Vorlagefragen zu DSGVO und personalisierter Werbung

DSGVO: Art 5, Art 6, Art 9

1. Art 6 DSGVO regelt jene Tatbestände, die eine Verarbeitung von Daten rechtfertigen. Nach Art 6 Abs 1 Abs 1 DSGVO können auch mehrere Erlaubnisnormen nebeneinander bestehen (arg „mindestens eine der nachstehenden Bedingungen“).

Nach Art 6 Abs 1 lit a DSGVO ist die Verarbeitung personenbezogener Daten rechtmäßig, wenn die betroffene Person ihre Einwilligung zur Verarbeitung für einen oder mehrere bestimmte Zwecke gegeben hat.

Nach Art 6 Abs 1 lit b DSGVO ist die Datenverarbeitung erlaubt, wenn dies für die Vertragserfüllung im weiten Sinn (somit auch von Nebenpflichten) erforderlich ist. Maßgeblich ist der aus dem Vertragsinhalt hervorgehende Vertragszweck und das, was zur Erfüllung der Vertragspflichten oder der Wahrnehmung von Rechten bzw für die Durchführung vorvertraglicher Maßnahmen geboten ist. Für die datenschutzrechtliche Auslegung des Vertrags und die Frage, ob eine Datenverarbeitung „erforderlich“ iSv Art 6 Abs 1 lit b DSGVO ist, ist der objektive Vertragszweck maßgeblich. Künstlich bzw einseitig auferlegte Leistungen können hierunter nicht subsumiert werden. Die Erforderlichkeit einer Datenverarbeitung zur Vertragserfüllung hängt davon ab, ob ein unmittelbarer sachlicher Zusammenhang zwischen der beabsichtigten Datenverarbeitung und dem konkreten Zweck des rechtsgeschäftlichen Schuldverhältnisses besteht. Art 6 Abs 1 lit b DSGVO ist in diesem Sinne eng auszulegen und gilt nicht für Situationen, in denen die Verarbeitung für die Erfüllung eines Vertrags nicht tatsächlich notwendig ist. Die Tatsache, dass die Zwecke der Verarbeitung durch Vertragsklauseln abgedeckt sind (die der Anbieter formuliert hat), bedeutet nicht automatisch, dass die Verarbeitung für die Erfüllung des Vertrags erforderlich ist.

Das vorliegende Vorabentscheidungsersuchen des OGH – iZm der Prüfung von Vertragsbestimmungen betr Datensammlung, -verarbeitung und -analyse zwecks personalisierter Werbung in allgemeinen Nutzungsbedingungen einer Plattform (soziales Netzwerk) – betrifft ua das Verhältnis der Tatbestände “Einwilligung“ (Art 6 Abs 1 lit a iVm Art 7 DSGVO) und “Erforderlichkeit“ der Datenverarbeitung zur Erfüllung des Vertragszwecks (Art 6 Abs 1 lit b DSGVO).

2. Weiters möchte der OGH vom EuGH ua wissen, ob eine öffentliche Äußerung eines Nutzers über die eigene sexuelle Orientierung (hier im Rahmen einer Podiumsdiskussion) der bekl Betreiberin des sozialen Netzwerks nach Art 9 Abs 2 lit e DSGVO erlaubt, andere Daten zur sexuellen Orientierung für Zwecke der personalisierten Werbung zu sammeln und analysieren.

OGH 23. 6. 2021, 6 Ob 56/21k

Vorabentscheidungsersuchen (1) und tlw Erledigung (2)

Hinweis:

Im vorliegenden Verfahren wurde bereits einmal ein Vorabentscheidungsersuchen an den EuGH gestellt (C-498/16, Schrems gegen F***** Ireland, RdW 2018/53). In der Folge änderte der Kl sein Klagebegehren.

1. Vorabentscheidungsersuchen

Personalisierung als Vertragszweck?

