Zumindest die Frage, ob Facebook seiner gesetzlichen Pflicht zur Datenauskunft auf Verlangen ordentlich nachkommt, ist geklärt. Und die Antwort darauf ist Nein. Der österreichische Oberste Gerichtshof (OGH) hat in einer laufenden Auseinandersetzung zwischen Max Schrems und dem IT-Konzern entschieden, dem Datenschutzjuristen einen symbolischen Schadenersatz von 500 Euro zuzuerkennen.

Begründet wird dies damit, dass Facebook eben nicht wie vorgesehen Schrems all seine beim Netzwerk gespeicherten Daten in vollständiger und akzeptabler Form übermittelt hat, sondern nur nach Eigeneinschätzung "relevante" Daten in PDF-Dateien im Umfang von weit über 1.000 Seiten. Darüber hinaus verwies Facebook auf "Auskunft- und Downloadtools", über die Schrems den restlichen Informationsbestand selbst abrufen könne.

Das hätte allerdings erfordert, dass Schrems mit diesen Werkzeugen in "mindestens 60 Datenkategorien mit Hunderten, wenn nicht Tausenden von Datenpunkten" hätte suchen müssen. Die Auskunft sei auf diesem Wege zu einer – Zitat – "Ostereiersuche" gemacht worden, was nicht im Sinne der Datenschutzgrundverordnung (DSGVO) sei. Der OGH sieht zudem Facebook auch in der Pflicht nachzuweisen, dass seine Datenauskunft vollständig war. Der Konzern hatte seinerseits argumentiert, dass es den Nutzern obliegen würde, einen Nachweis für mangelnde Vollständigkeit zu erbringen.

Einwilligung wurde plötzlich zu Vertrag

Apropos DSGVO: Der OGH hat darüber hinaus vier Fragen zur Klärung an den Europäischen Gerichtshof (EuGH) in Luxemburg übermittelt. Über diese muss nun festgestellt werden, ob Facebook nicht möglicherweise die neuen Datenschutzregularien seit ihrem Bestehen bricht.

Nach Ansicht von Schrems und seiner Datenschutz-NGO Noyb ist dabei die wichtigste Fragestellung, ob Facebook die ursprüngliche "Einwilligung" registrierter Nutzer zur Datenverarbeitung mit Inkrafttreten der DSGVO unrechtmäßig zu einem Vertrag umgedeutet hat.

Bevor die Verordnung Gültigkeit erlangte, habe der Konzern bei Streitigkeiten stets darauf verwiesen, dass die Nutzer ihre Einwilligung zur spezifischen Speicherung und Verarbeitung ihrer Daten gegeben hätten. Nach dem 25. Mai 2018 begann das Netzwerk nach Darstellung von Noyb hingegen, von einem "Vertrag" zu sprechen, gemäß dem die User personalisierte Werbung "bestellt" hätten.

Die Unterscheidung ist wichtig, denn die DSGVO hat die Bestimmungen für Einwilligungserklärungen im Netz verschärft und Internetnutzern die Möglichkeit eingeräumt, ihr Einverständnis jederzeit zu widerrufen. Handelt es sich jedoch um einen Vertrag, so könnte Facebook damit Teile der Verordnung umschiffen.

EuGH soll auch Nutzung sensibler Daten klären

Eine weiterer Frage dreht sich darum, ob Facebook durch die Aggregierung zahlreicher Daten – etwa Like-Buttons auf anderen Webseiten – nicht den Grundsatz der Datenminimierung bricht. Frage drei und vier beschäftigen sich weiters damit, inwieweit eine Filterung und Verwendung von "besonderen Kategorien persönlicher Daten wie politische Überzeugung oder sexuelle Orientierung", insbesondere für Werbezwecke, rechtmäßig ist.

Max Schrems zeigt sich über die Fragenübermittlung an den EuGH erfreut. "Verliert Facebook vor dem EuGH, müssten sie nicht nur damit aufhören, Daten zu missbrauchen, und illegal gesammelte Daten löschen, sondern auch Millionen von Nutzern Schadenersatz zahlen", so die Stellungnahme des österreichischen Juristen. "Wir sind über die Vorlage daher sehr glücklich."

Weiters könnte Facebook seiner Ansicht nach künftig verpflichtet sein, zumindest für sein Geschäft in der EU, keine Daten zu politischen Ansichten und zur sexuellen Orientierung mehr zu Werbezwecken zu verwenden. (gpi, 20.7.2021)