Österrike: Wiens högsta domstol bekräftar skadeståndskrav mot Facebook

Den 07.12.2020 (delgivet den 28.12.2020) meddelade Oberlandesgericht Wien (OLG) sin dom i överklagandeförfarandet Schrems mot Facebook Ireland Ltd. (GZ 11 R 153 / 20f, 154 / 20b)^[1] Genom att bekräfta beslutet från den regionala domstolen för civilrättsliga ärenden (Landesgericht für Zivilrechtssachen) ansåg den att plattformen för sociala medier var skyldig att ge käranden full tillgång till de uppgifter som innehades om honom, vilket innebar att företaget skulle betala en ersättning på 500 euro (artikel 82 i GDPR).

Domstolen drog dock även slutsatsen att databehandlingen inte kräver att plattformen inhämtar ett otvetydigt, separat samtycke från sina användare i enlighet med EU:s dataskyddslagstiftning (artikel 6.1 a i GDPR), utan att en sådan rätt till dataanvändning tillkommer Facebook i kraft av dess avtalsvillkor.

Beslutet grundar sig på ett antal rättsliga klagomål och ger upphov till tre olika frågor som behandlas nedan.

Fördelning av partsroller enligt dataskyddslagstiftningen

Käranden

• Enligt käranden anses plattformsanvändaren vara den ansvariga parten eller "personuppgiftsansvarige" (artikel 4.7 i GDPR) med avseende på de dataanvändningar som han själv använder för sina personliga syften;
• svaranden genom avtal fungerar som "personuppgiftsbiträde" och hindrar honom från att utföra några dataanvändningar utan eller i strid med kärandens instruktioner;
• Ett avtal som uppfyller kraven i artikel 28.3 i GDPR har inte ingåtts, trots att käranden har rätt till ett sådant avtal.

Svaranden

Svaranden är att betrakta som ensam ansvarig i förhållande till käranden, som saknar intresse av fastställelsetalan.

OLG (s. 21-23)

• Enbart användandet av en social nätverksplattform gör inte i sig en användare solidariskt ansvarig för den behandling av personuppgifter som utförs av det nätverket;
• En åtskillnad ska göras när det gäller fansidor, varigenom den som driver sidan bidrar till behandlingen av besökarnas personuppgifter och därmed blir personuppgiftsansvarig (EU-domstolens dom C-210/16, Unabhängiges Landeszentrum für Datenschutz Schleswig Holstein, särskilt punkterna 35, 36 och 41). 35, 36 och 41).
• En Facebook-användare är således endast medansvarig för tredje parts personuppgifter (artikel 4.7 i GDPR) och endast registrerad i förhållande till sina egna personuppgifter.

Effektivt samtycke till behandling av personuppgifter

Målsägande

• Att samtycka till den sociala medieplattformens användarvillkor och tillhörande riktlinjer för dataanvändning utgör inte ett effektivt samtycke i den mening som avses i artiklarna 6.1 och 7 i dataskyddsförordningen;
• I motsats till bestämmelserna i GDPR, som trädde i kraft den 25.05.2018, föreskrev civilrättsliga avtal som styrdes enligt den tidigare dataskyddslagen inte uttryckliga krav på "samtycke";
• Genom att integrera förhandssamtycke i företagets villkor innan GDPR trädde i kraft tvingades användarna oavsiktligt in i ett nytt avtal, vilket gjorde det möjligt för plattformen att kringgå de strängare dataskyddsstandarderna enligt de nuvarande GDPR-bestämmelserna;
• Käranden hade således inte lämnat något effektivt samtycke i den mening som avses i GDPR till svarandens behandling av personuppgifter.

Svaranden

Den behandling av uppgifter som plattformen utförde var förenlig med bestämmelserna i artikel 6.1 b i dataskyddsförordningen, eftersom den utgjorde en nödvändig del av fullgörandet av avtalet.

