Schrems vs. Facebook

Schrems III und das Finale der Trilogie

Der Rechtsstreit zwischen Datenschützer Max Schrems und Facebook geht in die dritte Runde. Erfahren Sie, worum es diesmal geht.
Von  und
CSO | 16. November 2021 07:00 Uhr
Max Schrems und die noyb werfen Facebook vor, unrechtmäßig Nutzerdaten zu sammeln und zu verarbeiten. Ein Urteil des EuGH, ob der Konzern gegen die DSGVO verstößt, steht aus.
Max Schrems und die noyb werfen Facebook vor, unrechtmäßig Nutzerdaten zu sammeln und zu verarbeiten. Ein Urteil des EuGH, ob der Konzern gegen die DSGVO verstößt, steht aus.
Foto: TY Lim - shutterstock.com

Es bleibt spannend: Max Schrems und das europäische Zentrum für digitale Rechte "noyb" gehen in die dritte Runde gegen Facebook. Hat er Recht mit seiner Beschwerde - hebelt Facebook seit 2018 die DSGVO aus? Können etwa bald alle Nutzer der Facebook Plattform von Facebook einen Schadenersatz für rechtswidrige Datenverarbeitung verlangen? Oder gehen Max Schrems und die noyb in der dritten Runde erstmals leer aus? Jüngst gibt es dazu auch eine erste Reaktion der irischen Datenschutzbehörde.

Schrems I und II - was ist passiert?

Das Urteil des Europäischen Gerichtshofs (EuGH) zur Rechtssache Schrems II erzeugte erhebliches Echo. Als Privacy Shield aufgehoben wurde drohte der Drittlandtransfer von personenbezogenen Daten in komplett unsichere Gewässer zu geraten. Zuvor war bereits dessen Vorgänger Safe Harbour vor dem EuGH gescheitert. In der Folge gab es unterschiedliche Ansätze, um die rechtskonforme Übermittlung personenbezogener Daten in unsichere Drittstaaten zu lösen (exemplarisch etwa die USA oder das UK). Erst kürzlich mündeten diese Ansätze in eine Kombination aus

  • der Veröffentlichung modular aufgebauter neuer Standardvertragsklauseln sowie

  • einer zusätzlichen einzelfallabhängigen Prüfung des Bestandes ausreichender Garantien in Form eines effektiven und durchsetzbaren Rechtsschutzes im jeweiligen Drittland.

Nun droht insbesondere den digitalen Giganten bereits die nächste Erschütterung mit Blick auf jüngst etablierte Strukturen. Max Schrems hat im Juni 2021 mit seiner Organisation noyb eine neuerliche Beschwerde gegen eine Praxis von Facebook eingereicht. Sie wird bereits vor dem Obersten Gerichtshof Österreichs (OGH) verhandelt.

Hintergrund der Klage ist, dass Facebook nach Aussage Max Schrems bis zur Geltung der DSGVO die personenbezogene Datenverarbeitung mit einer Einwilligung seiner Nutzer begründete. Seit Geltung der DSGVO stelle es dagegen auf einen Vertrag als Grundlage ab. Genau genommen soll die Umstellung auf den Vertrag als Rechtsgrundlage exakt am 25.05.2018 um Mitternacht erfolgt sein.

Ein zentraler Brennpunkt dieser frisch ausgelösten Diskussion ist die Frage, ob Facebook die Daten seiner Nutzer seitdem rechtswidrig verarbeitet. Die Antwort hängt davon ab, ob Facebook die erteilte Einwilligung für die Versendung von Werbung in einen bestehenden Vertrag mit den Nutzern über die Versendung von Werbung umdeuten konnte.

Wie ist der aktuelle Stand des Verfahrens?

Im bisherigen Verfahren entschieden die österreichischen Gerichte diesen Punkt der Klage zu Gunsten von Facebook. Sie nahmen einen Vertrag zwischen Facebook und seinen Nutzern an. Im Zuge eines Teilurteils entschied der OGH bereits abschließend. So sprach das Oberste Österreichische Gericht Max Schrems einen Schadenersatz in Höhe von 500€ zu. Der Grund für den Schadenersatz liegt nach der OGH-Entscheidung darin, dass Facebook gegenüber Max Schrems die Vorgaben des Auskunftsrechts nicht eingehalten habe, wodurch er die Kontrolle über seine Daten verloren habe. Verlange jemand Auskunft sei es da Zile, diese schnell zu geben.. Es sei insbesondere unzureichend, wenn das Auskunftsverlangen einer Ostereier-Suche gleiche.

