Het Hooggerechtshof van Wenen: Facebook kan GDPR toestemming "omzeilen", maar moet wel toegang geven tot gegevens

Dec 29, 2020

De Weense Hoge Raad (Oberlandesgericht Wien) heeft vandaag beslist dat Facebook de heer Schrems een emotionele schadevergoeding van 500 euro moet betalen en hem volledige toegang moet verlenen tot alle gegevens die Facebook over hem in zijn bezit heeft. De internetgigant hoeft echter geen toestemming te krijgen van de gebruikers om hun gegevens te gebruiken in het kader van de EU-wetgeving inzake gegevensbescherming (GDPR). In plaats daarvan kan Facebook zichzelf gewoon het recht geven om alle gegevens in zijn voorwaarden te gebruiken.

Facebook's "toestemming bypass" legaal? De GDPR laat verschillende grondslagen toe voor de verwerking van persoonsgegevens: Bijvoorbeeld, toestemming of een contract. Civielrechtelijke contracten hoeven niet te voldoen aan de strenge eisen van "toestemming" volgens de GDPR. Dit zou betekenen dat het bedrijf de gebruikers geen vrije keuze hoeft te geven en een afzonderlijke en ondubbelzinnige toestemming dient te verkrijgen. Behalve in het kader van het systeem voor toestemming zouden gebruikers hun toestemming dan ook niet kunnen intrekken als ze van gedachten veranderen.

Naar aanleiding van dat idee heeft Facebook in de nacht van 25.5.2018, toen de GDPR in werking trad, eenvoudigweg de vorige toestemming gekopieerd naar zijn civielrechtelijke voorwaarden. Het bedrijf beweert nu een "contract" te hebben om de gegevens van de gebruikers te verwerken. Dit nieuwe contract vervangt dus de toestemming die werd gebruikt voor de inwerkingtreding van de GDPR. Dit was duidelijk bedoeld om de strengere eisen op het gebied van gegevensbescherming te omzeilen die door de EU-wetgevers werden geëist: Facebook-gebruikers hebben nu minder rechten onder de GDPR dan voorheen onder de oude wet op de gegevensbescherming, omdat ze volgens het Weense Hoger Gerechtshof een contract hebben afgesloten voor het ontvangen van gepersonaliseerde reclame.

In een representatieve enquête onder 1.000 Facebook-gebruikers erkende echter slechts 1,6% van de gebruikers een dergelijk "contract". De meerderheid ging uit van "toestemming" - net als de eiser. Ook het Europees Comité voor gegevensbescherming (EDPB) staat uitdrukkelijk geen "contracten voor gegevensgebruik" toe in plaats van toestemming.

Schrems:"De Oostenrijkse rechtbank staat toe dat Facebook de nieuwe GDPR-vereisten omzeilt. Facebook heeft de "toestemming" gewoon in een ander document gekopieerd in de nacht dat de GDPR van kracht werd en stelt dat dit een contract zou zijn, geen toestemming. Dit zou tot gevolg hebben, dat de Europeanen hun nieuwe bescherming zouden worden ontnomen. Facebook maakt duidelijk misbruik van de wet en dit kan niet worden getolereerd

Facebook moet 500 euro betalen en volledige toegang geven tot de gegevens. Aan de andere kant heeft Facebook zijn beroep op het recht op toegang verloren. De Oostenrijkse rechtbanken hebben in twee gevallen geoordeeld dat Facebook de gebruikers geen volledige toegang verleent tot alle relevante gegevens in hun verschillende toegangs "tools". Het Hof oordeelde ook dat de gebruikers het recht hebben om te weten welke andere partijen gegevens aan Facebook hebben verstrekt en of en aan wie Facebook gegevens heeft verstrekt. Aangezien Facebook de heer Schrems consequent in het ongewisse heeft gelaten over deze gegevens, zijn zij verplicht om ten minste het symbolische bedrag van € 500,- te betalen dat de heer Schrems heeft gevraagd in verband met emotionele schade.

Schrems:"Het is duidelijk dat Facebook de relevante informatie feitelijk niet verstrekt. Ik ben blij te zien dat de rechtbank ook schadevergoeding heeft toegestaan voor dergelijke gevallen, waarin bedrijven de gebruikers consequent het recht ontzeggen om te weten welke gegevens een bedrijf over hen bewaart"

Beroep bij het Oostenrijkse Hooggerechtshof en mogelijk verwijzing naar het Hof van Justitie: Het Hooggerechtshof van Wenen heeft een beroep bij het Oostenrijkse Hooggerechtshof (OGH) toegestaan. De heer Schrems zal een dergelijk beroep indienen bij zijn advocaat Katharina Raabe-Stuppnig. Waarschijnlijk kan het Oostenrijkse Hooggerechtshof deze zaken doorverwijzen naar het Europese Hof van Justitie (CJEU). Dit hoogste gerechtshof in de EU zou het laatste woord hebben als de GDPR-bypass van Facebook legaal is.

Schrems:"Het lijkt erop dat het Hof zich niet echt heeft verdiept in veel van de problemen die deze zaak oproept. We zullen duidelijk proberen om deze zaak helemaal tot aan de hoogste rechterlijke instanties te brengen. In het voorjaar van 2021 zou er een verwijzing naar het Hof van Justitie kunnen komen over de kernvragen. Als de sector gewoon een regel aan zijn voorwaarden mag toevoegen, om de toestemmingsvereisten van de GDPR te omzeilen, kunnen we grote delen van de GDPR versnipperen"