Oostenrijk: Hoger Gerechtshof Wenen bevestigt schadeclaim tegen Facebook

Op 07.12.2020 (betekend op 28.12.2020) heeft het Oberlandesgericht Wien (OLG) uitspraak gedaan in de beroepsprocedure Schrems tegen Facebook Ireland Ltd. (GZ 11 R 153 / 20f, 154 / 20b). (GZ 11 R 153 / 20f, 154 / 20b).^[1] Het bevestigde de beslissing van het Landesgericht für Zivilrechtssachen en oordeelde dat het sociale mediaplatform verplicht was om de eiser volledige toegang te verlenen tot de gegevens die over hem werden bijgehouden, waardoor het bedrijf verplicht was om een schadevergoeding van EUR 500 te betalen (artikel 82 GDPR).

Niettemin concludeerde het Hof ook dat het platform voor de verwerking van gegevens geen ondubbelzinnige, afzonderlijke toestemming van zijn gebruikers hoeft te verkrijgen op grond van de EU-wetgeving inzake gegevensbescherming (artikel 6, lid 1, onder a), GDPR), maar dat een dergelijk recht op gegevensgebruik inherent aan Facebook is verleend op grond van zijn contractuele voorwaarden.

De beslissing draait om een aantal juridische klachten en geeft aanleiding tot drie verschillende kwesties die hieronder worden uitgelicht.

Verdeling van de rollen van de partijen onder de gegevensbeschermingswetgeving

Eiser

• Volgens de eiser wordt de gebruiker van het platform beschouwd als de verantwoordelijke partij of 'voor de verwerking verantwoordelijke' (artikel 4, lid 7 GDPR) met betrekking tot de gegevensapplicaties die hij voor zijn persoonlijke doeleinden gebruikt;
• verweerder bij overeenkomst optreedt als "verwerker", waardoor hij geen gegevenstoepassingen kan uitvoeren zonder of in strijd met de instructies van eiser;
• Er is geen overeenkomst gesloten die voldoet aan de vereisten van artikel 28, lid 3, GDPR, hoewel Eiser recht heeft op een dergelijke overeenkomst.

Verweerder

Verweerder moet worden beschouwd als de enige verantwoordelijke partij ten opzichte van de eiser, die geen belang heeft bij een declaratoire maatregel.

OLG (blz. 21-23)

• Het loutere gebruik van een sociaal netwerkplatform maakt een gebruiker op zich niet medeverantwoordelijk voor de verwerking van persoonsgegevens door dat netwerk;
• Er moet een onderscheid worden gemaakt met betrekking tot fanpagina's, waarbij de exploitant van die pagina bijdraagt aan de verwerking van de persoonsgegevens van bezoekers, waardoor hij een voor de verwerking verantwoordelijke wordt (HvJ EG C-210/16, Unabhängiges Landeszentrum für Datenschutz Schleswig Holstein, met name punten 35, 36 en 41). 35, 36 en 41).
• Een Facebook-gebruiker is dus alleen medeverantwoordelijk voor de persoonsgegevens van derden (artikel 4, lid 7 GDPR) en alleen betrokkene met betrekking tot zijn eigen persoonsgegevens.

Effectieve toestemming voor de verwerking van persoonsgegevens

Eiser

• Instemming met de gebruiksvoorwaarden van het social media platform en de bijbehorende richtlijnen voor gegevensgebruik leidt niet tot daadwerkelijke toestemming in de zin van artikel 6, lid 1, en artikel 7 GDPR;
• In tegenstelling tot de GDPR-bepalingen, die met ingang van 25.05.2018 van kracht zijn geworden, voorzagen civielrechtelijke contracten zoals geregeld onder de voormalige wet op de gegevensbescherming niet in expliciete 'toestemming'-vereisten;
• Door voorafgaande toestemming te integreren in de algemene voorwaarden van het bedrijf voordat de GDPR van kracht werd, werden gebruikers onbedoeld gedwongen tot een nieuw contract, waardoor het platform de strengere normen voor gegevensbescherming onder de huidige GDPR-bepalingen kon omzeilen;
• Als zodanig had de eiser geen daadwerkelijke toestemming in de zin van de GDPR gegeven voor de verwerking van gegevens door de verweerder.

Verweerder

Gegevensverwerking zoals uitgevoerd door het platform was in overeenstemming met de bepalingen van artikel 6, lid 1, onder b) GDPR, aangezien het een noodzakelijk onderdeel van de uitvoering van het contract vormde.

