Am 07.12.2020 (zugestellt am 28.12.2020) hat das Oberlandesgericht Wien (OLG) sein Urteil im Berufungsverfahren verkündet Schrems gegen Facebook Ireland Ltd. (GZ 11 R 153 / 20f, 154 / 20b).¹ Es bestätigte die Entscheidung des Landesgerichts für Zivilrechtssachen und befand, dass die Social-Media-Plattform verpflichtet war, dem Kläger vollständigen Zugang zu den über ihn gespeicherten Daten zu gewähren, so dass das Unternehmen eine Entschädigung in Höhe von 500 EUR zu zahlen hatte (Artikel 82 DSGVO).

Gleichwohl kam es auch zu dem Schluss, dass die Plattform für die Datenverarbeitung keine eindeutige, gesonderte Einwilligung ihrer Nutzer nach EU-Datenschutzrecht (Art. 6 Abs. 1 Buchst. a DSGVO) einholen muss, sondern dass Facebook ein solches Datennutzungsrecht kraft seiner Vertragsbedingungen von Haus aus zusteht.

Die Entscheidung bezieht sich auf eine Reihe von Rechtsbeschwerden und gibt Anlass zu drei verschiedenen Fragen, die im Folgenden herausgegriffen werden.

Datenschutzrechtliche Rollenverteilung der Parteien

Kläger

• Nach Ansicht des Klägers gilt der Plattformnutzer als Verantwortlicher bzw. "Controller" (Art. 4 Abs. 7 GDPR) in Bezug auf die von ihm zu seinen persönlichen Zwecken betriebenen Datenanwendungen;
• Der Beklagte tritt vertraglich als "Auftragsverarbeiter" auf, was ihn daran hindert, Datenanwendungen ohne oder entgegen den Anweisungen des Klägers durchzuführen;
• Ein Vertrag, der die Anforderungen von Artikel 28(3) DSGVO erfüllt, ist nicht zustande gekommen, obwohl der Kläger einen Anspruch auf eine solche Vereinbarung hat.

Beklagter

• Die Beklagte ist im Verhältnis zum Kläger, dem das Feststellungsinteresse fehlt, als Alleinschuldnerin anzusehen.

OLG (S. 21-23)

• Die bloße Nutzung einer Plattform eines sozialen Netzwerks macht einen Nutzer nicht per se mitverantwortlich für die von diesem Netzwerk vorgenommene Verarbeitung personenbezogener Daten;
• Eine Differenzierung ist bei Fanseiten vorzunehmen, bei denen der Betreiber der Seite an der Verarbeitung der personenbezogenen Daten der Besucher mitwirkt, was ihn zu einem für die Verarbeitung Verantwortlichen macht (EuGH C-210/16, Unabhängiges Landeszentrum für Datenschutz Schleswig Holstein, insb. 35, 36 und 41).
• Ein Facebook-Nutzer ist somit nur Mitverantwortlicher in Bezug auf die personenbezogenen Daten Dritter (Artikel 4(7) GDPR) und nur Betroffener in Bezug auf seine eigenen personenbezogenen Daten.

Wirksame Zustimmung zur Verarbeitung von personenbezogenen Daten

Kläger

• Die Zustimmung zu den Nutzungsbedingungen der Social-Media-Plattform und den damit verbundenen Datenverwendungsrichtlinien führt nicht zu einer wirksamen Einwilligung im Sinne von Artikel 6 Absatz 1 und Artikel 7 DSGVO;
• Im Gegensatz zu den ab dem 25.05.2018 in Kraft getretenen Bestimmungen der GDPR sahen zivilrechtliche Verträge, wie sie unter dem alten Datenschutzrecht geregelt waren, keine expliziten "Einwilligungserfordernisse" vor;
• Durch die Integration der vorherigen Einwilligung in die Geschäftsbedingungen des Unternehmens vor Inkrafttreten der GDPR wurden die Nutzer versehentlich in einen neuen Vertrag gezwungen, der es der Plattform ermöglichte, die strengeren Datenschutzstandards unter den aktuellen GDPR-Bestimmungen zu umgehen;
• Insofern lag keine wirksame Einwilligung im Sinne der DSGVO des Klägers in die Datenverarbeitung durch die Beklagte vor.

Beklagter

• Die von der Plattform durchgeführte Datenverarbeitung stand im Einklang mit den Bestimmungen von Artikel 6 Absatz 1 Buchstabe b) DSGVO, da sie ein notwendiger Bestandteil der Vertragserfüllung war.

