Es könnte der dritte große Erfolg für den österreichischen Datenschützer Max Schrems vor dem EuGH werden. Gewinnt er, muss Facebook sein gesamtes System personalisierter Werbung auf den Kopf stellen und illegal gesammelte Daten löschen. Für alle mit einem Facebook-Account bedeutet das: Sie haben möglicherweise einen Anspruch auf Schadensersatz gegen das Netzwerk.
Wenn der Datenschützer Max Schrems wieder gegen Facebook vorgeht, verheißt das meist nichts Gutes für den Konzern: Schon zweimal hat der Österreicher Facebook verklagt und vor dem Gerichtshof der Europäischen Union (EuGH) Recht bekommen. Zwei internationale Datenschutzabkommen zwischen der EU und den USA hat der EuGH daraufhin bereits gekippt (Urt. v. 6.10.2015, Az. C-362/14 – Safe Harbour, Schrems I und Urt. v. 16.7.2019, Az. C-311/18 – Privacy Shield, Schrems II).
Im Verfahren Schrems III (Az. C-446/21) geht nun insbesondere um die Frage, auf welcher rechtlichen Grundlage Facebook die – teils sensiblen – personenbezogenen Daten seiner Nutzer verarbeiten darf. Die Frage hat immense Bedeutung: Gewinnt Schrems, könnte letztlich das gesamte Geschäftsmodell des Konzerns auf den Kopf stellen. Facebook müsste „nicht nur damit aufhören, Daten zu missbrauchen und illegal gesammelte Daten löschen, sondern auch Millionen von Nutzern Schadenersatz zahlen,“ so Schrems in einer Pressemitteilung.
Der Datenschützer hat sich deswegen mit seiner Organisation noyb (steht für „My privacy is None of Your Business“) schon bis zum Obersten Gerichtshof Österreichs durchgeklagt. Das Gericht hat daraufhin dem EuGH vier Vorlagefragen gestellt. Am 20.7.2021 fand bereits eine Verhandlung beim EuGH statt. Wann das mit Spannung erwartete Urteil fällt, ist noch offen. Doch worum geht es genau in dem Fall?
Datensammeln für personalisierte Werbung – auf welcher Grundlage?
Facebook kostet zwar kein Geld. Aber jeder, der dort ein Konto hat, bezahlt dies mit seinen Daten. Das soziale Netzwerk sammelt und analysiert sie – insbesondere, damit Dritte auf dem Netzwerk gezielte, personalisierte Werbung ausspielen können. Bei all diesen Informationen handelt es sich aber um personenbezogene Daten. Deswegen muss auch Facebook das Datenschutzrecht beachten. Das Unternehmen braucht also eine gesetzliche Erlaubnis, damit es diese Daten überhaupt verarbeiten darf. Und hier liegt der Knackpunkt des Falles:
Früher hat es sich Facebook leicht gemacht und sich einfach auf die „Einwilligungen“ der Nutzer berufen. Die gaben sie, indem sie sich bei Facebook anmeldeten und das endlos lange Kleingedruckte einfach akzeptierten. Seit dem 25. Mai 2018 gilt nun aber europaweit die Datenschutzgrundverordnung (DSGVO). Die stellt sehr viel höhere Anforderungen an die Einwilligungen als das vorherige Datenschutzrecht (Art. 6 Abs. 1 lit. a, Art. 7 DSGVO). User müssen sehr viel besser über die immense Datenverarbeitung informiert werden, bevor sie ihre Einwilligungen abgeben können. Außerdem können sie diese auch verweigern bzw. eine einmal abgegebene Einwilligung jederzeit widerrufen. Müsste sich Facebook für all seine Aktivitäten solche Einwilligungen einholen, wäre wohl plötzlich das Geschäftsmodell des “kostenlosen” sozialen Netzwerks gefährdet.
Deshalb ging der US-Konzern einen anderen Weg: Es berief sich seit dem 25. Mai 2018 einfach auf eine andere „Erlaubnisnorm“ der DSGVO und behauptete, die Datensammlung sei „zur Erfüllung eines Vertrags erforderlich“ (Art. 6 Abs. 1 lit. b DSGVO). Mit der Begründung, dass das Wesen des Vertrags mit Facebook im Wesentlichen so aussehe: Kostenlose Nutzung gegen Preisgabe der persönlichen Daten zu Zwecken personalisierter Werbung. Die Nutzer bestellten diese Werbung ja gerade, deshalb sei die Datensammlung zur Vertragserfüllung erforderlich. Diese Erlaubnisnorm ist sehr komfortabel für den Konzern. Denn hier haben die Nutzer keine Möglichkeit, dem zu widersprechen.
Katharina Raabe-Stuppnig, Anwältin von Max Schrems, sagt dazu in einem Statement auf der Website ihrer Kanzlei: “Facebook versucht, den Nutzern ihre DSGVO-Rechte zu nehmen, indem es die Einwilligung einfach in einen zivilrechtlichen Vertrag ‘uminterpretiert’. Dies ist nichts anderes als ein Versuch, die DSGVO mit einem Trick zu umgehen.” Der Oberste Gerichtshof Österreichs scheint diese Auffassung zu teilen, schreibt er doch in seinem Vorlagebeschluss an den EuGH: “Eine Kernfrage des vorliegenden Verfahrens ist, ob die Willenserklärung zur Verarbeitung von der Beklagten unter das Rechtskonzept nach Art 6 Abs 1 lit b DSGVO verschoben werden kann, um damit den deutlich höheren Schutz, den die Rechtsgrundlage „Einwilligung“ für den Kläger bietet, ‘auszuhebeln’.” Möglicherweise sei die Preisgabe der Daten eben nicht erforderlich, um den Dienst nutzen zu können. Ob dem so ist, soll nun aber der EuGH in einer Vorlagefrage klären.
