European Case Law Identifier: ECLI:AT:OGH0002:2021:E132245
Spruch:
I. Dem Gerichtshof der Europäischen Union werden gemäß Art 267 AEUV folgende Fragen zur Vorabentscheidung vorgelegt:
1. Sind die Bestimmungen der Art 6 Abs 1 lit a und b DSGVO dahingehend auszulegen, dass die Rechtmäßigkeit von Vertragsbestimmungen in allgemeinen Nutzungsbedingungen über Plattformverträge wie jenem im Ausgangsverfahren (insbesondere Vertragsbestimmungen wie: „Anstatt dafür zu zahlen [...] erklärst du dich durch Nutzung der F*‑Produkte, für die diese Nutzungsbedingungen gelten, einverstanden, dass wir dir Werbeanzeigen zeigen dürfen ... Wir verwenden deine personenbezogenen Daten [...] um dir Werbeanzeigen zu zeigen, die relevanter für dich sind.“), die die Verarbeitung von personenbezogenen Daten für Aggregation und Analyse von Daten zum Zwecke der personalisierten Werbung beinhalten, nach den Anforderungen des Art 6 Abs 1 lit a iVm Art 7 DSGVO zu beurteilen sind, die nicht durch die Berufung auf Art 6 Abs 1 lit b DSGVO ersetzt werden können?
2. Ist Art 5 Abs 1 lit c DSGVO (Datenminimierung) dahin auszulegen, dass alle personenbezogenen Daten, über die eine Plattform wie im Ausgangsverfahren verfügt (insbesondere durch den Betroffenen oder durch Dritte auf und außerhalb der Plattform), ohne Einschränkung nach Zeit oder Art der Daten für Zwecke der zielgerichteten Werbung aggregiert, analysiert und verarbeitet werden können?
3. Ist Art 9 Abs 1 DSGVO dahin auszulegen, dass er auf die Verarbeitung von Daten anzuwenden ist, die eine gezielte Filterung von besonderen Kategorien personenbezogener Daten wie politische Überzeugung oder sexuelle Orientierung (etwa für Werbung) erlaubt, auch wenn der Verantwortliche zwischen diesen Daten nicht differenziert?
4. Ist Art 5 Abs 1 lit b iVm Art 9 Abs 2 lit e DSGVO dahin auszulegen, dass eine Äußerung über die eigene sexuelle Orientierung für die Zwecke einer Podiumsdiskussion die Verarbeitung von anderen Daten zur sexuellen Orientierung für Zwecke der Aggregation und Analyse von Daten zum Zwecke der personalisierten Werbung erlaubt?
II. Das Verfahren vor dem Obersten Gerichtshof über die Revision der klagenden Partei gegen die Abweisung der Punkte 5 bis 9 des Klagebegehrens wird bis zum Einlangen der Vorabentscheidung des Gerichtshofs der Europäischen Union gemäß § 90a Abs 1 GOG ausgesetzt.
Begründung:
[1] I. Sachverhalt
[2] DieBeklagteist eine nach dem Recht der Republik Irland eingerichtete Gesellschaft mit Sitz in Dublin, Irland. Sie hat in Österreich keine Zweigniederlassung. Ein erheblicher Teil der Weltbevölkerung (ausgenommen vor allem China und Russland) kommuniziert regelmäßig über das „geschlossene“ Kommunikationsnetzwerk der Beklagten bzw ihrer Muttergesellschaft F* Inc., wobei den Nutzern in der Europäischen Union die Beklagte den F*-Dienst zur Verfügung stellt.
[3] Der F*‑Dienst ist eine Online-Plattform und ein soziales Netzwerk zum Teilen von Inhalten. Er ermöglicht Nutzern, diverse Inhalte (zB Textbeiträge, Bilder, Videos, Veranstaltungen, Notizen oder persönliche Informationen) hochzuladen und je nach den gewählten Einstellungen mit anderen Nutzern auszutauschen. Diese Inhalte können auch von anderen Nutzern mit weiteren Inhalten angereichert werden (zB durch Hinzufügen von Kommentaren, „Likes“ oder Markierungen in Fotos oder anderen Inhalten). Nutzer können auch direkt mit anderen Nutzern kommunizieren und mit diesen „chatten“ bzw auch Daten über Direktnachrichten und E-Mails austauschen.
[4] Die Beklagte generiert selbst keine Inhalte, sondern erhält diese für ihre Dienste ohne direkten Kostenersatz bzw ohne dafür ein bestimmtes „Entgelt“ zu leisten von privaten und kommerziellen Nutzern. Sie beschränkt sich auf die Bereitstellung und Administration der Infrastruktur und bietet Funktionen zur automatischen Aggregation von Nutzerdaten. Das wirtschaftliche Modell der Beklagten besteht darin, Einnahmen durch maßgeschneiderte Werbung und kommerzielle Inhalte zu generieren, die auf den gleichen Vorlieben und Interessen beruhen. Sie erwirtschaftet ihren Gewinn primär durch Werbung,welche in verschiedenster Form in den Diensten der Beklagten untergebracht wird. Sie stellt ihren Nutzern ihre Dienste unentgeltlich zur Verfügung und erzielt Einkünfte, indem die Nutzerdaten verarbeitet werden, um Werbetreibenden die Möglichkeit der maßgeschneiderten und zielgerichteten Werbung zu verkaufen. Neben relativ statischer Werbung (die jedem Nutzer gleichermaßen angezeigt wird) bietet die Beklagte „personalisierte“ Werbung an, welche dem Werbetreibenden eine genaue Ausrichtung auf individuelle Personengruppen (zB nach Ort, Alter, Geschlecht, Interessen) oder sogar einzelne Personen erlaubt. Sie bietet Werbetreibenden daher die Möglichkeit an, ihre Anzeigen einem maßgeschneiderten Publikum zu präsentieren. Mehr als 2,2 Milliarden Nutzer weltweit (Stand 11/2018) haben sich bei F* angemeldet. Unternehmen können auch ihre Inhalte finanziell unterstützen („Sponsoring“) und so dafür sorgen, dass diese Inhalte mehr Nutzern angezeigt werden.
[5] Die Beklagte stellt kommerziellen Nutzern F* Business Tools zur Verfügung. Bewertungs- und Analysedienste der Beklagten erlauben es den Werbetreibenden, die Effektivität ihrer Werbung zu ermitteln oder festzustellen, wie die Webseiten-Nutzer mit Inhalten auf ihren Websites umgehen. Die Analysesysteme untersuchen durch Algorithmen große Datenmengen, suchen Korrelationen und Muster und ziehen daraus entsprechende Schlüsse.
[6] Die Business Tools ermöglichen Werbetreibenden, Werbeanzeigen zu erstellen und die relevanten Zielgruppen zu erreichen. Es gibt drei Möglichkeiten, das Publikum zu definieren: das „Custom Audience Tool“, das „Look-A-Like Audience Tool“ oder die „Kernzielgruppenfunktion“. Für die Verwendung dieser Tools gelten die Nutzungsbedingungen für F* Business Tools, die Nutzungsbedingungen für Custom Audiences, die Bedingungen für die Datenverarbeitungund die Werberichtlinie.
