Kohärenzverfahrens nach Art. 65 Abs. 1 Buchst. a DS-GVO vor. Der Einspruch hatte im EDSA im Wesentlichen Erfolg. Er bestätigte die fehlende Rechtsgrundlage und gab der IDPC im Rahmen eines verbindlichen Beschlusses auf, das ursprünglich vorgesehene Bußgeld entsprechend zu erhöhen.
II. Der Beschlussentwurf der IDPC
In grenzüberschreitenden Verfahren ist die nach Art. 56 Abs. 1 DS-GVO federführende Aufsichtsbehörde im Rahmen des Kooperationsverfahrens mit den betroffenen Aufsichtsbehörden gemäß Art. 60 Abs. 3 und 4 DS-GVO verpflichtet, mit diesen zweckdienliche Informationen auszutauschen, sie zu konsultieren und unverzüglich einen Beschlussentwurf vorzulegen, bevor sie eine Maßnahme gegen die verantwortliche Stelle ergreift. Als betroffene Aufsichtsbehörde gilt eine Aufsichtsbehörde gemäß Art. 4 Nr. 22 DS-GVO dann, wenn sie von der Verarbeitung personenbezogener Daten betroffen ist, weil
a) der Verantwortliche oder der Auftragsverarbeiter im Hoheitsgebiet des Mitgliedstaats dieser Aufsichtsbehörde niedergelassen ist,
b) diese Verarbeitung erhebliche Auswirkungen auf betroffene Personen mit Wohnsitz im Mitgliedstaat dieser Aufsichtsbehörde hat oder haben kann oder
c) eine Beschwerde bei dieser Aufsichtsbehörde eingereicht wurde.
Für eine erfolgreiche Zusammenarbeit ist es unerlässlich, dass die federführende Aufsichtsbehörde die betroffenen Behörden von Beginn an durch das gesamte Kooperationsverfahren umfassend informiert und darin einbindet, damit die betroffenen Behörden auch tatsächlich in die Lage versetzt werden, sich ein eigenes Bild der Situation zu machen, das alle relevanten Umstände umfasst. Die federführende Aufsichtsbehörde hat zudem in ihrem Beschlussentwurf hinreichend konkret darzulegen, welche Verstöße gegen die DS-GVO sie festgestellt hat und welche Reaktion sie auf diese Verstöße vorsieht. Nach Veröffentlichung eines Beschlussentwurfs haben die betroffenen Aufsichtsbehörden dann binnen vier Wochen die Möglichkeit, gegen diesen Beschlussentwurf einen „maßgeblichen und begründeten Einspruch“ einzulegen. Dieser ist in Art. 4 Nr. 24 DS-GVO definiert als „Einspruch gegen einen Beschlussentwurf im Hinblick darauf, ob ein Verstoß gegen diese Verordnung vorliegt oder ob beabsichtigte Maßnahmen gegen den Verantwortlichen oder den Auftragsverarbeiter im Einklang mit dieser Verordnung“ stehen. Art. 4 Nr. 24 DS-GVO gibt ferner vor, dass „aus diesem Einspruch die Tragweite der Risiken klar hervorgeht, die von dem Beschlussentwurf in Bezug auf die Grundrechte und Grundfreiheiten der betroffenen Personen und gegebenenfalls den freien Verkehr personenbezogener Daten in der Union ausgehen“. Da die Ausgestaltung „maßgeblicher und begründeter Einsprüche“ über den Art. 4 Nr. 24 DS-GVO hinaus nicht weiter gesetzlich präzisiert ist, hat der EDSA diesbezüglich Leitlinien veröffentlicht, die den Rahmen und die Anforderungen vorgeben, nach denen Einsprüche geprüft werden, ob sie die Anforderungen der DS-GVO aus Art. 4 Nr. 24 erfüllen.
Die Leitlinien des EDSA 9/2020 weisen darauf hin, dass „der Detaillierungsgrad des Einspruchs und die Tiefe der darin enthaltenen Analyse durch die inhaltliche Detailtiefe des Beschlussentwurfs und durch das Maß, in dem die betroffene Aufsichtsbehörde an dem Prozess, der zu dem von der federführenden Aufsichtsbehörde erlassenen Beschlussentwurf geführt hat, beteiligt war, beeinflusst werden.“[1] Erfolgt keine hinreichend detaillierte Information der betroffenen Behörden, könnten diese auch nicht qualifiziert einen Einspruch einlegen und begründen. Der EDSA hat diesen Zusammenhang erkannt und das Problem dadurch adressiert, dass der Umfang der Information durch die federführende Behörde bei der Prüfung des Einspruchs zu berücksichtigen ist. Wurden die betroffenen Behörden nicht detailliert informiert, soll dieser Umstand im Rahmen der Prüfung des Einspruchs gewürdigt werden und kann im Einzelfall dazu führen, dass der Maßstab an die Güte der Begründung des Einspruchs nicht höher sein muss, als es die Zusammenarbeit ermöglicht.[2] Folgt die federführende Behörde den Einsprüchen nicht, weil sie sie z.B. für nicht maßgeblich oder ausreichend begründet hält, so muss sie ein Kohärenzverfahren nach Art. 63 ff. DS-GVO einleiten. Das Kohärenzverfahren, d.h. das Verfahren der Abstimmung der federführenden und der betroffenen Aufsichtsbehörden untereinander, soll eine einheitliche Anwendung der DS-GVO in der Union sicherstellen. Die verpflichtende Vorlage eines Entwurfes versetzt die betroffenen Aufsichtsbehörden in die Lage zu prüfen, ob sie die Bewertung und Beurteilung der federführenden Behörde teilen oder nicht. Die IDPC hatte den Hinweis des HmbBfDI zum Anlass genommen und eine Untersuchung von Amts wegen durchgeführt. Sie bewertete den ermittelten Sachverhalt dahingehend, dass – insoweit eine hinreichende Geschäftsfähigkeit der minderjährigen Nutzer nach dem jeweiligen mitgliedstaatlichen Recht gegeben sei – die angegriffene Verarbeitung auf Art. 6 Abs. 1 Buchst. b) DS-GVO gestützt werden könne. In den Fällen, in denen Art. 6 Abs. 1 Buchst. b) DS-GVO mangels Geschäftsfähigkeit der minderjährigen Nutzer nicht verfangen konnte, sah es die IDPC als möglich an, die Verarbeitung auf die Grundlage des Art. 6 Abs. 1 Buchst. f) DS-GVO (berechtigtes Interesse) zu stützen. Stattdessen hatte sie Verstöße gegen Art. 5 Abs. 1 Buchst. a), Art. 5 Abs. 1 Buchst. c), Art. 12 Abs. 1 , Art. 24, Art. 25 Abs. 1 , Art. 25 Abs. 2 und Art. 35 Abs. 1 DS-GVO festgestellt und schlug folgende Abhilfemaßnahmen vor: eine Anordnung, die Verarbeitung in Einklang mit der DS-GVO zu bringen, eine Verwarnung und eine Geldbuße in Höhe von 202 bis 405 Millionen Euro.
