Osztrák Legfelsőbb Bíróság (OGH): A Meta köteles 14 napon belül teljes hozzáférést biztosítani a felhasználó valamennyi személyes adatához, beleértve a forrásokat, a címzetteket és az egyes információk felhasználásának céljait. A Meta minden, üzleti titokra vagy egyéb korlátozásokra vonatkozó állítását elutasították, ami a Meta belső működéséhez való példátlan hozzáférést eredményezett. A Meta emellett jogellenesen gyűjtött adatokat harmadik féltől származó alkalmazásokból és weboldalakról, és csak akkor nyújthat személyre szabott hirdetést, ha a felhasználó "konkrét, tájékozott, egyértelmű és szabadon adott" beleegyezését adta. A Meta köteles továbbá biztosítani, hogy az érzékeny információkat (például politikai nézeteket, szexuális irányultságot vagy egészségi állapotot) feltáró adatokat csak akkor dolgozza fel más adatokkal együtt, ha a GDPR 9. cikkének (2) bekezdése szerinti érvényes jogalap áll fenn. A Meta nem kerülheti el a GDPR 9. cikkének alkalmazását azzal az érveléssel, hogy nem szándékosan gyűjt ilyen adatokat, vagy hogy technikailag nem tudja azokat megkülönböztetni vagy elkülöníteni. A Max Schrems által 2014-ben indított ügy eredetileg 11 évig tartott, és háromszor az osztrák legfelsőbb bíróságot, kétszer pedig az EUB-t is megjárta. Schrems úrnak 500 euró kártérítést ítéltek meg.
Teljes hozzáférés minden személyes adathoz és egyéb információhoz 14 napon belül. A GDPR 15. cikke értelmében a Meta nem csak az összes személyes adat teljes körű 1:1 másolatát köteles biztosítani minden felhasználó számára, aki ezt kéri, hanem tájékoztatást kell adnia arról is, hogy milyen célból dolgozták fel ezeket az adatokat, valamint az egyes információk forrásait és címzettjeit. A felperes (Max Schrems) 2011 óta próbált teljes hozzáférést kapni a személyes adataihoz, de a Meta csak részleges hozzáférést biztosított. Az átlagos felhasználók számára a Meta csak egy "letöltési eszközre" hivatkozott, amely az általa "relevánsnak" nevezett információkat tartalmazta, egyébként pedig általános adatvédelmi szabályzatára hivatkozott. Az osztrák legfelsőbb bíróság most úgy döntött, hogy a Meta köteles az összes személyes adatot (minden egyes bitjét) nyilvánosságra hozni, és minden adatról konkrét tájékoztatást is adni, például a forrásról, a címzettről vagy a feldolgozás céljáról, mindezt egy 14 napos, 2025.12.31-én lejáró határidőn belül. A törvény szerinti alapértelmezett határidő egy hónap - ami már évekkel ezelőtt lejárt. A Meta a teljes körű hozzáférési jog állítólagos korlátozására vonatkozó állításait (például üzleti titok és hasonlók) a Meta nem érvelt megfelelően, ezért azokat teljes mértékben elutasították. Az osztrák legfelsőbb bíróság jogerős és közvetlenül végrehajtható ítélete tehát azt eredményezi, hogy Schrems úr példátlan módon hozzáférhet a Meta által az ő (és valójában bárki más) felhasználói adatainak feldolgozása során alkalmazott gyakorlathoz.
Katharina Raabe-Stuppning, a felperest képviselő osztrák ügyvéd: "11 évbe telt, de most már jogerős ítélet született arról, hogy a Meta köteles példátlan hozzáférést biztosítani minden olyan adathoz, amelyet valaha is gyűjtött Schrems úrról. Ez messze túlmutat a letöltési eszközön vagy a weboldalon található információkon. A Meta több mint egy évtizeden keresztül ellenállt annak, hogy teljes átláthatóságot biztosítson arról, hogy milyen adatokat dolgoz fel az európai felhasználókról. Az ítélet az egész EU-ban közvetlenül végrehajtható."
A Meta hirdetési modellje évek óta jogellenes az EU-ban. Az osztrák legfelsőbb bíróság azt is kimondta, hogy a Metának fel kell hagynia a személyre szabott hirdetések Schrems úrnak történő szolgáltatásával, mivel soha nem volt jogalapja arra, hogy személyes adatait ilyen célból kezelje. Ebben a tekintetben Schrems úr állításait nagymértékben felülírta az EUB C-252/21 Bundeskartellamt ügyben hozott ítélete, amelyben az EUB már megállapította, hogy a Meta nem rendelkezik a szükséges jogalapokkal az európaiak személyes adatainak hirdetési célú feldolgozásához.
