Schrems vs. Facebook, die Schrems-Saga läuft weiter

Der Oberste Gerichtshof Österreichs hat im Rahmen des Urteils zwischen Maximilian Schrems und Facebook vier Fragen an dem EuGH gestellt, um zu bestimmen, ob Facebook gegen die Rechte des Datenschutzaktivisten verstoßen hat.

Die Hauptfrage bezieht sich auf die Rechtsgrundlage für die Datenverarbeitung durch Facebook. Das soziale Netzwerk hat bis zum 25.05.2018 die Einwilligung der Benutzer als Rechtsgrundlage zitiert. Mit Inkrafttreten der Datenschutzgrundverordnung (DSGVO) hat Facebook die Rechtsgrundlage gewechselt, da die Kriterien vom Art. 7 der DSGVO für die Einwilligung nicht einzuhalten waren, insbesondere die Freiwilligkeit im Rahmen der Einwilligungserklärung. So hätten Nutzer beispielsweise der Nutzung ihrer Daten für Werbung widersprechen können. Ein Sachverhalt der massiv das Geschäftsmodell von Facebook gestört hätte. Darüber hinaus wird diese nicht ausreichend erklärt resp. der Betroffene darüber informiert.

Seit 2018 begründet also Facebook die Datenverarbeitung als Vertrag mit dem Benutzer für die Zurverfügungstellung von personalisierten Werbungen. Der EuGH wird jetzt befragt, ob der Wechsel zwischen den Rechtsgrundlagen erlaubt ist und darüber hinaus,. ob die verträgliche Rechtsgrundlage überhaupt zutreffend ist, da gem. DSGVO nur notwendige Daten für die Vertragsdurchführung auf dieser Grundlage verarbeitet werden dürfen. Dieses sei hier nicht der Fall, da Benutzer Facebook nicht für Werbung benutzen. Die Notwendigkeit bezieht sich aus dem Zweck des Vertrages.

Weiterhin beklagt Maximilian Schrems generalisierte Verstöße gegen die DSGVO, unter anderem auf Grund der Verarbeitung von sensiblen Daten gem. Art. 9 DSGVO ohne Einwilligung. Auch diese sensiblen Daten, einschließlich gefolgten Seiten oder mit „gefällt mir“ markierten Seiten werden analysiert und aggregiert, um auf Interessen der Benutzer zu zielen. Zum Beispiel Gesundheitsthemen, Themen zur sexuellen Orientierung oder Werbung für politische Parteien. Auch Rückschlüsse aus Online-Aktivitäten außerhalb von Facebook sowie Rückschlüsse aus Freundesgruppen und Aktivitäten der Freunde sind hier möglich.

Zusammenhängend sei hier auch ein Verstoß gegen die Datenminimierung vorhanden, durch die reine Anzahl an Daten, die durch Facebook verarbeitet werden, insbesondere durch „Social Media Plugins“, „Like Buttons“, Facebook Pixels und Cookies. Zudem wird auch die nicht-Einhaltung der Löschpflichten kritisiert, da nicht-notwendige Daten nicht gelöscht werden können, insbesondere alte Passwörter und Namen.

Als Teilerfolg konnte Schrems zumindest 500€ Schadensersatz zugesprochen werden als Folge „massiv nervender“ Datenverarbeitung. Ob hieraus weitere Schadensersatzansprüche anderer Nutzer sich ergeben können wird die Zukunft zeigen.

Erst vor kurzem hatte Ulrich Kelber, der Bundesdatenschutzbeauftragte, Behörden aufgefordert Facebook-Seiten bis Ende 2021 zu löschen. Laut dem Bundesdatenschutzbeauftragten ist ein datenschutzkonformer Betrieb einer Facebookseite nicht möglich. Facebook ist somit immer stärker im Visier der Datenschutzbeauftragter und Behörden und ggf. können wir in Kürze einen eventuellen Schrems-III Urteil erwarten.

Sie sehen: Datenschutz bleibt spannend. Wir halten Sie auf dem Laufenden.