III. Die Einsprüche
Neben Deutschland hatten im vorliegenden Fall noch andere europäische Aufsichtsbehörden Einsprüche eingelegt. Gemeinsam mit den Aufsichtsbehörden aus Finnland, Frankreich, Italien, Niederlande und Norwegen legte Deutschland Einspruch dagegen ein, dass die federführende Aufsichtsbehörde keinen Verstoß darin gesehen hatte, dass die Verantwortliche zur Verarbeitung der Kontaktinformationen der Minderjährigen mit Business-Konto die Rechtsgrundlage des Art. 6 Abs. 1 Buchst. b) DS-GVO und hilfsweise des Art. 6 Abs. 1 Buchst. f) DS-GVO als hinreichende Rechtsgrundlage angesehen hatte.
1. Zu Art. 6 Abs. 1 Buchst. b) DS-GVO
Die Kritik aus Deutschland richtete sich insbesondere darauf, dass die Voraussetzungen für eine Berufung auf eine Rechtsgrundlage für die fraglichen Verarbeitungen der Kontaktdaten nach Art. 6 Abs. 1 Buchst. b) DS-GVO im vorliegenden Fall nicht gegeben seien. Auf Grundlage der von der IDPC übermittelten Informationen war schon nicht hinreichend nachgewiesen, dass ein wirksamer Vertrag zwischen Meta und den minderjährigen Nutzer zustande gekommen war, was eine der Voraussetzungen für eine Berufung auf Art. 6 Abs. 1 Buchst. b) DS-GVO ist, wie sich unter anderem auch bereits aus den EDSA-Leitlinien 2/2019 zu Art. 6 Abs. 1 Buchst. b) DS-GVO ergibt.[3] Die IDPC hat es zudem vermissen lassen, sich eine Erläuterung der Verantwortlichen bezüglich der Annahme eines wirksamen Vertrages geben zu lassen. Darüber hinaus ist es für das Zustandekommen eines Vertrags von Bedeutung, dass die entsprechenden Vertragsinhalte im Vorfeld hinreichend klar kommuniziert werden. Dies war bezüglich der Veröffentlichung der Kontaktinformationen nicht der Fall, so dass die Veröffentlichung der Kontaktdaten im Klartext auch aus diesem Grund nicht von der Rechtsgrundlage des Art. 6 Abs. 1 Buchst. b) DS-GVO gedeckt war. In Bezug auf das Merkmal der Erforderlichkeit äußerte Deutschland die Ansicht, dass schon nicht ersichtlich war, inwiefern die konkret angegriffene Verarbeitung, nämlich die Veröffentlichung der Kontaktdaten im Klartext und die Einbettung der Kontaktdaten in den HTML-Quelltext der jeweiligen Seite, tatsächlich zur Durchführung des Vertrags (Betreiben eines Instagram Business-Kontos) hätte erforderlich sein sollen. Dies wurde auch von Seiten Metas nicht hinreichend dargelegt.
2. Zu Art. 6 Abs. 1 Buchst. f) DS-GVO
Auch die Anforderungen des Art. 6 Abs. 1 Buchst. f) DS-GVO waren im vorliegenden Fall nach Ansicht der deutschen Aufsichtsbehörden nicht erfüllt. Zunächst schon deshalb nicht, weil kein berechtigtes Interesse vorgelegen habe. Das unternehmerische und werbende oder anderweitige Auftreten im Rahmen einer – wie auch immer gearteten – Öffentlichkeitsarbeit der jeweiligen Kontoinhaber kann schon daher kein berechtigtes Interesse für Meta darstellen, weil ein entsprechender Wille zu einem solchen Auftritt auf Grundlage der Nutzungsbedingungen von Meta von den minderjährigen Nutzer nicht hatte gebildet und entsprechend auch nicht kommuniziert werden können. Werden Kinder und Minderjährige als professionelle Unternehmer behandelt, obwohl mitgliedstaatliches Recht einer solchen Behandlung entgegensteht, untergräbt dies den Schutz Minderjähriger, der im Datenschutzrecht u.a. dadurch verwirklicht wird, dass es ein Einwilligungserfordernis der Personenfürsorgeberechtigten gibt. Außerdem sei auch bei einer Betrachtung der Verarbeitung im Rahmen des Art. 6 Abs. 1 Buchst. f) DS-GVO keine Erforderlichkeit gegeben. Insofern wird auf die Ausführungen zu Art. 6 Abs. 1 Buchst. b) DS-GVO verwiesen. Darüber hinaus war zu beobachten, dass Meta zu einem späteren Zeitpunkt dazu überging, die Kontaktdaten nicht mehr in der gleichen Art und Weise zu verarbeiten. Die deutschen Behörden vertraten die Auffassung, dass bei der Bewertung der widerstreitenden Interessen im Rahmen der Abwägung bei Art. 6 Abs. 1 Buchst. f) DS-GVO die Interessen betroffener Minderjähriger insgesamt zu berücksichtigen seien und nicht lediglich die gegebenenfalls bestehenden technischen und unternehmerischen Fähigkeiten einzelner Minderjähriger in die Bewertung einbezogen werden dürften. Aufgrund der besonderen Schutzbedürftigkeit Minderjähriger überwiegen die Interessen der Minderjährigen daher die Interessen von Meta.
