BREAKING: Oostenrijkse OGH vraagt HJEU of Facebook GDPR sinds 2018 "ondermijnt"

This page has been translated automatically. Read the original or leave us a message if something is not right.
Tue, 07/20/2021 - 07:00
undermine

BREAKING: Oostenrijks Hooggerechtshof vraagt HJEU of Facebook de GDPR "ondermijnt" door "toestemming" te verwarren met een vermeend "contract".

In een slepende civiele zaak tussen Max Schrems en Facebook heeft het Oostenrijkse hooggerechtshof (Oberster Gerichtshof, of "OGH") het verzoek van de heer Schrems ingewilligd om een aantal vragen voor te leggen aan het Hof van Justitie van de Europese Unie (HJEU, het hoogste gerechtshof in de EU). De vier vragen doen fundamentele twijfels rijzen over de rechtmatigheid van Facebooks gebruik van gegevens van alle EU-klanten

Tegelijkertijd heeft het Oostenrijkse Hooggerechtshof in een gedeeltelijk arrest beslist dat Schrems een symbolische emotionele schadevergoeding van 500 euro krijgt omdat Facebook hem geen volledige toegang tot zijn gegevens heeft gegeven, maar een "eierenjacht" naar gebruikersgegevens heeft georganiseerd.

(1) Verwijzing naar HJEU:

Kernvraag: "Toestemming" of "overeenkomst"? Het Oostenrijkse Hooggerechtshof heeft twijfels over de rechtsgrondslag die Facebook gebruikt voor bijna alle verwerkingen van gebruikersgegevens. De GDPR noemt zes opties om persoonsgegevens rechtmatig te verwerken, waaronder "toestemming" en "contract". Je kunt je alleen op "contract" beroepen als de verwerking noodzakelijk is voor de uitvoering van het contract.

Vóór de GDPR beweerde Facebook dat gebruikers "instemden" met hun verwerking van gepersonaliseerde reclame. De GDPR verhoogde echter de vereisten voor toestemming om geldig te zijn en gaf gebruikers ook het recht om hun toestemming op elk moment in te trekken.

Dus op 25 mei 2018, toen de GDPR van toepassing werd, beweerde Facebook niet langer dat het zich op toestemming beriep. In plaats daarvan zei Facebook dat de toestemmingsclausules moeten worden gezien als een "contract" waarbij gebruikers gepersonaliseerde reclame "bestelden". In de ogen van Facebook kunnen ze met deze omzeiling gebruikers ontdoen van alle rechten die onder de GDPR aan toestemming zijn verbonden. De vereisten van een "vrij gegeven" of "geïnformeerde" toestemming zouden niet meer van toepassing zijn als het wordt geïnterpreteerd als een "contract".

Max Schrems, voorzitter van noyb.eu:"Facebook probeert gebruikers van veel GDPR-rechten te beroven door toestemming simpelweg te 'herinterpreteren' als een civielrechtelijk contract. Dit was niets anders dan een goedkope poging om de GDPR te omzeilen."

OGH: Facebook zou de GDPR illegaal kunnen "ondermijnen". Het Oostenrijkse Hooggerechtshof lijkt deze bezorgdheid te delen. In zijn verwijzing naar het HvJEU vat het Oostenrijkse Hooggerechtshof zijn standpunt samen in punt 54 van de verwijzing:

"Een kernvraag van de onderhavige procedure is of de verklaring van voornemen tot verwerking door de verweerder kan worden verschoven onder het rechtsbegrip volgens art. 6(1)(b) GDPR om daarmee de aanzienlijk hogere bescherming die de rechtsgrondslag 'toestemming' aan de eiser biedt, te 'ondermijnen'."

Max Schrems:"In principe berust al het datagebruik dat Facebook in de EU winst oplevert op dit juridische argument. Als Facebook bij het HvJEU verliest, moeten ze daar niet alleen mee stoppen en alle illegaal gegenereerde gegevens verwijderen, maar ook miljoenen gebruikers een schadevergoeding betalen. Ik ben erg blij met deze verwijzing."

