Hebelt Facebook die DSGVO rechtswidrig aus?

gdpr offIm Jahr 2018 führte die Europäische Union die Datenschutz-Grundverordnung (im Folgenden: DSGVO), um den Datenschutz europaweit einheitlich zu regeln und somit einen neuen rechtlichen Standard herzustellen. Doch die Umsetzung der DSGVO bringt nach wie vor rechtliche Probleme mit sich, die im Zweifel der Europäische Gerichtshof (EuGH) lösen muss. So auch ein einem aktuellen Zivilverfahren, in dem der österreichische Oberste Gerichtshof (OGH) dem EuGH eine Reihe von Rechtsfragen zur Datennutzung von Facebook vorlegt.

Um welche Rechtsfragen handelt es sich?

Insgesamt legte der OGH vier Fragen in Bezug auf die Rechtmäßigkeit der Datennutzung durch Facebook vor. Von den vier Fragen zielt eine auf die Rechtsgrundlage für die Datenverarbeitung von Facebook ab, eine auf die Verwendung der Daten durch Facebook im Hinblick auf die Vereinbarkeit mit dem Grundsatz der Datenminimierung sowie zwei weitere Fragen zur Filterung und Verwendung sensibler Daten (wie beispielsweise politische Ansichten oder sexuelle Orientierung) für personalisierte Werbung.

Die Kernfrage war jedoch die erste, ob die Rechtsgrundlage, die Facebook für fast alle Datenverarbeitungen verwendet, eine Einwilligung oder ein Vertrag darstellt.

Auf welcher Rechtsgrundlage begründet Facebook seine Datenverarbeitung?

Laut Art. 6 Abs. 1 DSGVO gibt es insgesamt sechs verschiedene Möglichkeiten, rechtmäßig Daten von Nutzern verarbeiten zu dürfen. Praxisrelevant ist insbesondere die Möglichkeit der Datenverarbeitung aufgrund einer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO), als auch die aufgrund der Erfüllung eines Vertrages (Art. 6 Abs. 1 lit. b DSGVO).

Vor Inkrafttreten der DSGVO sah Facebook seine Datenverarbeitung durch die Einwilligung seiner Nutzer in personalisierte Werbung als rechtmäßig an. Doch die DSGVO brachte die Möglichkeit des Widerrufs der Einwilligung durch die Nutzer mit sich. Seither begründet Facebook seine Datenverarbeitung auf Grundlage eines Vertrages, den jeder Nutzer für die Erstellung personalisierter Werbung mit Facebook abgeschlossen habe. Damit könnte Facebook die Erfordernisse einer Einwilligung umgehen. Ob dies rechtmäßig ist, soll nun der EuGH entscheiden.

Hierbei geht es insbesondere um die Frage, ob die von Facebook verarbeiteten Daten tatsächlich erforderlich sind, um den Vertrag (Nutzungsverhältnis bei Nutzung von Facebook) zu erfüllen, oder ob Facebook hier einseitig Vorgaben macht, die über das hinausgehen, was Facebook zum Betrieb des sozialen Netzwerks wirklich an Daten bräuchte. Dieses Thema ist auch in anderen Konstellationen von großer Bedeutung, beispielsweise bei den von einigen Zeitungen und Zeitschriften verfolgten Geschäftsmodellen, die eine kostenfreie Nutzung ihrer Online-Auftritte nur ermöglichen, wenn der Nutzer einem umfangreichen Tracking zustimmt. Der Rechtsstreit wird daher auch über Facebook hinaus einige Relevanz haben.

Der Kläger des Rechtsstreits ist bekannt

Beim Kläger handelt es sich um den Datenschützer Max Schrems, Vorsitzender von noyb.eu, der auch in der Vergangenheit Erfolge in Datenschutzrechtsstreits vor dem EuGH erzielte.

Erst kürzlich berichteten wir über die Datenschutzorganisation Noyb, die eine Beschwerdewelle gegen Cookie-Banner startete (https://www.dury.de/datenschutzrecht-blog/datenschutzorganisation-noyb-startet-beschwerdewelle-gegen-cookie-banner).

