Das Wiener Landesgericht für Zivilrechtssachen hat ein Urteil im Datenschutzprozess zwischen dem Aktivisten Max Schrems und der Social-Media-Plattform Facebook gefällt. Das Urteil folgt auf eine mündliche Verhandlung in der österreichischen Hauptstadt Anfang des Jahres, bei der sich die europäische Datenschutzbeauftragte von Facebook, Ceilia Alvarez, Fragen stellen musste:

• Die Fähigkeit des Unternehmens, die Zustimmung seiner Benutzer zu erhalten;
• die Befolgung von Datenanfragen von Personen, die auf der Netzwerkseite aktiv sind; und
• Klärung der Terminologie "Löschung von Daten" und deren Bedeutung in der Praxis.

In dem am 30. Juni 2020 verkündeten Urteil wird festgestellt, dass Facebook zwar zur Zahlung von Schadensersatz in Höhe von 500 Euro verpflichtet ist, weil es seine Offenlegungspflichten hinsichtlich der Verwendung der personenbezogenen Daten des Klägers verletzt hat, dem Netzwerkdienst aber ein vertragliches oder gesetzliches Mitverschulden an der Verarbeitung der Daten des Klägers zur Last gelegt wird.

Die Entscheidung

Hervorzuheben sind die folgenden Rechtsfragen:

-Datenverarbeitung in Übereinstimmung mit der General Data Protection Regulation (GDPR)

• Das Gericht entschied, dass Art. 2 DSGVO nicht auf die Verarbeitung personenbezogener Daten im Hinblick auf private oder familiäre Tätigkeiten anwendbar ist.
• Der Kläger soll beim Anlegen eines privaten Accounts einen Vertrag ("Datenverarbeitungsvertrag") mit Facebook geschlossen haben.
• Seine persönliche Nutzung der Plattform führte dazu, dass er nicht in den Geltungsbereich der DSGVO fiel.
• Die Datenverarbeitung erfolge daher im Einklang mit der DSGVO und sei weiterhin zulässig, solange der Kläger sein Konto nicht lösche. Erst dann würde der Vertrag zwischen den Parteien beendet werden.

Bedingungen und Konditionen

• Das Gericht führte weiter aus, dass ein Unterlassungsanspruch voraussetzt, dass die fragliche Handlung nicht nur verboten ist, sondern dass auch eine Wiederholungsgefahr für die rechtswidrige Handlung bestehen muss, d.h. der Beklagte hat bereits gegen die gesetzlich festgelegte Norm verstoßen.
• Im vorliegenden Fall stand es dem Kläger frei, in die Verarbeitung seiner personenbezogenen Daten einzuwilligen. Indem er die Bedingungen der Beklagten akzeptierte, hatte er sich freiwillig mit deren Bedingungen einverstanden erklärt.
• Das Wirtschaftsmodell der Beklagten basiert auf der Generierung von Einnahmen durch maßgeschneiderte Werbung und kommerzielle Inhalte. Um ihren Dienst für die Öffentlichkeit kostenlos anbieten zu können, werden Einnahmen durch die Verarbeitung von Nutzerdaten generiert, die an Werbetreibende verkauft werden, die sie für gezielte Werbezwecke nutzen können.
• Mit der Nutzung der Plattform akzeptiert der Nutzer bewusst kommerzielle Inhalte, deren personalisierter Charakter auf individuellen Geschmäckern, Vorlieben, Interessen basiert - Daten, die somit Teil der Nutzungsbedingungen sind.
• Da die personalisierte Werbung ein wesentlicher Bestandteil des angebotenen Dienstes ist und sich aus den konkreten Nutzungsbedingungen ergibt, die zum Vertragsbestandteil gemacht werden, oblag der Beklagten die Konkretisierung des Vertragszwecks, der der Kläger bereitwillig zustimmte.

Sensible Daten

• Nach Auffassung des Gerichts ergibt sich ein Verstoß gegen Art. 9 DSGVO ergab sich aus den festgestellten Tatsachen nicht.
• In Bezug auf sensible Daten über politische Interessen oder die sexuelle Ausrichtung befand das Gericht, dass ein Interesse an einer politischen Partei oder am gleichen Geschlecht nicht unbedingt die Zugehörigkeit des Beklagten zu einer bestimmten politischen Meinung widerspiegelt oder eine sexuelle Ausrichtung impliziert. Da letztere vom Kläger öffentlich bekannt gemacht worden war, lag zudem kein Verstoß gegen die DSGVO vor.
• Durch die bloße Verarbeitung der Daten konnte das Gericht keine rechtswidrigen Vorgänge auf Seiten der Beklagten feststellen, für die sie verantwortlich gemacht werden könnte.

Schadenersatz

• 15 GDPR sieht vor, dass die Beklagte verpflichtet ist, in angemessenen Abständen, die die Beklagte für den Nutzer als relevant erachtet, Auskunft über alle personenbezogenen Daten zu geben.
• Durch die Pflichtverletzung wurde dem Kläger kein ausreichender Überblick über alle gespeicherten Daten verschafft.
• Sein Kontrollverlust und die damit verbundene Unsicherheit berechtigen ihn zu einem Schadensersatzanspruch und zur Herausgabe aller angeforderten Daten.

Kommentar

Dieses Urteil bietet eine detaillierte Darstellung der Art und Weise, wie Facebook Nutzerprofile erstellt, nämlich durch Rückgriff auf die Historie der besuchten Seiten sowie Informationen, die aus Verbindungen zu Freunden oder "ähnlichen" Nutzern gewonnen werden. Dennoch verkennt es die Sensibilität solcher Daten. Die zwangsweise Herausgabe der Daten des Klägers macht eine Berufung durch Facebook sehr wahrscheinlich, Herr Schrems hat bereits angekündigt, innerhalb der nächsten vier Wochen eine solche Klage einzureichen. Es ist zu hoffen, dass die Anrufung eines Obersten Gerichtshofs mehr Klarheit über die Rechtmäßigkeit der Aktivitäten von Facebook und die (Nicht-)Einhaltung der Datenschutzgrundverordnung bringen wird. Wie schon in den Vorinstanzen könnte dies auch eine Vorlage mehrerer Fragen an den EuGH möglich machen.

Ursprünglich veröffentlicht 08 Juli, 2020

Der Inhalt dieses Artikels soll einen allgemeinen Leitfaden zu diesem Thema bieten. Für Ihre spezifischen Umstände sollten Sie fachkundigen Rat einholen.