Österrikes högsta domstol (OGH): Meta måste ge full tillgång till alla personuppgifter om användaren inom 14 dagar, inklusive källor, mottagare och syften för vilka varje information användes. Alla Metas påståenden om affärshemligheter eller andra begränsningar avvisades, vilket ledde till en aldrig tidigare skådad tillgång till Metas inre arbete. Meta samlade också olagligt in data från tredjepartsappar och webbplatser och får endast tillhandahålla personlig annonsering om en användare gav "specifikt, informerat, otvetydigt och fritt givet" samtycke. Meta måste också se till att uppgifter som avslöjar känslig information (t.ex. politiska åsikter, sexuell läggning eller hälsa) inte behandlas tillsammans med andra uppgifter om inte en giltig rättslig grund enligt artikel 9.2 i GDPR gäller. Meta kan inte undvika tillämpningen av artikel 9 i GDPR genom att hävda att företaget inte avsiktligt samlar in sådana uppgifter eller att det inte är tekniskt möjligt att särskilja eller separera dem. Målet, som inleddes av Max Schrems 2014, varade ursprungligen i 11 år och behandlades av Österrikes högsta domstol tre gånger och av EU-domstolen två gånger. Max Schrems tillerkändes 500 euro i skadestånd.
Full tillgång till alla personuppgifter och annan information inom 14 dagar. Enligt artikel 15 GDPR måste Meta inte bara tillhandahålla en fullständig 1:1-kopia av alla personuppgifter till alla användare som begär det, utan också tillhandahålla information om de ändamål som dessa uppgifter behandlades för, källorna och mottagarna av varje bit av information. Sedan 2011 har käranden (Max Schrems) försökt få full tillgång till sina personuppgifter, men Meta gav endast partiell tillgång. För vanliga användare hänvisade Meta endast till ett "nedladdningsverktyg" som innehöll vad de kallade "relevant" information och hänvisade i övrigt till sin generiska sekretesspolicy. Österrikes högsta domstol beslutade nu att Meta måste lämna ut alla personuppgifter (varenda bit) och även tillhandahålla specifik information om alla uppgifter, såsom källa, mottagare eller syfte med behandlingen, allt inom en 14-dagars tidsfrist som slutar den 31.12.2025. Standardfristen enligt lagen är en månad - som har löpt ut redan för flera år sedan. Metas påståenden om påstådda begränsningar av någon fullständig rätt till tillgång (såsom affärshemligheter och liknande) hävdades inte korrekt av Meta och avvisades därför helt. Det slutliga och direkt verkställbara beslutet från den österrikiska högsta domstolen kommer därför att leda till oöverträffad tillgång för Schrems till Metas praxis att behandla hans (och i verkligheten någon annans) användardata.
Katharina Raabe-Stuppning, den österrikiska advokat som representerar käranden: "Det tog 11 år, men nu finns det ett slutligt beslut om att Meta måste ge oöverträffad tillgång till alla uppgifter som den någonsin har samlat in om Mr Schrems. Detta går långt utöver nedladdningsverktyget eller informationen på webbplatsen. I mer än ett decennium har Meta motstått att ge full insyn i vilka uppgifter som behandlas om europeiska användare. Domen är direkt verkställbar i hela EU."
Meta Annonsmodell olaglig i EU i flera år. Den österrikiska högsta domstolen ansåg också att Meta måste sluta tillhandahålla personliga annonser till Schrems, med tanke på att de aldrig hade en rättslig grund för att behandla hans personuppgifter för detta ändamål. I detta avseende överträffades Schrems krav till stor del av EU-domstolens mål i C-252/21 Bundeskartellamt, där EU-domstolen redan ansåg att Meta inte har den nödvändiga rättsliga grunden för att behandla européernas personuppgifter för reklam.
Katharina Raabe-Stuppning: "Österrikes högsta domstol klargjorde - igen - att Meta behöver samtycke för att spåra människor och använda deras data för reklam."
Separering av "känsliga uppgifter" från andra uppgifter. Enligt artikel 9 i GDPR är vissa "känsliga" uppgifter särskilt skyddade. Detta inkluderar information som rör hälsa, politiska åsikter, sexliv eller sexuell läggning. Meta avvisar kategoriskt att det måste behandla sådana uppgifter - som det får via tredjepartsappar, webbplats eller genom användaraktivitet på sina plattformar - annorlunda än andra uppgifter. Den österrikiska högsta domstolen klargjorde dock att även om Meta inte avsiktligt skulle använda sådana uppgifter (ett påstående som ifrågasattes i förfarandet) måste företaget ändå följa lagen.
Max Schrems: "Plattformar som Facebook eller Instagram har ett enormt inflytande, till exempel genom att driva politiska åsikter på användarna. Det var alltid absurt för Meta att hävda att det inte behandlar sådana uppgifter och inte måste följa lagen. Beslutet klargör att Meta inte får använda sådana användarpreferenser utan uttryckligt samtycke från varje användare."
Skadestånd på 500 euro realistiskt för de flesta Meta-användare. I ett tidigare delbeslut beviljades Schrems redan ett skadestånd på 500 euro för dröjsmålet med att besvara hans begäran om tillgång till uppgifter. Herr Schrems förlitade sig också på de andra överträdelserna av GDPR för detta krav. Domen verkar vara oklar när det gäller grunderna för det utdömda skadeståndet, men det verkar som om ett skadestånd på minst 500 euro ansågs vara definitivt motiverat av Österrikes högsta domstol för överträdelser som nästan alla metaanvändare har upplevt. Herr Schrems bad inte om mer, så domstolen var bunden av 500 euro som den övre gränsen.
Katharina Raabe-Stuppning: "Det verkar realistiskt för registrerade att åtminstone kräva 500 € i immateriella skador för de omfattande överträdelserna av GDPR som Meta engagerade sig i. Detta kan vara en bra nedre gräns för många andra fall som pågår i Europa."
11 år, 3 domar från Högsta domstolen och 2 domar från EU-domstolen behövs. Sammantaget tog det här fallet 11 år. Den första regionala tvistemålsdomstolen i Wien (Landesgericht für Zivilrechtssachen) hade vägrat att ta upp målet två gånger, till och med genom att hävda att Schrems inte är en "konsument" för sitt privata Facebook-konto. Senare hänvisade domstolen till osäkerhet om jurisdiktion enligt GDPR. Österrikes högsta domstol avgjorde målet tre gånger, bl.a. genom att göra två hänvisningar till EU-domstolen. Det slutliga beslutet om rättegångskostnaderna har ännu inte fattats, men de totala rättegångskostnaderna har hittills överstigit 200 000 euro - för ett ekonomiskt anspråk på ca 500 euro.
Max Schrems: "Verkligheten när det gäller GDPR-tvister är att det för en genomsnittlig person tar ett decennium och är ruinerande. Stora teknikföretag gömmer sig bakom jurisdiktioner som Irland, tar upp 100 skäl till varför fall bör avvisas och saboterar förfaranden vid varje hörn. Vi måste snarast arbeta för att göra GDPR verkställbar i praktiken."
Vissa krav lades ner. Under förfarandets gång gav Schrems upp ett antal yrkanden av kostnadsskäl och processuella skäl. Vissa yrkanden framställdes också som alternativa yrkanden (så att endast ett av yrkandena kunde ha vunnit framgång). Målet förlängdes kraftigt på grund av mycket ogynnsamma avgöranden i första instans, eftersom det enligt österrikisk lag är mycket svårt att ändra faktiska avgöranden i första instans. Många berättigade krav måste därför dras tillbaka.