Vier weitere (Teil-)Fragen mit Blick auf Verstöße gegen die DSGVO, die europarechtlichen Charakter haben, legte der OGH im Anschluss dem Europäischen Gerichtshof (EuGH) vor. Im Kern geht es in den offenen Fragen darum, ob die eingespielte Werbung von Facebook auf dem Profil des Nutzers eine bestellte Leistung und damit für die Vertragserfüllung erforderlich ist.

Vorläufige Rechtliche Einordnung

Trotz des ungeklärten Ausgangs des Verfahrens soll zumindest eine kurze Darstellung sowie eine Einordnung der vorgelegten Fragen versucht werden, um die Spannungsfelder herauszuarbeiten.

Zuverlässig Auswechslung der Rechtsgrundlage - Mit ihrer ersten Frage zielt die noyb auf die Umdeutung des eingangs erwähnten Vertrags mit Nutzern über die Bestellung personalisierter Werbung. Es geht also darum, ob Facebook nachträglich eine Rechtsgrundlage in eine andere Rechtsgrundlage umdeuten oder sie austauschen kann. Konkret wurde die Rechtsgrundlage der Einwilligung nach Art. 6 Abs. 1 lit. a, 7 DSGVO gegen die Rechtsgrundlage der Erfüllung einer vertraglichen Verpflichtung nach Art. 6 Abs. 1 lit. b DSGVO ausgewechselt.

Die Nutzer hatten, indem sie Facebook-Dienste verwenden, ihr Einverständnis gegeben mit den Nutzungsbedingungen und für das Zeigen von Werbeanzeigen auf Basis der Verwendung ihrer personenbezogenen Daten. Seit dem 25. Mai 2018 handelt es sich bei dieser Erklärung nach Ansicht von Facebook nicht um eine Einwilligung, sondern um einen Vertrag zur Bestellung personalisierter Werbung. Nun stellen sich zwei Fragen:

  1. Generelle Austauschbarkeit der Rechtsgrundlage: Mit der Frage streben Schrems und die noyb eine verbindliche Entscheidung darüber an, ob eine Praxis zum Austausch einer Rechtsgrundlage für die Verarbeitung personenbezogener Daten zulässig ist. Das muss geklärt werden, da die DSGVO keine explizite Aussage zu einem Austausch von Rechtsgrundlagen trifft. Sie besagt nur, dass eine Datenverarbeitung auf mehrere Rechtsgrundlagen gestützt werden kann.

  2. Vorliegen einer alternativen Rechtsgrundlage - Erforderlichkeit der Datenverarbeitung für die Erfüllung: Unbeantwortet ist damit immer noch die Frage, ob die Rechtsgrundlage nach Art. 6 Abs. 1 lit. b) DSGVO einschlägig ist. Selbst wenn ein Vertragsschluss und die Austauschbarkeit der Rechtsgrundlage angenommen wird, ist dafür nicht jede vertragliche Verpflichtung ausreichend. Entscheidend ist, ob es für die Erfüllung des Vertrags zwischen Facebook und dem Nutzer erforderlich ist, personenbezogene Daten zum Zwecke verhaltensbasierter Werbung zu verarbeiten. Anhand dieser Einordnung entscheidet sich der Erfolg der Beschwerde.

Maßgeblich dafür ist, dass nicht jede Pflicht aus einem Vertrag für die Erfüllung des Vertrags erforderlich ist. So reichen künstliche oder einseitig auferlegte Pflichten unter Heranziehung der Leitlinien 2/2019 des Europäischen Datenschutzausschusses nicht aus. Grundsätzlich können zwar auch Nebenpflichten erfasst sein, nur dürfte das Speichern zum Zwecke des Marketings hiervon nicht erfasst sein. Die Erforderlichkeit ergibt sich nämlich nicht allein aus der Perspektive des Verantwortlichen, sondern auch aus der des Betroffenen. Entscheidender Faktor ist der objektive Vertragszweck, der vorliegt bei Bestand eines Sachzusammenhangs zwischen Verarbeitung und Zweck des Schuldverhältnisses. Bei einem Vertrag der Nutzer mit Facebook lässt sich, selbst wenn angenommen wird, dass personalisierte Werbung bestellt wurde, nicht der Vertragszweck der fortlaufenden unbestimmten Datenverarbeitung sicher annehmen.