[7] Vor Inkrafttreten der DSGVO erteilten die Nutzer von F* eine ausdrückliche Einwilligung in die Verarbeitung ihrer Daten in Übereinstimmung mit den damaligen Nutzungsbedingungen der Beklagten (mit dem Titel „Erklärung der Rechte und Pflichten“). Potenzielle neue Nutzer wurden vor der Übermittlung personenbezogener Daten darüber informiert, dass sie mit der Registrierung der Erklärung der Rechte und Pflichten zustimmen und sie die Datenrichtlinie, einschließlich der Cookie-Richtlinie, gelesen haben. Sie konnten die Einwilligung jederzeit ändern oder widerrufen, indem sie ihre Privatsphäre-Einstellungen änderten, ihre personenbezogenen Daten löschten oder ihr Konto schlossen. Ein Nutzer konnte beispielsweise jederzeit seine Privatsphäre-Einstellungen so einstellen, dass die Beklagte die Aktivitäten des Nutzers am F*-Dienst nicht zur Optimierung personalisierter Werbeanzeigen nutzen konnte.
[8] Aufgrund der vollen Wirksamkeit der DSGVO mit 25. 5. 2018 hat die Beklagte ihre früheren Nutzungsbedingungen („Erklärung der Rechte und Pflichten“ vom 15. 11. 2013) und ihre früheren Datenverwendungsrichtlinien vom 15. 11. 2013 komplett neu erstellt und den Nutzern von F* zur Zustimmung vorgelegt. Der Kläger hat, nachdem sein Konto zuvor gesperrt worden war, die neuen Nutzungsbedingungen vom 19. 4. 2018 durch Anklicken (aktiv) in Kenntnis der verlinkten Daten‑Richtlinie, der Cookie‑Richtlinie und der Rechtsgrundlage-Information akzeptiert, damit er F* weiter nutzen kann. Die Einwilligung war erforderlich, um weiterhin Zugang zum Konto zu erhalten und die Dienste zu nutzen.
[9] Die Beklagte hat verschiedene Werkzeuge (Tools) eingerichtet, um den Nutzern einen Einblick und eine Kontrolle über deren gespeicherte Daten zu ermöglichen. In diesen Tools sind nicht alle verarbeiteten Daten ersichtlich, sondern nur die, die nach Ansicht der Beklagten für die Nutzer interessant und relevant sind. So sieht der Kläger dort beispielsweise, dass er auf F* eine App aufgemacht, eine Website besucht, etwas gesucht, etwas gekauft, etwas auf eine Wunschliste hinzugefügt oder eine Werbeeinschaltung angeklickt hat. Die Tools wurden erstellt, um Nutzern Zugang zu aktuellen Daten in einem – nach Einschätzung der Beklagten – vernünftigen Rahmen zu geben.
[10] Die Beklagte verwendet Cookies, Social Plugins und Pixels wie in ihren Bedingungen/Richtlinien festgehalten. Die Beklagte kann durch die Cookies die Quelle der Aufrufe zuordnen. Ohne Aktivierung der Cookie-Funktion sind viele Dienste der Beklagte nicht nutzbar. Die „Social Plug‑ins“ der Beklagten werden von Webseiten-Betreibern in ihre Seiten „eingebaut“. Am weitesten verbreitet ist der sogenannte „Like Button“ der Beklagten. Dabei wird technisch ein „Fenster“ (iframe) in eine Webseite geschnitten, und dieses Fenster wird sodann von der Beklagten mit dem „Social Plug-in“ gefüllt. Bei jedem Abruf solcher Webseiten, die einen „Like Button“ der Beklagten enthalten, werden an die Beklagte die hinterlegten Cookies, die URL der besuchten Seite und diverse Protokolldaten (zB IP‑Adressen, Zeitangaben) übertragen. Es ist dabei nicht notwendig, dass der Nutzer mit dem „Like Button“ interagiert (zB durch Klicken oder Ähnliches) oder diesen wahrgenommen hat. Das Laden einer Seite mit einem solchen „Social Plug-in“ reicht aus, um diese Daten an die Beklagte zu übermitteln. „Plug‑ins“ befinden sich auch auf Seiten von politischen Parteien, auf medizinischen Seiten oder auf Seiten für Homosexuelle, die der Kläger besucht hat. Aufgrund des „Plug‑in“ auf f*.at konnte die Beklagte das konkrete Surfverhalten des Klägers verfolgen, und es wurde ein Datenfluss an die Beklagte ausgelöst.
[11] Wie Social Plug-ins sind Pixels eine Software, die ein Webseiten-Betreiber in die Webseite integrieren kann und ermöglicht, relevante Informationen über die Webseitennutzer zu sammeln. Pixels werden häufig verwendet, um Webseiten bei der Messung und Optimierung von Werbung zu unterstützen. Beispielsweise beim Integrieren eines F*‑Pixel in die eigene Webseite können Webseitenbetreiber von der Beklagten Berichte darüber erhalten, wie viele Personen ihre Werbung auf F* gesehen haben und dann anschließend auf seine eigene Webseite gingen, um einen Kauf zu tätigen oder eine bestimmte vordefinierte Handlung durchzuführen.
[12] Social Plug‑ins und Pixels arbeiten Hand in Hand mit Cookies, um Informationen an den Webserver zu übermitteln. Sie sind Bausteine der Internetwerbung, wobei die große Mehrheit der heute im Internet verfügbaren Inhalte über Werbung finanziert wird. Internetwerbung ermöglicht es, dass Milliarden von Nutzern auf der ganzen Welt zum Nulltarif online kommunizieren und auf Nachrichten, Informationen, Bildung, Unterhaltung und weitere Dienste zugreifen können. Plug‑ins dienen der Bereitstellung von relevanten Anzeigen an die Benutzer. Pixels spielen in der Internetwerbung inzwischen eine wichtige Rolle, weil sie Werbetreibenden die Messung von Kampagnenleistung und Konversationsereignissen sowie die Gewinnung von Zielgruppenwissen ermöglichen.
[13] Die Beklagte stützt sich in der Datenrichtlinie in folgenden Fällen auf die Einwilligung ihrer Nutzer zur Datenverarbeitung:
„• Für die Verarbeitung von Daten mit besonderem Schutz (z. B. deine religiösen Ansichten, deine politische Meinung, an wem du 'interessiert' bist oder deine Gesundheit, wenn du diese Informationen in deinen F*‑Profilfeldern oder unter Lebensereignisse teilst), damit wir diese mit den von dir ausgewählten Personen teilen und deine Inhalte personalisieren können.
• Für die Verwendung von Gesichtserkennungstechnologie
• Für die Verwendung von Daten, die Werbetreibende und andere Partner uns bezüglich deiner Aktivität außerhalb der Produkte der F*‑Unternehmen bereitstellen, damit wir die Werbeanzeigen personalisieren können, die wir dir auf Produkten der F*‑Unternehmen sowie auf Webseiten, Apps und Geräten, die unsere Werbedienste nutzen, zeigen.
