Facebooks GDPR-samtycke via en "avtalsenlig annonseringsskyldighet" i Österrikes högsta domstol, med stor potential för en hänvisning till EU-domstolen
Som Austrian Press Agency (APA) och Der Standard rapporterar har ett fall som kan avgöra lagligheten i Facebooks verksamhet i Europa nått Österrikes högsta domstol (OGH). Facebook och Schrems har båda överklagat en tidigare dom från Oberlandesgericht Wien (OLG Wien). Bland annat blev det påstådda "kringgåendet" av GDPR:s strikta samtyckesregler centralt i målet. Högsta domstolen ombads att hänskjuta målet till EU-domstolen för klargörande.
Facebooks "kringgående av samtycke". När GDPR trädde i kraft var en stor fördel skyldigheten att ha ett tydligt opt-in-samtycke när företag vill behandla användardata. Utöver samtycke finns det fem andra rättsliga grunder för att behandla uppgifter enligt artikel 6.1 i GDPR. En av dessa grunder är behandling som är "nödvändig för att fullgöra ett avtal". Den 25.5.2018 vid midnatt, när GDPR började tillämpas, har Facebook helt enkelt namngett saker som "personlig annonsering" i sina villkor. Facebook hävdar nu att man har en "skyldighet att tillhandahålla personlig annonsering" till användarna och att man därför inte behöver användarens samtycke för att behandla hans eller hennes personuppgifter.
Den stora skillnaden mellan samtycke och avtal? GDPR har mycket strikta regler för samtycke. Användarna måste få fullständig information, fritt kunna välja om de vill samtycka eller inte och de måste kunna samtycka till varje typ av behandling specifikt. Användarna kan också återkalla sitt samtycke när som helst och utan kostnad. Avtal är dock en fråga för varje nationell lagstiftning och är vanligtvis mycket mer flexibla. Användarna behöver inte ha förstått ett avtal för att vara bundna, detaljer kan vara dolda i "villkor och bestämmelser" och de kan komma på en "ta det eller lämna det"-basis.
Katherina Raabe-Stuppnig, LGP, företräder Schrems: "Facebook försöker helt enkelt ommärka ogiltigt samtycke för att kringgå GDPR. Alla andra företag inhämtar korrekt samtycke - det är bara Facebook som tror att de kan kringgå det" och vidare"Bara för att man flyttar en samtyckesdeklaration till ett avtal måste det vidare behandlas som samtycke. Man har alltid varit tvungen att tolka avtal i första hand enligt deras verkliga syfte. Ettsamtycke i ett avtal måste därför tolkas just som ett samtycke."
64% av användarna ser "samtycke", 1,6% ett "reklamkontrakt ".noyb har beställt en studie av Gallup Institute, där 1.000 österrikiska Facebook-användare tillfrågades om sin förståelse av avtalet. Cirka två tredjedelar tolkade den relevanta sidan som att Facebook sökte samtycke, endast cirka 10% såg ett "avtal", varav endast 16 användare förstod det som att det innebar en skyldighet att tillhandahålla personlig reklam (totalt 1,6%), som Facebook hävdade. De två lägre domstolarna i Österrike ansåg dock att det endast är Facebook som har rätt att hävda att ett villkor är ett "avtal" eller "samtycke". Följaktligen såg de inga problem med Facebooks bypass, men ansåg också att frågan måste klargöras av Högsta domstolen.
Underminering av GDPR? Facebooks tillvägagångssätt kan också ses som en tydlig signal om att ignorera (åtminstone andemeningen i) GDPR, samtidigt som Facebook hävdar att man följer reglerna fullt ut. Der Standard citerade den liberala Europaparlamentarikern Sofie in 't Veld, som förhandlade fram GDPR, och sa "Kravet på att be om samtycke måste stå fast. Avtalsvillkor kan inte användas som en undantagsklausul för detta krav, eller för någon annan rättslig grund för behandling av uppgifter. GDPR är tydligt utformat för att ge användarna kontroll över sina uppgifter. Inte för att tillåta Facebook att lura av användarna deras personuppgifter."
Datainspektionens inaktivitet. Samma fråga togs också upp av noyb inför den irländska dataskyddskommissionen (DPC) för mer än 2,5 år sedan. De tre utredningarna av det påstådda "påtvingade samtycket" gick dock långsamt och kärnfrågan om en "förbikoppling" ansågs ligga utanför ramen för förfarandet. I det österrikiska fallet hävdade Facebook att "bypasset" implementerades efter att företaget haft tio möten med den dataskyddsmyndighet som utvecklat "bypasset" tillsammans med företaget för sociala medier. Datainspektionen har förnekat detta, men vägrat att lämna ut detaljer om de tio konfidentiella mötena med Facebook under tiden fram till GDPR. Två av de irländska fallen är nu föremål för en rättslig prövning i den irländska högsta domstolen, och det tredje fallet är föremål för överklagande i den österrikiska federala förvaltningsdomstolen (BVwG).
Lovande meritlista. Österrikes högsta domstol har tidigare hänskjutit liknande mål till EU-domstolen (se t.ex. C-18/18 - Glawischnig-Piesczek, C-498/16 - Schrems). EU-domstolen har i sin tur tidigare i huvudsak dömt till Facebooks nackdel i integritetsfrågor (se t.ex. C-40/17 - Fashion ID eller C-210/16 - Wirtschaftsakademie Schleswig-Holstein), framför allt två mål mot Facebook om dataöverföringar mellan EU och USA som kallats "Schrems I" och "Schrems II". Det är därför inte osannolikt att Facebook har allvarliga problem framför sig. Österrikes högsta domstol håller inga muntliga förhandlingar och fattar vanligtvis beslut om hänskjutande till EU-domstolen inom några månader och i ett skriftligt beslut. EU-domstolen tar dock upp till 1,5 år på sig för att genomföra alla utfrågningar och komma fram till ett beslut.