Den 07.12.2020 (delgiven den 28.12.2020) meddelade Oberlandesgericht Wien (OLG) sin dom i överklagandeförfarandet. Schrems mot Facebook Ireland Ltd. (GZ 11 R 153 / 20f, 154 / 20b).¹ Domstolen bekräftade beslutet från den regionala domstolen för civilrättsliga frågor (Landesgericht für Zivilrechtssachen) och ansåg att plattformen för sociala medier var skyldig att ge käranden full tillgång till de uppgifter som fanns om honom, vilket innebar att företaget var skyldigt att betala ett skadestånd på 500 euro (artikel 82 i dataskyddsförordningen).

Den drog dock också slutsatsen att databehandlingen inte kräver att plattformen inhämtar ett otvetydigt, separat samtycke från användarna i enlighet med EU:s dataskyddslagstiftning (artikel 6.1 a i dataskyddsförordningen), utan att en sådan rätt till datanyttjande i sig är en rättighet som Facebook har genom sina avtalsvillkor.

Beslutet är baserat på ett antal rättsliga klagomål och ger upphov till tre olika frågor som beskrivs nedan.

Fördelning av partsroller enligt dataskyddslagen

Klagande

• Enligt käranden anses plattformsanvändaren vara ansvarig part eller "registeransvarig" (artikel 4.7 i dataskyddsförordningen) när det gäller de dataapplikationer som han själv driver för sina personliga ändamål;
• Svaranden agerar enligt avtal som "registerförare", vilket hindrar honom från att utföra några databehandlingar utan eller i strid med kärandens instruktioner;
• Ett avtal som uppfyller kraven i artikel 28.3 i GDPR har inte ingåtts, trots att käranden har rätt till ett sådant avtal.

Svaranden

• Svaranden ska betraktas som ensam ansvarig i förhållande till käranden, som saknar intresse av att få ett fastställelseyrkande.

OLG (s. 21-23)

• Enbart användningen av en plattform för ett socialt nätverk gör inte i sig användaren medansvarig för den behandling av personuppgifter som utförs av det nätverket;
• En åtskillnad måste göras när det gäller fansidor, där operatören av sidan bidrar till behandlingen av besökarnas personuppgifter, vilket gör honom till personuppgiftsansvarig (EG-domstolen C-210/16, Unabhängiges Landeszentrum für Datenschutz Schleswig Holstein, särskilt punkt 2). 35, 36 och 41).
• En Facebook-användare är således endast en medansvarig part när det gäller tredje parts personuppgifter (artikel 4.7 i dataskyddsförordningen) och endast en registrerad person när det gäller sina egna personuppgifter.

Effektivt samtycke till behandlingen av personuppgifter

Klagande

• Ett samtycke till den sociala medieplattformens användarvillkor och tillhörande riktlinjer för användning av uppgifter ger inte upphov till ett effektivt samtycke i den mening som avses i artiklarna 6.1 och 7 i dataskyddsförordningen;
• I motsats till GDPR-bestämmelserna, som trädde i kraft den 25 maj 2018, föreskriver civilrättsliga avtal enligt den tidigare dataskyddslagen inga uttryckliga krav på "samtycke";
• Genom att integrera förhandsgodkännande i företagets villkor innan GDPR trädde i kraft tvingades användarna oavsiktligt att ingå ett nytt avtal, vilket gjorde det möjligt för plattformen att kringgå de strängare dataskyddsnormerna enligt de nuvarande GDPR-bestämmelserna;
• Därför hade käranden inte gett något effektivt samtycke i den mening som avses i dataskyddsförordningen till den behandling av uppgifter som svaranden utförde.

Svaranden

• Den databehandling som utfördes av plattformen var förenlig med bestämmelserna i artikel 6.1 b i GDPR eftersom den utgjorde en nödvändig del av fullgörandet av avtalet.

