Facebook's GDPR-toestemmingsomzeiling via een "contractuele reclameverplichting" voor het Oostenrijkse Hooggerechtshof, met een groot potentieel voor een verwijzing naar het HJEU
Zoals het Oostenrijkse persagentschap (APA) en Der Standard melden, heeft een zaak die de wettigheid van Facebook's activiteiten in Europa kan bepalen, het Oostenrijkse hooggerechtshof (OGH) bereikt. Facebook en Schrems zijn beide in beroep gegaan tegen een eerdere uitspraak van het Oberlandesgericht Wien (OLG Wien). Centraal in de zaak stond onder meer de vermeende "omzeiling" van de strenge GDPR-regels inzake toestemming. Het Hooggerechtshof werd gevraagd de zaak voor te leggen aan het Europees Hof van Justitie (HJEU) voor opheldering.
De "toestemmingsomzeiling" van Facebook. Toen de GDPR van kracht werd, was een groot voordeel de verplichting om een duidelijke opt-in toestemming te hebben wanneer bedrijven gebruikersgegevens willen verwerken. Naast toestemming zijn er nog vijf andere rechtsgrondslagen om gegevens te verwerken op grond van artikel 6, lid 1, GDPR. Een van deze grondslagen is verwerking die "noodzakelijk is voor de uitvoering van een overeenkomst". Op 25.5.2018 om middernacht, toen de GDPR van toepassing werd, heeft Facebook in zijn algemene voorwaarden zaken als "gepersonaliseerde advertentie" gewoon benoemd. Facebook stelt nu dat het een "plicht heeft om gepersonaliseerde reclame" aan de gebruikers aan te bieden, daarom heeft het geen toestemming van de gebruiker nodig om zijn of haar persoonsgegevens te verwerken.
Het grote verschil tussen toestemming en contract? De GDPR heeft zeer strikte regels inzake toestemming. Gebruikers moeten volledig worden geïnformeerd, een vrije keuze hebben om al dan niet in te stemmen en moeten specifiek kunnen instemmen met elk type verwerking. Gebruikers kunnen hun toestemming ook op elk moment en kosteloos intrekken. Contracten vallen echter onder de nationale wetgeving en zijn gewoonlijk veel soepeler. Gebruikers moeten een contract niet hebben begrepen om gebonden te zijn, details kunnen verborgen zijn in "algemene voorwaarden" en ze kunnen komen op een "take it or leave it"-basis.
Katherina Raabe-Stuppnig, LGP, vertegenwoordigt de heer Schrems "Facebook probeert gewoon ongeldige toestemming te heretiketteren om de GDPR te omzeilen. Alle andere bedrijven krijgen de juiste toestemming - alleen Facebook denkt dat te kunnen omzeilen" en verder"Alleen omdat je een toestemmingsverklaring in een contract zet, moet het verder als toestemming worden behandeld. Men heeft contracten altijd in de eerste plaats moeten interpreteren in overeenstemming met hun ware doel. Toestemming in een contract moet dus precies als toestemming worden geïnterpreteerd."
64% van de gebruikers ziet "toestemming", 1,6% een "advertentiecontract". noyb heeft een onderzoek laten uitvoeren door het Gallup Institute, waarbij 1.000 Oostenrijkse Facebook-gebruikers werd gevraagd naar hun begrip van de overeenkomst. Ongeveer tweederde interpreteerde de betreffende pagina als een pagina waarop Facebook toestemming vraagt, slechts ongeveer 10% zag een "contract", waarvan slechts 16 gebruikers begrepen dat het een verplichting inhield om gepersonaliseerde reclame aan te bieden (in totaal 1,6%), zoals Facebook beweerde. De twee lagere rechtbanken in Oostenrijk waren echter van mening dat het uitsluitend aan Facebook is om te bepalen of een bepaling een "contract" of "toestemming" is. Bijgevolg zagen zij geen probleem in de omzeiling door Facebook, maar zij oordeelden ook dat de kwestie moet worden verduidelijkt door de hoogste rechterlijke instanties.
Ondermijning van de GDPR? De aanpak van Facebook kan ook gezien worden als een duidelijk signaal om (in ieder geval de geest van) de GDPR te negeren, terwijl Facebook beweert volledig compliant te zijn. Der Standard haalde het liberale Europarlementslid Sofie in 't Veld aan, dat onderhandelde over de GDPR en zei "De eis om toestemming te vragen moet overeind blijven. Contractuele bedingen kunnen niet worden gebruikt als ontsnappingsclausule voor dat vereiste, of voor welke andere rechtsgrondslag voor de verwerking van gegevens dan ook. GDPR is duidelijk bedoeld om de gebruikers controle te geven over hun gegevens. Niet om Facebook in staat te stellen gebruikers hun persoonlijke gegevens afhandig te maken."
Inactiviteit door gegevensbeschermingsautoriteit. Dezelfde kwestie werd meer dan 2,5 jaar geleden ook al door noyb aangekaart bij de Ierse Data Protection Commission (DPC). De drie onderzoeken naar de vermeende "gedwongen toestemming" verliepen echter traag en de kernkwestie van een "omleiding" bleek buiten de reikwijdte van de procedure te vallen. In de Oostenrijkse zaak voerde Facebook aan dat de "bypass" was ingevoerd nadat het tien vergaderingen had gehad met de DPC die de "bypass" met het socialemediabedrijf had ontwikkeld. De DPC heeft dit ontkend, maar geweigerd details vrij te geven over de tien vertrouwelijke bijeenkomsten met Facebook in de aanloop naar de GDPR. Twee van de Ierse zaken zijn nu het voorwerp van een rechterlijke toetsing voor het Ierse High Court, de derde zaak is in beroep voor het Oostenrijkse Federale Administratieve Hof (BVwG).
Veelbelovend track record. Het Oostenrijkse Hooggerechtshof heeft eerder soortgelijke zaken naar het HvJEU verwezen (zie bv. C-18/18 - Glawischnig-Piesczek, C-498/16 - Schrems). Het HvJEU heeft op zijn beurt eerder meestal in het nadeel van Facebook beslist in privacyzaken (zie bv. C-40/17 - Fashion ID of C-210/16 - Wirtschaftsakademie Schleswig-Holstein), met name twee zaken tegen Facebook over de doorgifte van gegevens tussen de EU en de VS, bekend onder de naam "Schrems I" en "Schrems II". Het is dan ook niet onwaarschijnlijk dat Facebook ernstige problemen te wachten staan. Het Oostenrijkse Hooggerechtshof houdt geen mondelinge hoorzittingen en beslist gewoonlijk binnen enkele maanden en in een schriftelijke beslissing over verwijzingen naar het HJEU. Het HJEU zelf doet er echter tot 1,5 jaar over om alle hoorzittingen te houden en tot een beslissing te komen.