Die Bekl stützt sich nicht auf die Einwilligung des Kl, sondern darauf, dass die Datenverarbeitung ein wesentlicher Bestandteil des Vertragszwecks der „Personalisierung“ und zur Vertragserfüllung notwendig sei. Nach Auffassung des BerufungsG ist die Verarbeitung der personenbezogenen Nutzerdaten eine tragende Säule des Vertrags, denn nur diese Datenverwertung ermögliche maßgeschneiderte Werbung, die das von der Bekl geschuldete „personalisierte Erlebnis“ in wesentlichem Maße prägt und der Bekl zugleich die für die Aufrechterhaltung der Plattform und die Erzielung eines Gewinns notwendigen Einkünfte verschafft. Diese Datenverarbeitung sei daher für die Vertragserfüllung „erforderlich“ iSd Art 6 Abs 1 lit b DSGVO. Diese Auffassung ist jedoch keineswegs selbstverständlich (vgl etwa die Guideline 2/2019 des Europäischen Datenschutzausschusses (EDSA), wonach zur Beurteilung der „Erforderlichkeit“ nicht bloß die Perspektive des Verantwortlichen einzunehmen ist, sondern auch die Perspektive des Betroffenen. Auch die Lit vertritt diesbezüglich eine restriktive Position.

Eine Kernfrage des vorliegenden Verfahrens ist daher, ob die Willenserklärung zur Verarbeitung von der Bekl unter das Rechtskonzept nach Art 6 Abs 1 lit b DSGVO verschoben werden kann, um damit den deutlich höheren Schutz, den die Rechtsgrundlage „Einwilligung“ für den Kl bietet, „auszuhebeln“.

öffentlich gemachte sensible Daten

Über den Kl verarbeitet die Bekl weiters ua Daten zu seinen politischen Überzeugungen und seiner sexuellen Orientierung. Dem Kl wurde etwa Werbung zu einer Politikerin angezeigt, basierend auf einer Analyse, dass er anderen Nutzern ähnelt, die diese Politikerin mit „gefällt mir“ markiert haben („Lookalike Audience“). Er erhält Werbung zu Veranstaltungen, die auf homosexuelle Personen abzielen, basierend auf einer Analyse seiner „Interessen“ und nicht seiner sexuellen Orientierung oder der seiner Freunde. In der Liste seiner Aktivitäten finden sich Apps und Webseiten, die sich an homosexuelle Nutzer richten, oder von politischen Parteien.

Art 9 Abs 1 DSGVO sieht ein generelles Verarbeitungsverbot für solche sensiblen Daten vor, das ausschließlich durch das Vorliegen zumindest eines der Fälle des Art 9 Abs 2 DSGVO durchbrochen werden kann. Sensible Daten sind etwa Daten über die rassische und ethnische Herkunft, politische Meinungen, religiöse Überzeugungen oder der sexuellen Orientierung.

Art 9 Abs 2 lit e DSGVO lässt die Verarbeitung von sensiblen personenbezogenen Daten über die betroffene Person zu, wenn diese die betroffene Person offensichtlich öffentlich gemacht hat (Kastelitz/Hötzendorfer/Tschohl in Knyrim, DatKomm Art 9 DSGVO Rz 41). Hintergrund der Regelung ist, dass personenbezogene Daten, die in freier Selbstbestimmung von der betroffenen Person der Öffentlichkeit zugänglich gemacht worden sind, keine erhebliche Gefahr für die Privatsphäre darstellen, sodass sie des gesteigerten Schutzes nach Art  9 DSGVO nicht bedürfen (Kampert in Sydow, Europäische Datenschutzgrundverordnung² [2018] Art 9 Rz 30). Der Regelung unterfallen Daten, die frei im Internet oder in für jedermann einsehbaren öffentlichen Registern und Verzeichnissen enthalten sind oder die über die Medien Verbreitung finden.

Allein der Umstand, dass Daten öffentlich zugänglich sind, reicht allerdings noch nicht aus, um auf den Schutz des Art 9 DSGVO zu verzichten. Die Öffentlichkeit der Daten muss vielmehr offensichtlich auf einen Willensakt der betroffenen Person zurückzuführen sein (Kampert aaO, Rz 31 f).

Nach den Feststellungen kommuniziert der Kl seine sexuelle Ausrichtung (freiwillig) öffentlich, hat diese jedoch nicht in seinem F*****‑Profil angegeben. Im Rahmen eines Vortrags über Datenschutz bei der Vertretung der Europäischen Kommission in Österreich äußerte sich der Kl dahingehend, dass seine sexuelle Orientierung aus seiner Freundesliste hochgerechnet werden könne, dass seine sexuelle Orientierung aber etwas sei, was er „öffentlich nicht permanent rundherum erzähle“, weil er sich denke, „ich red lieber über den Datenschutz.“

Daraus ergibt sich, dass der Kl diese Aussage offenbar gerade mit der Intention getätigt hat, die von der Bekl bereits durchgeführte Datenverarbeitung zu hinterfragen und öffentlich zu kritisieren. Aus dieser Äußerung kann keine Zustimmung iSd Art 9 DSGVO abgeleitet werden.