Soforthilfe vom Anwalt
Sie brauchen rechtliche Beratung? Rufen Sie uns an für eine kostenlose Ersteinschätzung oder nutzen Sie unser Kontaktformular.
Wir sind bekannt aus
Facebook sammelt auch sensible Daten – ist das legal?
In zwei weiteren Vorlagefragen an den EuGH geht es um die sogenannten sensiblen personenbezogenen Daten. Das sind laut Artikel 9 DSGVO zum Beispiel Informationen über die Herkunft, politische Meinungen, religiöse Überzeugungen, Gesundheitsdaten, Daten über das Sexualleben oder die sexuelle Orientierung einer Person. Facebook sammelt diese genauso wie alle anderen Daten auch – das Netzwerk differenziert nicht, ob die gesammelten Daten nun sensibel sind oder nicht. Allerdings gibt es die Daten an Dritte weiter. Und die können die Daten durchaus daraufhin filtern, welche Partei jemand wählt oder auf welches Geschlecht er oder sie steht. Besonders Werbetreibende können ihre Produkte deshalb auch gezielt zum Beispiel an schwule Männer oder SPD-Wähler ausspielen lassen, wenn sie dafür bezahlen.
Hier schließt sich eine weitere Frage an den EuGH an, die im Wesentlichen lautet: Ist Art. 9 Abs. 1 überhaupt auf eine Situation anzuwenden, in der die gezielte Filterung nach sensiblen personenbezogenen Daten zu Zwecken personalisierter Werbung erlaubt ist? Facebook redet sich bislang damit heraus, als Verantwortlicher für diese Datenerhebung nicht zwischen „normalen“ und „sensiblen“ Daten zu differenzieren.
Ist Artikel 9 anwendbar, gilt folgendes: Die Verarbeitung dieser Daten ist grundsätzlich verboten, wenn nicht eine Ausnahme nach Art. 9 Abs. 2 DSGVO vorliegt. Die Möglichkeit, diese Daten „zur Erfüllung eines Vertrags“ zu nutzen, sieht Art. 9 DSGVO nicht vor. Allerdings ist die Verarbeitung erlaubt, wenn die betroffene Person die sensiblen Daten selbst offensichtlich öffentlich gemacht hat (Art. 9 Abs. 2 lit. e DSGVO).
Und darum geht es bei einer weiteren Frage an den EuGH: Wann darf Facebook sich auf diese Erlaubnisnorm berufen? Reicht es, wenn jemand – in diesem Fall Max Schrems selbst – Informationen über seine sexuelle Orientierung irgendwo im Internet preisgegeben hat, damit Facebook diese Information zu Werbezwecken nutzen kann? Oder hätte Schrems diese Information explizit auf Facebook selbst öffentlich mitteilen müssen – was er nicht getan hat.
Max Schrems ist der Ansicht, dass auch diese beiden Fragen „extrem wichtig“ sind. Denn möglicherweise dürfte Facebook bald nicht mehr alle Daten für Werbung nutzen, sondern sensible Daten herausfiltern.
Urteil des EuGH könnte Grundlage für Schadensersatzansprüche der Nutzer werden
Schließlich muss der EuGH in einer weiteren Frage noch entscheiden, ob die Verwendung aller Daten vom Netzwerk selbst sowie und aus unzähligen anderen Quellen wie fremden Websites oder Plugins mit dem DSGVO-Grundsatz der “Datenminimierung” vereinbar ist.
Der Ausgang des Verfahrens könnte enorme Auswirkungen haben – sowohl für Facebook als auch für die Nutzer. Möglicherweise müsste Facebook für alle personenbezogenen Daten, die das Netzwerk erhebt, explizite Einwilligungen einholen. Nutzer könnten freiwillig entscheiden, ob sie diese geben oder nicht – die Nutzung des sozialen Netzwerks dürfte nicht mehr davon abhängig gemacht werden, dass wir Nutzer uns alle „gläsern“ machen. Gewisse sensible Daten, etwa zur sexuellen Orientierung oder politischen Überzeugung dürfte das Netzwerk möglicherweise überhaupt nicht mehr zu Werbezwecken verwenden. Die irische Aufsichtsbehörde könnte außerdem Geldbußen bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des Facebook-Konzerns verhängen (Art. 83 DSGVO).
Für die in der Vergangenheit möglicherweise zu Unrecht erhobenen Daten könnte ein Urteil in Schrems Sinne folgendes bedeuten: Facebook müsste alle zu Unrecht erhobenen Daten auf Verlangen der Nutzer löschen (Art. 17 DSGVO). Darüber hinaus könnten sie aller Wahrscheinlichkeit nach Schadensersatz verlangen (Art. 82 DSGVO). Möglicherweise könnten sich Verbraucher hier auch mit der neuen Möglichkeit der EU-Verbandsklage oder in einer Musterfeststellungsklage nach deutschem Recht zusammenschließen. Facebook nach eigenen Angaben aktuell etwa 307 Millionen täglich aktive User allein in Europa – das könnte also ziemlich teuer werden.
Wir werden über den Verlauf und den Ausgang des Verfahrens berichten.
ahe