Der Beschlussentwurf der federführenden Behörde stellte zudem ein beachtliches Risiko für die Rechte und Freiheiten minderjähriger Nutzer und anderer betroffener Personen bei Instagram dar. Ein so weites Verständnis der Reichweite der Rechtsgrundlagen des Art. 6 Abs. 1 Buchst. b) und f) DS-GVO würde den durch Art. 8 GRCh garantierten Schutz schwächen. Der damit einhergehende Kontrollverlust der betroffenen Personen über die Verarbeitung der sie betreffenden personenbezogenen Daten ist damit nicht in Einklang zu bringen. Ein solches Verständnis gefährdet zudem die effektive Rechtsdurchsetzung der DS-GVO, die ihrerseits die Funktion hat, die Rechte und Freiheiten natürlicher Personen als betroffene Personen zu schützen. Koordiniert wurde der Einspruch Deutschlands vom HmbBfDI, weil dieser aufgrund einer Niederlassung von Meta die deutschlandweit zuständige Aufsichtsbehörde im Sinne des Art. 19 Abs. 2 BDSG für den Konzern ist. Ein Einspruch muss binnen vier Wochen zwischen den beteiligten Aufsichtsbehörden innerdeutsch koordiniert werden Es hat sich etabliert, dass es für einen Fall eine koordinierende Behörde in Deutschland gibt, die das Heft in der Hand hält und die Rückmeldungen der Kollegen der Länder und ggf. des Bundes aufbereitet und dann im Verfahren den Einspruch auch im Namen aller Beteiligten erhebt. Die innerdeutsche Koordination ist eine Chance für die deutschen (Länder)behörden. Entgegen der teilweise geäußerten Kritik an unterschiedlichen Rechtsauffassungen der Länderbehörden sind diese es tatsächlich seit Jahren gewohnt, sich in solchen Verfahren inhaltlich abstimmen zu müssen. In vielen Bereichen haben sich dadurch mittlerweile einstimmig vertretene Auffassungen etablieren können.
IV. Der verbindliche Beschluss des EDSA
Nachdem sodann die IDPC nach dieser Einspruchserhebung mitgeteilt hatte, dass sie nicht beabsichtige, den Einsprüchen zu entsprechen und sich ihnen anzuschließen, und zudem nicht anerkenne, dass es sich um einen maßgeblichen und begründeten Einspruch im Sinne des Art. 4 Nr. 24 DS-GVO handle, wurde das Streitbeilegungsverfahren nach Art. 65 DS-GVO durchgeführt. Meta, die als Verfahrensbeteiligte im Rahmen des Streitbeilegungsverfahrens angehört wurde, teilte die Einschätzung der IDPC.
Im Rahmen des Streitbeilegungsverfahrens nach Art. 65 DS-GVO prüft der Ausschuss zunächst, ob die Einsprüche die Vorgaben erfüllen, um als maßgebliche und begründete Einsprüche gewertet werden zu können und prüft dann in einem weiteren Schritt, ob die vorgebrachten Argumente überzeugen.
1. Art. 6 Abs. 1 Buchst. b) DS-GVO
Der Ausschuss kam zu dem Ergebnis, dass der deutsche Einspruch sowohl relevant als auch maßgeblich ist.[4] Bei der Frage, ob ein Einspruch als „maßgeblich“ angesehen werden kann, muss überprüft werden, ob ein direkter Zusammenhang zwischen dem Einspruch und dem Inhalt des betreffenden Beschlussentwurfs besteht. Die Kontrollfrage, die entsprechend den Vorgaben aus Art. 4 Nr. 24 DS-GVO zu stellen ist, ist folgende: Führt der erhobene Einspruch, für den Fall, dass ihm entsprochen würde, zu einer anderen Schlussfolgerung in Bezug darauf,
- ob ein Verstoß gegen die DS-GVO vorliegt
oder
- ob die beabsichtigte Maßnahme gegen den Verantwortlichen oder den Auftragsverarbeiter, wie von der federführenden Aufsichtsbehörde vorgeschlagen, im Einklang mit der DS-GVO steht?
Bezüglich der Einsprüche aus Deutschland war diese Frage klar zu bejahen. Der deutsche Einspruch widersprach dem Ergebnis der federführenden Aufsichtsbehörde, dass keine Verletzung der DS-GVO gegeben sei, weil Meta sich – nach Auffassung der IDPC – auf die Rechtsgrundlage des Art. 6 Abs. 1 Buchst. b) DS-GVO und – hilfsweise – auf Art. 6 Abs. 1 Buchst. f) DS-GVO stützen könne. Folgt man der Begründung des deutschen Einspruchs, ist – anders als im Beschlussentwurf – als Ergebnis ein Verstoß gegen die DS-GVO anzunehmen. Aufgrund dessen ist der Einspruch als relevant anzusehen. Damit der Einspruch als begründet gilt, muss er die rechtlichen und die tatsächlichen Fehler des Beschlussentwurfs der federführenden Aufsichtsbehörde benennen und diesbezüglich Klarstellungen und Argumente enthalten, warum eine Änderung des Beschlusses vorgeschlagen wird. Außerdem muss dargelegt werden, inwiefern die Änderung zu einer anderen Schlussfolgerung bzgl. der oben genannten Punkte führt.[5] Nach diesen Maßstäben ist der Einspruch auch als begründet anzusehen gewesen. Deutschland hat diverse tatsächliche und rechtliche Argumente angeführt (s. dazu oben), weshalb eine Berufung auf die Rechtsgrundlagen der Art. 6 Abs. 1 Buchst. b) und f) DS-GVO im vorliegenden Fall rechtlich nicht möglich ist.