Vorlagefragen

1.	Sind die Bestimmungen der Art 6 Abs 1 lit a und b DSGVO dahingehend auszulegen, dass die Rechtmäßigkeit von Vertragsbestimmungen in allgemeinen Nutzungsbedingungen über Plattformverträge wie jenem im Ausgangsverfahren (insbesondere Vertragsbestimmungen wie: „Anstatt dafür zu zahlen [...] erklärst du dich durch Nutzung der F*****-Produkte, für die diese Nutzungsbedingungen gelten, einverstanden, dass wir dir Werbeanzeigen zeigen dürfen ... Wir verwenden deine personenbezogenen Daten [...] um dir Werbeanzeigen zu zeigen, die relevanter für dich sind.“), die die Verarbeitung von personenbezogenen Daten für Aggregation und Analyse von Daten zum Zwecke der personalisierten Werbung beinhalten, nach den Anforderungen des Art 6 Abs 1 lit a iVm Art 7 DSGVO zu beurteilen sind, die nicht durch die Berufung auf Art 6 Abs 1 lit b DSGVO ersetzt werden können?
2.	Ist Art 5 Abs 1 lit c DSGVO (Datenminimierung) dahin auszulegen, dass alle personenbezogenen Daten, über die eine Plattform wie im Ausgangsverfahren verfügt (insbesondere durch den Betroffenen oder durch Dritte auf und außerhalb der Plattform), ohne Einschränkung nach Zeit oder Art der Daten für Zwecke der zielgerichteten Werbung aggregiert, analysiert und verarbeitet werden können?
3.	Ist Art 9 Abs 1 DSGVO dahin auszulegen, dass er auf die Verarbeitung von Daten anzuwenden ist, die eine gezielte Filterung von besonderen Kategorien personenbezogener Daten wie politische Überzeugung oder sexuelle Orientierung (etwa für Werbung) erlaubt, auch wenn der Verantwortliche zwischen diesen Daten nicht differenziert?
4.	Ist Art 5 Abs 1 lit b iVm Art 9 Abs 2 lit e DSGVO dahin auszulegen, dass eine Äußerung über die eigene sexuelle Orientierung für die Zwecke einer Podiumsdiskussion die Verarbeitung von anderen Daten zur sexuellen Orientierung für Zwecke der Aggregation und Analyse von Daten zum Zwecke der personalisierten Werbung erlaubt?

2. tlw Erledigung

Mit einer weiteren Entscheidung von selben Tag (ebenfalls OGH 23. 6. 2021, 6 Ob 56/21k) hat der OGH die Revision von Kl und Bekl in einigen Punkten nicht Folge gegeben und das Verfahren hinsichtlich des Auskunftsbegehrens bis zur Beantwortung des Vorabentscheidungsersuchens OGH 18. 2. 2021, 6 Ob 159/20f, RdW 2021/289, unterbrochen (Vorlagefragen betr Bekanntgabe konkreter Empfänger oder lediglich von Kategorien von Empfängern durch den Veranwortlichen). Hinsichtlich des bisherigen Verfahrensgangs verwies der OGH auf die E 6 Ob 23/18b, RdW 2018/187, und 6 Ob 91/19d, RdW 2019/494.

„Haushaltsausnahme“

Gemäß Art 2 Abs 2 lit c DSGVO ist die Verordnung auf die Verarbeitung personenbezogener Daten zur Ausübung privater oder familiärer Tätigkeiten nicht anzuwenden („Haushaltsausnahme“). Nach ErwGr 18 gilt die DSGVO nicht für die Verarbeitung von personenbezogenen Daten, die von einer natürlichen Person zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten und somit ohne Bezug zu ihrer beruflichen oder wirtschaftlichen Tätigkeit vorgenommen wird. Als persönliche oder familiäre Tätigkeiten nennt ErwGr 18 explizit auch […] die Nutzung sozialer Netze und Online-Tätigkeiten im Rahmen solcher Tätigkeiten.

