Die Behörden ermitteln regelmäßig wegen Missbrauchs von Marktmacht der GAFA Unternehmen. Zuletzt wurde hier im Blog über das Verfahren des DoJ gegen Google berichtet. Jetzt hat eines dieser Unternehmen den Spieß umgedreht und schießt zurück: Facebook hat gegen die Kommission vor dem EuG geklagt. Björn Herbers fasst dieses außergewöhnliche Verfahren zusammen.

Facebook, übermäßiges Datensammeln, Kartellrecht… Ich weiß was Sie denken, und Sie haben Recht: Daten sind das neue Öl, wenn man den Tech Giants überhaupt irgendwie beikommt, dann mit dem Kartellrecht. Facebook dominiert den Markt für soziale Netzwerke  und daran, dass Facebooks Datensammelei missbräuchlich ist, hat der BGH keine ernstlichen Zweifel. Nichts Neues also? Bei zwei Klagen (Sachen T-451/20 und T-452/20), die im Juli beim EuG eingeflattert sind und über die das Gericht in Luxemburg nun zunächst einmal im einstweiligen Rechtsschutz  entschieden hat, geht es aber um etwas anderes, und das hat mit der Datenmacht der „GAFA“ nur am Rande zu tun. Facebook wirft nämlich seinerseits den Wettbewerbshütern der Europäischen Kommission vor, beim Datensammeln zu weit zu gehen und sich selbst bei sensiblen persönlichen Informationen nicht zurückzuhalten. Die Kommission als die wahre Datenkrake also, oder Jogger beißt Dackel? Das EuG jedenfalls hat die Kommission in Beschlüssen vom 29. Oktober zurückgepfiffen und ihr auferlegt, für bestimmte Daten, die Facebook an sie liefern muss, erstmal einen Datenraum einzurichten und bestimmte Schutzmaßnahmen aufzuziehen. Gleichzeitig gab es sehr kritische Worte zur Praxis der Kommission bei Auskunftsverlangen und der Beschluss des Gerichts legt (sehr) nahe, dass die Verteidigungsrechte der Unternehmen gegen „fishing expeditions“ und unkontrollierten Umgang mit ihren Daten hier gestärkt werden müssen.

Das klingt interessant, aber der Reihe nach bitte!

Gerne. Bekanntlich ermittelt die Kommission seit letztem Jahr in zwei Verfahren gegen Facebook: Im ersten Verfahren AT.40628 („Datenbezogene Praktiken von Facebook“) widmet sie sich der Frage, ob das Sammeln, Verarbeiten, Verwenden und Monetarisieren von Daten durch Facebook mit EU-Wettbewerbsrecht in Einklang ist. Im Raum steht unter anderem der Verdacht, dass das soziale Netzwerk seinen Datenschatz nutzt, um nachwachsende Konkurrenz im Keim zu ersticken („identify and squash potential rivals“). Im zweiten Verfahren AT.40684 („Facebook Marketplace“) untersucht die Generaldirektion Wettbewerb, ob Facebook durch die Verknüpfung von sozialem Netzwerk und dem Facebook Marketplace, auf dem Nutzer Gegenstände gratis anbieten und verkaufen können, möglicherweise eine  marktbeherrschende Stellung missbraucht und andere Anbieter von virtuellen Flohmärkten (oder eher virtuellen schwarzen Brettern?) unfair behindert.

Starker Tobak, aber Facebook hat brav erklärt, Kartellrechts-Compliance sei eine Kernerwägung bei der Geschäftsgestaltung des Unternehmens und man kooperiere mit der Kommission bei der Aufklärung der Vorwürfe: “We stand ready to answer any questions the European Commission may have.” Dieses Versprechen hat die Kommission offenbar sehr wörtlich genommen. Nach einer Reihe von Auskunftsverlangen an Facebook und andere Marktteilnehmer und einigem Hin-und-Her welche Informationen und Dokumente Facebook nach Brüssel schicken sollte, bekam Facebook Anfang Mai erneut Post von der Kommission. Per Beschluss verlangte die Kommission nun in beiden Verfahren umfangreiche interne Dokumente von Facebook, laut Facebooks Kartellrechtsteam betraf die Anforderung hunderttausende von Dokumenten. Die hohe Anzahl der Dokumente ergibt sich daraus, dass die Kommission die Übermittlung sämtlicher bei Facebook vorhandener Dokumente verlangt, die bestimmte Suchbegriffe enthalten und dass diese Suchbegriffe sehr allgemeiner Natur waren, wie z.B. „advantage“, „quality“ oder gar „looked at“. Facebook beteuert, man wolle natürlich weiter gerne mit der Kommission kooperieren, aber

„the exceptionally broad nature of the commission’s requests means we would be required to turn over predominantly irrelevant documents that have nothing to do with the commission’s investigations„.