Dementsprechend hat sich der Ausschuss der Position der IDPC und Metas nicht angeschlossen, die beide vorgebracht hatten, dass die Einsprüche weder maßgeblich noch begründet gewesen seien. Zu beachten ist, dass ein Einspruch auch damit begründet werden kann, dass Lücken im Beschlussentwurf erkannt werden, die eine weitere Untersuchung durch die federführende Aufsichtsbehörde rechtfertigen. Die Leitlinien führen dazu aus:
„Wenn beispielsweise die von der federführenden Aufsichtsbehörde durchgeführte Untersuchung ohne gerechtfertigten Grund bestimmte Fragen, die der Beschwerdeführer aufgeworfen hat oder die sich aus einem von einer betroffenen Aufsichtsbehörde gemeldeten Verstoß ergeben, nicht abdeckt, kann ein maßgeblicher und begründeter Einspruch erhoben werden, der sich auf das Versäumnis der federführenden Aufsichtsbehörde stützt, die Beschwerde ordnungsgemäß zu bearbeiten und die Rechte der betroffenen Person zu wahren.“[6]
Dies soll jedoch nur bei Verfahren gelten, die aufgrund von Beschwerden oder durch Berichte über mögliche Verstöße, beispielsweise mitgeteilt von anderen Aufsichtsbehörden, ausgelöst werden, nicht jedoch bei Verfahren von Amts wegen. In diesem Fall ist es maßgeblich die Aufgabe der von Amts wegen ermittelnden Behörde, den Verfahrensgegenstand zu definieren, während der Verfahrensgegenstand in den anderen Fällen durch die in der Beschwerde angeführten Punkte oder durch den Inhalt der Mitteilung der anderen Aufsichtsbehörden festgelegt wird. Die Leitlinien geben jedoch vor, dass bei Untersuchungen, die von Amts wegen durchgeführt werden, die federführende Aufsichtsbehörde und die betroffenen Aufsichtsbehörden vor der formellen Einleitung des Verfahrens einen Konsens über den Gegenstand des Verfahrens (d.h. über die zu untersuchenden Aspekte der Datenverarbeitung) anstreben sollten. Gleiches gelte in Fällen, in denen eine Aufsichtsbehörde, die mit einer Beschwerde oder einem Bericht einer anderen Aufsichtsbehörde befasst ist, eine von Amts wegen durchgeführte Untersuchung für erforderlich hält, um eine Befassung mit systematischen, über die spezifische Beschwerde oder den Bericht hinausgehenden Aspekte der Einhaltung zu ermöglichen.[7] Gemäß Art. 4 Nr. 24 DS-GVO muss aus einem Einspruch zudem die Tragweite der Risiken klar hervorgehen, die von dem Beschlussentwurf in Bezug auf die Grundrechte und Grundfreiheiten der betroffenen Personen und gegebenenfalls den freien Verkehr personenbezogener Daten in der Union ausgehen. Während die Tragweite der Risiken des Beschlussentwurfs für die Grundrechte und Grundfreiheiten der betroffenen Personen immer aus dem Einspruch hervorgehen muss, muss der Nachweis der Risiken für den freien Verkehr personenbezogener Daten innerhalb der Europäischen Union jedoch nur gegebenenfalls (!) erfolgen.[8] Weil auch diese Hürde der Darlegung der Risiken vom deutschen Einspruch – nach Ansicht des EDSA – genommen wurde, war dann zu prüfen, ob die Einsprüche zu einer Änderung des Beschlussentwurfs in Bezug auf die Ausführungen zu Art. 6 Abs. 1 DS-GVO führen. Berücksichtigung finden bei der Prüfung der Statthaftigkeit des Einspruchs die Position der irischen Aufsichtsbehörde sowie die Position von MPIL.
Im Ergebnis ist der Ausschuss dem deutschen Einspruch gefolgt und bestätigt damit die Auffassung, dass die irische Aufsichtsbehörde nicht zu dem Schluss habe kommen dürfen, dass die Verarbeitung der Kontaktdaten auf Grundlage von Art. 6 Abs. 1 Buchst. b) DS-GVO habe erfolgen dürfen. Die Verarbeitung sei – so der EDSA – gerade nicht als erforderlich zur Durchführung eines Vertrags zwischen Meta und den minderjährigen Nutzern anzusehen.
Der Ausschuss kommt daher zu dem Ergebnis, dass Meta sich nicht auf Art. 6 Abs. 1 Buchst. b) DS-GVO als Rechtsgrundlage hätte stützen dürfen.
2. Art. 6 Abs. 1 Buchst. f) DS-GVO
Bezüglich der Rechtsgrundlage des Art. 6 Abs. 1 Buchst. f) DS-GVO ist der Ausschuss zu dem Ergebnis gekommen, dass MPIL sich auch nicht auf diese Rechtsgrundlage hätte stützen dürfen, da die Verarbeitung entweder schon nicht erforderlich war, jedenfalls aber das Ergebnis der Güterabwägung im Rahmen des Art. 6 Abs. 1 Buchst. f) DS-GVO dazu führen würde, dass die Rechte und Freiheiten der betroffenen Personen die Interessen der Verantwortlichen überwiegen.[9] Aufgrund dessen, dass MPIL die streitgegenständliche Verarbeitung weder auf Art. 6 Abs. 1 Buchst. b) DS-GVO noch auf Art. 6 Abs. 1 Buchst. f) DS-GVO hätte stützen dürfen, dies aber tatsächlich getan hat, kommt der EDSA zu dem Schluss, dass MPIL die in Rede stehenden personenbezogenen Daten rechtsgrundlos und damit rechtswidrig verarbeitet hat. Als Konsequenz daraus ist ein Verstoß gegen Art. 6 Abs. 1 DS-GVO gegeben. Entsprechend weist der EDSA die irische Aufsichtsbehörde an, den Beschlussentwurf zu ändern, um den maßgeblichen Verstoß darin aufzunehmen. In Anbetracht der Art und Schwere des Verstoßes sowie der Zahl der betroffenen Personen weist der EDSA die irische Aufsichtsbehörde ferner an, ihre geplanten Maßnahmen im Einklang mit den Schlussfolgerungen des EDSA neu zu bewerten, um den zusätzlichen Verstoß gegen Art. 6 Abs. 1 DS-GVO zu berücksichtigen. In diesem Zusammenhang ist der zusätzliche Verstoß gegen Art. 6 Abs. 1 DS-GVO in der Anordnung zur Einhaltung der Vorschriften zu berücksichtigen, soweit die Verarbeitung noch nicht abgeschlossen ist, um sicherzustellen, dass die Verpflichtungen von MPIL gemäß Art. 6 Abs. 1 DS-GVO in vollem Umfang erfüllt werden.
