Østrig: Højesteret i Wien bekræfter erstatningskrav mod Facebook

Den 07.12.2020 (forkyndt den 28.12.2020) afsagde Oberlandesgericht Wien (OLG) sin dom i appelsagen Schrems mod Facebook Ireland Ltd. (GZ 11 R 153 / 20f, 154 / 20b)^[1] Den bekræftede afgørelsen fra den regionale domstol for civile sager (Landesgericht für Zivilrechtssachen) og fastslog, at den sociale medieplatform var forpligtet til at give sagsøgeren fuld adgang til de data, der blev opbevaret om ham, hvilket krævede, at virksomheden betalte en kompensation på 500 EUR (artikel 82 i GDPR).

Ikke desto mindre konkluderede den også, at databehandlingen ikke kræver, at platformen indhenter et utvetydigt, særskilt samtykke fra sine brugere i henhold til EU's databeskyttelseslovgivning (artikel 6, stk. 1, litra a), i GDPR), men at en sådan ret til dataanvendelse i sagens natur gives til Facebook i kraft af dens kontraktlige vilkår og betingelser.

Afgørelsen er centreret om en række juridiske klager og giver anledning til tre forskellige spørgsmål, som er fremhævet nedenfor.

Tildeling af partsroller i henhold til databeskyttelsesloven

Sagsøgeren

• Ifølge sagsøgeren anses platformbrugeren for at være den ansvarlige part eller "dataansvarlige" (artikel 4, stk. 7, i GDPR) med hensyn til de dataapplikationer, som han selv anvender til personlige formål;
• Sagsøgte fungerer ved kontrakt som "databehandler", hvilket forhindrer ham i at udføre dataapplikationer uden eller i strid med sagsøgerens instruktioner;
• Der er ikke indgået en kontrakt, der opfylder kravene i artikel 28, stk. 3, i GDPR, selv om sagsøger har ret til en sådan aftale.

Sagsøgte

Sagsøgte skal betragtes som den eneste ansvarlige part i forhold til sagsøger, som ikke har interesse i at få fastslået sin ret.

OLG (s. 21-23)

• Den blotte brug af en social netværksplatform gør ikke i sig selv en bruger medansvarlig for den behandling af personoplysninger, der foretages af dette netværk;
• Der skal differentieres med hensyn til fansider, hvor operatøren af den pågældende side bidrager til behandlingen af de besøgendes personoplysninger, hvilket gør ham til en dataansvarlig (EU-Domstolen C-210/16, Unabhängiges Landeszentrum für Datenschutz Schleswig Holstein, især para. 35, 36 og 41).
• En Facebook-bruger er således kun en medansvarlig part i forhold til tredjeparters personoplysninger (artikel 4, stk. 7, i GDPR) og kun en registreret i forhold til sine egne personoplysninger.

Effektivt samtykke til behandling af personoplysninger

Sagsøger

• Samtykke til den sociale medieplatforms brugsvilkår og tilhørende retningslinjer for dataanvendelse giver ikke anledning til effektivt samtykke i henhold til artikel 6, stk. 1, og artikel 7 i GDPR;
• I modsætning til GDPR-bestemmelserne, der trådte i kraft den 25.05.2018, indeholdt civilretlige kontrakter, der var reguleret af den tidligere databeskyttelseslov, ikke udtrykkelige krav om "samtykke";
• Ved at integrere forudgående samtykke i virksomhedens vilkår og betingelser, før GDPR trådte i kraft, blev brugerne utilsigtet tvunget ind i en ny kontrakt, hvilket gjorde det muligt for platformen at omgå de strengere databeskyttelsesstandarder i henhold til de nuværende GDPR-bestemmelser;
• Som sådan havde sagsøgeren ikke givet noget effektivt samtykke i henhold til GDPR til sagsøgtes behandling af data.

Sagsøgte

Databehandling som udført af platformen var i overensstemmelse med bestemmelserne i artikel 6, stk. 1, litra b), i GDPR, da den udgjorde en nødvendig del af kontraktens opfyldelse.