Die EuGH-Urteile „Schrems I“ und „Schrems II“ und deren Folgen sind Datenschützern bekannt. Mehr zu diesen Urteilen finden Sie unter den folgenden Links:

Schrems I: https://www.dury.de/blog/datenschutzrecht-blog/update-03-02-2016-eugh-safe-harbor-abkommen-mit-den-usa-keine-ausreichende-rechtsgrundlage-fur-datenexport-in-die-usa-inkl-musteranschreiben-zur-kundeninformation

Schrems II: https://website-check.de/blog/datenschutzrecht/privacy-shield-gekippt/

Fazit

Datenschützer Max Schrems erachtet die Beantwortung der dem EuGH vorgelegten Fragen als extrem wichtig. Denn im Ernstfall müsste Facebook wohl die verarbeiteten Daten wieder teilweise von dem Nutzungsverhältnis abkoppeln. Das könnte zur Folge haben, dass Facebook trennen müsste zwischen Nutzern, die in die weitergehende Datenverarbeitung eingewilligt haben, und solchen Nutzern, die das nicht getan haben. Außerdem müsste Facebook dann möglicherweise Daten zu politischen Ansichten und zur sexuellen Orientierung herausfiltern.

Den Beschluss des OGH in voller Länge finden Sie hier: https://noyb.eu/sites/default/files/2021-07/Vorlage_sw_DE.pdf

Co-Autor: Wissenschaftlicher Mitarbeiter -  Ref. jur. Philipp Schmelz

Bildquelle:Bild von Biljana Jovanovic auf Pixabay

Rechtsanwalt Michael Pfeiffer
Autor: Rechtsanwalt Michael Pfeiffer
Angestellter Rechtsanwalt
Autoren-Info:
Rechtsanwalt Michael Pfeiffer, Fachanwalt für IT-Recht, ist seit dem Jahr 2016 als Rechtsanwalt bei DURY LEGAL beschäftigt.

datenschutz luxemburg 2019 DURY cover

Jetzt bestellen: DURY / KERZ - Datenschutz in Luxemburg

Dieses Handbuch gibt einen praxisnahen Einblick in die Besonderheiten des luxemburgischen Datenschutzrechts und deren Zusammenspiel mit der Datenschutzgrundverordnung (DSGVO). Seit dem 25. Mai 2018 ist die DSGVO wirksam. Das neue luxemburgische Datenschutzgesetz ist seit dem 20. August 2018 in allen Datenverarbeitungsprozessen mit Bezug zu Luxemburg ergänzend zu der DSGVO zu beachten.
Im ersten Teil dieses Buches erfahren Sie, welche neuen gesetzlichen Anforderungen die DSGVO und das neue luxemburgische Datenschutzgesetz an Unternehmen in Luxemburg bzw. Konzernstrukturen mit Bezug zu Luxemburg stellen.
Im zweiten Teil des Buches finden Sie eine systematische Darstellung der DSGVO und des luxemburgischen Datenschutzgesetzes.
Es soll Ihnen im Unternehmensalltag helfen, datenschutzrechtliche Vorgaben in Luxemburg einzuhalten und diese in der Praxis mit möglichst wenig Aufwand umzusetzen.
Das Buch, inklusive des Textes des luxemburgischen Datenschutzgesetzes, ist in drei Sprachen erhältlich: Französisch, Englisch und Deutsch. Die deutsche und englische Übersetzung des Gesetzestextes sind zudem von der luxemburgischen Aufsichtsbehörde (CNPD) autorisiert, sodass Sie sicher sein können, dass Ihnen bei der Anwendung der Übersetzungen kein Nachteil gegenüber der Anwendung des ursprünglichen Gesetzeswortlauts entsteht.

Zielgruppe

Dieses Praxishandbuch richtet sich an alle, die sich mit dem Thema Datenschutz in Luxemburg beruflich beschäftigen, z. B. Datenschutzbeauftragte in Unternehmen oder Vereinen, Berater, Geschäftsführer oder sonstige IT-Verantwortliche.

Bestellen Sie jetzt per Fax unter +49 (0) 8581 754, bei Amazon.de oder auf www.shop.ruw.de