3. Zur Höhe des Bußgeldes
Die IDPC schlug im Beschlussentwurf die Verhängung von neun Geldbußen in einer Gesamthöhe von 202 bis 405 Mio. EUR vor. Die deutschen Aufsichtsbehörden beanstandeten die Höhe und Berechnung der Geldbußen, die die federführende Aufsichtsbehörde im Beschlussentwurf vorschlug. Nach Ansicht der deutschen Behörden gewährleistete der Beschlussentwurf der irischen Behörde keine einheitliche Anwendung von Geldbußen. Die vorgesehene Höhe der Geldbußen sei nicht wirksam, verhältnismäßig und abschreckend. In diesem Zusammenhang ist zu berücksichtigen, dass zum Zeitpunkt des Entscheidungsentwurfs der IDPC noch kein einheitliches, detailliertes Bußgeldkonzept auf europäischer Ebene existierte. Ein solches wurde erst mit den “Guidelines 04/2022 on the calculation of administrative fines under the GDPR” vom 01.05.2022 geschaffen.[10] Zwar gab es bereits zuvor Leitlinien für die Anwendung und Festsetzung von Geldbußen der Art. 29-Datenschutzgruppe aus dem Jahr 2017, die sich der EDSA in seiner ersten Sitzung zu eigen gemacht hatte, diese waren jedoch nicht derart konkret und detailliert, wie es die Leitlinien aus 2022 sind. Die irische Aufsichtsbehörde hat sich bei der Begründung der Bußgelder im Beschlussentwurf u.a. an den Vorgaben der Leitlinien von 2017 orientiert.
Folgende Aspekte sind bei der Bußgeldermittlung in diesem Verfahren beachtenswert:
a) Ermittlung der Tathandlungen und Verstöße
In einem ersten Schritt sind zunächst die bußgeldbewehrte Tathandlung und deren tatsächlichen Umstände zu ermitteln. Aufbauend darauf sind dann die dadurch realisierten Verstöße gegen die DS-GVO zu identifizieren. Im vorliegenden Verfahren hatte die IDPC neun zu bebußende Verstöße festgestellt. Diese waren:
1) Ein Verstoß gegen Art. 12 Abs. 1 DS-GVO bezüglich der voreingestellten öffentlichen Abrufbarkeit der Kontaktdaten;
2) Ein Verstoß gegen Art. 12 Abs. 1 DS-GVO bezüglich der Verarbeitung der Kontaktdaten;
3) Ein Verstoß gegen Art. 5 Abs. 1 DS-GVO bezüglich der Verarbeitung der Kontaktdaten;
4) Ein Verstoß gegen Art. 35 Abs .1 DS-GVO bezüglich der Verarbeitung der Kontaktdaten;
5) Ein Verstoß gegen Art. 35 Abs. 1 DS-GVO bezüglich der voreingestellten öffentlichen Abrufbarkeit der Kontaktdaten;
6) Ein Verstoß gegen Art. 5 Abs. 1 Buchst. c) und 25 Abs. 2 DS-GVO bezüglich der Verarbeitung der Kontaktdaten;
7) Ein Verstoß gegen Art. 25 Abs. 1 DS-GVO bezüglich der Verarbeitung der Kontaktdaten;
8) Ein Verstoß gegen Art. 5 Abs. 1 Buchst. c) und 25 Abs. 2 DS-GVO bezüglich der voreingestellten öffentlichen Abrufbarkeit der Kontaktdaten;
9) Ein Verstoß gegen Art. 25 Abs. 1 DS-GVO bezüglich der voreingestellten öffentlichen Abrufbarkeit der Kontaktdaten.
Nach Identifizierung der Tathandlungen und Verstöße ist sodann nach Art. 83 Abs. 3 DS-GVO zunächst zu prüfen, ob es sich um gleiche oder miteinander verbundene Verarbeitungsvorgänge handelt, bei denen gegen mehrere Bestimmungen dieser Verordnung verstoßen wurde. Ist dies der Fall, sieht Art. 83 Abs. 3 DS-GVO dem Wortlaut nach vor, dass der Gesamtbetrag der Geldbuße nicht den Betrag für den schwerwiegendsten Verstoß übersteigen darf. Der EDSA hatte sich zur Frage der Auslegung des Art. 83 Abs. 3 bereits in einem vorangegangenen verbindlichen Beschluss geäußert und darin zunächst festgestellt, dass „Art. 83 Abs. 3 DS-GVO in seiner Anwendung beschränkt ist und nicht auf jeden einzelnen Fall anzuwenden sein wird, in dem mehrere Verstöße festgestellt wurden, sondern nur auf die Fälle, in denen mehrere Verstöße aus „gleichen oder miteinander verbundenen Verarbeitungsvorgängen“ entstanden sind.“[11] Ferner hat der EDSA dann hervorgehoben, „dass der übergeordnete Zweck von Art. 83 DS-GVO darin besteht, sicherzustellen, dass für jeden einzelnen Fall die Verhängung einer Geldbuße hinsichtlich eines Verstoßes gegen die DS-GVO wirksam, verhältnismäßig und abschreckend ist.“[12] Eine Anwendung von Art. 83 Abs. 3 DS-GVO dürfe nicht zu der Situation führen, dass die Geldbuße immer dem gleichen Betrag entsprechen würde, der ermittelt werden würde, hätte der Verantwortliche oder Auftragsverarbeiter nur einen Verstoß, nämlich den schwerwiegendsten, begangen. Sonst würden die anderen Verstöße in Bezug auf die Berechnung der Geldbuße verworfen werden und „es wäre unerheblich, ob ein Verantwortlicher einen oder mehrere Verstöße gegen die DS-GVO begangen hätte, da nur ein einzelner Verstoß, nämlich der schwerwiegendste, bei der Beurteilung der Strafe berücksichtigt werden würde.“ Der EDSA hat demgemäß festgestellt, dass im Falle von mehreren Verstößen mehrere Beträge festgesetzt werden können, der Gesamtbetrag jedoch nicht die von der DS-GVO vorgeschriebene Höchstgrenze überschreiten dürfe. Der Wortlaut „Geldbuße für den schwerwiegendsten Verstoß“ beziehe sich auf die rechtliche Obergrenze von Geldbußen gemäß Art. 83 Abs. 4, 5 und 6 DS-GVO. An dieser Auslegung, die so auch im Wesentlichen in den Leitlinien aus 2022 enthalten ist, hat sich auch die IDPC in ihrem Beschlussentwurf orientiert und für jeden Verstoß eine eigenständige Betrachtung und Berechnung vorgenommen.