Datenminimierung

Mit ihrer zweiten Frage bewegt sich die noyb weg von der rechtlichen Grundlage, ob Daten verarbeitet werden dürfen, hin zu der Frage nach dem Umfang der zulässigen Verarbeitung von Daten. Ausgangspunkt ist hier die Frage, ob Nutzerdaten übermäßig verarbeitet werden, indem Facebook alle gesammelten Datensätze in einem Datenpool zusammenfasst und aggregiert. Dies erfolgt etwa durch die Verbindung von Datensätzen über den Like-Button und Pixels.

Die Frage ist nun, ob diese Verbindung verschiedener Datensätze einen Verstoß gegen den Grundsatz der Datenminimierung bedeutet. Das Ziel: die Aggregation von Daten zum Zwecke zielgerichteter personalisierter Werbung beschränken aufgrund eines Verstoßes gegen die Datenminimierung.

Die DSGVO regelt als Grundsatz des Datenschutzes, dass die Datenverarbeitung auf das notwendige Maß beschränkt ist. Messlatte für das notwendige Maß ist der Zweck der Verarbeitung. Die Frage wird sich daran entscheiden, ob es zulässig ist, dass alle bereits verfügbare Daten weiter zu Datensätzen aggregiert werden. Eine Entscheidung lässt sich anhand der bisherigen Rechtsprechung nicht absehen.

Ausschluss bestimmter Datenkategorien

Die dritte Frage richtet sich dagegen, dass Facebook alle personenbezogenen Daten in einem Datenpool sammelt. Anhand von gesammelten Daten durch Facebook können Personen bestimmten Datenkategorien zugeordnet werden, wie etwa die politische Überzeugung oder auch die sexuelle Orientierung. Facebook selbst führt keine solche Zuordnung der betroffenen Personen durch. Allerdings kann ein Dritter die betroffene Person einer der bestimmten Datenkategorien zum Zwecke personalisierter Werbung zuordnen, nachdem Facebook die gesammelten Daten weitergegeben hat.

Daran anknüpfend folgt die Frage, ob der Art. 9 Abs. 1 DSGVO auf diese Verarbeitung anwendbar ist. Dieser Artikel regelt ein grundsätzliches Verarbeitungsverbot für bestimmte Datenkategorien. Ergibt sich aus der Auslegung des Art. 9 Abs. 1 DSGVO, dass er auf die Sammlung bestimmter Datenkategorien angewendet werden kann, könnte Facebook verpflichtet werden, diese Daten zu filtern, bevor sie erhoben oder weitergegeben werden. Dadurch würde verhindert, nach der Weitergabe an Dritte diese Daten Personen zuzuordnen. Maßgeblich für die Beantwortung der Frage wird die Reichweite des Art. 9 Abs. 1 DSGVO sein.

Einwilligung in die fortwährende Datenverarbeitung

Schließlich richtet die vierte Frage den Blick auf die Einwilligung in die Verarbeitung sensibler Daten. Hintergrund ist, dass Max Schrems selbst bei einer Veranstaltung im Rahmen einer öffentlichen Äußerung sensible Informationen zu seiner Person (betreffend seine sexuelle Orientierung) preisgegeben hat. Facebook soll nun sensible Daten zu diesem Thema fortwährend verarbeitet haben. Ist diese Verarbeitung tatsächlich erfolgt, stellt sich im Anschluss die Frage, ob eine einmalige öffentlichen Äußerung zu einem sensiblen Thema die Einwilligung in eine fortwährende Datenverarbeitung dieser sensiblen Datenkategorie darstellt.

Rechtlicher Hintergrund ist, dass eine Verarbeitung sensibler Daten nach Art. 9 Abs. 1 DSGVO grundsätzlich verboten ist. Ausgenommen sind Verarbeitungen nach Art. 9 Abs. 2 lit. e) DSGVO, wenn die betroffene Person diese Daten offensichtlich öffentlich gemacht hat. Die Ursache für diese Ausnahme liegt darin begründet, dass kein vergleichbares Schutzbedürfnis vorliegt, wenn eine Person selbst die sensiblen Daten zugänglich macht. In diesem Fall hat sie bereits selbstbestimmt darüber entschieden, dass diese Daten nicht der Öffentlichkeit vorenthalten sein sollen.