Katharina Raabe-Stuppning: "Az osztrák legfelsőbb bíróság - ismét - egyértelművé tette, hogy a Meta opt-in beleegyezésre van szükség ahhoz, hogy az embereket nyomon követhesse és adataikat reklámozásra használhassa."
Az "érzékeny adatok" elkülönítése más adatoktól. A GDPR 9. cikke szerint bizonyos "érzékeny" adatok különleges védelmet élveznek. Ide tartoznak az egészségi állapotra, a politikai nézetekre, a szexuális életre vagy a szexuális irányultságra vonatkozó információk. A Meta kategorikusan elutasítja, hogy az ilyen adatokat - amelyeket harmadik fél alkalmazásain, weboldalán vagy a platformjain végzett felhasználói tevékenység révén kap - másként kell kezelnie, mint más adatokat. Az osztrák legfelsőbb bíróság azonban egyértelművé tette, hogy még ha a Meta nem is használna fel szándékosan ilyen adatokat (ezt az állítást az eljárás során vitatták), akkor is be kell tartania a törvényt.
Max Schrems: "Az olyan platformok, mint a Facebook vagy az Instagram hatalmas befolyással rendelkeznek, például a politikai nézetek felhasználókra való ráerőltetésén keresztül. Mindig is abszurd volt, hogy a Meta azt állította, hogy nem kezel ilyen adatokat, és nem kell betartania a törvényt. A határozat egyértelművé teszi, hogy a Meta nem használhatja fel az ilyen felhasználói preferenciákat az egyes felhasználók kifejezett hozzájárulása nélkül."
Az 500 eurós kártérítés reális a legtöbb Meta felhasználó számára. Egy korábbi részleges határozat már 500 eurós kártérítést ítélt meg Schrems úrnak a hozzáférési kérelmének késedelmes megválaszolása miatt. Schrems úr a GDPR egyéb megsértéseire is hivatkozott e követelésében. Az ítélet nem tűnik egyértelműnek a megítélt kártérítés indoklását illetően, de úgy tűnik, hogy az osztrák legfelsőbb bíróság legalább 500 eurós kártérítést határozottan indokoltnak tekintett olyan jogsértések miatt, amelyeket szinte minden Meta-felhasználó tapasztalt. Schrems úr nem kért ennél többet, így a bíróság az 500 eurós felső határhoz volt kötve.
Katharina Raabe-Stuppning: "Reálisnak tűnik, hogy az érintettek legalább 500 euró nem vagyoni kártérítést követeljenek a GDPR azon kiterjedt megsértéséért, amelyet a Meta elkövetett. Ez jó alsó határérték lehet számos más, Európában folyamatban lévő ügy számára."
11 év, 3 legfelsőbb bírósági és 2 EUB határozatra volt szükség. Összességében ez az ügy 11 évig tartott. Az eredeti bécsi tartományi polgári bíróság (Landesgericht für Zivilrechtssachen) kétszer is elutasította az ügy tárgyalását, még azzal az érveléssel is, hogy Schrems úr nem "fogyasztó" a privát Facebook-fiókja miatt. Később a GDPR szerinti joghatósággal kapcsolatos bizonytalanságra hivatkozott. Az osztrák legfelsőbb bíróság háromszor döntött az ügyben, többek között két alkalommal az EU Bíróságához fordulva. Bár a költségekről szóló végleges döntést fenntartják, a perköltségek összértéke eddig meghaladta a 200 000 eurót - egy körülbelül 500 eurós pénzügyi követelés esetén.
Max Schrems: "A GDPR-perek valósága az, hogy egy átlagember számára egy évtizedig tart és tönkreteszi a céget. A nagy technológiai vállalatok olyan joghatóságok mögé bújnak, mint Írország, 100 okot hoznak fel arra, hogy miért kellene elutasítani az ügyeket, és minden sarkon szabotálják az eljárásokat. Sürgősen dolgoznunk kell azon, hogy a GDPR a gyakorlatban is végrehajthatóvá váljon."
Néhány keresetet ejtettek. Az eljárás során Schrems úr költségekre és eljárási okokra hivatkozva számos követelésről lemondott. Bizonyos követeléseket alternatív követelésként is benyújtott (így csak az egyik követelés lehetett volna sikeres). Az ügyet jelentősen elhúzódott az elsőfokú, nagyon kedvezőtlen ítéletek miatt, mivel az osztrák jog szerint például az elsőfokú ténymegállapításokat nagyon nehéz megváltoztatni. Ezért számos jogos követelést el kellett ejteni.