b) Schwere der Verstöße und Ermittlung des zugrunde zu legenden Jahresumsatzes
aa) Schwere des Verstoßes, Art. 83 Abs. 2 DS-GVO
Ferner muss die Schwere des Verstoßes anhand der Kriterien aus Art. 83 Abs. 2 DS-GVO ermittelt werden. Die irische Aufsichtsbehörde war bezüglich der Schwere des Verstoßes der Ansicht, dass kein Vorsatz des Verantwortlichen zu erkennen gewesen sei und wertete dies entsprechend im Rahmen des Art. 83 Abs. 2 Buchst. b) DS-GVO. Die deutschen Aufsichtsbehörden argumentierten dagegen, dass die von der IDPC festgestellten Tatsachen eher auf ein vorsätzliches als auf ein fahrlässiges Verhalten hindeuten. Sie konnten mit dieser Ansicht jedoch nicht durchdringen. Auch der EDSA sah – auf Grundlage der vorliegenden Dokumente – keine hinreichenden Anhaltspunkte, die auf eine Absicht des Verhaltens von MPIL hindeuten und kam dementsprechend zu dem Schluss, dass der Beschlussentwurf in dieser Hinsicht nicht geändert werden musste.
bb) Der zugrunde zu legende Jahresumsatz
Da die Obergrenze sich gemäß Art. 83 Abs. 4 und 5 DS-GVO danach richtet, welche der beiden Methoden, absolute Zahl oder Anteil am Umsatz, höher ist, muss der weltweit erzielte Jahresumsatz des vorangegangenen Jahres ermittelt und berücksichtigt werden. Die deutschen Behörden hatten in ihrem Einspruch moniert, dass der Umsatz des Geschäftsjahres 2020 angesetzt wurde und nicht der des Jahres 2021. Grund hierfür ist, dass als maßgeblicher Zeitpunkt für die Betrachtung des Vorjahres das Jahr der endgültigen Entscheidung gilt. In Bezug auf den maßgeblichen Jahresumsatz gab der EDSA der irischen Aufsichtsbehörde zwar insoweit Recht, dass es nicht zu beanstanden sei, vorläufige Umsatzzahlen (vorliegend solche des Jahres 2020) aufzunehmen, stellte jedoch zugleich klar, dass die Aufsichtsbehörde beim Erlass ihrer endgültigen Entscheidung gemäß Art. 65 Abs. 6 DS-GVO den Jahresumsatz des Unternehmens in dem Geschäftsjahr berücksichtigt, das dem Zeitpunkt ihrer endgültigen Entscheidung vorausgeht, d.h. in diesem Fall – wie von den deutschen Aufsichtsbehörden gefordert – den Umsatz von MPIL im Jahr 2021.
c) Erschwerende und mildernde Umstände
Nach Bewertung von Art, Schwere und Dauer der Verstöße sowie des vorsätzlichen oder fahrlässigen Charakters und Berücksichtigung der betroffenen Kategorien von personenbezogenen Daten müssen sowohl die erschwerenden als auch die mildernden Faktoren aus Art. 83 Abs. 2 DS-GVO, die bisher noch nicht berücksichtigt wurden, mit in die Berechnung einbezogen werden. Die deutschen Aufsichtsbehörden sahen es als notwendig an, dass die IDPC den festgestellten Verstoß gegen Art. 24 DS-GVO als erschwerenden Faktor in Bezug auf die anderen Verstöße gemäß Art. 83 Abs. 2 Buchst. k) DS-GVO hätte berücksichtigen müssen, auch wenn ein solcher Verstoß selbst in Art. 83 nicht aufgeführt ist und daher nicht isolierter Gegenstand eines Bußgeldes sein kann. Art. 83 Abs. 2 Buchst. k) DS-GVO spricht nämlich davon, dass jegliche (!) anderen erschwerenden oder mildernden Umstände gebührend zu berücksichtigen sind. Der EDSA führte dazu aus, dass die Bestimmung des Art. 83 Abs. 2 Buchst. k) DS-GVO zwar bewusst offengehalten sei, um sicherzustellen, dass sämtliche Umstände (wie z.B. sozioökonomische, rechtliche oder marktbezogene Umstände) berücksichtigt werden können, um eine wirksame, verhältnismäßige und abschreckende Geldbuße verhängen zu können und stimmte insofern den deutschen Aufsichtsbehörden in der Tendenz zu. Auch sei Art. 83 Abs. 2 Buchst. k) DS-GVO – entgegen der Ansicht der IDPC – keine Vorschrift, die nur eine Berücksichtigung von besonderen finanziellen Einbußen oder Schäden vorsehe, die durch die Tathandlungen oder das Unterlassen gebotener Handlungen der Verantwortlichen entstanden sind. Im Ergebnis stimmte der EDSA der IDPC jedoch in dem Punkt zu, dass der Gesetzgeber sich ausdrücklich dazu entschlossen hat, dass Verstöße gegen Art. 24 DS-GVO nicht bußgeldbewehrt sind. Entsprechend verneinte der EDSA daher eine Pflicht zur Berücksichtigung des inzident festgestellten Verstoßes gegen Art. 24 DS-GVO als erschwerenden Faktor.