OLG (blz. 23-24)

• De GDPR staat verschillende grondslagen toe voor de verwerking van persoonsgegevens, onder andere indien dit noodzakelijk is voor de uitvoering van een overeenkomst waarbij de betrokkene partij is (artikel 6, lid 1, onder b) GDPR);
• De noodzakelijkheid wordt hierbij per geval bepaald, waarbij terdege rekening wordt gehouden met het contractuele doel en de verplichtingen die voortvloeien uit de inhoud van het contract;
• De essentie van het Facebook-bedrijfsmodel en het contractuele doel ervan concentreert zich op:
  • Voor gebruiker: toegang krijgen tot het platform voor gepersonaliseerde communicatie;
  • Voor het platform: toegang beschikbaar maken zonder extra kosten;
• Als zodanig kan het bedrijf dat het platform exploiteert zijn toevlucht nemen tot andere financieringsbronnen, bijv. op de specifieke gebruiker afgestemde reclame;
• De verwerking van persoonlijke gebruikersgegevens toont een fundamentele steunpilaar van de overeenkomst tussen platform en gebruiker, aangezien het de basis is die het mogelijk maakt om reclame af te stemmen op de interesses van de individuele gebruiker;
• De noodzakelijkheidscomponent met betrekking tot gegevensverwerking wordt vastgesteld doordat het gebruik van dergelijke informatie enerzijds vorm geeft aan de geïndividualiseerde ervaring van gebruikers en anderzijds een financieel kanaal vormt waarlangs het platform zijn winst verkrijgt.

Verzoek om informatie

Eiser

• Er is een verzoek om informatie ingediend dat nog niet is beantwoord in overeenstemming met artikel 15 GDPR;
• Het slechts gedeeltelijk beschikbaar stellen van informatie over het gebruik en de verwerking van (persoons)gegevens schiet tekort in de wettelijke plichten van verweerder;
• de onzekerheid over de verwerking van de gegevens heeft geleid tot emotioneel leed dat verzoekster recht geeft op een immateriële schadevergoeding van 500 EUR.

Verweerder

• Verweerster is haar plicht niet nagekomen;
• Eiseres heeft geen afdoende bewijs geleverd met betrekking tot de schadevordering.

OLG (24-29)

• Facebook heeft haar gebruikers geen toegang verleend tot de gegevens in hun toegangsinstrumenten, wat de eiser een in artikel 15, lid 1, GDPR verankerd vorderingsrecht verleent;
• De eiser heeft recht op informatie met betrekking tot:
  • De persoonsgegevens die door Facebook worden verwerkt en de doeleinden daarvan (artikel 15, lid 1, onder a) GDPR);
  • aan wie de respectieve persoonsgegevens worden verstrekt, d.w.z. (categorieën) ontvangers (artikel 15, lid 1, onder b) GDPR);
  • De herkomst van de gegevens indien deze niet bij de Eiser zijn verzameld (Artikel 15(1)(g) GDPR);
• Het bedrag van 500 EUR weerspiegelt de geringe mate van ongemak die de eiser heeft geleden en blijkt gerechtvaardigd te zijn.

Opmerking

In overeenstemming met wat de eiser heeft aangevoerd, heeft het Europees Agentschap voor gegevensbescherming eerder uitdrukkelijk de verwerking van bijzondere categorieën van persoonsgegevens verboden, tenzij er uitdrukkelijke toestemming is gegeven of deze verwerking noodzakelijk is om redenen van zwaarwegend algemeen belang (artikel 9, lid 2, onder g), GDPR). Hoewel contractuele clausules over gegevensgebruik nog steeds kunnen worden gebruikt voor de doorgifte van gegevens, zouden deze niet voldoende zijn om de noodzaak van het verlenen van dergelijke toestemming te vervangen.^[2]

Hoewel het OLG een recht op beroep bij het Oostenrijkse Hooggerechtshof heeft toegekend, wordt verwacht dat de opgeworpen juridische kwesties te zijner tijd opnieuw aan het Hof van Justitie van de Europese Unie zullen worden voorgelegd.

Bronnen

1. Uitspraak beschikbaar in het Duits via: https://noyb.eu/sites/default/files/2020-12/BVI-209_geschw%C3%A4rzt.pdf.
2. Olbrechts, A. (2020) "Europäischer Datenschutzausschuss - 34. Plenartagung: Schrems II, Wechselspiel Zwischen PSD2 Und DSGVO, Schreiben an MdEP Ďuriš Nicholsonová Zu Den Themen Ermittlung Von Kontaktpersonen, Interoperabilität Von Apps Und Datenschutz-Folgenabschätzungen." Europäischer Datenschutzausschuss - Europees Comité voor gegevensbescherming. Beschikbaar op: edpb.europa.eu/news/news/2020/european-data-protection-board-thirty-fourth-plenary-session-schrems-ii-interplay_de [geraadpleegd op 05.02.2021].

De inhoud van dit artikel is bedoeld als een algemene leidraad voor het onderwerp. U moet specialistisch advies inwinnen over uw specifieke omstandigheden.