Nach den erstinstanzlichen Feststellungen ist das F*****-Profil des Kl „privat“, sodass nur dessen Freunde seine Beiträge sehen können. Es wurde gerade nicht festgestellt, dass der Kl seinen F*****-Account auch für berufliche Zwecke verwendet. Nach Zukic (in JB Datenschutzrecht 2019, 61 [76]) erfüllt ein tatsächlich nur dem persönlichen oder familiären Umfeld zugängliches (F*****-)Profil die Haushaltsausnahme; lediglich Profile mit Bezug zu einer beruflichen oder wirtschaftlichen Tätigkeit seien nicht vom Anwendungsbereich der DSGVO auszunehmen. Zwar wäre theoretisch möglich, dass Freunde des Kl dessen Inhalte teilen und damit auch Dritte Zugriff auf diese Inhalte erhalten. Dies müsste allerdings vom jeweiligen Benutzer aktiv ermöglicht werden (siehe dazu den Punkt „Wer kann sehen, wenn jemand etwas teilt, das ich gepostet habe“). Will einer der ursprünglichen Adressaten einen Beitrag teilen, welcher auf einen bestimmten Adressatenkreis beschränkt ist, kann er diesen grundsätzlich nur mit Personen teilen, die schon im ursprünglichen Adressatenkreis inkludiert waren, den Adressatenkreis also nicht erweitern (Zukic in JB Datenschutzrecht 2019, 61 [79]). Es wurde nicht festgestellt, dass der Kl ein Verbreiten ermöglicht hat und seine Inhalte demnach potentiell öffentlich zugänglich waren.

Bei dieser Sachlage ist die Haushaltsausnahme erfüllt und die DSGVO daher insoweit gar nicht anwendbar. Die grundsätzliche Anwendbarkeit der Haushaltsausnahme wurde vom Kl in seinem Rechtsmittel auch nicht bestritten. Daher stellt sich nicht die Frage, ob der Kl „Verantwortlicher“ iSd Art 4 DSGVO ist. Die Abweisung der Klagebegehren-Punkte 1–4 ist daher schon aus diesem Grund nicht zu beanstanden. Im Hinblick auf die bereits vorliegende Rsp des EuGH war die neuerliche Befassung des EuGH insoweit nicht erforderlich.

Lediglich der Vollständigkeit halber ging der OGH auf den Hauptstreitpunkt ein – die Frage der „datenschutzrechtlichen Rollenverteilung“ zwischen den Streitteilen – und kam zum Ergebnis, dass ein F*****-Nutzer nur in Ansehung der personenbezogenen Daten Dritter unter bestimmten Voraussetzungen als Mitverantwortlicher iSd Art 4 Z 7 DSGVO eingestuft werden kann. Hingegen ist er in Ansehung seiner eigenen personenbezogenen Daten – nur – Betroffener. In beiden Konstellationen bleibt F***** Mitverantwortlicher bzw einziger Verantwortlicher. Die reine Nutzung des F*****-Dienstes macht den Kl nicht zum Verantwortlichen iSd Art 4 Z 7 DSGVO. Andernfalls wäre jeder F*****-Benutzer Verantwortlicher iSd DSGVO. Dass dies nicht in Einklang mit der Intention der DSGVO steht, liegt auf der Hand.

Eine Person kann nicht gleichzeitig mehrere Rollen (Betroffener und Verantwortlicher) haben. Zusammenfassend ist daher der Auffassung der Vorinstanzen zuzustimmen, wonach der Kl Betroffener, die Bekl Verantwortlicher iSd DSGVO ist. Damit hat nur die Bekl dafür zu sorgen, dass die Datenschutzbestimmungen der DSGVO eingehalten werden und ist somit Adressat der Pflichten aus der DSGVO. Die Bekl ist Verantwortlicher und nicht bloß Auftragsverarbeiter.

Auskunftsbegehren

Hinsichtlich des Auskunftsbegehrens unterbricht der OGH das vorliegende Verfahren bis zum Vorliegen der Entscheidung des EuGH über das Vorabentscheidungsersuchen OGH 18. 2. 2021, 6 Ob 159/20f, RdW 2021/289 (betr Bekanntgabe konkreter Empfänger oder lediglich von Kategorien von Empfängern durch den Veranwortlichen).