• Für das Teilen von personenbezogenen Daten, die dich persönlich identifizieren (Informationen wie dein Name oder deine E‑Mail‑Adresse, die für sich genommen verwendet werden können, um dich zu kontaktieren oder zu identifizieren) mit Werbetreibenden; beispielsweise wenn du uns anweist, deine Kontaktinformationen mit einem Werbetreibenden zu teilen, damit dieser dich kontaktieren kann, etwa um dir zusätzliche Informationen über ein hervorgehobenes Produkt bzw. eine hervorgehobene Dienstleistung zu senden.
• Zum Erfassen von Informationen, deren Erhalt du uns durch die von dir aktivierten gerätebasierten Einstellungen gestattest (wie den Zugriff auf deinen GPS‑Standort, deine Kamera oder Fotos), damit wir die beschriebenen Funktionen und Dienste bereitstellen können, wenn du die Einstellungen aktivierst.“
[14] Der Kläger hat keine Einwilligung zu den genannten Datenverarbeitungen gegeben. Die Beklagte erfasste Informationen über den Aufenthalt des Klägers bei Aufnahme eines später hochgeladenen Fotos, weil er die diesbezüglichen gerätebasierenden Einstellungen des Aufnahmegeräts eingestellt hatte.
[15] Nutzer können wählen, ob es der Beklagten gestattet ist, Daten, die sie von Werbetreibenden und anderen Partnern über Aktivität außerhalb von F*‑Produkten erhält, zum Zweck der Anpassung von Anzeigen zu verwenden („Werbeanzeigen auf Basis von Partnerdaten“). Weil der Kläger dem nicht zugestimmt hat, verarbeitet die Beklagte keine personenbezogenen Daten des Klägers, die sie von Partner über Aktivitäten außerhalb von F*‑Produkten erhalten hat, zum Zweck der Darstellung personalisierter Werbung für den Kläger. Die Daten des Klägers, die über Cookies, Social Plug‑ins und vergleichbare Technologien auf Webseiten Dritter erlangt werden, werden aber von der Beklagten gespeichert und auch zum Zwecke der Personalisierung, der Verbesserung der F*‑Produkte, „zur Förderung von Schutz, Integrität und Sicherheit“ verwendet und auch, um dem Kläger Veranstaltungen anzubieten.
[16] Die Beklagte erläutert dazu bei den Einstellungen für Werbeanzeigen auf Basis von Partnerdaten, die die Möglichkeit „nicht zulassen“ geben: „Wir löschen keine Daten, wenn du die Verwendung dieser Daten für Werbung nicht zulässt. Du wirst auch weiterhin genauso viele Werbeanzeigen sehen. Diese basieren allerdings auf deinen Aktivitäten in Produkten der F*-Unternehmen oder können von bestimmten Unternehmen stammen, mit denen du deine Kontaktdaten geteilt hast (falls wir dein Profil mit deren Kundenliste abgeglichen haben).“
[17] Die Beklagte verwendet auch die Daten, die der Kläger der Beklagten zur Verfügung stellt, und die Daten, die die Beklagte aufgrund seiner Handlungen über ihn erhält, um dem Kläger die nach ihrer Einschätzung relevanten, personalisierten Inhalte, einschließlich personalisierter Werbung, anzuzeigen. Dies umfasst die Verwendung des Alters, der Interessen und die F*‑Nutzung des Klägers. Dazu gehört auch die Verwendung von Informationen zum Standort des Klägers um abzuschätzen, wo sich der Kläger möglicherweise befindet, um Inhalte anzuzeigen, die für den Standort des Klägers relevant sind (zB eine Anzeige, die für ein bevorstehendes Konzert in seiner Stadt wirbt).
[18] Dem Kläger wird personalisierte Werbung auch aufgrund des Tools „Custom Audience“ gezeigt. Die gehashten Daten werden nach maximal 48 Stunden, nach der Durchführung des Abgleichs, gelöscht. Um Custom Audience nutzen zu dürfen, muss ein Werbetreibender die Nutzungsbedingungen für Custom Audience annehmen, worin erläutert wird, dass der Werbetreibende als „Verantwortlicher“ (im Sinne der DSGVO) und die Beklagte als „Auftragsverarbeiterin“ (im Sinne der DSGVO) des Werbetreibenden fungieren.
[19] Ob, wann, auf welche Weise Werbetreibende, die „Custom Audience“ oder die anderen Business Tools nutzten, vom Kläger eine Einwilligung zur Übermittlung der Daten an die Beklagte im Rahmen dieser Tools einholten, steht nicht fest.
[20] F* verfolgt das „Klick-verhalten“ des Klägers wie in der Datenrichtlinie geregelt und „weiß“ daher, wenn er mit einer Werbung, einem Video udgl interagiert. Die Beklagte verfolgt die Mausbewegungen des Klägers zu Integritätszwecken, um beispielsweise sicherzustellen, dass ein Mensch und kein Bot den F*‑Dienst nutzt. So hat der Kläger die Nachricht „Du wurdest vorübergehend blockiert“ erhalten und wurde auch kurzfristig blockiert, weil er schnell und/oder wiederholt auf die Funktion „Why Am I Seeing This Ad“ geklickt hat. Die Beklagte unterbindet übermäßiges Klicken auf bestimmte Funktionen, weil sie das für die Gewährleistung der Sicherheit der Daten für erforderlich erachtet. Die Beklagte verwendet Mausbewegungen nicht, um Werbung zu personalisieren. Der Inhalt der Nachrichten wird nicht für Zwecke der personalisierten Werbung analysiert.
[21] Der Kläger hat seinem Profil keine sensiblen Daten zugefügt. Nur seine „Freunde“ können seine zukünftigen Beiträge oder Beiträge auf seiner Timeline sehen; seine „Freundschaftsliste“ ist nicht öffentlich. Der Kläger hat sich auch dagegen entschieden, der Beklagten die Verwendung von Informationen zu den Profil-Feldern Beziehungsstatus, Arbeitgeber, Berufsbezeichnung und Ausbildung für gezielte Werbung zu gestatten.
[22] Die Beklagte verarbeitete personenbezogene Daten des Klägers (zB die IP‑Adresse), um seinen Aufenthaltsort möglichst genau festzustellen und zu verarbeiten („Last Location“). Die Beklagte speicherte im Jahr 2011 im Rahmen der Berechnung der „Last Location“ des Klägers den genauem Längen- und Breitengrad.
[23] Partnerkategorien war ein Produkt, das es Werbetreibenden ermöglichte, Zielgruppen mithilfe von Daten von Marketingpartnern, wie zB LiveRamp, zu erreichen. Dieses Produkt wurde in der Europäischen Union im Mai 2018 eingestellt. Ob alle Daten des Klägers, die die Beklagte im Zuge dieses Produkts verarbeitet hatte, unwiederbringlich gelöscht wurden, steht nicht fest.
[24] Die Datenverarbeitung der Beklagten unterscheidet insofern nicht zwischen „einfachen“ personenbezogenen Daten und „sensiblen“ Daten (besondere Kategorien personenbezogener Daten), als sie keine Daten zuordnet, sie extrahiert also nicht heraus, ob Daten sensibel sind oder nicht.