d) Verhängung eines wirksamen, verhältnismäßigen und abschreckenden Bußgeldes
Nach Auffassung der deutschen Aufsichtsbehörden hatte die zuvor im Entscheidungsentwurf vorgesehene Höhe im Ergebnis keine hinreichend generalpräventive Wirkung. Die Berechnungskriterien von Art. 83 Abs. 2 DS-GVO waren falsch gewichtet worden, was zu einer zu niedrigen Geldbuße führte. In Anbetracht der Umstände des Einzelfalls, einschließlich der Art und Schwere der Verstöße sowie der besonderen Schutzbedürftigkeit der betroffenen Personen, wäre eine Geldbuße im oberen Bereich der möglichen Höhe von 4 % des Umsatzes zu erwarten gewesen. Die im Beschlussentwurf vorgesehenen Geldbußen, die sich auf etwa 0,58 % des Umsatzes belaufen, lagen jedoch deutlich darunter. Die federführende Behörde hatte – nach Auffassung der deutschen Behörden – außerdem den finanziellen Vorteil, den MPIL aus der Zuwiderhandlung gezogen habe, nicht angemessen berücksichtigt. Auf Grundlage öffentlich zugänglicher Daten schlugen die deutschen Behörden daher vor, eine Schätzung des finanziellen Vorteils, den MPIL aus der Verarbeitung der Kontaktdaten Minderjähriger ohne ausreichende Rechtsgrundlage („public-by-default“-Verfahren) gezogen hatte, vorzunehmen und argumentierte, dass dieser bei der Berechnung der Geldbuße weiter berücksichtigt werden müsse. Auch der EDSA sah es als notwendig an, zu verhindern, dass ein Bußgeld wenig oder gar keine Wirkung entfaltet, wenn es im Vergleich zu den mit der Zuwiderhandlung erzielten Vorteilen unverhältnismäßig niedrig ist. Diesem Aspekt sei bisher von der irischen Behörde zu wenig Beachtung geschenkt worden. Der EDSA forderte daher die irische Behörde dazu auf, ihre Argumentation zu diesem Aspekt näher zu erläutern, und, falls eine weitere Schätzung des finanziellen Vorteils aus der Zuwiderhandlung in diesem Fall möglich ist und sich daraus die Notwendigkeit ergibt, den Betrag des vorgeschlagenen Bußgeldes zu erhöhen. Schließlich forderte der EDSA die irische Aufsichtsbehörde auf, dafür zu sorgen, dass die endgültige Höhe des Bußgeldes den Anforderungen von Art. 83 Abs. 1 DS-GVO entspricht. Konkrete Vorgaben zur Bußgeldhöhe kann der EDSA nicht machen. Es liegt letztlich bei der zuständigen Behörde, die Bußgeldbemessung durchzuführen. Sie ist dabei jedoch an die allgemeinen Vorgaben des EDSA im Rahmen des Kooperations- bzw. Streitbeilegungsverfahrens gebunden. Auf Grundlage dieser Ausführungen erließ der EDSA sodann folgenden Tenor (in Auszügen):[13]
In light of the above and in accordance with the task of the EDPB under Article 70(1)(t) GDPR issue binding decisions pursuant to Article 65 GDPR, the EDPB issues the following binding decision in accordance with Article 65(1)(a) GDPR:
[…]
3. The EDPB instructs the IE SA to find in its final decision that there has been an infringement of Article 6(1) GDPR, on the basis of the conclusion reached by the EDPB in this Binding Decision.
[…]
9. In relation to consideration of the infringement of Article 24 GDPR under Article 83(2)(k) GDPR as proposed in the DE SAs objection, the EDPB does not find that the infringement of Article 24 GDPR can be considered an aggravating factor under Article 83(2)(k) GDPR and, therefore, the IE SA is not required to amend its Draft Decision in this regard.
10. In relation to intentionality under Article 83(2)(b) GDPR, the EDPB considers that the arguments put forward by the DE SAs in their objection fail to provide objective elements that indicate the intentionality of the behaviour of Meta IE. Accordingly, the IE SA is not required to amend its Draft Decision with respect to the findings on the character of the infringements of Article 12(1) GDPR.”
Die verbindliche Entscheidung des Ausschusses ist gerichtet an die irische Aufsichtsbehörde als die Behörde, die den Beschlussentwurf angefertigt hat, und an die betroffenen Aufsichtsbehörden. Gemäß Art. 65 Abs. 6 DS-GVO hat – wie in diesem Fall – die federführende Aufsichtsbehörde (ansonsten auch gegebenenfalls die Aufsichtsbehörde, bei der die Beschwerde eingereicht wurde) einen endgültigen Beschluss auf der Grundlage des verbindlichen Beschlusses des Ausschusses unverzüglich und spätestens einen Monat, nachdem der EDSA seinen Beschluss mitgeteilt hat, zu treffen.
V. Die Entscheidung der IDPC
Der verbindliche Beschluss des Ausschusses macht der den Beschlussentwurf verantwortenden Behörde klare prozessuale und inhaltliche Vorgaben, die dann fristgerecht umzusetzen sind. Dementsprechend hat die DPC Ireland dann folgende Entscheidung gefasst: „Auf der Grundlage des Vorstehenden und unter Annahme sowohl der verbindlichen Feststellung als auch der zugehörigen Begründung des Ausschusses gemäß Art. 65 Abs. 6 DS-GVO wird in dieser Entscheidung festgestellt, dass FB-I [Anm.: Facebook Ireland] sich weder auf Art. 6 Abs. 1 Buchst. b) noch auf Art. 6 Abs. 1 Buchst. f) DS-GVO als Rechtsgrundlage für die Verarbeitung von Kontaktdaten hätte berufen können. Da FB-I versucht hat, sich auf Art. 6 Abs. 1 Buchst. b) und/oder Art. 6 Abs. 1 Buchst. f) DS-GVO als Rechtsgrundlage für diese Verarbeitung zu berufen, wird in dieser Entscheidung festgestellt, dass FB-I gegen Art. 6 Abs. 1 DS-GVO verstoßen hat.“[14] Zudem wurden die Bußgelder angepasst, wobei die u.a. von den deutschen Aufsichtsbehörden vorgebrachten Bemessungsgrundlagen und Kriterien zur Bußgeldbemessung angewendet wurden. Insgesamt wurden zehn Bußgelder zwischen 20 und 100 Mio. € mit einer Gesamtsumme in Höhe von 405 Mio. € verhängt.[15] Die Entscheidung der DPC Ireland ist eine behördliche Entscheidung, die mit Rechtsmitteln angegriffen werden kann. Einzulegen ist das Rechtsmittel in dem Mitgliedstaat, in dem die behördliche Entscheidung erlassen wurde.