Der OGH hält dazu jedoch ua auch fest, dass es keineswegs als „exzessiv“ einzustufen ist, wenn der Kl innerhalb von neun Jahren fünf Auskunftsersuchen an die Bekl stellte. Dies entspricht vielmehr den „angemessenen Abständen“, die in ErwGr 63 DSGVO angesprochenen werden.

immaterieller Schaden

Im vorliegenden Fall hat das ErstG ausdrückliche Feststellungen zum (immateriellen) Schaden des Kl getroffen. Demnach ist der Kl durch die Datenverarbeitung der Bekl „massiv genervt“, aber nicht psychisch beeinträchtigt. Es gibt über ihn von der Bekl gespeicherte und verarbeitete Daten, über die er keine Kontrolle hat, weil sie in den Tools nicht angezeigt werden. Für ihn sind bei der Nutzung von F***** weder die Werbung noch der Faktor Forschung relevant. Er hält es für problematisch, dass seine Daten für die Forschung verwendet werden, und ihm ist es nicht recht, dass seine Daten gesammelt werden und von seinen „Freunden“ eingesehen werden können. Im Hinblick auf diese Unterschiede zum Sachverhalt der E 6 Ob 35/21x (= Rechtsnews 30928) hängt die Entscheidung im vorliegenden Fall nicht von der Frage ab, ob bereits die Verletzung von Bestimmungen der DSGVO als solche für die Zuerkennung von Schadenersatz ausreicht.

Nicht korrekturbedürftig – sondern mit den unionsrechtlichen Vorgaben in Einklang – ist nach Ansicht des OGH die Beurteilung der Vorinstanzen, dass es zur Begründung eines Schadenersatzanspruchs ausreicht, dass der Kl nach den Feststellungen durch die Datenverarbeitung der Bekl „massiv genervt“, aber nicht psychisch beeinträchtigt ist. Entgegen dem Standpunkt der Revision wird der Schadenersatzanspruch nicht mit dem bloßen Rechtsverstoß begründet, sondern damit, dass der Kl „massiv genervt“ ist, wobei mit dem Wort „massiv“ auch zum Ausdruck gebracht wird, dass tatsächlich ein spürbarer und objektiv nachvollziehbarer immaterieller Schaden vorliegt. Dass keine psychische Beeinträchtigung und keine „tiefe Verunsicherung“ vorliegen, schadet nicht, weil solche Umstände von Art 82 DSGVO nicht verlangt werden (siehe auch Gola/Piltz in Gola, DSGVO² Art 82 Rz 12 f).

Was die Kausalität betrifft, hat das ErstG festgestellt, dass der Kl „durch die Datenverarbeitung“ der Bekl „massiv genervt“ ist. Das ErstG hat in diesem Zusammenhang auch festgestellt, dass es den Kl stört, dass er über einen Teil der Daten „keine Kontrolle hat, weil sie in den Tools nicht angezeigt werden“. Damit ist (arg „weil“) auch ein deutlicher Konnex zur Nichtbeantwortung der Auskunftsersuchen hergestellt. In diesem Zusammenhang ist auch auf ErwGr 85 der DSGVO zu verweisen, wonach der Kontrollverlust über die eigenen Daten und damit einhergehend die Einschränkung der Betroffenenrechte einen immateriellen Schaden darstellen können; genau dieser Fall wird auch in der Lit als Beispiel für einen immateriellen Schadenersatz genannt (Bergt in Kühling/Buchner, DS-GVO/BDSG³ Art 82 DSGVO Rz 18b f).

Auch die Höhe begegnet mit 500 € keinen Bedenken (vgl dazu Kerschbaumer-Gugu, Schadenersatz bei Datenschutzverletzungen [2019] 60 ff). Ausgehend davon, dass der Kl aufgrund des nicht vollständig erfüllten Auskunftsbegehrens über längere Zeit keine Kontrolle über seine Daten hatte, besteht hier für eine Herabsetzung kein Raum. Ein (noch) niedrigerer Betrag würde dem Effektivitätsgrundsatz des Unionsrechts nicht mehr gerecht werden.

Damit kann über das Schadenersatzbegehren bereits unabhängig von der Beantwortung der Frage abgesprochen werden, ob die Verarbeitung von Daten des Kl durch die Bekl mangels Einwilligung rechtswidrig war.