[25] Die Beklagte verarbeitete (auch beim Kläger) das Interesse an „sensiblen Themen“ wie etwa an Gesundheitsthemen, sexueller Orientierung, ethnischen Gruppen und politischen Parteien. Es ist möglich, eine Zielgruppe für Werbung auch nach diesen Interessen festzulegen. Die Beklagte erlaubt daher Männer anhand des Interesses an Männern zu bewerben, weiters Menschen anhand des Interesses an Homosexualität, an politischen Parteien oder an Krankheiten und erlaubt auch, als Zielgruppe Personen auszuwählen, die nicht in ihrem Heimatland leben.
[26] Dem Kläger wurde eine Werbung für die N*‑Politikerin B* angezeigt, die auf der Analyse basierte, dass er anderen „Kunden“ ähnelt, die diese Politikerin mit „gefällt mir“ markiert haben. Der Kläger erhielt regelmäßig Werbung, die auf homosexuelle Personen abzielte, und Einladungen zu entsprechenden Veranstaltungen, obwohl er sich davor für die konkrete Veranstaltung nicht interessiert hatte und den Veranstaltungsort nicht kannte. Diese Werbung bzw diese Einladungen orientierten sich nicht unmittelbar an der sexuellen Orientierung des Klägers oder seiner „Freunde“, sondern an der Analyse deren Interessen.
[27] Es wird dem Kläger angezeigt, dass ein Freund des Klägers ein Produkt mit „gefällt mir“ markiert hat und umgekehrt.
[28] Der Kläger hat eine Analyse in Auftrag gegeben, aus welcher Rückschlüsse aus seiner Freundesliste herausgerechnet werden können; diese ergab, dass er Zivildienst beim Roten Kreuz in Salzburg gemacht hat und dass er homosexuell ist.
[29] Auf der Liste seiner Aktivitäten außerhalb von F* scheinen ua Apps oder Websites von [Apps oder Webseiten für Onlinedating für eine homosexuelle Zielgruppe] und der F* auf. Es sind bei seinen Daten einerseits die E‑Mail‑Adresse m*@*.at gespeichert, die es nicht gibt und seine E‑Mail‑Adresse m*@*.at, die er nicht in seinem Profil angegeben, allerdings bei Anfragen an die Beklagte verwendet hatte.
[30] Der Kläger konnte und kann (auch bei der gewünschten Beibehaltung des Kontos) bestimmte Inhalte, etwa Nachrichten und Fotos, von seinem Konto löschen, indem er einen Löschvorgang auslöst. Ausgenommen davon sind beispielsweise Name und E‑Mail-Adresse und abgelehnte Freundschaftsanfragen und entfernte Freunde, die erst gelöscht werden, wenn das Konto gelöscht wird. Alte Pokes werden, wenn sie vom Nutzer gelöscht werden, nur verborgen, um weitere Belästigungen zu vermeiden. Auch alte Passwörter und alte Namen werden – jedenfalls vor Löschung des Kontos – nicht gelöscht.
[31] Mit „Löschung“ (bei aufrechtem Konto) meint die Beklagte, dass die Daten vom Konto losgelöst, dh entknüpft werden. Die Daten werden „entpersonalisiert“. Es gibt neben der Möglichkeit des Löschens auch die Möglichkeit des Entfernens und des Verbergens. Wenn man eine Nachricht über Messenger sendet, kann man innerhalb von zehn Minuten diese Nachricht wieder entfernen. Damit wird diese Nachricht für alle unsichtbar, auch für den Empfänger. Nach Ablauf dieser zehn Minuten kann man diese Nachricht aus den eigenen Nachrichten entfernen, beim Empfänger bleibt die Nachricht. Einen Beitrag, den jemand anderer gepostet hat, kann man nicht löschen, sondern nur verbergen.
[32] Bei alten Nachrichten oder Postings ist nur die Einzellöschung jedes Elements oder eine Deaktivierung des gesamten Kontos möglich. Von der Möglichkeit, sein Konto dauerhaft zu löschen, möchte der Kläger nicht Gebrauch machen, weil er F* weiter nutzen will.
[33] Zum Löschen von Daten erklärt die Beklagte in ihren Nutzungsbedingungen Punkt 3.1.:
„Du kannst Inhalte einzeln oder alle gleichzeitig (durch Löschung deines Kontos) löschen. … Wenn du einen Inhalt löschst, ist er für andere Nutzer nicht mehr sichtbar. Es ist jedoch möglich, dass er an anderer Stelle in unseren Systemen noch vorhanden ist wenn
. eine sofortige Löschung aufgrund technischer Beschränkungen nicht möglich ist (in dem Fall wird dein Inhalt innerhalb von max. 90 Tagen nach der Löschung durch dich gelöscht);
. dein Inhalt in Einklang mit dieser Lizenz bereits von anderen genutzt wurde und sie ihn nicht gelöscht haben (in diesem Fall findet diese Lizenz solange Anwendung, bis der Inhalt gelöscht wird); oder
. die sofortige Löschung uns bei folgenden Maßnahmen einschränken würde:
. Untersuchung oder Erkennung illegaler Aktivitäten oder Verstößen gegen unsere Nutzungsbedingungen und Richtlinien (z.B. Zuerkennung oder Untersuchung von Missbrauch unserer Produkte oder Systeme);
. Erfüllung einer gesetzlichen Pflicht, z.B. Aufbewahrung von Beweisen; oder
. Erfüllung einer Anforderung seitens einer Gerichts- oder Verwaltungsstelle, einer Strafverfolgungsbehörde oder einer Behörde; in einem solchen Fall wird der Inhalt nur so lange aufrechterhalten, wie es für die Zwecke erforderlich ist, die der Aufrechterhaltung zugrunde liegen (die genaue Dauer hängt vom Einzelfall ab).
In allen oben genannten Fällen gilt diese Lizenz solange weiter, bis der Inhalt vollständig gelöscht worden ist.“
[34] Die Beklagte erklärt (in ihren aktuellen Bedingungen), dass sie ein dauerhaftes Löschen von Daten von den Servern erst 30 Tage nach Löschung eines Kontos einleitet. Sie begründet dies damit, dass ein gelöschtes Konto nicht reaktiviert werden könne und dies zum dauerhaften Verlust von Inhalten, die der Nutzer auf F* hochgeladen hat, führe, weshalb sie dem Nutzer eine 30‑tägige Wartezeit (dh eine „cooling-off Zeit“) gewährt, um seine Meinung zu ändern und seine Anfrage zu stornieren, wobei mit dem Löschauftrag die personenbezogenen Daten des Nutzers jedoch für andere Nutzer nicht mehr erreichbar seien. Dann beginne die Beklagte nach Ablauf der 30‑tägigen Wartezeit mit dem Löschvorgang, und die personenbezogenen Daten des Nutzers würden innerhalb von 90 Tagen dauerhaft von den Servern der Beklagten gelöscht, wobei die personenbezogenen Daten dauerhaft gelöscht, die verbleibenden Metadaten jedoch nur de‑identifiziert und anonymisiert würden. Einige Daten könnten nach 90 Tagen in unzugänglichen Backups, die für Zwecke der Wiederherstellung im Falle einer Katastrophe dienen, für einen begrenzten Zeitraum bestehen bleiben.
