Den 7.12.2020 (forkyndt den 28.12.2020) afsagde Oberlandesgericht Wien (OLG) dom i appelsagen den 7.12.2020 (forkyndt den 28.12.2020) Schrems mod Facebook Ireland Ltd. (GZ 11 R 153 / 20f, 154 / 20b).¹ Den bekræftede afgørelsen fra Landesgericht für Zivilrechtssachen og fastslog, at den sociale medieplatform havde pligt til at give klageren fuld adgang til de oplysninger, der var registreret om ham, og at selskabet derfor skulle betale en erstatning på 500 EUR (artikel 82 i GDPR).

Ikke desto mindre konkluderede den også, at databehandlingen ikke kræver, at platformen skal indhente et utvetydigt, særskilt samtykke fra sine brugere i henhold til EU's databeskyttelseslovgivning (artikel 6, stk. 1, litra a), i GDPR), men at en sådan ret til dataudnyttelse i sagens natur tilkommer Facebook i kraft af dets kontraktvilkår.

Afgørelsen vedrører en række retlige klager og giver anledning til tre forskellige spørgsmål, som beskrives i det følgende.

Fordeling af parternes roller i henhold til databeskyttelseslovgivningen

Klager

• Ifølge sagsøgeren anses platformbrugeren for at være den ansvarlige part eller "dataansvarlige" (artikel 4, stk. 7, i GDPR) med hensyn til de dataapplikationer, som han selv driver til sine personlige formål;
• Sagsøgte optræder ved kontrakt som "databehandler", hvilket forhindrer ham i at foretage nogen form for databehandling uden eller i strid med sagsøgerens instruktioner;
• Der er ikke indgået en aftale, der opfylder kravene i artikel 28, stk. 3, i GDPR, selv om sagsøgeren har ret til en sådan aftale.

Sagsøgte

• Sagsøgte skal anses for at være den eneste ansvarlige part i forhold til sagsøgeren, som ikke har en interesse i at få en afgørelse.

OLG (s. 21-23)

• Den blotte brug af en platform for sociale netværk gør ikke i sig selv en bruger medansvarlig for den behandling af personoplysninger, der foretages af det pågældende netværk;
• Der skal skelnes mellem fansider, hvor operatøren af siden bidrager til behandlingen af de besøgendes personoplysninger, hvilket gør ham til registeransvarlig (EF-Domstolen C-210/16, Unabhängiges Landeszentrum für Datenschutz Schleswig Holstein, særlig stk. 35, 36 og 41).
• En Facebook-bruger er således kun medansvarlig for så vidt angår tredjeparters personoplysninger (artikel 4, stk. 7, i GDPR) og kun registreret i forhold til sine egne personoplysninger.

Effektivt samtykke til behandling af personoplysninger

Klager

• Et samtykke til de sociale medieplatforms brugsbetingelser og de tilhørende retningslinjer for brug af data giver ikke anledning til et effektivt samtykke i henhold til artikel 6, stk. 1, og artikel 7 i GDPR;
• I modsætning til GDPR-bestemmelserne, som trådte i kraft den 25.05.2018, indeholdt civilretlige kontrakter, som var reguleret af den tidligere databeskyttelseslovgivning, ikke udtrykkelige krav om "samtykke";
• Ved at integrere forudgående samtykke i virksomhedens vilkår og betingelser, før GDPR trådte i kraft, blev brugerne uforvarende tvunget til at indgå en ny kontrakt, hvilket gjorde det muligt for platformen at omgå de strengere databeskyttelsesstandarder i henhold til de nuværende GDPR-bestemmelser;
• Som sådan havde sagsøgeren ikke givet noget effektivt samtykke i henhold til GDPR til sagsøgtes behandling af oplysninger.

Sagsøgte

• Den databehandling, som platformen foretog, var i overensstemmelse med bestemmelserne i artikel 6, stk. 1, litra b), i GDPR, da den udgjorde en nødvendig del af opfyldelsen af kontrakten.

