Oberster Gerichtshof (OGH) in Österreich: Meta muss Nutzer innerhalb von 14 Tagen vollständigen Zugriff auf alle persönlichen Daten gewähren. Das beinhaltet auch Quellen, Empfänger und Zwecke, für die diese Daten verwendet wurden. Alle Behauptungen von Meta hinsichtlich Geschäftsgeheimnissen oder anderen Einschränkungen wurden zurückgewiesen, was einen beispiellosen Einblick in Metas interne Abläufe ermöglicht. Meta hat außerdem unrechtmäßig Daten von Dritt-Apps und Webseiten gesammelt. Personalisierte Werbung darf nur mit expliziter Einwilligung der Betroffenen geschaltet werden. Meta muss außerdem sicherstellen, dass sensible Daten (wie politische Ansichten, sexuelle Orientierung oder Gesundheit) nicht gemeinsam mit anderen Daten verarbeitet werden, wenn keine Rechtsgrundlage gemäß Artikel 9(2) DSGVO vorliegt. Meta kann sich der Anwendung von Artikel 9 DSGVO nicht entziehen, indem es argumentiert, dass es solche Daten nicht absichtlich sammelt oder sie technisch nicht unterscheiden oder trennen kann. Der Fall wurde 2014 von Max Schrems vorgebracht und dauerte 11 Jahre. Er wurde drei mal vor dem Obersten Gerichtshof Österreichs und zweimal vor dem EuGH verhandelt. Herr Schrems wurden € 500 Entschädigung zugesprochen.
Zugriff auf alle persönlichen Daten und sonstige Infos innerhalb von 14 Tagen. Gemäß Artikel 15 DSGVO muss Meta Nutzer:innen auf Anfrage nicht nur eine 1:1-Kopie aller persönlichen Daten zur Verfügung stellen, sondern auch Informationen über die Zwecke der Verarbeitung, sowie über die Quellen und Empfänger. Bereits 2011 versuchte der Kläger (Max Schrems), vollständigen Zugriff auf seine persönlichen Daten zu erhalten. Meta gewährte ihm jedoch nur teilweisen Zugriff. Meta verwies Betroffene lediglich auf ein „Download-Tool“, das angeblich „relevante“ Informationen erhielt. Ansonsten verwies das Unternehmen auf seine allgemeine Datenschutzerklärung. Der Oberste Gerichtshof (OGH) Österreichs hat nun entschieden, dass Meta alle persönlichen Daten offenlegen – und spezifische Informationen zu diesen Daten, wie z.B. die Quelle, die Empfänger und den Zweck der Verarbeitung innerhalb von 14 Tagen (bis zum 31.12.2025) bereitstellen muss. Die gesetzliche Standardfrist von einem Monat ist bereits vor Jahren abgelaufen. Metas Behauptungen zu angeblichen Einschränkungen es Auskunftsrechts (z.B. wegen Geschäftsgeheimnissen) wurden nicht ordnungsgemäß argumentiert und daher vollständig zurückgewiesen. Die OGH-Entscheidung führt daher zu einem beispiellosen Zugriff von Herrn Schrems auf Metas Praxis der Verarbeitung seiner Nutzerdaten.
Katharina Raabe-Stuppnig, die österreichische Anwältin, die den Kläger vertritt: „Nach elf Jahren gibt es nun ein abschließendes Urteil, wonach Meta Herrn Schrems beispiellosen Zugang zu den über ihn gesammelten Daten gewähren muss. Dies geht weit über das Download-Tool oder die Informationen auf der Webseite hinaus. Seit mehr als einem Jahrzehnt weigert sich Meta, vollständige Transparenz über die Verarbeitung von europäischen Daten zu gewähren. Das Urteil ist in der gesamten EU unmittelbar vollstreckbar.“
Metas Werbemodell in der EU seit Jahren rechtswidrig. Der OGH entschied außerdem, dass Meta die bereitstellung personalisierter Werbung für Herrn Schrems einstellen muss. Es gab nie eine gültige Rechtsgrundlage für die Verarbeitung seiner persönlichen Daten zu diesem Zweck. In dieser Hinsicht wurden Herrn Schrems‘ Ansprüche weitgehend durch die Rechtssache C-252/21 Bundeskartellamt überholt. In dieser hatte der EuGH bereits entschieden, dass Meta nicht über die erforderliche Rechtsgrundlage für die Verarbeitung persönlicher Daten von Europäer:innen zu Werbezwecken verfügt.