Gleichzeitig, und hier hatte Facebook besondere Bauchschmerzen, würden im Netz dieser weiten Kommissionsanfrage jede Menge sensibler Informationen von Facebook-Mitarbeitern oder dem Unternehmen selbst hängen bleiben. Dokumente mit medizinischen Informationen von Mitarbeitern, persönliche Finanzdokumente und private Informationen über Familien von Mitarbeitern oder interne Unterlagen zu Sicherheitsvorkehrungen würden auf die Suchbegriffe anspringen. Antwort von Facebook an die Kommission also: Tut uns leid, aber das geht so nicht. Vermittlungsvorschlag von Facebook: die externen Anwälte von Facebook könnten aus den angefragten Dokumenten diejenigen herausfiltern, die für die Ermittlungen offensichtlich irrelevant sind und/oder sensible persönliche Informationen umfassen. Darauf ging die Kommission allerdings nicht ein (Bock und Gärtner…).

Und dann ging es nach Luxemburg?

Genau, da beide Seiten also hart blieben, erhob Facebook Nichtigkeitsklage gegen die Beschlüsse, und so darf sich nun das EuG damit beschäftigen, ob die Auskunftsverlangen in Ordnung waren. In beiden Verfahren verlangt Facebook die Aufhebung der Auskunftsverlagen in der Hauptsache sowie einstweiligen Rechtsschutz. Den Anträgen auf einstweiligen Rechtsschutz gab das Gericht per Beschluss vom 24. Juli zunächst einmal statt, die Presse war schwer beeindruckt und sah einen großen Sieg Facebooks. Die entsprechende Vorschrift der Verfahrensordnung des Gerichts (Artikel 157 Abs. 2) erlaubt dem Gericht aber, solche Beschlüsse auch wieder zu ändern. Es handelte sich bei dem Beschluss im Juli also nur um ein Art Drücken der Stopp-Taste; die Kommission hatte auch gleichzeitig die Fristen zur Beantwortung des RFI bis zur Entscheidung des Gerichts im Aussetzungsverfahren plus fünf Tage verlängert.

Die „echte“ Entscheidung des Gerichts über den Antrag auf einstweiligen Rechtsschutz (mit der auch der Beschluss vom 24. Juli wieder aufgehoben wurde) erging nun drei Monate später am 29. Oktober durch Beschluss, und hier setzte sich Facebook nur zu einem kleinen Teil durch, in dem die Kommission verpflichtet wurde, für die Zurverfügungstellung bestimmter besonders sensibler persönlicher Informationen einen Datenraum einzurichten und die Anwälte der sozialen Netzwerker in diesen zuzulassen. Den Großteil der Dokumente (also die, die nach Facebooks Auffassung zwar für die Prüfung der Kommission irrelevant sind und deshalb nicht hätten angefordert werden dürfen, aber immerhin keine besonders sensiblen persönlichen Daten umfassten) hat Facebook mittlerweile an die Kommission geliefert.  Allerdings ist schon der Teilerfolg von Facebook angesichts der notorisch hohen Hürden für einen Aussetzungsantrag im EU-Recht beachtlich; zum anderen scheiterte Facebook im Übrigen im Wesentlichen am fehlenden Aussetzungsinteresse, an der Rechtmäßigkeit des Kommissionsbeschlusses dagegen hatte das Gericht in Person des Präsidenten des EuG Marc van der Woude erhebliche Zweifel, was stark für die Erfolgsaussichten von Facebook im Hauptverfahren spricht. Ein Erfolg in der Hauptsache wiederum dürfte großen Einfluss auf die Praxis der Kommission zu Auskunftsverlangen haben. Möglicherweise passt die Kommission ihre Praxis angesichts der mahnenden Worte des EuG auch schon vorher an, zumal dem Beschluss ein informelles Meeting des Gerichts mit den Parteien vorausging, bei dem das Gericht seine Auffassung verdeutlicht haben dürfte.

Genug der Vorrede, worum geht es also rechtlich?

