Mit einem verwunderten Aha möchte man die Entscheidung des Oberlandesgerichts Wien zusammenfassen. Max Schrems verlangte von der österreichischen Justiz, Facebook zur vollständigen Auskunft über seine von Facebook verarbeiteten personenbezogenen Daten und zur Leistung von damit verbundenem Schadenersatz wegen "emotionalem Ungemach" sowie zur Unterlassung der Verarbeitung der Daten zu verpflichten.

Das Oberlandesgericht Wien hat im Berufungsverfahren nun entschieden, dass Facebook zwar vollumfänglich beauskunften muss, welche personenbezogenen Daten über den Kläger Schrems verarbeitet werden und für diese verspätete Auskunft auch 500 Euro Schadenersatz zu leisten habe. Die Verarbeitung der Daten sei aber nicht zu untersagen, weil sich Facebook hierfür auf die Verarbeitung zum Zweck der Erfüllung eines Vertrags mit Schrems berufen könne.

Facebook und seine Nutzungsbedingungen

Im Zentrum des Streits steht wieder einmal die Datenschutz-Grundverordnung (DSGVO) und der Grundsatz, dass personenbezogene Daten nur auf Basis einer zulässigen Rechtsgrundlage verarbeitet werden dürfen. Dafür sieht die DSGVO einen abschließenden Katalog von sechs Rechtsgründen vor. Dazu zählen neben einer gesetzlichen Verpflichtung auch die Einwilligung oder eine Vertragserfüllung.

Während sich Facebook in Prä-DSGVO-Zeiten noch auf die Einwilligung stützte, änderte es später sein Vorgehen und berief sich auf eine vertragliche Verpflichtung in Form der Nutzungsbedingungen. Schrems vertrat die Ansicht, dass die im Rahmen der Nutzungsbedingungen erteilte Einwilligung ungültig sei und somit die Rechtmäßigkeit nicht vorliegen könne.

Das Oberlandesgericht sah es nun wie Facebook: Eine Einwilligung sei gar nicht notwendig, weil Facebook vertraglich ein personalisiertes Erlebnis schulde, und dies bedinge nun einmal eine Datenverwendung dieses Umfangs. Über dieses Vertragsband sei der Nutzer auch in den Nutzungsbedingungen von Facebook in nicht sittenwidriger und auch nicht überraschender Weise informiert worden. Es liege somit ein schlichter Fall der Vertragserfüllung vor.

Dass der durchschnittliche Facebook-Nutzer die vertragliche Leistung von Facebook darin sieht, dass ihm ein möglichst personalisiertes "Facebook-Erlebnis" geboten wird, erscheint jedoch zumindest fraglich.

Aufsicht fordert enge Auslegung der Vertragserfüllung

Es stimmt, dass die DSGVO die Verarbeitung von Daten rechtfertigt, wenn dies zur Erfüllung eines Vertrages mit der betroffenen Person, hier dem Facebook-Nutzer, erforderlich ist. Nach Ansicht der europäischen Aufsichtsbehörden ist die Erfüllung eines Vertrages eng auszulegen, sodass nur solche Daten rechtmäßig verarbeitet werden dürfen, ohne die der Vertrag nicht erfüllt werden könnte. Dies trifft etwa auf die Adresse für eine Lieferung, die Angaben über den Rechnungsempfänger oder die Kreditkarteninformationen für die Zahlungsabwicklung zu. Sie gilt nicht für Situationen, in denen die Verarbeitung für die Erfüllung eines Vertrags nicht wirklich notwendig ist, sondern der betroffenen Person von dem für die Verarbeitung Verantwortlichen einseitig auferlegt wird.

Der EU-Gesetzgeber hatte jene Fälle vor Augen, bei denen die Hauptleistung in einer Ware oder einer Dienstleistung besteht, und nicht solche, bei denen Daten selbst die Hauptleistung des Vertrags darstellen. Denn sonst würde man gerade in solchen Situationen mit überwältigender Marktmarkt den Datenschutz derart aushebeln, dass große Unternehmen in den Nutzungsbedingungen beliebig über den Grundrechtseingriff verfügen können. Wie der Europäische Gerichtshof in einem anderen Verfahren im Zusammenhang mit Facebook bereits festgestellt hatte, geht es nicht an, dass der Grundrechtseingriff beliebig erweitert und den geschäftlichen Interessen unterstellt wird.

Wichtige Fragen blieben unbeantwortet

Die wirklich wichtigen Fragen, ob personenbezogene Daten die Hauptleistung eines Vertrages sein können und ob für die Erfüllung eines solchen Vertrages überhaupt eine Verarbeitung von Daten in diesem Umfang erforderlich ist, stellt das Oberlandesgericht in seiner Entscheidung aber gar nicht erst.

Die erste Frage wurde vom Europäischen Gerichtshof noch nicht beantwortet, auf die zweite Frage vertrat der Gerichtshof die klare Ansicht, dass für die Bereitstellung der personalisierten Werbung ein Tracken außerhalb von Facebook über die Webseiten hinweg keinesfalls erforderlich sei.

Erstaunlich ist in diesem Zusammenhang, dass das Oberlandesgericht als Zivilgericht offenbar stur die vertragsrechtlichen Aspekte unter Bedachtnahme der Sittenwidrigkeit und Transparenz und der Leistungspflichten prüft, aber den damit verbundenen Eingriff in ein Grundrecht gänzlich ausblendet.

Wie geht es weiter?

Das Oberlandesgericht hat die Revision an den OGH zugelassen. Schrems hat bereits angekündigt, diesen Weg beschreiten zu wollen. Es ist durchaus wahrscheinlich, dass der OGH die aufgeworfenen Fragen dem Europäischen Gerichtshof vorlegt. In puncto Rechtssicherheit ist dies natürlich zu begrüßen, die bereits jetzt überlange Dauer des Verfahrens wird damit noch weiter in die Länge gezogen.

Für die Nutzer von Facebook und den verbundenen Diensten ändert sich durch die Entscheidung für den Moment nichts. Die Frage der Rechtmäßigkeit ist auch weiterhin nicht abschließend geklärt, sodass man eine subjektiv unrechtmäßige Verarbeitung nur dadurch wird unterbinden können, nicht Teil der Facebook-Welt zu sein. Ein praktisch herausforderndes Unterfangen.

Höherer Schadenersatz für Datenschutzverletzungen?

Nicht vergessen werden sollte auch die Bestätigung des vom Erstgericht zugesprochenen Schadenersatzes in Höhe von 500 Euro für die verspätete und unvollständige Auskunft.

Grundsätzlich kann jeder Schadenersatz verlangen, wenn er durch die unrechtmäßige Verarbeitung personenbezogener Daten einen Schaden erlitten hat. Traditionell wird in Österreich jedoch nur selten immaterieller Schadenersatz zugesprochen – erst recht nicht im Bereich des Datenschutzrechts. Oftmals mangelt es auch schlichtweg am Nachweis eines Schadens.

Aber eines macht dieses Urteil klar: Wenn schon ein relativ geringer Schaden – nämlich das Unwohlsein, weil man den Umfang verarbeiteter Daten nicht kennt – eine Ersatzleistung von 500 Euro rechtfertigt, welche Sphären werden dann bei schwerwiegenderen Datenschutzverletzungen betreten? Die Entscheidung könnte vor diesem Hintergrund durchaus zu einem signifikanten Anstieg an Schadenersatzleistungen im Bereich des Datenschutzes führen. (Maximilian Kröpfl, Andreas Rohner, 30.12.2020)