OLG (S. 23-24)

• Die DSGVO lässt verschiedene Grundlagen für die Verarbeitung personenbezogener Daten zu, u. a. wenn diese für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, erforderlich ist (Artikel 6 Absatz 1 Buchstabe b DSGVO);
• Die Erforderlichkeit bestimmt sich dabei im Einzelfall unter Berücksichtigung des Vertragszwecks und der sich aus dem Vertragsinhalt ergebenden Verpflichtungen;
• Das Wesen des Facebook-Geschäftsmodells und sein Vertragszweck stehen im Mittelpunkt:
  • Für den Benutzer: Zugang zur personalisierten Kommunikationsplattform erhalten;
  • Für die Plattform: um den Zugang ohne zusätzliche Kosten zu ermöglichen;
• Daher kann das Unternehmen, das die Plattform betreibt, auf andere Finanzierungsquellen zurückgreifen, z. B. auf Werbung, die auf den jeweiligen Nutzer zugeschnitten ist;
• Die Verarbeitung personenbezogener Nutzerdaten stellt eine wesentliche tragende Säule des Vertrages zwischen Plattform und Nutzer dar, da sie die Grundlage dafür ist, dass Werbung auf die Interessen des einzelnen Nutzers zugeschnitten werden kann;
• Die Erforderlichkeitskomponente in Bezug auf die Datenverarbeitung besteht darin, dass die Nutzung solcher Informationen einerseits die individualisierte Erfahrung der Nutzer prägt, andererseits aber auch einen finanziellen Kanal darstellt, über den die Plattform ihren Gewinn erzielt.

Anfrage zur Bereitstellung von Informationen

Kläger

• Es wurde ein Auskunftsersuchen gestellt, das gemäß Artikel 15 DSGVO noch nicht beantwortet wurde;
• Die nur teilweise Bereitstellung von Informationen über die Nutzung und Verarbeitung von (personenbezogenen) Daten verstößt gegen die gesetzlichen Pflichten der Beklagten;
• Die Ungewissheit über die Verarbeitung der Daten führte zu einer seelischen Belastung, die dem Kläger einen immateriellen Schadensersatz in Höhe von EUR 500,- zubilligt.

Beklagter

• Die Beklagte habe nicht gegen ihre Pflicht verstoßen;
• Eine schlüssige Behauptung über den Schadensersatzanspruch hatte der Kläger nicht aufgestellt.

OLG (24-29)

• Facebook hatte es versäumt, seinen Nutzern den Zugang zu den Daten in ihren Zugangstools zu gewähren, was dem Kläger ein in Art. 15 Abs. 1 DSGVO verankertes Klagerecht gibt;
• Der Kläger hat einen Anspruch auf Auskunft über:
  • Die personenbezogenen Daten, die von Facebook verarbeitet werden, und die damit verbundenen Zwecke (Artikel 15 Absatz 1 Buchstabe a DSGVO);
  • An wen die jeweiligen personenbezogenen Daten weitergegeben werden, d. h. (Kategorien) von Empfängern (Artikel 15 Absatz 1 Buchstabe b) DSGVO);
  • Die Herkunft der Daten, wenn sie nicht beim Kläger erhoben wurden (Artikel 15 Absatz 1 Buchstabe g) DSGVO);
• Der Betrag von 500 EUR spiegelt das geringe Ausmaß der vom Kläger erlittenen Unannehmlichkeiten wider und erweist sich als gerechtfertigt.

Kommentar

In Übereinstimmung mit dem Vorbringen des Klägers hat die Europäische Datenschutzbehörde zuvor die Verarbeitung besonderer Kategorien personenbezogener Daten ausdrücklich untersagt, es sei denn, es liegt eine ausdrückliche Einwilligung vor oder die Verarbeitung ist aus Gründen eines erheblichen öffentlichen Interesses erforderlich (Artikel 9 Absatz 2 Buchstabe g) DSGVO). Obwohl Vertragsklauseln zur Datennutzung für die Übermittlung von Daten weiterhin verwendet werden könnten, würden sie nicht ausreichen, um die Notwendigkeit einer solchen Einwilligung zu ersetzen.²

Das OLG hat zwar die Revision zum Obersten Gerichtshof zugelassen, es ist aber zu erwarten, dass die aufgeworfenen Rechtsfragen zu gegebener Zeit erneut vor dem Gerichtshof der Europäischen Union verhandelt werden.

Fußnoten

1 Urteil in deutscher Sprache verfügbar über: https://noyb.eu/sites/default/files/2020-12/BVI-209_geschw%C3%A4rzt.pdf.

2 Olbrechts, A. (2020) "Europäischer Datenschutzausschuss - 34. Plenartagung: Schrems II, Wechselspiel Zwischen PSD2 Und DSGVO, Schreiben an MdEP Ďuriš Nicholsonová Zu Den Themen Ermittlung Von Kontaktpersonen, Interoperabilität Von Apps Und Datenschutz-Folgenabschätzungen." Europäischer Datenschutzausschuss - European Data Protection Board. Verfügbar unter: edpb.europa.eu/news/news/2020/european-data-protection-board-thirty-fourth-plenary-session-schrems-ii-interplay_de [Zugriff am 05.02.2021].

Der Inhalt dieses Artikels soll einen allgemeinen Leitfaden zu diesem Thema bieten. Für Ihre spezifischen Umstände sollten Sie fachkundigen Rat einholen.