[35] Der Kläger hat persönliche Daten auf der Website Europe versus F* als Musterdaten öffentlich gemacht, etwa als Beispiel für die Funktion „Last Location“, die GPS‑Daten seiner Universität, woraus er sich eingeloggt. Der Kläger ist homosexuell und kommuniziert dies auch gegenüber der Öffentlichkeit. Er hat seine sexuelle Orientierung aber nicht in seinem Profil angegeben.
[36] II. Parteienvorbringen
[37] Der Kläger erhebt unter anderem folgendes Begehren:
„4. Die Beklagte ist schuldig, binnen 28 Tagen bei sonstiger Exekution mit dem Kläger einen den Anforderungen des Art 28 Abs 3 DSGVO entsprechenden schriftlichen Vertrag zwischen dem Kläger als Verantwortlichem und der Beklagten als Auftragsverarbeiter hinsichtlich der vom Kläger selbst über das Portal f*.com zu seinen persönlichen Zwecken betriebenen Datenanwendungen (Profil, Chronik – inklusive Likes und Kommentare – Veranstaltungen, Fotos, Videos, Gruppen, persönliche Nachrichten, Freundesliste und Anwendungen) zu schließen.
4.1. In eventu: Es wird mit Wirkung zwischen der Beklagten und dem Kläger festgestellt, dass ein wirksamer, Art 28 Abs 3 DSGVO entsprechender Vertrag zwischen dem Kläger als Verantwortlichem und der Beklagten als Auftragsverarbeiter hinsichtlich der vom Kläger selbst über das Portal f*.com zu seinen persönlichen Zwecken betriebenen Datenanwendungen (Profil, Chronik – inklusive Likes und Kommentare – Veranstaltungen, Fotos, Videos, Gruppen, persönliche Nachrichten, Freundesliste und Anwendungen) nicht besteht.
5. Es wird mit Wirkung zwischen der Beklagten und dem Kläger festgestellt, dass die Zustimmung des Klägers zu den Nutzungsbedingungen der Beklagten in der Fassung vom 19. 04. 2018 sowie in der Fassung vom 31. 07. 2019 samt der damit verbundenen Datenverwendungsrichtlinien (Datenrichtlinie, Cookie‑Richtline), sowie die Zustimmung zu (künftigen) sinngleichen Klauseln in Nutzungsbedingungen der Beklagten (gekoppelte Einwilligungserklärungen) keine wirksame Einwilligung zur Verarbeitung von personenbezogenen Daten gem. Art 6 Abs 1 iVm Art 7 DSGVO an die Beklagte als Verantwortliche ist.
5.1. In eventu: Es wird mit Wirkung zwischen der Beklagten und dem Kläger festgestellt, dass die Zustimmung des Klägers zu den Nutzungsbedingungen der Beklagten in der Fassung vom 19. 04. 2018 sowie in der Fassung vom 31. 07. 2019 (in eventu: in der Fassung vom 19. 04. 2018) samt der damit verbundenen Datenverwendungsrichtlinien (Datenrichtlinie, Cookie-Richtlinie) keine wirksame Einwilligung zur Verarbeitung von personenbezogenen Daten gem. Art 6 Abs 1 iVm Art 7 DSGVO an die Beklagte als Verantwortliche ist.
6. Die Beklagte ist schuldig, es bei sonstiger Exekution zu unterlassen, personenbezogene Daten des Klägers für personalisierte Werbung, Aggregation und Analyse von Daten für Zwecke der Werbung zu verarbeiten.
7. Es wird mit Wirkung zwischen der Beklagten und dem Kläger festgestellt, dass keine wirksame Einwilligung des Klägers zur Verarbeitung von personenbezogenen Daten des Klägers, welche die Beklagte von Dritten erhalten hat, zu den eigenen Zwecken der Beklagten, wie sie in der Datenrichtlinie/AN in
• Zeile 69–74 ('Aktivitäten anderer und von ihnen über dich bereitgestellte Informationen. Außerdem erhalten und analysieren wir Inhalte, Kommunikationen und Informationen, die andere Personen bereitstellen, wenn sie unsere Produkte nutzen. Dies können auch Informationen über dich sein, beispielsweise, wenn andere ein Foto von dir teilen oder kommentieren, dir eine Nachricht senden bzw. deine Kontaktinformationen hochladen, synchronisieren oder importieren.'),
• Zeile 126–143 ('Werbetreibende, App-Entwickler und Publisher können uns über die von ihnen genutzten F* Business-Tools, u. a. unsere sozialen Plugins (wie den <Gefällt mir>‑Button), F* Login, unsere APIs und SDKs oder das F*‑Pixel, Informationen senden.' und 'Wir erhalten außerdem Informationen über deine Online- und Offline-Handlungen und Käufe von Dritt-Datenanbietern, die berechtigt sind, uns deine Informationen bereitzustellen.') und
• Zeile 166–168 ('Dies basiert auf den Daten, die wir von dir und anderen erfassen und erfahren [einschließlich jedweder von dir bereitgestellten Daten mit besonderem Schutz, für die du uns deine ausdrückliche Einwilligung gegeben hast]')
beschrieben wird, vorliegt.
8. Die Beklagte ist bei sonstiger Exekution schuldig, in Hinkunft die Verwendung der Daten des Klägers bezüglich des Besuchs bzw der Nutzung von Drittseiten (insbesondere durch den Einsatz von 'Social Plugins' und ähnlicher Techniken) zu unterlassen, sofern technische Daten nicht alleine zum Zweck der Anzeige von Webseitenelementen verarbeitet werden, und soweit der Kläger nicht ohne jeden Zweifel, frei, informiert und eindeutig vorab einem spezifischen Verarbeitungsvorgang zugestimmt hat ('Opt-In'; zB durch Anklicken eines 'Social Plugins').
9. Die Beklagte ist bei sonstiger Exekution schuldig, in Hinkunft die für eigene Zwecke der Beklagten erfolgende Verarbeitung von personenbezogenen Daten des Klägers, welche die Beklagte von Dritten erhalten hat, zu unterlassen, soweit der Kläger nicht ohne jeden Zweifel, frei, informiert und eindeutig einem spezifischen Verarbeitungsvorgang vorab zugestimmt hat ('Opt‑In').“
[38] DerKlägerbrachte zusammengefasst vor, auch wenn die Beklagte nunmehr zugestehe, dass er keine Einwilligung iSd Art 6 f DSGVO zur Datenverarbeitung erteilt habe und sich auf die vertragliche Notwendigkeit der Verarbeitung stütze, bestehe vor allem aufgrund der gekoppelten Einwilligungserklärungen in den Nutzungsbedingungen ein Feststellungsinteresse an der Feststellung laut Klagebehren Punkte 5 und 7. Die Datenverarbeitung der Beklagten verstoße in mehreren Bereichen gegen die DSGVO. Es bestehe Wiederholungsgefahr und daher ein Unterlassungsanspruch wie Klagebehren Punkte 6, 8 bis 10. Insbesondere würden Daten trotz Einleitung eines Löschvorgangs nicht wirklich gelöscht, eine Suche nach Daten des Klägers sei ohne seine Einwilligung möglich, und es würden Daten iSd Art 9 DSGVO ohne eine Einwilligung iSd Art 7 DSGVO verarbeitet werden. Es werde bezweifelt, dass früher angekaufte Daten des Klägers mittlerweile gelöscht worden seien und die Beklagte nicht über die biometrischen Daten des Kläger verfüge und dessen Mausbewegungen verfolge.