Folgt nun im konkreten Fall aus einer Äußerung über die eigene sexuelle Orientierung, dass die Verarbeitung anderer Daten zur sexuellen Orientierung zum Zwecke der personalisierten Werbung erlaubt ist, indem ein Öffentlich machen nach Art. 9 Abs. 2 DSGVO vorliegt? Dem lässt sich wohl zumindest in seiner Pauschalität nicht beitreten, da der Einzelfall insbesondere im Datenschutz stets nach seinen Umständen zu entscheiden ist. Dabei sind folgende Kriterien einzubeziehen:

  • der Kontext der Äußerung,

  • die Person des Äußernden und

  • der Zweck der Äußerung.

Aus einer Äußerung zum Zwecke des Hinterfragens lasse sich etwa keine vergleichbare Einwilligung ableiten, als wenn eine Person stets zu einem Thema öffentlich spricht und ihre Erfahrungen teilt, wie es etwa bei der Tätigkeit eines Influencers häufiger vorkommt. Auch lassen Entscheidungen zu vergleichbaren Konstellationen von einer generellen Zustimmung Abstand nehmen. Exemplarisch dafür dürfte das allgemeine Persönlichkeitsrecht stehen. Gibt eine Person ein einmaliges Einverständnis zu einer Veröffentlichung bestimmter persönlichkeitsrelevanter Inhalte, folgt daraus keine generelle Einwilligung für die Zukunft.

Bedauerlich ist, dass der OGH einen weiteren Teilaspekt nicht dem EuGH vorgelegt hat, nämlich die Verteilung der Verantwortlichkeit zwischen dem Nutzer und Facebook im Sinne der DSGVO. Der OGH beließ es stattdessen dabei, die Plattform Facebook als alleinigen Verantwortlichen zu bestimmen.

Wie sieht die zuständige irische Datenschutzbehörde das Verfahren?

Jüngst hat auch die irische Datenschutzbehörde (nachfolgend DPC) ihre Einschätzung mit Blick auf die erstgenannte Frage gegeben, indem sie im Rahmen eines Bußgeldverfahrens gegen Facebook Stellung nahm. Dabei erkennt die DPC das Vorgehen von Seiten Facebook in Form der Auswechslung einer Rechtsgrundlage dem Grunde nach an. Schließlich sei es an den Nutzern zu begreifen, dass zwischen ihnen und Facebook bei Nutzung der Facebook-Dienste eine rechtliche Vereinbarung getroffen werde.

Die DPC beanstandet allein die Transparenz beim Wechsel der Rechtsgrundlage durch Facebook und will sie mit einer Geldbuße in Höhe von 28-36 Millionen EUR zu sanktionieren. Kritik erfährt die DPC dabei erneut durch Max Schrems, der in dieser Lösung eine Möglichkeit sieht, die DSGVO zu umgehen. Nach der Ansicht der noyb widerspreche diese Praxis dem Datenschutzrecht, da es sich um eine unzulässige Umetikettierung handele. Dafür spreche auch eine aktuelle Studie, die die noyb in Auftrag gegeben hat. Nach dieser Studie betrachten 64 Prozent der Nutzer die Vereinbarung zwischen Ihnen und Facebook als eine Einwilligung. Ein besonderes Augenmerk sollte diese Stellungnahme der DPC auch erfahren, weil sie kürzlich die noyb zur Löschung des Entwurfs von ihrer Website aufforderte.

Welche Folgen sind bereits absehbar?

Aktuell liegt die Beschwerde beim EuGH. Eine Stellungnahme des Generalanwaltes steht noch aus. Es ist derzeit noch offen, ob der EuGH der Auffassung der noyb folgt. Insoweit dürfte auch die Entscheidung der DPC kein hinreichender Fingerzeig sein. Sollte es dazu kommen, könnte die Entscheidung weitreichende Folgen nach sich ziehen. Gleiches gilt für eine abweichende Auffassung des EuGH. Dabei lassen sich potenzielle Konsequenzen für Facebook, andere Unternehmen und die allgemeine Zulässigkeit von Datenverarbeitungen differenzieren:

Insbesondere Facebook müsste sich bei der Ablehnung seiner Rechtsauffassung im äußersten Fall mit gravierenden Folgen auseinandersetzen. Dabei handelt es sich etwa um

  • Fehlen einer Rechtsgrundlage für die zukünftige Verarbeitung der Nutzerdaten;

  • Schadensersatzansprüche jedes einzelnen Nutzers;

  • Empfindliche Bußgelder durch die jeweils zuständigen Datenschutzbehörden mit unter dem Gesichtspunkt eines Verstoßes gegen die DSGVO.