Verdere vragen over gegevensminimalisering en gevoelige gegevens. Het Oostenrijkse Hooggerechtshof heeft nog drie vragen over de rechtmatigheid van Facebooks gebruik van persoonsgegevens aan het Hof van Justitie voorgelegd. Het HvJEU zal moeten beslissen of het gebruik van alle gegevens op facebook.com en uit talloze andere bronnen, zoals websites die "Like"-knoppen van Facebook of reclame gebruiken, voor welk doel dan ook , verenigbaar is met het beginsel van "gegevensminimalisering" van de GDPR. Twee andere vragen hebben betrekking op het gebruik door Facebook van gevoelige gegevens (zoals politieke opvattingen of seksuele geaardheid) voor gepersonaliseerde reclame.

Max Schrems:"Deze andere vragen zijn van cruciaal belang. Facebook mag misschien niet meer alle gegevens voor advertenties gebruiken, zelfs niet als het daarvoor geldige toestemming heeft gekregen. Het kan ook zijn dat het gevoelige gegevens zoals politieke meningen of gegevens over seksuele geaardheid moet filteren. Tot dusver heeft Facebook betoogd dat het geen onderscheid maakt tussen deze soorten gegevens."

(2) Gedeeltelijke uitspraak over schadevergoeding, toegang, rollen en "Easter Eggs"

Daarnaast heeft het Oostenrijkse Hooggerechtshof een definitief arrest gewezen over bepaalde eisen waarover kan worden beslist zonder dat een verwijzing naar het HvJEU nodig is.

500 EUR wegens "enorme ergernis", gebrek aan toegang tot gegevens en "easter eggs". Het Oostenrijkse Hooggerechtshof heeft besloten dat de heer Schrems een geldelijke vergoeding van 500 euro krijgt omdat Facebook hem geen volledige toegang tot zijn gegevens heeft gegeven. Het Hof oordeelde dat hij niet alle ruwe gegevens heeft gekregen, noch cruciale informatie zoals de rechtsgrondslag op basis waarvan zijn gegevens zijn verwerkt. Het Hof benadrukte dat de gegevens die Facebook via zijn online tool aanbood, verspreid waren over meer dan 60 gegevenscategorieën met honderden, zo niet duizenden gegevenspunten, wat een paar uur zou kosten om door te spitten.

Het Hof oordeelde in punt 153: "De eiser wijst er terecht op dat de GDPR uitgaat van een eenmalig verzoek om toegang, niet van een 'paaseierenjacht'".

Het Oostenrijkse Hooggerechtshof was ook vrij duidelijk over de claim van Facebook om de heer Schrems alle gegevens te hebben verstrekt die het "relevant" achtte (r.o. 152):

"Dat de plicht tot informatieverstrekking niet kan afhangen van de loutere zelfbeoordeling van de verweerder ('relevant') behoeft geen nadere toelichting."

Bewijslast bij Facebook. De Hoge Raad heeft ook veelvuldig benadrukt dat op Facebook de bewijslast rust om aan te tonen dat zij volledige toegang hebben gegeven of dat de verwerking rechtmatig is (o.a. bij r.o. 151). Facebook stelde zich tijdens de procedure op het standpunt dat het aan de heer Schrems zou zijn om aan te tonen dat Facebook niet alle gegevens heeft verstrekt en weigerde eenvoudigweg de vragen van de heer Schrems te beantwoorden.

Wie "bezit" de gegevens op Facebook? In de zaak werden vragen gesteld over de rol van de spelers op het Facebook-platform. De heer Schrems betoogde dat hij in de eerste plaats de baas is over zijn profiel- of berichtgegevens op Facebook (juridisch als "voor de verwerking verantwoordelijke"), wat betekent dat Facebook zijn bevelen moet opvolgen wanneer het bijvoorbeeld gegevens verwijdert (louter als "verwerker"). Facebook stelde zich op het standpunt dat het de "voor de verwerking verantwoordelijke" is voor alle gebruikersgegevens op Facebook - met bepaalde uitzonderingen. De Oostenrijkse Surpeme rechtbank zei dat de kwestie niet relevant is, aangezien het gebruik van Facebook onder de "uitzondering voor huishoudelijk gebruik" zou vallen en de kwestie zich dus niet zou voordoen.

Max Schrems:"Op dit punt hebben we technisch gezien 'verloren', maar volgens het Hof zou Facebook wettelijk aansprakelijk zijn voor elke illegale verwerking op facebook.com - ook als die door anderen wordt gedaan. Wij hadden een genuanceerdere uitkomst voorgesteld, maar daar is het Hof niet op ingegaan."