OLG (s. 23-24)

• Dataskyddsförordningen tillåter olika grunder för behandling av personuppgifter, bland annat om det är nödvändigt för att fullgöra ett avtal i vilket den registrerade är part (artikel 6.1 b i dataskyddsförordningen);
• Nödvändigheten avgörs härmed från fall till fall, med vederbörlig hänsyn till avtalets syfte och de skyldigheter som följer av avtalets innehåll;
• Kärnan i Facebooks affärsmodell och dess avtalsmässiga syfte är följande:
  • För användaren: att få tillgång till plattformen för personaliserad kommunikation;
  • För plattformen: att göra åtkomsten tillgänglig utan extra kostnader;
• Företaget som driver plattformen kan därför använda sig av andra finansieringskällor, t.ex. reklam som är anpassad till den specifika användaren;
• Behandlingen av användarnas personuppgifter utgör en grundläggande pelare i avtalet mellan plattformen och användaren, eftersom det är denna pelare som gör det möjligt att anpassa reklamen till den enskilde användarens intressen;
• Nödvändighetskomponenten med avseende på databehandling fastställs genom att användningen av sådan information å ena sidan formar användarnas individualiserade upplevelse, samtidigt som den också utgör en finansiell kanal genom vilken plattformen erhåller sin vinst.

Begäran om tillhandahållande av information

Målsägande

• En begäran om information hade lämnats in, men ännu inte besvarats i enlighet med artikel 15 i GDPR;
• Svaranden har inte uppfyllt sina rättsliga skyldigheter genom att endast delvis tillhandahålla information om användningen och behandlingen av (person)uppgifter;
• Osäkerheten om behandlingen av personuppgifter har orsakat känslomässigt lidande, vilket berättigar käranden till ett ideellt skadestånd om 500 euro.

Svaranden

• Svaranden har inte underlåtit att uppfylla sina skyldigheter;
• Käranden hade inte gjort något avgörande påstående om skadeståndsanspråket.

OLG (24-29)

• Facebook hade underlåtit att ge sina användare tillgång till uppgifter i sina åtkomstverktyg, vilket ger käranden en rätt till talan som grundar sig på artikel 15.1 i GDPR;
• Käranden har rätt att få information om följande:
  • Vilka personuppgifter som behandlas av Facebook och för vilka ändamål (artikel 15.1 a i GDPR);
  • Till vem respektive personuppgifter lämnas ut, dvs. (kategorier) av mottagare (artikel 15.1(b) i GDPR);
  • Uppgifternas ursprung om de inte har samlats in från käranden (artikel 15.1 g i GDPR);
• Beloppet 500 euro återspeglar den ringa omfattningen av det obehag som käranden har lidit och visar sig vara berättigat.

Kommentar

I linje med vad käranden anfört har Europeiska dataskyddsstyrelsen tidigare uttryckligen förbjudit behandling av särskilda kategorier av personuppgifter om inte uttryckligt samtycke har lämnats eller sådan behandling är nödvändig av hänsyn till ett viktigt allmänt intresse (artikel 9.2 g i dataskyddsförordningen). Även om avtalsklausuler om dataanvändning fortfarande skulle kunna användas för överföring av uppgifter, skulle de inte vara tillräckliga för att ersätta behovet av att sådant samtycke lämnas^[2].

OLG har beviljat en rätt att överklaga till Österrikes högsta domstol, men det förväntas att de rättsliga frågor som uppkommit kommer att tas upp i Europeiska unionens domstol i sinom tid.

Resurser

1. Domen finns tillgänglig på tyska via: https://noyb.eu/sites/default/files/2020-12/BVI-209_geschw%C3%A4rzt.pdf.
2. Olbrechts, A. (2020) "Europäischer Datenschutzausschuss - 34. Plenartagung: Schrems II, Wechselspiel zwischen PSD2 und DSGVO, Schreiben an MdEP Ďuriš Nicholsonová Zu Den Themen Ermittlung Von Kontaktpersonen, Interoperabilität Von Apps Und Datenschutz-Folgenabschätzungen." Europäischer Datenschutzausschuss - Europeiska dataskyddsstyrelsen. Tillgänglig på: edpb.europa.eu/news/news/2020/european-data-protection-board-thirty-fourth-plenary-session-schrems-ii-interplay_de [hämtad 05.02.2021].

Innehållet i denna artikel är avsett att ge en allmän vägledning i ämnet. Specialistrådgivning bör sökas om dina specifika omständigheter.