OLG (s. 23-24)

• Dataskyddsförordningen tillåter olika grunder för behandling av personuppgifter, bland annat om det är nödvändigt för att fullgöra ett avtal där den registrerade är part (artikel 6.1 b i dataskyddsförordningen);
• Nödvändigheten ska härmed fastställas från fall till fall, med vederbörlig hänsyn till avtalets syfte och de skyldigheter som följer av avtalets innehåll;
• Kärnan i Facebooks affärsmodell och dess avtalssyfte är följande:
  • För användaren: få tillgång till plattformen för personlig kommunikation;
  • För plattform: att göra tillgång tillgänglig utan extra kostnader;
• Det företag som driver plattformen kan därför använda sig av andra finansieringskällor, t.ex. reklam som är anpassad till den specifika användaren;
• Behandlingen av personliga användaruppgifter är en grundläggande grundpelare i avtalet mellan plattformen och användaren, eftersom det är den grund som gör det möjligt att skräddarsy reklamen efter den enskilde användarens intressen;
• Nödvändigheten i fråga om databehandling är fastställd genom att användningen av sådan information å ena sidan formar användarnas individuella upplevelse och å andra sidan utgör en finansiell kanal genom vilken plattformen får sin vinst.

Begäran om tillhandahållande av information

Klagande

• En begäran om information hade lämnats in men ännu inte besvarats i enlighet med artikel 15 i GDPR;
• Att endast delvis tillhandahålla information om användningen och behandlingen av (personuppgifter) är inte tillräckligt för att uppfylla svarandens lagstadgade skyldigheter;
• Osäkerheten om behandlingen av uppgifter orsakade känslomässig ångest som berättigar käranden till ett ideellt skadestånd på 500 euro.

Svaranden

• Svaranden har inte underlåtit att uppfylla sin skyldighet;
• Klaganden hade inte gjort något avgörande påstående om skadeståndskravet.

OLG (24-29)

• Facebook hade underlåtit att ge sina användare tillgång till uppgifter i sina åtkomstverktyg, vilket ger käranden en rätt att väcka talan enligt artikel 15.1 i dataskyddsförordningen;
• Den klagande har rätt till information om följande:
  • De personuppgifter som Facebook behandlar och syftet med detta (artikel 15.1 a i GDPR);
  • Till vem respektive personuppgift lämnas ut, dvs. (kategorier) av mottagare (artikel 15.1 b i GDPR);
  • Uppgifternas ursprung om de inte har samlats in från käranden (artikel 15.1 g i GDPR);
• Beloppet på 500 euro återspeglar den ringa grad av olägenhet som klaganden har lidit och visar sig vara motiverat.

Kommentar

I linje med vad käranden har anfört har Europeiska dataskyddsbyrån tidigare uttryckligen förbjudit behandling av särskilda kategorier av personuppgifter om inte uttryckligt samtycke ges eller om sådan behandling är nödvändig av skäl som rör ett betydande allmänintresse (artikel 9.2 g i GDPR). Även om avtalsklausuler om uppgiftsanvändning fortfarande skulle kunna användas för överföring av uppgifter, skulle de inte vara tillräckliga för att ersätta behovet av att ett sådant samtycke ges.²

OLG har beviljat en rätt att överklaga till Österrikes högsta domstol, men man förväntar sig att de rättsliga frågor som tagits upp återigen kommer att tas upp i Europeiska unionens domstol i sinom tid.

Fotnoter

1 dom finns tillgänglig på tyska via: https://noyb.eu/sites/default/files/2020-12/BVI-209_geschw%C3%A4rzt.pdf.

2 Olbrechts, A. (2020) "Europäischer Datenschutzausschuss - 34. Plenartagung: Schrems II, Wechselspiel Zwischen PSD2 Und DSGVO, Schreiben an MdEP Ďuriš Nicholsonová Zu Den Themen Ermittlung Von Kontaktpersonen, Interoperabilität Von Apps Und Datenschutz-Folgenabschätzungen." Europäischer Datenschutzausschuss - Europeiska dataskyddsnämnden. Tillgänglig på: edpb.europa.eu/news/news/2020/european-data-protection-board-thirty-fourth-plenary-session-schrems-ii-interplay_de [besökt 05.02.2021].

Innehållet i denna artikel är avsett att ge en allmän vägledning i ämnet. Specialister bör rådfrågas om dina specifika omständigheter.