VI. Fazit
Das Kooperationsverfahren fördert die Rechtssicherheit und eine europaweit einheitliche und abgestimmte Anwendung des geltenden Rechts. Kooperationsverfahren müssen gewissenhaft und sorgfältig geführt werden, damit Unstimmigkeiten in der rechtlichen Bewertung so frühzeitig wie möglich erkannt und einer Lösung zugeführt werden können. Sofern dies nicht im Vorfeld möglich ist, bietet die DS-GVO mit dem Streitbeilegungsverfahren ein Verfahren, um Unstimmigkeiten unter den europäischen Aufsichtsbehörden strukturiert und verbindlich zu klären. Dieses Instrument wird aufgrund der zunehmenden Anzahl an Entscheidungen immer häufiger von den europäischen Behörden angewendet. In einem Rechtsgebiet, das trotz aller Vorlaufzeit immer noch vergleichsweise jung ist, ist eine enge Kooperation umso wichtiger. Auch, weil sich mitunter erst im Verfahren zeigt, welche Informationen erheblich sind und welche gegebenenfalls noch einzuholen sind, bevor eine Entscheidung in der Sache möglich ist. Der EDSA hat mit dem Kooperations- und gegebenenfalls dem Streitbeilegungsverfahren Instrumente an die Hand bekommen, mit denen die Aufsichtsbehörden die Rechtssicherheit schaffen, die im Datenschutzrecht so dringend notwendig ist. Nicht selten werden divergierende Auffassungen der Aufsichtsbehörden kritisiert und gerade im europäischen Kontext Standortrücksichtnahmen vermutet oder unterstellt. Umso wichtiger ist die Durchsetzung des Datenschutzrechts auf Grundlage von einheitlichen Maßstäben. Zugleich lebt sowohl der Föderalismus als auch der Zusammenschluss der Aufsichtsbehörden im EDSA von der Meinungspluralität und dem offenen Austausch von Argumenten, an dessen Ende sich das beste Argument durchsetzen kann. Das europäische Kooperationsverfahren schafft einen angemessenen Ausgleich zwischen diesen Zielsetzungen. Es wird in den folgenden Jahren weiter an Relevanz gewinnen, da eine Vielzahl an Großverfahren anstehen. Die deutschen Aufsichtsbehörden haben durch die Beteiligungsmöglichkeiten in diesen Verfahren die Möglichkeit, die deutschen Positionen einzubringen und durch kluge Argumentation eine Mehrheit zu überzeugen. Dies werden sie weiterhin tun.
Thomas Fuchs, LL.M. Eur. ist seit November 2021 Hamburgischer Beauftragter für Datenschutz und Informationsfreiheit. Von 2008 bis 2021 war er Direktor der Medienanstalt Hamburg/Schleswig-Holstein und bundesweit Themenbeauftragter für Intermediäreregulierung.
[1] 1 Europäischer Datenschutzausschuss (EDSA), Leitlinien 09/2020 zum maßgeblichen und begründeten Einspruch im Sinne der Verordnung (EU) 2016/679, Fassung 2.0, angenommen am 09.03.2021, abrufbar unter: https://edpb.europa.eu/system/files/2021-06/edpb_guidelines_202009_rro_final_de.pdf (RRO Leitlinien), Rn. 8.
[2] Ebd
[3] EDSA, Leitlinien 2/2019 für die Verarbeitung personenbezogener Daten gemäß Art. 6 Abs. 1 Buchst. b) DS-GVO im Zusammenhang mit der Erbringung von Online-Diensten für betroffene Personen, Version 2.0, angenommen am 08.10.2019, abrufbar unter: https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines-art_6-1-b-adopted_after_public_consultation_de_0.pdf.
[4] EDSA, Binding Decision 2/2022 on the dispute arisen on the draft decision of the Irish Supervisory Authority regarding Meta Platforms Ireland Limited (Instagram) under Article 65(1)(a) GDPR (derzeit nur auf Englisch verfügbar), angenommen am 28.07.2022, abrufbar unter: https://edpb.europa.eu/system/files/2022-09/edpb_bindingdecision_20222_ie_sa_instagramchildusers_en.pdf (Verbindlicher Beschluss 2/2022 „Instagram“).
[5] EDSA, RRO Leitlinien, S. 7, Rn. 16 ff.
[6] 6 EDSA, RRO Leitlinien, Rn. 27.
[7] EDSA, RRO Leitlinien, Rn. 27.
[8] EDSA, RRO Leitlinien, Rn. 38
[9] EDSA, Verbindlicher Beschluss 2/2022 „Instagram“, Rn. 132.
[10] EDSA, Guidelines 04/2022 on the calculation of administrative fines under the GDPR (derzeit nur auf Englisch verfügbar), Version 1.0, angenommen am 12.05.2022, abrufbar unter: https://edpb.europa.eu/system/files/2022-05/edpb_guidelines_042022_calculationofadministrativefines_en.pdf.
[11] EDSA, Verbindlicher Beschluss 1/2021 zur Streitigkeit nach Art. 65 Abs. 1 Buchst. a) der DS-GVO über den Beschlussentwurf der irischen Aufsichtsbehörde bezüglich WhatsApp Ireland, angenommen am 28.07.2022, abrufbar unter: https://edpb.europa.eu/system/files/2022-03/edpb_bindingdecision_202101_ie_sa_whatsapp_redacted_de.pdf (Verbindlicher Beschluss 1/2021 „WhatsApp“), Rn. 320.
[12] EDSA, Verbindlicher Beschluss 1/2021 „WhatsApp“, Rn. 321.
[13] EDSA, Verbindlicher Beschluss 2/2022 „Instagram“, Rn. 242 ff.
[14] S. Data Protection Commission (DPC), Decision, DPC Inquiry Reference: IN-20-7-4, v. 02.09.2022, abrufbar unter: https://edpb.europa.eu/system/files/2022-09/in-20-7-4_final_decision_-_redacted.pdf, S. 54, Rn. 133.
[15] A.a.O., S. 245, Rn. 690