Facebooks DSGVO-Etikettenschwindel vor österreichischem Obersten Gerichtshof, mit hohem Potenzial für eine Vorlage an den EuGH
Wie die österreichische Presseagentur (APA) und die Zeitung Der Standard berichten, hat ein Fall den Obersten Gerichtshof (OGH) erreicht, der über die Rechtmäßigkeit von Facebooks Geschäften in Europa entscheiden könnte. Facebook und Max Schrems haben beide Rechtsmittel gegen ein früheres Urteil des Oberlandesgerichts Wien (OLG Wien) eingelegt. Neben vielen anderen Fragen wurde eine angebliche "Umgehung" der strengen DSGVO-Einwilligungsregeln zum zentralen Punkt in dem Fall. Schrems hat den Obersten Gerichtshof gebeten, den Fall zur Klärung an den Europäischen Gerichtshof (EuGH) zu verweisen. Facebook versucht dies zu verhindern.
Facebooks "Einwilligungs-Umgehung". Seit die DSGVO in Kraft ist, muss verpflichtend eine klare Einwilligung für die Datenverarbeitung eingeholt werden. Neben der Einwilligung gibt es jedoch fünf weitere Rechtsgrundlagen für die Verarbeitung von Daten gemäß Artikel 6(1) DSGVO. Eine dieser Grundlagen ist die Verarbeitung, die "für die Erfüllung eines Vertrags erforderlich" ist. Am 25. Mai 2018 um Mitternacht, als die DSGVO in Kraft trat, hat Facebook im Kleingedruckten des Vertrags einfach Dinge wie "personalisierte Werbung" angeführt. Facebook argumentiert nun, dass es eine "Pflicht zur Bereitstellung personalisierter Werbung" gegenüber der Nutzer:innen hat und daher keine Einwilligung zur Verarbeitung seiner personenbezogenen Daten mehr benötigt.
Der große Unterschied zwischen Einwilligung und Vertrag? Die DSGVO hat sehr strenge Regeln für die Einwilligung. Nutzer:innen müssen vollständig informiert werden, die freie Wahl haben, ja oder nein zu sagen, und sie müssen in der Lage sein, jeder Art der Verarbeitung ausdrücklich zuzustimmen. Außerdem können Nutzer:innen ihre Einwilligung jederzeit kostenlos zurückziehen. Verträge sind jedoch Sache des nationalen Rechts und in der Regel viel flexibler. Nutzer:innen müssen einen Vertrag nicht verstanden haben, um daran gebunden zu sein. Details können in AGB versteckt sein und die geben Nutzern:innen üblicherweise keine Wahl.
Katherina Raabe-Stuppnig, LGP, Rechtsanwältin von Max Schrems "Nur weil man eine Einwilligung in eine Vertrag verschiebt, bleibt es eine Einwilligung. Facebook versucht hier einfach einen Etikettenschwindel, um die DSGVO zu umgehen.“ und weiter "Alle anderen Unternehmen müssen eine Einwilligung einholen – nur Facebook glaubt herumtricksen zu können. Man muss Verträge primär nach ihrem wahren Zweck auslegen. Die Einwilligung in einem Vertrag muss also auch als Einwilligung interpretiert werden."
64% der User sehen eine "Zustimmung", 1,6% einen "Werbevertrag". noyb hat eine Studie des Gallup-Instituts in Auftrag gegeben, in der 1.000 österreichische Facebook-Nutzer:innen nach ihrem Verständnis der Vereinbarung befragt wurden. Etwa zwei Drittel interpretierten die betreffende Seite als Einverständniserklärung, nur etwa 10% sahen einen "Vertrag", von denen nur 16 Nutzer:innen (1,6%) eine Verpflichtung zur Bereitstellung personalisierter Werbung verstanden haben, so wie von Facebook behauptet. Die beiden Vorinstanzen in Österreich vertraten jedoch die Ansicht, dass es allein im Ermessen von Facebook liegt, eine Klausel als "Vertrag" oder "Einwilligung" zu bezeichnen. Sie sahen daher kein Problem mit Facebooks DSGVO-Umgehung. Beide Gerichte hielten jedoch fest, dass die Angelegenheit einer Klärung durch die Höchstgerichte bedarf.
DSGVO eingehalten? Der Ansatz von Facebook ignoriert die DSGVO, oder zumindest ihre Intention. Facebook behauptet dennoch, vollständig konform zu sein. Der Standard zitiert die liberale EU-Parlamentarierin Sofie in 't Veld, die die DSGVO mitverhandelt hat: "Die Bedingung, die Einwilligung der User einzuholen, muss bestehen bleiben. Vertragsklauseln können nicht als Ausweichklausel für diese Anforderung verwendet werden, genauso wenig wie jede andere Rechtsgrundlage für die Verarbeitung von Daten. Die DSGVO ist eindeutig darauf ausgelegt, den Nutzern die Kontrolle über ihre Daten zu geben. Nicht, um Facebook zu erlauben, die Nutzer um ihre persönlichen Daten zu betrügen."
Untätigkeit der Datenschutzbehörde. Die gleiche Angelegenheit wurde von noyb auch vor der irischen Datenschutzkommission (DPC) vor mehr als 2,5 Jahren vorgebracht. Die drei Untersuchungen zur "erzwungenen Einwilligung" verliefen jedoch schleppend und die Kernfrage einer "Umgehung" wurde von der Behörde sogar als nicht verfahrensrelevant eingestuft. Im österreichischen Fall argumentierte Facebook, dass die Umgehung in zehn Treffen mit der DPC gemeinsam entwickelt wurde. Die DPC hat dies zwar bestritten, sich aber geweigert, Details zu den zehn vertraulichen Treffen mit Facebook im Vorfeld der DSGVO-Umsetzung offenzulegen. Zwei der irischen Fälle sind nun Gegenstand einer Judicial Review vor dem Irischen High Court, der dritte Fall ist vor dem österreichischen Bundesverwaltungsgericht (BVwG) anhängig.
Vielversprechende Bilanz. Der österreichische Oberste Gerichtshof hat ähnliche Fälle bereits an den EuGH verwiesen (siehe z.B. C-18/18 - Glawischnig-Piesczek, C-498/16 - Schrems). Der EuGH wiederum hat in der Vergangenheit in Datenschutzfragen meist gegen Facebook entschieden (siehe z.B. C-40/17 - Fashion ID oder C-210/16 - Wirtschaftsakademie Schleswig-Holstein) und auch in zwei Fällen gegen Facebook zu EU-US-Datentransfers ("Schrems I" und "Schrems II"). Es ist daher nicht unwahrscheinlich, dass auf Facebook ernsthafte Schwierigkeiten zukommen werden. Der österreichische Oberste Gerichtshof führt keine mündlichen Verhandlungen durch und entscheidet über Vorlagen an den EuGH in der Regel innerhalb weniger Monate durch eine schriftlichen Entscheidung. Der EuGH selbst benötigt jedoch bis zu 1,5 Jahre, um alle Anhörungen durchzuführen und eine Entscheidung zu treffen.