Die Auskunftsverlangen der Kommission stützen sich auf Art 18 Abs. 1 der VO 1/2003, der es der Kommission erlaubt, zur Erfüllung der ihr übertragenen Aufgaben (im Rahmen der VO 1/2003 also der Durchsetzung von Kartellverbot und Missbrauchsverbot) durch einfaches Auskunftsverlangen oder durch Entscheidung von Unternehmen zu verlangen, dass sie „alle erforderlichen Auskünfte erteilen“. Eine entsprechende Ermächtigungsgrundlage für solche Auskunftsverlangen hat die Kommission auch im Rahmen der Fusionskontrolle (dort Art. 11 FKVO), und in beiden Bereichen macht die Kommission sehr fleißig Gebrauch von ihrer Befugnis. Bei den (üblicherweise verwendeten) Begriffen „Request for Information“ bzw. „RFI“ stellen sich bei Unternehmensmitarbeitern, die schon einmal in den Genuss eines komplexen Fusionskontroll- oder Antitrustverfahrens bei der Kommission gekommen sind, automatisch sämtliche Nackenhaare hoch, und es soll gestandene Kartellrechtler geben, die nachts aufschrecken, panisch „RFI 29, Frist morgen Mittag 12 Uhr“ schreien und sich danach langsam in den Schlaf zurückweinen. Aus Sicht der Kommission dagegen heißt es nachvollziehbarerweise „wer nicht fragt bleibt dumm“, denn wie soll sie die notwendige Sachverhaltsaufklärung betreiben und die hohen Beweisstandards der Gerichte in Kartell- und Fusionskontrollverfahren erfüllen, wenn sie den Sachverhalt nicht ermitteln kann?  RFI sind daher – neben Dawn Raids – das wesentliche Mittel der Kommission in ihren Ermittlungen und spielen eine immer größere Rolle. Im Fusionskontrollverfahren Essilor / Luxottica sammelte die Kommission beispielsweise Antworten auf RFIs von mehr als 3.000 Optikern ein.

Und die Kommission darf einfach so RFIs versenden?

Nein, natürlich nicht. Des einen Freud notwendiges Handwerkszeug, des anderen Leid: Für die Adressaten der RFI stellt das Verlangen der Kommission, ihr alle aus ihrer Sicht notwendigen Informationen zu übermitteln einen erheblichen Eingriff in die Privatsphäre dar, schließlich legt man üblicherweise Dritten nicht seine internen Dokumente offen.  Wann dieser Eingriff gerechtfertigt ist, ist anhand des Regelungszwecks der Ermächtigungsgrundlage zu beurteilen. In Antitrust Ermittlungen darf die Kommission deshalb Informationen und Unterlagen nur anfordern, wenn ihr Anhaltspunkte für einen Verstoß gegen Art. 101 AEUV oder Art. 102 AEUV vorliegen und sie vernünftigerweise davon ausgehen darf, dass die Informationen ihr dabei helfen festzustellen, ob der Verstoß stattgefunden hat – dann handelt es sich um „notwendige Informationen“ und damit „erforderliche Auskünfte“. Damit die Adressaten nachvollziehen können und im Streitfall auch ein Gericht prüfen kann, ob diese Voraussetzungen der Ermächtigungsgrundlage erfüllt sind, muss die Kommission im RFI den Gegenstand ihrer Ermittlungen und den Zweck der Informationsanforderung angeben. Zusammengefasst nochmal vom EuG:

 According to settled case-law, the Commission is entitled to require the disclosure only of information which may enable it to investigate the presumed infringements which justify the conduct of the investigation and are set out in the request for information. (EuG Facebook, Rn. 36)

Inhaltlich steht der Kommission aber ein weites Ermessen bei der Frage zu, ob eine bestimmte Information für die Ermittlungen „notwendig“ ist und deshalb angefordert werden darf:

Given the Commission’s broad powers of investigation and assessment, it falls to it to assess whether the information which it requests from the undertakings concerned is necessary. […] the requirement that a correlation must exist between the request for information and the presumed infringement will be satisfied as long as […] the Commission may reasonably suppose that the information will help it to determine whether the alleged infringement has taken place. (EuG Facebook, Rn. 38)

In den letzten Jahren haben verschiedene Unternehmen RFI der Kommission vor die europäischen Gerichte gebracht, weil die darin angeforderten Informationen ihrer Ansicht nach nicht notwendig waren, aber der EuGH hat der Kommission regelmäßig den Rücken gestärkt und überlässt es im Grundsatz der Kommission festzustellen, was für ihre Ermittlungen notwendig ist und was nicht. So scheiterten Unternehmen z.B. mit dem Argument, die Kommission hätte schon ausreichend Material in der Hand, um einen Verstoß zu belegen, weitere Informationen seien nicht notwendig. Selbstverständlich muss die Kommission bei der Nutzung von RFI wie bei all ihrem Verwaltungshandeln das Verhältnismäßigkeitsprinzip beachten, aber auch hier fordern die Richter in Luxemburg größere Leidensfähigkeit von den betroffenen Unternehmen ein: Dass etwa die Zusammenstellung und Übermittlung der Informationen erheblichen Aufwand verursacht, befreit die Unternehmen nach der Rechtsprechung nicht von der Pflicht einen RFI zu beantworten, wenn denn die angeforderten Informationen für die Ermittlungen der Kommission notwendig sind.