Umgekehrt hätte ein Sieg für Facebook eine immense Erleichterung für den Konzern zur Folge, dass im Zweifel zukünftig

  • nicht mehr die strengen Vorgaben an eine Einwilligung nach der DSGVO eingehalten werden müssten, soweit bereits die Vertragserfüllung als Rechtsgrundlage greift;

  • eine Verarbeitung der Nutzerdaten auch für Werbung und Online-Tracking in weiterem Umfang als nach den Vorgaben der DSGVO für die Einwilligung zulässig wäre.

Andere Unternehmen könnten für ihr zukünftiges Handeln ebenfalls weitreichende Konsequenzen ziehen. So könnten diese

  • bei einem Sieg von Facebook etwa deren Verhalten kopieren und sich eine Rechtsgrundlage für Werbung verschaffen durch die Umdeutung einer früheren Einwilligung in einen Vertrag.

  • bei einer Entscheidung gegen Facebook umgekehrt Schlussfolgerungen für den eigenen Einsatz dieses Modells ziehen.

Sonstige Folgen und Auswirkungen könnten

  • im besten Fall dazu führen, die Anforderungen an die Rechtsgrundlage der Datenverarbeitung zur Erfüllung vertraglicher Pflichten gem. Art. 6 Abs. 1 lit. b) DSGVO zu präzisieren. Diese könnte für zukünftige Verarbeitungen im vertraglichen Kontext erhebliche Bedeutung erlangen. Womöglich benennt der EuGH auch konkrete Kriterien dafür, ab wann und welche Verarbeitung für die Erfüllung vertraglicher Pflichten erforderlich ist.

  • zur Folge haben, dass zulässige Datenverarbeitungen mit Blick auf die Datenminimierung, die Auswahl bestimmter Datenkategorien und der Ausschlussgrund der Offenlegung präzisiert werden.

Unabhängig vom Ausgang des Verfahrens dürfte die Entscheidung - wie ihre Vorgänger - für Unruhe und Innovation bei der Datenverarbeitung sorgen. Jede der vorgelegten Teilfragen hat das Potenzial, weitreichende Änderungen beim Umgang mit personenbezogenen Daten zu bewirken, insbesondere in den Bereichen Online-Marketing und Tracking.

Die weitere Entwicklung ist abzuwarten

Aktuell sollte die Praxis von Facebook bei der Datenverarbeitung weiterhin mit Vorsicht betrachtet werden. Eine Nachahmung könnte ein zukünftiges Bußgeld durch die Aufsichtsbehörden zu Folge haben.

Selbst wenn Facebook gewinnt, sollte die Praxis mit Vorsicht betrachtet werden. So zeigt die ausstehende Geldbuße, dass ein Austausch der Rechtsgrundlage auch Risiken für einen Verstoß gegen das Transparenzgebot beinhalten.

Vorerst sollte die weitere Entwicklung abgewartet werden. Einen ersten Fingerzeig dürfte die zu erwartende Stellungnahme des Generalanwalts bieten. (jd)

Dennis Goebel ist Rechtsanwalt bei der Luther Rechtsanwaltsgesellschaft.
Dr. Michael Rath ist Rechtsanwalt, Fachanwalt für Informationstechnologie-Recht und Partner der Luther Rechtsanwaltsgesellschaft mbH mit Sitz in Köln. Zudem ist er Certified ISO/IEC 27001 Lead Auditor. Seine Beratungsschwerpunkte sind das IT-Recht, Datenschutzrecht und der Gewerbliche Rechtsschutz. Dr. Michael Rath ist u.a. Mitglied in der Deutschen Gesellschaft für Recht und Informatik e.V. (DGRI) und akkreditierter Schlichter für IT-Streitigkeiten bei der Schlichtungsstelle der DGRI.