Österreich: Oberster Gerichtshof fragt EuGH, ob Facebook seit 2018 die DSGVO rechtswidrig „aushebelt“

Datenschutzrheinmain/ Juli 20, 2021/ alle Beiträge, Internationales, Verbraucherdatenschutz/ 0 comments

Im langjährigen Zivilverfahren zwischen Max Schrems und Facebook ist der österreichische Oberste Gerichtshof (OGH) der Anregung von Max Schrems gefolgt, dem Europäischen Gerichtshof (EuGH) eine Reihe von Fragen vorzulegen. Die vier Fragen werfen grundsätzliche Zweifel an der Rechtmäßigkeit der Datennutzung durch Facebook bei allen EU-Nutzer:innen auf.

Gleichzeitig hat der OGH in einem Teilurteil entschieden, dass Schrems 500,00 € als symbolischen Schadenersatz erhält, da Facebook das Recht aus Auskunft missachtet und statt einer schnellen Auskunft eine „Ostereier-Suche“ veranstaltet hat.

(1) Vorlage an den EuGH:

Kernfrage: „Einwilligung“ oder „Vertrag“? Der österreichische Oberste Gerichtshof hat Zweifel an der Rechtsgrundlage, die Facebook für fast alle Verarbeitungen von Nutzerdaten verwendet. Nach Art. 6 (1) DSGVO gibt es sechs Möglichkeiten, personenbezogene Daten rechtmäßig zu verarbeiten, darunter die Einwilligung und die Vertragserfüllung.

Bevor die DSGVO anwendbar war, argumentierte Facebook, dass die Nutzer:innen „eingewilligt“ haben, dass ihre Daten für personalisierte Werbung verarbeitet werden dürfen. Die DSGVO hat jedoch die Anforderungen für eine gültige Einwilligung erhöht und den Nutzer:innen die Möglichkeit gegeben, ihre Einwilligung jederzeit zu widerrufen. Am 25.05.2018 argumentierte Facebook daher plötzlich, dass die Nutzenden nicht eingewilligt, sondern einen „Vertrag“ unterschrieben hätten, in dem sie angeblich personalisierte Werbung „bestellt“ hätten. Nach Ansicht von Facebook erlaubt diese Umgehung, den Nutzenden alle Rechte zu entziehen, die mit der Einwilligung nach der DSGVO verbunden sind. Die Erfordernisse einer „freien“, „spezifischen“ oder „informierten“ Einwilligung würden nicht mehr gelten, sobald die Einwilligung als „Vertrag“ angesehen wird.

Katharina Raabe-Stuppnig, Anwältin von Max Schrems:„Facebook versucht, den Nutzern ihre DSGVO-Rechte zu nehmen, indem es die Einwilligung einfach in einen zivilrechtlichen Vertrag ‚uminterpretiert‘. Dies ist nichts anderes als ein Versuch, die DSGVO mit einem Trick zu umgehen.

OGH: Facebook könnte die DSGVO rechtswidrig „ausgehebelt“ haben. Der Oberste Gerichtshof Österreichs scheint diese Bedenken zu teilen. In seiner Vorlage an den EuGH fasst er seine Bedenken, ob man Artikel 6(1)(a) und 6(1)(b) der DSGVO einfach vertauschen kann, wie folgt zusammen (Rn 54): „Eine Kernfrage des vorliegenden Verfahrens ist, ob die Willenserklärung zur Verarbeitung von der Beklagten unter das Rechtskonzept nach Art 6 Abs 1 lit b DSGVO verschoben werden kann, um damit den deutlich höheren Schutz, den die Rechtsgrundlage „Einwilligung“ für den Kläger bietet, ‚auszuhebeln'“

Max Schrems, Vorsitzender von noyb.eu: „Fast jede Datennutzung, mit der Facebook in der EU Gewinne erzielt, beruht auf dieser Umgehung. Verliert Facebook vor dem EuGH, müssten sie nicht nur damit aufhören Daten zu missbrauchen und illegal gesammelte Daten löschen, sondern auch Millionen von Nutzern Schadenersatz zahlen. Wir sind über die Vorlage daher sehr glücklich.“

Weitere Fragen zu Datenminimierung und sensiblen Daten. Der Oberste Gerichtshof hat dem EuGH weitere Fragen zur Rechtmäßigkeit der Nutzung personenbezogener Daten durch Facebook vorgelegt. Der EuGH wird zu entscheiden haben, ob die Verwendung aller Daten auf facebook.com und aus unzähligen anderen Quellen, wie z.B. Webseiten, die Facebook „Like“-Buttons oder Werbung verwenden, für alle Zwecke mit Artikel 5 und dem Grundsatz der „Datenminimierung“ vereinbar ist. Zwei weitere Fragen beziehen sich auf Fragen der Filterung und Verwendung sensibler Daten (wie politische Ansichten oder sexuelle Orientierung) für personalisierte Werbung. 