[39] Die Partner der Beklagten hätten keine Einwilligung des Klägers für die Übermittlung von Daten an und/oder weitere Verwendung durch die Beklagte eingeholt. Die Beklagte sei auch ihrer Auskunftspflicht nicht nachgekommen.
[40] Die Beklagte bestritt das Klagebegehren. Die Verarbeitung der Daten des Klägers erfolge entsprechend den vereinbarten Richtlinien und Bedingungen, die mit der DSGVO in Einklang stünden. Die Datenverarbeitung sei rechtmäßig und stützte sich nicht auf die Einwilligung des Klägers iSd Art 6 f DSGVO, sondern auf andere Rechtfertigungsgründe, überwiegend auf vertragliche Notwendigkeit.
[41] III. Bisheriges Verfahren
[42] Im vorliegenden Verfahren wurde bereits einmal ein Vorabentscheidungsersuchen an den Europäischen Gerichtshof gestellt (C‑498/16 Schrems gegen F* Ireland). In der Folge änderte der Kläger sein Klagebegehren.
[43] Mit Urteil vom 30. 6. 2020 wies das Erstgerichtdas wiedergegebene Begehren ab (Punkt III des Urteils). Der Kläger sei aufgrund seiner privaten Nutzung nicht „Verantwortlicher“ im Sinne der DSGVO, weil diese auf ihn nicht anzuwenden sei. Für die Klagebegehren Punkte 5 und 7 fehle dem Kläger das rechtliche Interesse an der begehrten Feststellung. Das Unterlassungsbegehren (Klagebegehren Punkte 6 und 8 bis 10) sei nicht berechtigt. Die Personalisierung und auch die personalisierte Werbung als ein wesentlicher Bestandteil des von der Beklagten angebotenen Dienstes ergeben sich aus den Nutzungsbedingungen und den verlinkten Richtlinien, die zum Vertrag gemacht worden seien. Eine Verletzung von Art 9 DSGVO liege nicht vor. Dabei könne dahingestellt bleiben, ob die festgestellten Einladungen zu Veranstaltungen und Werbungen die Homosexualität des Klägers offenbarten, weil der Kläger diese selbst öffentlich gemacht habe, sodass ein Ausnahmegrund von dem Erfordernis einer ausdrücklichen Einwilligung (Art 9 Abs 2 lit e DSGVO) vorliege. Das „Interesse“ des Klägers an verschiedenen Parteien und Politikern offenbare nur sein Interesse an Politik, aber keine politische Meinung.
[44] Das Berufungsgericht gab der Berufung des Klägers insoweit nicht Folge. Beim Vertrag zwischen den Streitteilen handle es sich um ein in der österreichischen Rechtsordnung nicht ausdrücklich geregeltes, also atypisches Schuldverhältnis. Sein Inhalt bestehe im Wesentlichen darin, dass die Beklagte dem F*‑Nutzer eine „personalisierte“, also auf seine Interessen und Einstellungen individuell zugeschnittene Plattform eröffne, auf der er mit anderen F*‑Nutzern kommunizieren kann. Zwar schulde der F*‑Nutzer für den Zutritt zu diesem Forum kein Geld, doch dulde er, dass die Beklagte alle ihr zur Verfügung stehenden personenbezogenen Daten des Nutzers verwerte. Die Verarbeitung dieser Daten diene dazu, dem Nutzer personalisierte Werbung zu senden. Zu diesem Zweck gebe die Beklagte die Daten ihrer Nutzer ohne deren ausdrückliche Zustimmung nicht an Dritte weiter, sondern sende Werbung im Auftrag von Werbekunden an bestimmte, gegenüber den Werbetreibenden anonym bleibende Zielgruppen, die sie aus den Daten herausfiltere. Das Wesen dieses F*‑Geschäftsmodells werde in den Bedingungen in einer Weise erläutert, die für jeden auch nur durchschnittlich aufmerksamen Leser leicht verständlich sei. Dieses Modell sei weder sittenwidrig noch ungewöhnlich. Die Verarbeitung der personenbezogenen Nutzerdaten sei eine tragende Säule des zwischen den Streitteilen geschlossenen Vertrags. Daher sei die Verarbeitung der personenbezogenen Daten des Klägers für die Vertragserfüllung „erforderlich“ iSd Art 6 Abs 1 lit b DSGVO.
[45] Der Kläger erhob gegen dieses Urteil Revision an den Obersten Gerichtshof, mit der er eine Klagestattgebung hinsichtlich der genannten Punkte 4 bis 9 anstrebt.
Rechtliche Beurteilung
[46] IV. Rechtliche Beurteilung
[47] A. Anzuwendendes Unionsrecht
Artikel 5 DSGVO:
Grundsätze für die Verarbeitung personenbezogener Daten
(1) Personenbezogene Daten müssen
a) | auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“); |
b) | für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt gemäß Artikel 89 Absatz 1 nicht als unvereinbar mit den ursprünglichen Zwecken („Zweckbindung“); |
c) | dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“); |
d) | sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden („Richtigkeit“); |
e) | in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen, die von dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1 verarbeitet werden („Speicherbegrenzung“); |
f) | in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“); |
(2) Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).
Artikel 6 DSGVO:
Rechtmäßigkeit der Verarbeitung
(1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
a) | Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben; |
b) | die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen; |
c) | die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt; |
d) | die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen; |
e) | die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde; |
f) | die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt. |
Unterabsatz 1 Buchstabe f gilt nicht für die von Behörden in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung.
(2) Die Mitgliedstaaten können spezifischere Bestimmungen zur Anpassung der Anwendung der Vorschriften dieser Verordnung in Bezug auf die Verarbeitung zur Erfüllung von Absatz 1 Buchstaben c und e beibehalten oder einführen, indem sie spezifische Anforderungen für die Verarbeitung sowie sonstige Maßnahmen präziser bestimmen, um eine rechtmäßig und nach Treu und Glauben erfolgende Verarbeitung zu gewährleisten, einschließlich für andere besondere Verarbeitungssituationen gemäß Kapitel IX.
(3) Die Rechtsgrundlage für die Verarbeitungen gemäß Absatz 1 Buchstaben c und e wird festgelegt durch
a) | Unionsrecht oder |
b) | das Recht der Mitgliedstaaten, dem der Verantwortliche unterliegt. |
Der Zweck der Verarbeitung muss in dieser Rechtsgrundlage festgelegt oder hinsichtlich der Verarbeitung gemäß Absatz 1 Buchstabe e für die Erfüllung einer Aufgabe erforderlich sein, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde. Diese Rechtsgrundlage kann spezifische Bestimmungen zur Anpassung der Anwendung der Vorschriften dieser Verordnung enthalten, unter anderem Bestimmungen darüber, welche allgemeinen Bedingungen für die Regelung der Rechtmäßigkeit der Verarbeitung durch den Verantwortlichen gelten, welche Arten von Daten verarbeitet werden, welche Personen betroffen sind, an welche Einrichtungen und für welche Zwecke die personenbezogenen Daten offengelegt werden dürfen, welcher Zweckbindung sie unterliegen, wie lange sie gespeichert werden dürfen und welche Verarbeitungsvorgänge und -verfahren angewandt werden dürfen, einschließlich Maßnahmen zur Gewährleistung einer rechtmäßig und nach Treu und Glauben erfolgenden Verarbeitung, wie solche für sonstige besondere Verarbeitungssituationen gemäß Kapitel IX. Das Unionsrecht oder das Recht der Mitgliedstaaten müssen ein im öffentlichen Interesse liegendes Ziel verfolgen und in einem angemessenen Verhältnis zu dem verfolgten legitimen Zweck stehen.