Katharina Raabe-Stuppnig: „Der Oberste Gerichtshof Österreichs hat erneut klargestellt, dass Meta eine Opt-in-Einwilligung benötigt, um Personen zu tracken und ihre Daten für Werbezwecke zu verwenden.“
Trennung „sensibler Daten“ von anderen Daten“. Gemäß Artikel 9 DSGVo sind bestimmte „sensible“ Daten besonders geschützt. Dazu gehören Informationen über Gesundheit, politische Ansichten, Sexualleben oder sexuelle Orientierung. Meta lehnt es kategorisch ab, solche Daten (die es über Drittanbieter-Apps, Websites oder Nutzer:innenaktivitäten auf seinen Plattformen erhält) gesondert zu behandeln. Der OGH hat nun jedoch klargestellt, dass Meta sich auch dann an die gesetzlichen Bestimmungen halten muss, wenn es solche Daten unabsichtlich verwenden würde (eine Behauptung, die im Verfahren umstritten war).
Max Schrems: „Plattformen wie Facebook und Instagram haben einen enormen Einfluss, zum Beispiel indem sie den Nutzer:innen politische Ansichten aufdrängen. Es war schon immer absurd, dass Meta behauptete, solche Daten nicht zu verarbeiten und sich nicht an das Gesetz halten zu müssen. Die Entscheidung macht deutlich, dass Meta solche Nutzer:innenpräferenzen nicht ohne die ausdrückliche Zustimmung der Betroffenen verwenden darf.“
Schadenersatz von € 500 für die meisten Meta-Nutzer:innen realistisch. In einer früheren Teilentscheidung wurden Herrn Schrems bereits € 500 Schadenersatz für die verspätete Beantwortung seines Auskunftsersuchens zugesprochen. Herr Shcrems stützte sich bei dieser Klage auch auf die anderen DSGVO-Verstöße. Der Grund für die Zuerkennung des Schadenersatzes geht nicht klar aus dem Urteil hervor. Es scheint jedoch, dass der OGH einen Schadenersatz von mindestens € 500 für Verstße, die fast alle Meta-Nutzer:innen erlebt haben, als eindeutig gerechtfertigt sieht. Herr Schrems forderte keinen höheren Betrag. Das Gericht war deshalb an die Obergrenze von € 500 gebunden.
Katharina Raabe-Stuppnig: „Es scheint realistisch, dass Betroffene mindestens € 500 Schadenersatz für die umfangreichen DSGVO-Verstöße durch Meta geltend machen können. Dies könnte ein guter Richtwert für viele andere anhängige Fälle in Europa sein.“
11 Jahre, 3 OGH-Urteile und 2 Urteile des EuGH erforderlich. Insgesamt nahm dieser Fall 11 Jahre in Anspruch. Ursprünglich hatte sich das Landesgericht für Zivilsachen in Wien zweimal geweigert, den Fall anzuhören. Es argumentierte sogar, dass Herr Schrems mit seinem privaten Facebook-Konto kein „Verbraucher“ sei. Später verwies es auf Unsicherheiten hinsichtlich der Zuständigkeit gemäß DSGVO. Der OGH entschied dreimal über den Fall, darunter zweimal nach Vorlage an den Europäischen Gerichtshof. Während die endgültige Entscheidung über die Kosten noch aussteht, beliefen sich die Gesamtkosten bisher auf € 200.000 – bei einer finanziellen Forderung von etwa € 500.
Max Schrems: „Die Realität von DSGVO-Rechtsstreitigkeiten ist für Durchschnittsbürger, dass sie ein Jahrzehnt dauern und finanziell verheerend sind. Große Technologieunternehmen verstecken sich hinter Gerichtsbarkeiten wie Irland, bringen 100 Gründe für eine Abweisung des Falles vor und sabotieren das Verfahren an jeder Ecke. Wir müssen dringend daran arbeiten, die DSGVO in der Praxis durchsetzbar zu machen.“
Manche Ansprüche fallen gelassen. Im Laufe des Verfahrens Herr Schrems aus Kosten- und Verfahrensgründen auf eine Reihe von Ansprüchen verzichtet. Bestimmte Ansprüche wurden auch als alternative Ansprüche geltend gemacht (sodass nur einer von ihnen erfolgreich sein konnte). Der Fall wurde durch sehr ungünstige Urteile in erster Instanz in die Länge gezogen. Nach österreichsichem Recht ist es beispielsweise sehr schweierig, Tatsachenfeststellungen in erster Instanz zu widerlegen. Viele berechtigte Ansprüche mussten daher fallen gelassen werden.