OLG (s. 23-24)

• GDPR tillader forskellige grundlag for behandling af personoplysninger, bl.a. hvis det er nødvendigt for opfyldelsen af en kontrakt, som den registrerede er part i (artikel 6, stk. 1, litra b), i GDPR);
• Nødvendigheden afgøres hermed fra sag til sag under behørig hensyntagen til det kontraktlige formål og de forpligtelser, der følger af kontraktens indhold;
• Essensen af Facebooks forretningsmodel og dens kontraktlige formål er centreret om:
  • For brugeren: at få adgang til den personaliserede kommunikationsplatform;
  • For platformen: at gøre adgangen tilgængelig uden yderligere omkostninger;
• Som sådan kan virksomheden, der driver platformen, ty til andre finansieringskilder, f.eks. reklamer, der er tilpasset den specifikke bruger;
• Behandlingen af personlige brugerdata viser en grundlæggende støttepille i aftalen mellem platform og bruger, da det er fundamentet, der gør det muligt at skræddersy reklamer til den enkelte brugers interesser;
• Nødvendighedskomponenten med hensyn til databehandling er etableret, idet brugen af sådanne oplysninger på den ene side former brugernes individualiserede oplevelse og på den anden side udgør en økonomisk kanal, hvorigennem platformen opnår sin fortjeneste.

Anmodning om tilvejebringelse af oplysninger

Sagsøgeren

• Der var blevet indsendt en anmodning om oplysninger, som endnu ikke var blevet besvaret i overensstemmelse med artikel 15 i GDPR;
• At gøre oplysninger om brugen og behandlingen af (person)data kun delvist tilgængelige er ikke i overensstemmelse med sagsøgtes retlige forpligtelser;
• Usikkerheden vedrørende behandlingen af data medførte følelsesmæssig lidelse, som berettiger sagsøger til en immateriel erstatning på 500 EUR.

Sagsøgte

• Sagsøgte havde ikke undladt at opfylde sin pligt;
• Sagsøgeren havde ikke fremsat nogen afgørende påstand vedrørende erstatningskravet.

OLG (24-29)

• Facebook havde undladt at give sine brugere adgang til data i deres adgangsværktøjer, hvilket giver sagsøgeren en ret til at anlægge sag, der er forankret i artikel 15, stk. 1, i GDPR;
• Sagsøgeren har ret til oplysninger vedrørende:
  • De personoplysninger, der behandles af Facebook, og formålene hermed (artikel 15, stk. 1, litra a), i GDPR);
  • Hvem de respektive personoplysninger videregives til, dvs. (kategorier) af modtagere (artikel 15, stk. 1, litra b), i GDPR);
  • Dataenes oprindelse, hvis de ikke er indsamlet fra klageren (artikel 15, stk. 1, litra g), i GDPR);
• Beløbet på 500 EUR afspejler det mindre omfang af ubehag, som sagsøgeren har lidt, og viser sig at være berettiget.

Kommentar

I overensstemmelse med sagsøgerens anbringender har Det Europæiske Databeskyttelsesagentur tidligere udtrykkeligt forbudt behandling af særlige kategorier af personoplysninger, medmindre der er givet udtrykkeligt samtykke, eller en sådan behandling er nødvendig af hensyn til en væsentlig samfundsinteresse (artikel 9, stk. 2, litra g), i GDPR). Selvom kontraktbestemmelser om dataanvendelse stadig kan bruges til overførsel af data, vil de ikke være tilstrækkelige til at erstatte behovet for at give et sådant samtykke^[2].

Selv om OLG har givet ret til at appellere til den østrigske højesteret, forventes det, at de juridiske spørgsmål, der rejses, igen vil blive bragt for EU-Domstolen på et senere tidspunkt.

Ressourcer

1. Dommen er tilgængelig på tysk via: https://noyb.eu/sites/default/files/2020-12/BVI-209_geschw%C3%A4rzt.pdf.
2. Olbrechts, A. (2020) "Europäischer Datenschutzausschuss - 34. Plenartagung: Schrems II, Wechselspiel zwischen PSD2 und DSGVO, Schreiben an MdEP Ďuriš Nicholsonová Zu Den Themen Ermittlung Von Kontaktpersonen, Interoperabilität Von Apps Und Datenschutz-Folgenabschätzungen." Europäischer Datenschutzausschuss - Det Europæiske Databeskyttelsesråd. Tilgængelig på: edpb.europa.eu/news/news/2020/european-data-protection-board-thirty-fourth-plenary-session-schrems-ii-interplay_de [tilgået 05.02.2021].

Indholdet af denne artikel er beregnet til at give en generel vejledning om emnet. Du bør søge specialistrådgivning om dine specifikke omstændigheder.