(4) Beruht die Verarbeitung zu einem anderen Zweck als zu demjenigen, zu dem die personenbezogenen Daten erhoben wurden, nicht auf der Einwilligung der betroffenen Person oder auf einer Rechtsvorschrift der Union oder der Mitgliedstaaten, die in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme zum Schutz der in Artikel 23 Absatz 1 genannten Ziele darstellt, so berücksichtigt der Verantwortliche — um festzustellen, ob die Verarbeitung zu einem anderen Zweck mit demjenigen, zu dem die personenbezogenen Daten ursprünglich erhoben wurden, vereinbar ist — unter anderem
a) | jede Verbindung zwischen den Zwecken, für die die personenbezogenen Daten erhoben wurden, und den Zwecken der beabsichtigten Weiterverarbeitung, |
b) | den Zusammenhang, in dem die personenbezogenen Daten erhoben wurden, insbesondere hinsichtlich des Verhältnisses zwischen den betroffenen Personen und dem Verantwortlichen, |
c) | die Art der personenbezogenen Daten, insbesondere ob besondere Kategorien personenbezogener Daten gemäß Artikel 9 verarbeitet werden oder ob personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 verarbeitet werden, |
d) | die möglichen Folgen der beabsichtigten Weiterverarbeitung für die betroffenen Personen, |
e) | das Vorhandensein geeigneter Garantien, wozu Verschlüsselung oder Pseudonymisierung gehören kann. |
Artikel 7 DSGVO:
Bedingungen für die Einwilligung
(1) Beruht die Verarbeitung auf einer Einwilligung, muss der Verantwortliche nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat.
(2) Erfolgt die Einwilligung der betroffenen Person durch eine schriftliche Erklärung, die noch andere Sachverhalte betrifft, so muss das Ersuchen um Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache so erfolgen, dass es von den anderen Sachverhalten klar zu unterscheiden ist. Teile der Erklärung sind dann nicht verbindlich, wenn sie einen Verstoß gegen diese Verordnung darstellen.
(3) Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Die betroffene Person wird vor Abgabe der Einwilligung hiervon in Kenntnis gesetzt. Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein.
(4) Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind.
Artikel 9 DSGVO:
Verarbeitung besonderer Kategorien personenbezogener Daten
(1) Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt.
(2) Absatz 1 gilt nicht in folgenden Fällen:
a) | Die betroffene Person hat in die Verarbeitung der genannten personenbezogenen Daten für einen oder mehrere festgelegte Zwecke ausdrücklich eingewilligt, es sei denn, nach Unionsrecht oder dem Recht der Mitgliedstaaten kann das Verbot nach Absatz 1 durch die Einwilligung der betroffenen Person nicht aufgehoben werden, |
b) | die Verarbeitung ist erforderlich, damit der Verantwortliche oder die betroffene Person die ihm bzw. ihr aus dem Arbeitsrecht und dem Recht der sozialen Sicherheit und des Sozialschutzes erwachsenden Rechte ausüben und seinen bzw. ihren diesbezüglichen Pflichten nachkommen kann, soweit dies nach Unionsrecht oder dem Recht der Mitgliedstaaten oder einer Kollektivvereinbarung nach dem Recht der Mitgliedstaaten, das geeignete Garantien für die Grundrechte und die Interessen der betroffenen Person vorsieht, zulässig ist, |
c) | die Verarbeitung ist zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person erforderlich und die betroffene Person ist aus körperlichen oder rechtlichen Gründen außerstande, ihre Einwilligung zu geben, |
d) | die Verarbeitung erfolgt auf der Grundlage geeigneter Garantien durch eine politisch, weltanschaulich, religiös oder gewerkschaftlich ausgerichtete Stiftung, Vereinigung oder sonstige Organisation ohne Gewinnerzielungsabsicht im Rahmen ihrer rechtmäßigen Tätigkeiten und unter der Voraussetzung, dass sich die Verarbeitung ausschließlich auf die Mitglieder oder ehemalige Mitglieder der Organisation oder auf Personen, die im Zusammenhang mit deren Tätigkeitszweck regelmäßige Kontakte mit ihr unterhalten, bezieht und die personenbezogenen Daten nicht ohne Einwilligung der betroffenen Personen nach außen offengelegt werden, |
e) | die Verarbeitung bezieht sich auf personenbezogene Daten, die die betroffene Person offensichtlich öffentlich gemacht hat, |
f) | die Verarbeitung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder bei Handlungen der Gerichte im Rahmen ihrer justiziellen Tätigkeit erforderlich, |
g) | die Verarbeitung ist auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats, das in angemessenem Verhältnis zu dem verfolgten Ziel steht, den Wesensgehalt des Rechts auf Datenschutz wahrt und angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person vorsieht, aus Gründen eines erheblichen öffentlichen Interesses erforderlich, |
h) | die Verarbeitung ist für Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin, für die Beurteilung der Arbeitsfähigkeit des Beschäftigten, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats oder aufgrund eines Vertrags mit einem Angehörigen eines Gesundheitsberufs und vorbehaltlich der in Absatz 3 genannten Bedingungen und Garantien erforderlich, |
i) | die Verarbeitung ist aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie dem Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren oder zur Gewährleistung hoher Qualitäts- und Sicherheitsstandards bei der Gesundheitsversorgung und bei Arzneimitteln und Medizinprodukten, auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats, das angemessene und spezifische Maßnahmen zur Wahrung der Rechte und Freiheiten der betroffenen Person, insbesondere des Berufsgeheimnisses, vorsieht, erforderlich, oder |
j) | die Verarbeitung ist auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats, das in angemessenem Verhältnis zu dem verfolgten Ziel steht, den Wesensgehalt des Rechts auf Datenschutz wahrt und angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person vorsieht, für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1 erforderlich. |
(3) Die in Absatz 1 genannten personenbezogenen Daten dürfen zu den in Absatz 2 Buchstabe h genannten Zwecken verarbeitet werden, wenn diese Daten von Fachpersonal oder unter dessen Verantwortung verarbeitet werden und dieses Fachpersonal nach dem Unionsrecht oder dem Recht eines Mitgliedstaats oder den Vorschriften nationaler zuständiger Stellen dem Berufsgeheimnis unterliegt, oder wenn die Verarbeitung durch eine andere Person erfolgt, die ebenfalls nach dem Unionsrecht oder dem Recht eines Mitgliedstaats oder den Vorschriften nationaler zuständiger Stellen einer Geheimhaltungspflicht unterliegt.
(4) Die Mitgliedstaaten können zusätzliche Bedingungen, einschließlich Beschränkungen, einführen oder aufrechterhalten, soweit die Verarbeitung von genetischen, biometrischen oder Gesundheitsdaten betroffen ist.
