BREAKING: Österrikes högsta domstol frågar EU-domstolen om Facebook "undergräver" GDPR genom att blanda ihop "samtycke" med ett påstått "avtal".
I ett långvarigt civilrättsligt mål mellan Max Schrems och Facebook har Österrikes högsta domstol (Oberster Gerichtshof, "OGH") accepterat Max Schrems begäran om att hänskjuta ett antal frågor till Europeiska unionens domstol (EU-domstolen, EU:s högsta domstol). De fyra frågorna väcker grundläggande tvivel om lagligheten i Facebooks användning av uppgifter från alla kunder i EU.
Samtidigt beslutade Österrikes högsta domstol i en deldom att Schrems ska få 500 euro i symboliskt emotionellt skadestånd eftersom Facebook inte gav Schrems full tillgång till hans uppgifter, utan istället iscensatte en "äggjakt" på användardata.
- Hänvisning till EU-domstolen, inklusive frågor (tyskt original)
- Hänvisning till EU-domstolen, inklusive frågor (engelsk översättning)
- Uttalande av vår advokat Katharine Raabe-Stuppnig
(1) Hänvisning till EU-domstolen:
Kärnfråga: "Samtycke" eller "avtal"? Österrikes högsta domstol tvivlar på den rättsliga grund som Facebook använder för nästan all behandling av användardata. I dataskyddsförordningen anges sex alternativ för laglig behandling av personuppgifter, bland annat "samtycke" och "avtal". Du kan bara åberopa "avtal" om behandlingen är nödvändig för att fullgöra avtalet.
Före GDPR hävdade Facebook att användarna "samtyckte" till deras behandling av personanpassad reklam. GDPR höjde dock kraven för att ett samtycke ska vara giltigt och gav också användarna rätt att när som helst återkalla sitt samtycke.
Så den 25 maj 2018, när GDPR började tillämpas, hävdade Facebook inte längre att man förlitade sig på samtycke. Istället menade Facebook att samtyckesklausulerna måste ses som ett "avtal" där användarna "beställde" personlig reklam. Enligt Facebooks uppfattning innebär detta att de kan frånta användarna alla rättigheter som är kopplade till samtycke enligt GDPR. Kraven på ett "frivilligt" eller "informerat" samtycke skulle inte längre gälla om det tolkas som ett "avtal".
Max Schrems, ordförande för noyb.eu:"Facebook försöker beröva användarna många av GDPR:s rättigheter genom att helt enkelt "omtolka" samtycket till ett civilrättsligt avtal. Detta var inget annat än ett billigt försök att kringgå GDPR."
OGH: Facebook kan olagligen "underminera" GDPR. Österrikes högsta domstol verkar dela denna oro. I sin begäran om förhandsavgörande till EU-domstolen sammanfattar Österrikes högsta domstol sina tvivel om huruvida Facebook helt enkelt kan byta ut artikel 6.1 a och b i GDPR i punkt 54 i begäran om förhandsavgörande:
"En kärnfråga i det aktuella förfarandet är om avsiktsförklaringen om behandling kan flyttas av svaranden enligt det rättsliga begreppet enligt artikel 6.1 b i GDPR för att därigenom 'undergräva' det betydligt högre skydd som den rättsliga grunden 'samtycke' erbjuder käranden."
Max Schrems:"I princip all dataanvändning som genererar vinster för Facebook i EU är beroende av detta juridiska argument. Om Facebook förlorar i EU-domstolen måste de inte bara stoppa detta och radera alla olagligt genererade uppgifter, utan också betala skadestånd till miljontals användare. Jag är mycket glad över den här hänvisningen."
Ytterligare frågor om dataminimering och känsliga uppgifter. Österrikes högsta domstol har hänskjutit ytterligare tre frågor om lagligheten i Facebooks användning av personuppgifter till EU-domstolen. EU-domstolen kommer att behöva avgöra om användningen av all data på facebook.com och från otaliga andra källor, t.ex. webbplatser som använder Facebooks "Gilla"-knappar eller reklam, för alla ändamål, är förenlig med GDPR:s princip om "dataminimering". Två andra frågor rör Facebooks användning av känsliga uppgifter (t.ex. politiska åsikter eller sexuell läggning) för personanpassad reklam.
Max Schrems:"Dessa ytterligare frågor är avgörande. Facebook kanske inte längre får använda alla uppgifter för reklam, även om man har fått ett giltigt samtycke. På samma sätt kan det bli nödvändigt att filtrera känsliga uppgifter som politiska åsikter eller uppgifter om sexuell läggning. Hittills har Facebook hävdat att man inte gör någon åtskillnad mellan dessa typer av uppgifter."
(2) Delvis dom om skadestånd, tillgång, roller och "påskägg"
Dessutom har Österrikes högsta domstol meddelat en slutlig dom om vissa krav som kan avgöras utan att det krävs en hänskjutning till EU-domstolen.
- Tyskt original av den juridiska diskussionen i delavgörandet
- Engelsk översättning av den juridiska diskussionen i den partiella domen
500 euro för "massiv irritation", bristande tillgång till uppgifter och "påskägg". Österrikes högsta domstol beslutade att Schrems ska få 500 euro i ekonomisk ersättning för att Facebook inte gett honom full tillgång till hans uppgifter. Domstolen ansåg att han varken fick tillgång till alla rådata eller viktig information som den rättsliga grunden för behandlingen av hans uppgifter. Domstolen framhöll att de uppgifter som Facebook erbjöd via sitt onlineverktyg var spridda över mer än 60 kategorier av uppgifter med hundratals, om inte tusentals, datapunkter, vilket skulle ta ett par timmar att gå igenom.
Domstolen konstaterade i punkt 153 följande: "Käranden påpekar med rätta att GDPR bygger på en engångsbegäran om tillgång, inte på en 'påskäggsjakt'".
Österrikes högsta domstol var också ganska tydlig när det gällde Facebooks påstående att företaget hade gett Schrems alla uppgifter som det ansåg vara "relevanta" (punkt 152):
"Det faktum att skyldigheten att tillhandahålla information inte kan bero på svarandens självbedömning ('relevant') kräver inte någon ytterligare förklaring."
Bevisbördan ligger på Facebook. Högsta domstolen betonade också ofta att det är Facebook som har bevisbördan för att visa att de har gett full tillgång eller att behandlingen är laglig (t.ex. i punkt 151). Facebook ansåg under förfarandet att det skulle ankomma på Schrems att visa att Facebook inte lämnat ut alla uppgifter och vägrade helt enkelt att svara på Schrems frågor.
Vem "äger" uppgifterna på Facebook? I målet ifrågasattes rollerna för aktörerna på Facebooks plattform. Schrems hävdade att han i första hand är ansvarig för sina profil- eller meddelandedata på Facebook (juridiskt sett som "personuppgiftsansvarig"), vilket innebär att Facebook måste följa hans order när de t.ex. raderar data (som enbart "personuppgiftsbiträde"). Facebook ansåg sig vara "personuppgiftsansvarig" för all användardata på Facebook - med vissa undantag. Den österrikiska Surpeme-domstolen menade att frågan är irrelevant, eftersom användningen av Facebook skulle falla under "hushållsundantaget" och frågan därför inte skulle uppkomma.
Max Schrems:"På den här punkten "förlorade" vi tekniskt sett, men enligt domstolens uppfattning skulle Facebook vara juridiskt ansvarigt för all olaglig behandling på facebook.com - även när detta görs av andra. Vi föreslog ett mer nyanserat resultat, men domstolen gick inte in på det."