Max Schrems:„Diese weiteren Fragen sind extrem wichtig, da Facebook dann selbst bei einer gültigen Einwilligung möglicherweise nicht mehr alle Daten für Werbung nutzen darf. Ebenso muss es möglicherweise sensible Daten wie politische Ansichten oder Daten zur sexuellen Orientierung herausfiltern. Bisher argumentierte Facebook, dass es zwischen diesen Arten von Daten nicht differenziert.“

(2) Teilurteil zu Schadensersatz, Zugriff, Rollen und „Ostereier-Suche“

Darüber hinaus erließ der OGH ein Teilurteil zu bestimmten Ansprüchen, die ohne Vorlage an den EuGH entschieden werden können:

500,00 € für „massive Genervtheit“, mangelnden Zugang zu Daten und  „Ostereier-Suche“. Darüber hinaus entschied der OGH, dass Max Schrems 500,00 € an Schadenersatz erhält, da Facebook ihm nicht volle Auskunft zu seinen Daten gewährt hat. Das Gericht stellte fest, dass er weder alle Rohdaten noch entscheidende Informationen wie die Rechtsgrundlage für die Datenverarbeitung erhalten hat. Das Gericht hob hervor, dass die zur Verfügung gestellten Daten an mehr als 60 Stellen versteckt waren und Hunderte, wenn nicht Tausende von Datenpunkten geladen werden mussten, was einen immensen Zeitaufwand darstellt. Das Gericht stellte in Rz 153 fest: „Zutreffend verweist der Kläger darauf, dass die DSGVO von einem einmaligen Auskunftsersuchen, nicht von einer „Ostereier-Suche“ ausgeht.„.

Einige Argumente schienen dem OGH schon unter seiner Würde. Das Facebook argumentierte, Schrems nur jene Daten zur Verfügung gestellt zu haben, die Facebook für „relevant“ hielt, kommentierte das Höchstgericht nüchtern: „Dass die Auskunftspflicht nicht von der bloßen Eigeneinschätzung der Beklagten („relevant“) abhängen kann, bedarf keiner näheren Ausführungen.“

Beweislast trifft Facebook. In vielen Punkten betonte der OGH auch, dass Facebook die Beweislast dafür trifft, dass volle Auskunft erteilt wurde oder die Datenverarbeitung legal ist (z.B. bei Rz 151). Facebook vertrat im Verfahren die Ansicht, dass die Nutzenden beweisen müssten, dass Facebook zu wenig Daten beauskunftet hat und weigerte sich, offene Fragen zu beantworten.

Wem „gehören“ die Daten bei Facebook? In dem Verfahren wurden auch die Rollen der Akteure auf der Facebook-Plattform diskutiert. Max Schrems argumentierte, dass er in erster Linie für seine Profil- bzw. Nachrichtendaten auf Facebook verantwortlich ist (rechtlich ein „Verantwortlicher“), was bedeutet, dass Facebook seinen Anweisungen folgen muss, wenn er z.B. Daten löscht (als bloßer „Auftragsverarbeiter“). Facebook stellte sich auf den Standpunkt, dass sie allein die „Verantwortlichen“ für alle Nutzerdaten auf Facebook sind – mit gewissen Ausnahmen. Der OGH nahm die Position ein, dass die Angelegenheit irrelevant sei, da die Nutzung von Facebook unter die „Haushaltsausnahme“ falle und sich die Frage daher nicht stelle.

Max Schrems:„In diesem Punkt haben wir technisch gesehen ‚verloren‘, aber nach Ansicht des Gerichts wäre Facebook für jede rechtswidrige Verarbeitung auf facebook.com haftbar – auch wenn diese von anderen vorgenommen wird. Wir haben ein differnzierteres Ergebnis vorgeschlagen, aber darauf ist das Gericht nicht eingegangen.“


Quelle: Beitrag vom 20.07.2021 auf der Homepage von noyb – Europäische Bürgerrechtsorganisation mit Sitz in Österreich.

Leave a Comment

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

*
*