OLG (s. 23-24)

• GDPR tillader forskellige grundlag for behandling af personoplysninger, bl.a. hvis det er nødvendigt for opfyldelsen af en kontrakt, som den registrerede er part i (artikel 6, stk. 1, litra b), i GDPR);
• Nødvendigheden afgøres fra sag til sag under hensyntagen til kontraktens formål og de forpligtelser, der følger af kontraktens indhold;
• Essensen af Facebooks forretningsmodel og dens kontraktlige formål er centreret om:
  • For brugeren: at få adgang til den personlige kommunikationsplatform;
  • For platform: at gøre adgangen tilgængelig uden yderligere omkostninger;
• Virksomheden, der driver platformen, kan derfor ty til andre finansieringskilder, f.eks. reklamer, der er tilpasset den specifikke bruger;
• Behandlingen af personlige brugerdata er en grundlæggende støttepille i aftalen mellem platformen og brugeren, da det er det grundlag, der gør det muligt at skræddersy reklamer til den enkelte brugers interesser;
• Nødvendighedskomponenten med hensyn til databehandling er etableret, idet anvendelsen af sådanne oplysninger på den ene side former brugernes individuelle oplevelse, og på den anden side udgør en økonomisk kanal, hvorigennem platformen opnår sin fortjeneste.

Anmodning om fremsendelse af oplysninger

Klager

• Der var blevet indgivet en anmodning om oplysninger, men den var endnu ikke blevet besvaret i overensstemmelse med artikel 15 i GDPR;
• Ved kun at stille oplysninger om anvendelsen og behandlingen af (personoplysninger) kun delvist til rådighed opfylder sagsøgte ikke sine retlige forpligtelser;
• Usikkerheden vedrørende databehandlingen har medført følelsesmæssig lidelse, som giver sagsøgeren ret til en ikke-økonomisk erstatning på 500 EUR.

Sagsøgte

• Sagsøgte har ikke tilsidesat sine forpligtelser;
• Sagsøgeren havde ikke fremsat nogen afgørende påstand om erstatningskravet.

OLG (24-29)

• Facebook havde undladt at give sine brugere adgang til data i deres adgangsværktøjer, hvilket giver sagsøgeren en ret til at anlægge sag med hjemmel i artikel 15, stk. 1, i GDPR;
• Klager har ret til oplysninger om:
  • De personoplysninger, som Facebook behandler, og formålet med dem (artikel 15, stk. 1, litra a), i GDPR);
  • Hvem de respektive personoplysninger videregives til, dvs. (kategorier) af modtagere (artikel 15, stk. 1, litra b), i GDPR);
  • Oplysningernes oprindelse, hvis de ikke er indsamlet hos klageren (artikel 15, stk. 1, litra g), i GDPR);
• Beløbet på 500 EUR afspejler det ringe omfang af de gener, som sagsøgeren har lidt, og viser sig at være berettiget.

Kommentar

I overensstemmelse med klagerens bemærkninger har Det Europæiske Databeskyttelsesagentur tidligere udtrykkeligt forbudt behandling af særlige kategorier af personoplysninger, medmindre der er givet udtrykkeligt samtykke, eller behandlingen er nødvendig af hensyn til væsentlige samfundsinteresser (artikel 9, stk. 2, litra g), i GDPR). Selv om kontraktbestemmelser om brug af data stadig kan anvendes i forbindelse med overførsel af data, vil de ikke være tilstrækkelige til at erstatte behovet for at give et sådant samtykke.²

OLG har givet OLG ret til at appellere til den østrigske højesteret, men det forventes, at de rejste juridiske spørgsmål endnu en gang vil blive indbragt for Den Europæiske Unions Domstol i rette tid.

Fodnoter

1 Dom tilgængelig på tysk via: https://noyb.eu/sites/default/files/2020-12/BVI-209_geschw%C3%A4rzt.pdf.

2 Olbrechts, A. (2020) "Europäischer Datenschutzausschuss - 34. Plenartagung: Schrems II, Wechselspiel Zwischen PSD2 Und DSGVO, Schreiben an MdEP Ďuriš Nicholsonová Zu Den Themen Ermittlung Von Kontaktpersonen, Interoperabilität Von Apps Und Datenschutz-Folgenabschätzungen." Europäischer Datenschutzausschuss - Det Europæiske Databeskyttelsesråd. Tilgængelig på: edpb.europa.eu/nyheder/nyheder/2020/european-data-protection-board-thirty-fourth-plenary-session-schrems-ii-interplay_de [besøgt 05.02.2021].

Formålet med denne artikel er at give en generel vejledning i emnet. Der bør søges specialiseret rådgivning om dine specifikke omstændigheder.