オーストリアウィーン高等法院、フェイスブックに対する損害賠償請求を認める

2020年12月7日（送達日：2020年12月28日）、高等裁判所（Oberlandesgericht Wien, OLG）は、Schrems v. Facebook Ireland Ltd. （GZ 11 R 153 / 20f, 154 / 20b）の控訴審において判決を下した[1]。(GZ 11 R 153 / 20f, 154 / 20b)^[1]の判決を支持し、ソーシャルメディア・プラットフォームは原告に対して、原告について保有するデータへの完全なアクセスを提供する義務を負っており、そのため同社は500ユーロの賠償金を支払う必要があるとした（GDPR第82条）。

とはいえ、同判決はまた、データ処理行為は、EUデータ保護法（第6条1項（a）GDPR）に従い、プラットフォームがユーザーから明確な個別の同意を得る必要はなく、そのようなデータ使用権は、契約条件によってフェイスブックに本来的に付与されていると結論づけた。

本判決は、多くの法的不服申し立てが中心となっており、以下の3つの異なる問題が生じている。

データ保護法における当事者の役割分担

原告

• 原告によれば、プラットフォーム利用者は、個人的な目的のために自ら操作するデータアプリケーションに関して責任を負う当事者または「管理者」（GDPR第4条7項）とみなされる；
• 被告は契約により「処理者」として行動し、原告の指示なしに、または指示に反してデータアプリケーションを実行することはできない；
• GDPR第28条3項の要件を満たす契約は締結されていないが、原告はそのような契約を締結する権利がある。

被告

被告は、宣言的救済の利益を欠く原告との関係において、唯一の責任当事者とみなされる。

OLG (pp 21-23)

• ソーシャル・ネットワーク・プラットフォームを利用するだけでは、そのネットワークによって行われる個人データの処理について、利用者が共同責任を負うことにはならない；
• ファンページについては、当該ページの運営者が訪問者の個人データの処理に貢献し、管理者となるため、区別が必要である（ECJ C-210/16, Unabhängiges Landeszentrum für Datenschutz Schleswig Holstein, esp.35、36、41）。
• したがって、フェイスブックのユーザーは、第三者の個人データに関しては共同責任者に過ぎず（GDPR第4条第7項）、自己の個人データに関してはデータ主体に過ぎない。

個人データ処理に対する有効な同意

原告

• ソーシャルメディア・プラットフォームの利用規約および関連するデータ利用ガイドラインに同意することは、GDPR第6条1項および第7条の意味における有効な同意を生じさせない；
• 2018.05.25に施行されたGDPRの規定に反して、旧データ保護法に基づく民法上の契約は、明示的な「同意」要件を規定していなかった；
• GDPRが発効する前に企業の利用規約に事前の同意を組み込むことで、ユーザーは不注意にも新たな契約を強制され、プラットフォームは現行のGDPR規定の下でより厳格なデータ保護基準を回避することができた；
• そのため、被告が行うデータ処理に関して、GDPRの意味における有効な同意は原告によって与えられていなかった。

被告

プラットフォームによって行われたデータ処理は、契約履行に必要な部分であるため、GDPR第6条1項bの規定に合致していた。

OLG (pp 23-24)

• GDPRは、特にデータ主体が当事者である契約の履行に必要な場合、個人データの処理に異なる根拠を認めている（GDPR第6条1項b）；
• 必要性は、契約上の目的および契約内容から生じる義務を考慮して、ケースバイケースで判断されます；
• フェイスブックのビジネスモデルの本質とその契約目的は、以下を中心とする：
  • ユーザーにとって：パーソナライズされたコミュニケーション・プラットフォームへのアクセスを得ること；
  • プラットフォームにとって：追加費用なしでアクセスできるようにすること；
• そのため、プラットフォームを運営する企業は、特定のユーザー向けにカスタマイズされた広告など、他の資金源に頼る可能性があります；
• 利用者の個人情報の処理は、プラットフォームと利用者間の合意を支える基本的な柱であり、利用者個人の関心に合わせた広告を可能にする基盤である；
• データ処理に関する必要性の要素は、そのような情報の利用が、一方ではユーザーの個別化された経験を形成し、他方では、プラットフォームが利益を得るための財政的な経路を構成するという点で確立されている。

情報提供の要求

原告

• GDPR第15条に基づき、情報提供の要請が提出されたが、まだ回答されていない；
• 個人）データの使用および処理に関する情報を部分的にしか入手できないようにすることは、被告の法的義務を欠く；
• データ処理に関する不確実性は精神的苦痛を引き起こし、原告は500ユーロの非物質的損害賠償を受ける権利を有する。

被告

• 被告は義務を怠ったわけではない；
• 損害賠償請求に関する決定的な主張は原告からなされていない。

OLG (24-29)

• フェイスブックは、ユーザーがアクセスツールのデータにアクセスできるようにする義務を怠っていた；
• 原告は以下の情報を得る権利がある：
  • フェイスブックによって処理されている個人データおよびその目的（GDPR第15条第1項第1号）；
  • それぞれの個人データが誰に開示されるのか、すなわち（カテゴリー）受信者（GDPR第15条第1項第2号）；
  • 原告から収集されたものでない場合は、データの出所（GDPR第15条1項g）；
• 500ユーロという金額は、原告が被った不快感の軽微な程度を反映したものであり、正当であることが証明された。

コメント

欧州データ保護庁はこれまで、原告の提出した意見に沿い、明示的な同意がある場合または公共の利益のために必要である場合を除き、特別カテゴリーの個人データを処理することを明示的に禁止してきた（GDPR9条2項g）。データ使用に関する契約条項をデータの移転に使用することは可能であるが、そのような同意を提供する必要性に取って代わるには不十分である^[2]。

オーストリア最高裁判所への上訴権はOLGによって認められているが、提起された法的問題は、いずれ再び欧州連合司法裁判所に持ち込まれることが予想される。

リソース

1. 判決文はドイツ語でhttps://noyb.eu/sites/default/files/2020-12/BVI-209_geschw%C3%A4rzt.pdf。
2. Olbrechts, A. (2020) "Europäischer Datenschutzausschuss - 34.Plenartagung：Schrems II, Wechselspiel Zwischen PSD2 Und DSGVO, Schreiben an MdEP Ďš Nicholsonová Zu Den Themen Ermittlung Von Kontakt Personen, Interoperabilität Von Apps And Datenschutz-Folgenabschätzungen".Europäischer Datenschutzausschuss - European Data Protection Board.edpb.europa.eu/news/news/2020/european-data-protection-board-third-fourth-plenary-session-schrems-ii-interplay_de（英語） [accessed 05.02.2021].

本記事の内容は、主題に関する一般的なガイドを提供することを意図しています。具体的な状況については、専門家の助言を求めるべきである。