Soweit so gut (oder auch nicht). Und wie kommen nun diese Daten-RFI ins Spiel?

Ins Wanken gebracht wird dieses Konzept von „die Kommission fragt, Unternehmen antworten“ aber – wie so vieles – durch die Digitalisierung und die Entwicklung zur datengetriebenen Wirtschaft.  Die Möglichkeiten Daten zu speichern, zu übertragen und zu verarbeiten sind in den letzten Jahren geradezu explodiert. Einerseits führt dies dazu, dass sich die Kommission bei ihren Untersuchungen mit immer größeren Informationsmengen konfrontiert sieht, da die Unternehmen – von Kapazitätsgrenzen praktisch befreit und mit immer neuen technischen Spielzeugen Werkzeugen ausgestattet – fleißig Datenberge produzieren. Andererseits hat sie auf einmal auch völlig andere Möglichkeiten: Anstatt nur konkret einzelne Informationen abzufragen („E‑Mails des Vertriebschefs mit Wettbewerber X“), ist es der Kommission heutzutage – zumindest technisch – möglich,,,, größere Datenmengen zu untersuchen, um sich ein umfassendes Bild vom Innenleben eines Unternehmens und dessen Kommunikation zu bilden. Die Kommission formuliert es so:

„The increased amount of data available and potentially relevant in a data-driven environment poses significant challenges but also offers opportunities to root the Commission’s decision in broad and reliable factual basis“ (OECD, investigative powers in practice – Contribution from the European Commission, S. 12).

Diese von der Kommission erkannten „Möglichkeiten“ führen dazu, dass heutzutage ein oder mehrere ordentliche „Daten-RFI“, mit denen virtuell einige Container-Ladungen Daten und Dokumente angefordert werden, zum Standard jedes anständigen Kommissionsverfahrens gehören. Dabei definiert die Kommission regelmäßig bestimmte Personen im Unternehmen, sog. „Custodians“, und legt Suchbegriffe und einen Zeitraum fest. Alle Daten und Dokumente der im RFI genannten Custodians aus dem festgelegten Zeitraum, die auf die Suchbegriffe anspringen, sind zu übermitteln. Die Suchbegriffe leitet die Kommission aus den ihr schon vorliegenden Informationen (frühere RFI, Zeugenaussagen etc.) her oder stimmt sich auch mit den Unternehmen ab, um relevante Suchbegriffe zu identifizieren.

Offensichtlich hängt der Umfang eines Daten-RFI damit ganz maßgeblich vom Umfang und der Art der von der Kommission verwendeten Suchbegriffe ab. Eine Suche nach dem Stichwort „Preiserhöhung“ in Kombination mit Wettbewerbernamen im E‑Mailpostfach des Vertriebschefs fördert eine überschaubare Anzahl von Dokumenten zu Tage, der Begriff „Preis“ in allen Dokumenten einer Vielzahl von Custodians produziert wahre Datenberge.

Und deshalb waren die Facebook RFI so umfangreich?

Genau, solche Allerweltsbegriffe („advertising“, „for free“, „applause“ „advantage“, „quality“, „looked at“) waren nämlich in den strittigen RFI an Facebook enthalten und führten zum Aufschrei von Facebook. Die Frage, die das EuG damit beantworten musste: Handelt es sich um eine Anforderung „notwendiger Informationen“ im Sinne von Art 18 VO 1/2003, wenn die Kommission mit häufig benutzten oder sehr gewöhnlichen Wörtern als Suchbegriffen arbeitet? Unstreitig war, dass nicht sämtliche Dokumente, die auf die von der Kommission benutzten Begriffe ansprechen würden, für die Ermittlungen relevant oder notwendig sein würden.

