Inzwischen muss man die Urteile, in denen Max Schrems gegen Facebook vorgeht in einem eigenen Katalog aufnehmen. Nach dem ebenso spektakulären wie weitreichenden Urteil des EuGH, das seit letztem Sommer seinen Namen trägt (Schrems II) und in dem nebenbei das „Privacy Shield“ für nicht rechtskonform erklärt wurde (wir berichtete hier und hier), strebt
Max Schrems mit seiner Non Profit Organisation (NAME) weiterhin juristischen Ruhm an.
In einem neueren Urteil des LGZ Wien (Urt. v. 30.06.2020 – 3 Cg 52/14k-91 LINK) ging es unter anderem um die Datenverarbeitung von sensiblen Daten auf Facebook, sowie die fehlende Einwilligung in die Datenverarbeitung als Nutzer. Weiterhin beschäftigte sich das LGZ Wien mit dem von Schrems gestellten Auskunftsanspruch.
Das Urteil wird in anderen Blogs sicherlich aufgedröselt und es gibt viele Aspekte, die man hervorstellen könnte. Wir wollen uns auf zwei Argumentationen des LGZ Wien beschränken: Die Rechtsgrundlage der Datenverarbeitung und die Frage, ob die DSGVO überhaupt anwendbar sei.
Rechtsgrundlage der Verarbeitung
Welche Rechtsgrundlage braucht Facebook, wenn es Daten der Nutzer verarbeitet? Hierbei muss sicherlich zunächst geklärt werden um welche Daten es geht und welche Art der Verarbeitung vorgenommen wird. Das Urteil listet eindrucksvoll auf, welche technischen Tools von FB zu welchen Zwecken verwendet werden. Ein Auszug:
- Custom Audiences, Look-a-Like oder Kernzielgruppenfunktion: Definition der Zielgruppe
- Social Plugins: Verknüpfung von Webpage-Besuchsdaten mit der Facebook ID
- Datr_cookie: Nutzer ID zur Authentifizierung ggü. Facebook
Im Endeffekt ergibt sich, dass eine komplette Web-Besuchs-Historie anhand einer eindeutigen Zuordnung zur Facebook-Identität geschieht. Hierbei werden „Interessen, Vorlieben und Verhältnisse des Nutzers erkundet“. Diese Informationen fließen in das Profil des Nutzers ein. Dabei werden nicht nur die vom Nutzer angegebenen Interessen verwendet, sondern „alle Personenbezogenen Daten über die (Facebook) verfügt“ (LGZ Wien, a.a.O., Rn. 6).
Da der Dienst Facebook im Endeffekt Werbung gegen die Nutzung des Dienstes verkaufe, sei auch kein Verstoß gegen das Datenschutzrecht zu sehen, da die Verarbeitung ja in den AGB, Richtlinien und Informationen dargelegt sei (LGZ Wien, a.a.O., Rn. 6).
Somit beruft sich das LGZ wohl auf eine konkludente Einwilligung. Diese erscheint aber schon aus dem Erfordernis der Transparenz zweifelhaft. Das LGZ stellt selbst fest, dass nicht zu klären sei, ob „eine unwiederbringliche Löschung (..) erfolgte“ (LGZ Wien, a.a.O., Rn. 111) Ebenso stellt Facebook zur Überwachung des eigenen Accounts nur solche Tools zur Verfügung, die es selbst für relevant hält (LGZ Wien, a.a.O., Rn. 92). Sollten sensible Daten verarbeitet werden fehlt es in jedem Fall an einer Ausdrücklichkeit der Einwilligung.
Sollte das LGZ Wien Facebook ein berechtigtes Interesse gem. Art. 6 Abs. 1 lit. f DSGVO zugeschrieben haben, ist fraglich, ob eine pauschale Abwägung („kostenloser Dienst also Datenschleuder“) hier überhaupt vorgenommen werden kann.
Im Endeffekt überzeugen die Ausführungen keineswegs. Die Tatsache, dass Facebook keine Transparenz in seiner Verarbeitung der Daten herstellt ist keine Folge seines Geschäftsmodells, sondern eine Grundlage ebendieses. Wenn die Datenverarbeitung nicht transparent dargestellt werden kann, weil Daten in jede erdenkliche und nicht erdenkliche Richtung geschleudert werden, dann könnte man auch auf die Idee kommen, dass diese Art der Verarbeitung durch die DSGVO verhindert und nicht ermöglicht werden soll.
Anwendbarkeit der DSGVO
Weiterhin gibt das LGZ Wien an, dass Schrems die Daten zu privaten Zwecken an FB übermittelt hätte. Daher käme eine Haushaltsausnahme (Art. 2 Abs. 2 lit. c DSGVO „private und familiäre Tätigkeiten“) in Frage und die Daten würden in ihrer Verarbeitung nicht unter das Regime der DSGVO fallen.
Das mag zwar für die Verarbeitung der Daten durch Schrems gelten. Allerdings nutzt Facebook nutzt diese Daten ja unbestreitbar zu geschäftlichen Zwecken. Der Anknüpfungspunkt ist somit falsch gesetzt (ebenso: Messner/Mosing in ZD 01/2021, S. 33)
Im Endeffekt lässt sich hoffen, dass in der Berufung mehr Klarheit in die Sache kommt. Dennoch ist das Urteil sehr lesenswert! Die Erkenntnisse, v.a. technischer Art, sind erstaunlich. Es scheint so, als würden die Schrems-Verfahren das System Facebook langsam aufdecken.
Fitness-Studio Bußgeld durch Datenschutz-Behörde
Die größte norwegische Fitnessstudio Kette hat nach Erlass der Datenschutzbehörde ein Bußgeld von...
Datzenschutz-Schadensersatz bei „Datenscraping“ von Webseiten
Das Landgericht Gießen musste sich in seiner Entscheidung (LG Gießen, Urteil vom 3.11.2022 – 5 O...
Speicherungsdauer einer Restschuldbefreiung
mit der Frage, wie lange eine Restschuldbefreiung durch eine Wirtschaftsauskunftei gespeichert...
Recent Comments