2020年12月7日(2020年12月28日送达)，高等地方法院(Oberlandesgericht Wien，OLG)对上诉程序作出裁决。 Schrems诉Facebook爱尔兰有限公司.(GZ 11 R 153 / 20f, 154 / 20b).¹ 它确认了地区民事法院的裁决，认为该社交媒体平台有责任向原告提供关于他的全部数据，从而要求该公司支付500欧元的赔偿金（GDPR第82条）。

不过，它也认为，数据处理行为并不要求平台根据欧盟数据保护法（GDPR第6（1）（a）条）获得用户明确的、单独的同意，但这种数据使用权是Facebook根据其合同条款固有的。

该决定的核心是一些法律申诉，并引起了三个不同的问题，现单列如下：

数据保护法下的党派角色分配

原告

• 原告认为，对于自己为个人目的而操作的数据应用，平台用户被认为是责任方或 "控制者"（GDPR第4（7）条）。
• 被告通过合同充当 "处理者 "的角色，防止其在没有或违背原告指示的情况下进行任何数据应用。
• 符合《国内生产总值条例》第28(3)条要求的合同尚未签订，尽管原告有权要求签订此类协议。

被告

• 被告应被视为对原告的唯一责任方，原告对宣告性救济缺乏兴趣。

OLG（第21-23页）

• 仅仅使用社交网络平台本身并不能使用户对该网络进行的个人数据处理承担共同责任。
• 对于粉丝网页，应加以区分，该网页的经营者参与处理访问者的个人数据，使其成为控制者(ECJ C-210/16, Unabhängiges Landeszentrum für Datenschutz Schleswig Holstein, esp. para. 35, 36 and 41)。35、36和41段）。)
• 因此，Facebook用户只是第三方个人数据的共同责任人(GDPR第4(7)条)，而对于自己的个人数据，他只是一个数据主体。

有效同意 个人资料的处理

原告

• 同意社交媒体平台的使用条款和相关的数据使用指南，并不产生GDPR第6条第1款和第7条意义上的有效同意。
• 与2018年5月25日起生效的GDPR规定相反，原数据保护法所管辖的民法合同并未规定明确的 "同意 "要求。
• 通过在GDPR生效前将事先同意纳入企业的条款和条件中，用户在无意中被迫签订了新的合同，从而使平台规避了现行GDPR条款下更严格的数据保护标准。
• 因此，原告并没有就被告对数据的处理作出GDPR意义上的有效同意。

被告

• 该平台所进行的数据处理符合GDPR第6(1)(b)条的规定，因为构成合同履行的必要部分。

OLG（第23-24页）

• GDPR允许在不同的基础上处理个人数据，特别是在数据主体作为一方当事人履行合同所必需的情况下（GDPR第6(1)(b)条）。
• 必要性在此逐一确定，并适当考虑到合同的目的和合同内容所产生的义务。
• 脸谱网商业模式的本质及其合同目的的核心是。
  • 对于用户来说：获得进入个性化通信平台的机会。
  • 对于平台：在不增加费用的情况下提供访问。
• 因此，运营平台的公司可能会求助于其他融资渠道，例如为特定用户定制的广告。
• 对用户个人数据的处理表明了平台与用户之间协议的基本支持支柱，因为它是使广告能够根据个人用户的兴趣定制的基础。
• 数据处理的必要性部分是成立的，因为这些信息的利用一方面塑造了用户的个性化体验，同时也构成了平台获取利润的金融渠道。

要求提供资料

原告

• 已提交信息请求，但尚未根据《国内生产总值条例》第15条得到答复。
• 仅提供部分关于使用和处理（个人）资料的信息，这没有履行被告的法律责任。
• 数据处理的不确定性造成了精神痛苦，使原告有权获得500欧元的非物质损失。

被告

• 被告没有不履行职责。
• 原告没有就损害赔偿要求提出结论性的指控。

OLG(24-29)

• Facebook没有准许用户访问其访问工具中的数据，这使得原告有了根植于GDPR第15（1）条的诉讼权利。
• 原告有权获得以下方面的信息：
  • Facebook正在处理的个人数据及其目的（GDPR第15(1)(a)条）。
  • 向谁披露各自的个人资料，即(类别)接收者(GDPR第15(1)(b)条)。
  • 如果不是从原告处收集的数据的来源（GDPR第15条第1款(g)项）。
• 500欧元的数额反映了原告所遭受的轻微不适，证明是合理的。

评论

与原告的意见一致，欧洲数据保护局此前已明确禁止处理特殊类别的个人数据，除非得到明确同意，或者出于重大公共利益的原因，这种处理是必要的(《国内生产总值条例》第9(2)(g)条)。虽然关于数据使用的合同条款仍可用于转移数据，但这些条款不足以取代提供这种同意的必要性。²

虽然奥组委授予了向奥地利最高法院上诉的权利，但预计所提出的法律问题将在适当的时候再次提交给欧洲联盟法院。

脚注

1 判决书有德文版。 https://noyb.eu/sites/default/files/2020-12/BVI-209_geschw%C3%A4rzt.pdf.

2 Olbrechts, A. (2020) "Europäischer Datenschutzausschuss - 34。Plenartagung:Schrems II，Wechselspiel Zwischen PSD2 Und DSGVO，Schreiben an MdEP ınituriš Nicholsonová Zu Den Themen Ermittlung Von Kontaktpersonen，Interoperabilität Von Apps Und Datenschutz-Folgenabschätzungen。" Europäischer Datenschutzausschuss - 欧洲数据保护委员会.可在： edpb.europa.eu/news/news/2020/european-data-protection-board-thirty-fourth-plenary-session-schrems-ii-interplay_de。 [2021年2月5日查阅]。

本文的内容旨在为该主题提供一般性指导。应就您的具体情况征求专家意见。