In the present case, in the first place, it should be noted that the documents requested under the contested decision were identified on the basis of wide-ranging search terms, some of which consist of frequently used or very common words, such as ‘advertising’, ‘grow’, ‘insight’, ‘advantage’, ‘looked at’ and ‘quality’. It is therefore hardly surprising that the application of those search terms would lead to the obligation to produce documents unrelated to the subject matter of the request for information. The Commission itself admits that certain documents requested are not relevant and necessary for its investigation. (EuG Facebook, Rn. 39)

Aber, so die Kommission zum EuG, das ändere nichts an der Rechtmäßigkeit der RFI – egal, wie sorgfältig sie die Suchbegriffe auswählen würde, es würden zwangsläufig auch nicht-relevante Dokumente angesprochen. Zu beurteilen sei nur, ob die Suchbegriffe bei ihrer Abfassung für die Ermittlungszwecke geeignet gewesen seien.

Das Gericht zeigt sich von dieser „hinterher ist man immer schlauer-Logik“ nicht überzeugt – sobald die Suchbegriffe angewendet wurden, kann man schließlich feststellen, welche Dokumente und Daten dabei identifiziert wurden und ob diese notwendig für die Ermittlungen sind. Auch den Einwand der Kommission, sie sei nach ständiger Rechtsprechung doch dazu berechtigt, auch größere Mengen von Informationen einzuholen und dann auszuwerten, ließ Luxemburg nicht gelten. Diese Berechtigung beziehe sich nur auf Informationen, bei denen die Kommission vernünftigerweise davon ausgehen kann, dass sie ihr bei der Prüfung helfen, ob ein Verstoß gegen EU-Wettbewerbsrecht vorliegt (und die damit das Kriterium der Notwendigkeit erfüllen).

It should be pointed out in that regard, first, that that case-law does not mean that the principles of necessity and proportionality cease to apply to requests for information. As the Commission itself notes, it follows from that case-law that the Commission must reasonably suppose that the requested information will help it to determine whether the presumed infringement has taken place. (EuG Facebook, Rn. 51)

Damit legt das Gericht den Finger in die Wunde: Die umfassenden Daten-RFI der Kommission mit breiten Suchbegriffen „passen“ nicht in das klassische Schema der Abfrage notwendiger Informationen mittels RFI. Die Kommission legt nicht im Vorhinein abstrakt fest (mittels Suchbegriffen oder anderweitig), welche Informationen für ihre Ermittlungen notwendig sind und fordert diese an („E‑Mails Vertriebschef mit Wettbewerber“). Sie grenzt vielmehr anhand von Suchbegriffen im ersten Schritt einen Teil des Gesamtdatenbestands des Unternehmens ab (alle E‑Mails die den Begriff „applause“ enthalten), aus dem sie dann im zweiten Schritt die Teilmenge der notwendigen Informationen herausfiltert (oder umgekehrt die nicht notwendigen). Der erste Schritt erfasst aber – jedenfalls aller Voraussicht nach – auch für die Ermittlungen der Kommission nicht erforderliche Informationen. Es wäre ein interessanter Kartellrechtsfall bei dem alle Dokumente, die den Begriff „applause“ enthalten, für die Ermittlungen der Kommission relevant sind.  Die Frage ist daher, ob ein umfassender Daten-RFI, der (praktisch zwangsläufig) für die Ermittlungen nicht relevante Informationen miteinfängt, gegen die Grundsätze der Erforderlichkeit und Verhältnismäßigkeit verstößt, wenn er keinen Mechanismus für den zweiten Schritt, die Sortierung nach Relevanz, vorsieht.

Und wie hat das EuG dies geprüft?

Zur Beantwortung dieser Frage wirft das EuG naheliegenderweise einen Blick auf das zweite Ermittlungsmittel, mit dem sich die Kommission Informationen bei Unternehmen beschaffen kann, nämlich die Dawn Raid.

[…] it must be borne in mind that Article 18 of Regulation No 1/2003 is not the only way for the Commission to gather the information necessary for its investigations. It may also order inspections at the premises of the undertaking on the basis of Article 20 of that regulation. In the course of inspections, the Commission may make copies of potentially relevant electronic documents for the purposes of the investigation in order to examine them subsequently with a view to their actual relevance for the investigation. (EuG Facebook, Rn. 44)

Also: statt sich die Unterlagen schicken zu lassen, kann die Kommission sie sich auch selbst bei den Unternehmen holen. (Die Prognose, dass umfassende RFI – vielleicht zukünftig nicht mehr noch eher technisch plump auf Suchwörtern basierend, sondern mittels AI definierter Auswahlkriterien – die Rolle von Dawn Raids übernehmen, ist wahrscheinlich auch nicht zu gewagt.) Tatsächlich liegen die Parallelen zwischen den Situationen auf der Hand:

In the present case, the request for information at issue is very similar to such an inspection, since the applicant must produce a large number of documents collected on its servers on the basis of search terms, the relevance of which will be assessed by the Commission only at a later stage. (EuG Facebook, Rn. 47)

In beiden Fällen, Dawn Raid wie umfassendes Daten-RFI, verschafft sich die Kommission zunächst in einem ersten Schritt einen Überblick über die vorhandenen Daten, bevor sie dann im zweiten Schritt in diesen grob gesichteten Unterlagen die identifiziert, die für ihre Untersuchung notwendig sind und zur Akte nimmt. Die Kommission beschreibt ihr zweistufiges Vorgehen bei Dawn Raids selbst wie folgt:

[The] selected data pool is then reviewed, typically but not exclusively by means of keywords and search queries by Commission inspectors. The inspector will then judge whether the individual document that is responsive to the keyword/search query is relevant for the case or not, typically following a review of some details of the documents. (OECD, investigative powers in practice – Contribution from the European Commission, S. 3)

Der Vorauswahl möglicherweise relevanter Dokumente durch Suchbegriffe folgt bei Dawn Raids also eine händische Sortierung, ob die so ausgewählten Dokumente tatsächlich Relevanz für die Ermittlungen haben – nur dann nimmt die Kommission sie zur Akte.

Verstanden wie das technisch funktioniert. Und rechtlich?

Natürlich kann die Kommission bei der Datenerfassung bei einer Dawn Raid nicht frei schalten und walten wie sie will. Einem durchsuchten Unternehmen stehen während der Dawn Raid umfassende Verteidigungsrechte zu. Im Hinblick auf die Dokumente, die die Kommission zur Akte nehmen will, gehört dazu, dass das Unternehmen nachvollziehen können muss, dass diese vernünftigerweise für die konkreten Ermittlungen der Kommission relevant sein können. Nicht zulässig ist, dass die Kommission einfach einmal alle irgendwie interessanten Daten einsammelt, um später zu überlegen, wofür man sie vielleicht einmal nutzen könnte („fishing expeditions“). Praktisch lässt sich die Kommission zur Wahrung der Verteidigungsrechte bei der Auswahl der relevanten Dokumente durch die Sachbearbeiter vor Ort („Reviewer“) über die Schulter schauen („ghosten“). Wenn die Unternehmen oder ihre Anwälte dann den Eindruck haben, dass etwas nicht mit rechten Dingen zugeht, können sie sofort protestieren („Was hat denn das mit den Vorwürfen zu?“ oder „Halt, das ist privat!“).

Noch näher an der Situation bei der Auswertung der Daten-RFI ist die sogenannte „fortgesetzte Durchsuchung“. Auch bei den Dawn Raids stößt die Kommission angesichts der anfallenden Datenmengen mittlerweile an die Grenzen dessen, was sie vor Ort auf Relevanz prüfen kann. Teilweise kopiert die Kommission deshalb vor Ort die vorausgewählten möglicherweise relevanten Dokumente und nimmt die Prüfung auf tatsächliche Relevanz erst später, und zwar in ihren eigenen Büros in Brüssel, vor.  Dieses Vorgehen hat der EuGH gerade erst in der Sache Nexans gebilligt, vorausgesetzt allerdings, auch bei der fortgesetzten Durchsuchung wahrt die Kommission die Verteidigungsrechte der Unternehmen:

Diese Rechte sind indes gewährleistet, wenn die Kommission wie im vorliegenden Fall zwar ohne vorherige Prüfung Daten kopiert, aber anschließend unter strikter Wahrung der Verteidigungsrechte des betreffenden Unternehmens prüft, ob diese Daten für den Gegenstand der Nachprüfung relevant sind, bevor sie die insoweit für relevant befundenen Dokumente in die Akten aufnimmt und die übrigen kopierten Daten löscht. (EuGH Nexans, Rn. 64)

In der Praxis stellt die Kommission diese Wahrung der Verteidigungsrechte sicher, indem die ungeprüften, noch auf Relevanz auszuwertenden, Daten versiegelt („sealed envelope“) nach Brüssel gebracht werden und die Unternehmen bzw. ihre Anwälte bei der Entsiegelung und Prüfung in den Kommissionsräumen dabei sein dürfen:

Ist die Auswahl der für die Untersuchung relevanten Unterlagen beim geplanten Ende der Nachprüfung vor Ort in den Geschäftsräumen des Unternehmens nicht abgeschlossen, so kann eine Kopie der noch zu untersuchenden Daten erstellt werden, um die Nachprüfung zu einem späteren Zeitpunkt fortzusetzen. Diese Kopie wird zur Sicherung in einen versiegelten Umschlag gelegt. […] Die Kommission wird das Unternehmen einladen, der Öffnung des versiegelten Umschlags und der Fortsetzung der Nachprüfung in den Räumlichkeiten der Kommission beizuwohnen. (Kommission, Erläuterungen zu Nachprüfungen der Kommission gemäß Artikel 20 Absatz 4 der Verordnung (EG) Nr. 1/2003, Rn. 14)

Und diesen rechtlichen Standard will das EuG nun auch bei Daten-RFI anwenden?

Ja, so zumindest die vorläufige Auffassung des EuG. Es erschien dem Gericht einleuchtend, dass der Standard, der bei der Auswertung bei einer Dawn Raid kopierter Dokumente (vor Ort oder in Brüssel) auf Relevanz gilt, auch bei Auswertung der per Daten-RFI abgefragten Dokumente gelten müsste:

Accordingly, it is not unreasonable to consider that, in the light of the format and scope of the request for information, a level of protection similar to that guaranteed by Article 20 of Regulation No 1/2003 should apply. (EuG Facebook, Rn. 48)

Also: Die Unternehmen müssen sich auch hier selbst versichern können, dass die Kommission nur relevante Dokumente zur Akte nimmt. Schutzmechanismen entsprechend denen bei Dawn Raids sollten Anwendung finden.

Das betraf das Bedenken von Facebook, die Kommission würde haufenweise für die Ermittlungen irrelevante Dokumente einsammeln.

Was sagte das EuG zu Facebooks Beschwerde, die Kommission würde mit ihren breiten Suchbegriffen auf sensible persönliche Daten der Mitarbeiter (medizinische Informationen etc.) und des Unternehmens (Sicherheitsinformationen, politische Informationen etc.) zugreifen?

Same same but different. Das Gericht stellt fest, dass solche „sensitive personal data“ von den EU-Behörden besonders sorgfältig zu behandeln sind. Das heißt nicht, dass die Kommission solche Daten nicht anrühren darf – aber die Wahrung der Verteidigungsrechte der Unternehmen ist in besonderem Maße erforderlich, sonst steht insofern ein Verstoß gegen Artikel 7 der Charta der Grundrechte und Artikel 8 der EMRK im Raum. Also muss in Bezug auf „sensitive personal data“ erst recht das Verfahren entsprechend der Datenerfassung bei Dawn Raids eingehalten werden.

Klingt gut – gilt das jetzt?

Da der Beschluss im einstweiligen Rechtsschutzverfahren ergangen ist, ist das alles keine endgültige Beurteilung, aber zusammen mit der Herleitung und Argumentation doch ein sehr starkes Dafürhalten. Und das ergibt auch Sinn. Das Gericht bezieht sich nicht auf sämtliche RFI, sondern nur auf die mit „format and scope“ des an Facebook gerichteten RFI, also die hier von mir so genannten (umfassenden) „Daten-RFI“. Diese Daten-RFI können im Hinblick auf die Erfassung von Dokumenten durchaus mit einer kleinen Dawn Raid verglichen werden. Letztlich macht es keinen Unterschied, ob die Kommission-Inspektoren selbst – vor Ort oder in Brüssel – die Vorerfassung per Suchbegriffe oder anders (Schritt 1) übernehmen oder ob dies per RFI den Unternehmen auferlegt wird (in Corona-Zeiten springen die Parallelen noch mehr ins Auge, was findet schon vor Ort statt…). Das Interesse und Schutzinteresse der Unternehmen bei der Prüfung der Kommission, welche Daten relevant für ihre Ermittlungen sind und daher zur Akte genommen werden (Schritt 2), ist dasselbe. Und umso mehr Daten die Kommission in Schritt 1 technisch einsammeln kann – Stichwort „Möglichkeiten“ –, umso wichtiger wird Schritt 2 und seine Kontrolle. In Nexans hat Generalanwältin Kokott richtigerweise festgehalten:

[…]  entscheidend [ist], dass nur Dokumente, die nachweislich für den in der Nachprüfungsentscheidung angegebenen Gegenstand und Zweck relevant sind, Eingang in die Verfahrensakte finden, da nur so zu gewährleisten ist, dass im späteren Verfahren keine Beweismittel verwendet werden, die unter Verletzung der Rechte der betroffenen Unternehmen erlangt wurden. (Schlussanträge GA Nexans, Rn. 82)

Dazu kommt der Schutz sensibler persönlicher Daten, die immer mehr auf Unternehmensservern auftauchen.

Der Gleichlauf der Prozesse bei Dawn Raids und Daten-RFI ist deshalb tatsächlich erforderlich und angemessen, und die Kommission sollte sinnvollerweise schon jetzt – vor einer Entscheidung in der Hauptsache – ihre Praxis entsprechend anpassen. Praktisch hieße dies, dass die oben zitierte Randnummer 14 der Erläuterungen zu Nachprüfungen der Kommission gemäß Artikel 20 Absatz 4 der Verordnung (EG) Nr. 1/2003 auf die Relevanzprüfung bei Daten-RFI angewandt werden sollte. Die Unternehmen dürften also ihre Anwälte (virtuell) nach Brüssel schicken, um der Kommission bei der Sortierung der Daten nach Relevanz über die Schulter zu sehen (die Beurteilung der Relevanz obläge aber weiter der Kommission – anders als Facebook dies vorgeschlagen hatte, würden nicht die Anwälte die Sortierung übernehmen).

Aber zurück nochmals zum EuG: Warum hat Facebook denn dann nicht vollständig gewonnen? Und wie geht es weiter?

Es spricht nach Ansicht des Gerichts viel dafür, dass die RFI der Kommission rechtswidrig sind, weil sie nicht-notwendige Informationen abfragen und/oder nicht verhältnismäßig sind und zudem besonders sensible persönliche Daten nicht ausreichend geschützt werden. Das allein reichte aber nicht für die Gewährung einstweiligen Rechtsschutzes. Die Hürden sind hier im EU-Recht sehr hoch, das Interesse des Antragstellers an der Aussetzung überwiegt nicht schon das Vollzugsinteresse, wenn seine Erfolgsaussichten der Hauptsache gut sind. Der Antragsteller muss außerdem darlegen können, dass ihm bei Vollzug des angegriffenen Aktes ernsthafter und irreparabler Schaden entsteht. Dass ein solcher Schaden durch die Übermittlung der durch den RFI angeforderten Dokumente an sich eintreten würde, wollte das Gericht Facebook nicht abnehmen. Es könne davon ausgegangen werden, dass die Kommission die Dokumente nicht offenlegen werde und bei einer entsprechenden Entscheidung in der Hauptsache auch möglicherweise nicht relevante Informationen, die es in die Akte geschafft haben, nicht verwenden wird. Also kein Schaden. Eine Ausnahme machte das EuG allerdings für die sensiblen persönlichen Daten. Hier erkannte das Gericht einen Schaden schon darin, dass Dritte diese überhaupt zu Gesicht bekämen:

It follows from the foregoing that enlargement of the circle of persons with knowledge of sensitive personal data risks causing serious harm to the persons concerned by that data. (EuG Facebook, Rn. 86)

Beschluss daher: (Nur) im Hinblick auf die sensiblen persönlichen Daten wird der Vollzug der RFI ausgesetzt, bis die Kommission einen Schutzmechanismus implementiert. Diesen skizziert das Gericht in Nummer 2 des Tenors:

Facebook Ireland shall identify the documents containing the data referred to in point 1 and transmit them to the Commission on a separate electronic medium. Those documents shall then be placed in a virtual data room which shall be accessible to as limited a number as possible of members of the team responsible for the investigation, in the presence (virtual or physical) of an equivalent number of Facebook Ireland’s lawyers. The members of the team responsible for the investigation shall examine and select the documents in question, while giving Facebook Ireland’s lawyers the opportunity to comment on them before the documents considered relevant are placed on the file. In the event of disagreement as to the classification of a document, Facebook Ireland’s lawyers shall have the right to explain the reasons for their disagreement. In the event of continuing disagreement, Facebook Ireland may ask the Director for Information, Communication and Media at the Commission’s Directorate-General for Competition to resolve the disagreement.

Das entspricht dem Vorgehen bei der Datenerfassung bei Dawn Raids – und auch möglicherweise dem zukünftigen allgemeinen Standard bei Daten-RFI.

To be continued in der Hauptsache. Sie dürfen aber schon den (blauen) Daumen für das EuG heben, wenn Sie mögen.

Dr. Björn Herbers ist Partner im Kartellrecht bei CMS in Brüssel.