[48] B. Begründung der Vorlagefragen
[49] 1.1. Art 6 DSGVO regelt jene Tatbestände, die eine Verarbeitung von Daten rechtfertigen. Nach Art 6 Abs 1 UAbs 1 DSGVO können auch mehrere Erlaubnisnormen nebeneinander bestehen (arg „mindestens eine der nachstehenden Bedingungen“). Daraus ergibt sich, dass grundsätzlich alle Tatbestände gleichwertig sind und nicht etwa die Einwilligung zwingend neben einem weiteren Tatbestand erfüllt sein muss (Kastelitz/Hötzendorfer/Tschohl in Knyrim, DatKomm Art 6 DSGVO Rz 14 f).
[50] 1.2. Die Beklagte stützt sich nicht auf die Einwilligung des Klägers, sondern darauf, dass die Datenverarbeitung ein wesentlicher Bestandteil des Vertragszwecks der „Personalisierung“ und zur Vertragserfüllung notwendig sei. Der Kläger hat den Vertrag unter Kenntnis dieses Inhalts abgeschlossen, weshalb die Datenverarbeitung – so das Erstgericht – zulässig sei, solange der Kläger sein Konto nicht löscht und damit den Vertrag mit der Beklagten beendet.
[51] 2.1. Nach den Feststellungen besteht das wirtschaftliche Modell der Beklagten darin, Einnahmen durch maßgeschneiderte Werbung und kommerzielle Inhalte zu generieren, die auf den gleichen Vorlieben und Interessen beruhen. Sie erwirtschaftet ihren Gewinn primär durch Werbung, welche in verschiedenster Form in den Diensten der Beklagten untergebracht wird. Sie stellt ihren Nutzern ihre Dienste unentgeltlich zur Verfügung und erzielt Einkünfte, indem die Nutzerdaten verarbeitet werden, um Werbetreibenden die Möglichkeit der maßgeschneiderten und zielgerichteten Werbung zu verkaufen.
[52] 2.2. Nach Art 6 Abs 1 lit b DSGVO ist die Verarbeitung personenbezogener Daten erlaubt, wenn dies für die Vertragserfüllung im weiten Sinn (somit auch von Nebenpflichten) erforderlich ist (Kastelitz/Hötzendorfer/Tschohl in Knyrim, DatKomm Art 6 DSGVO Rz 33). Maßgeblich ist der aus dem Vertragsinhalt hervorgehende Vertragszweck und das, was zur Erfüllung der Vertragspflichten oder der Wahrnehmung von Rechten bzw für die Durchführung vorvertraglicher Maßnahmen geboten ist (Kastelitz/Hötzendorfer/Tschohl in Knyrim, DatKomm Art 6 DSGVO Rz 36).
[53] 2.3. Nach Auffassung des Berufungsgerichts ist die Verarbeitung der personenbezogenen Nutzerdaten eine tragende Säule des zwischen den Streitteilen geschlossenen Vertrags. Denn nur diese Datenverwertung ermögliche maßgeschneiderte Werbung, die das von der Beklagten geschuldete „personalisierte Erlebnis“ in wesentlichem Maße prägt und der Beklagten zugleich die für die Aufrechterhaltung der Plattform und die Erzielung eines Gewinns notwendigen Einkünfte verschafft. Diese Datenverarbeitung sei daher für die Vertragserfüllung „erforderlich“ iSd Art 6 Abs 1 lit b DSGVO.
[54] 3.1. Diese Auffassung ist jedoch keineswegs selbstverständlich. Eine Kernfrage des vorliegenden Verfahrens ist, ob die Willenserklärung zur Verarbeitung von der Beklagten unter das Rechtskonzept nach Art 6 Abs 1 lit b DSGVO verschoben werden kann, um damit den deutlich höheren Schutz, den die Rechtsgrundlage „Einwilligung“ für den Kläger bietet, „auszuhebeln“.
[55] 3.2. Der Europäische Datenschutzausschuss (EDSA) geht in seinen aktuellen Leitlinien zu Art 6 DSGVO grundsätzlich davon aus, dass die Verarbeitung personenbezogener Daten für verhaltensbasierte Werbung zur Erfüllung eines Vertrags über Online-Dienste nicht erforderlich sei (EDSA Guidelines 2/2019 Rz 52). Für Online-Dienste geht der EDSA jedoch davon aus, dass die Personalisierung von Inhalten ein wesentliches und erwartetes Element bestimmter Online-Dienste darstellen kann (aber nicht immer darstellt) und daher in einigen Fällen als für die Erfüllung des Vertrags mit dem Nutzer erforderlich angesehen werden kann.
[56] Im Working Paper 217 der Art 29 Gruppe und in Rz 30 der Guideline 2/2019 EDSA, der nach Art 70 DSGVO zur einheitlichen Anwendung und Interpretation der DSGVO in der EU berufen ist und damit der „Art 29 Datenschutzgruppe“ nachfolgt, wurde in diesem Sinne festgehalten, dass eine Verarbeitung nach Art 6 Abs 1 lit b DSGVO nur für bestimmte Pflichten eines Vertrags in Frage kommt. Das reine „Nennen ... von Verarbeitungstätigkeiten ... im Kleingedruckten“ ist nicht ausreichend (WP 217, S 16). Um die „Erforderlichkeit“ zu beurteilen, ist nicht bloß die Perspektive des Verantwortlichen einzunehmen, sondern auch die Perspektive des Betroffenen (EDSA, Guidelines 2/2019 on the Processing of personal data under Article 6(1)(b) GDPR in the context of the Provision of online Services to data subjects, Version 2.0, Rz 32; zitiert in Kastelitz/Hötzendorfer/Tschohl in Knyrim, DatKomm Art 6 DSGVO Rz 36). Zu den Pflichten können dabei zwar auch vertragliche Nebenpflichten zählen, worunter aber gerade die Speicherung für Marketingzwecke nicht fallen soll (Kastelitz/Hötzendorfer/Tschohl in Knyrim, DatKomm Art 6 DSGVO Rz 36). Es wurde explizit festgehalten, dass „verhaltensbasierte Werbung kein notwendiges Element von Online-Diensten darstellt“.
[57] 3.3. Auch die Literatur vertritt diesbezüglich eine restriktive Position. Jan Albrecht/Florian Jotzo (Das neue Datenschutzrecht der EU, Art 6, Rz 44) führen aus: „Die DSGVO setzt solchen Geschäftsmodellen vieler Onlineanbieter enge Grenzen. Art 6 Abs 1 lit b DSGVO scheidet als Rechtsgrundlage meist aus, da Anbieter wie F* Daten über ihre Nutzer typischerweise zu Werbezwecken nutzen, die nicht für die Vertragserfüllung im eigentlichen Sinne erforderlich ist. “
[58] Ähnlich formulieren Kühling/Buchner (DSGVO-BDSG², Art 7, Rz 50): „Ebenso wenig ist es für die Erbringung der Grundfunktionen eines sozialen Netzwerks erforderlich, Clickstream, Kommunikation, Kontakte und sonstige Informationen über die Nutzer zu kommerziellen Zwecken auszuwerten und an Dritte zu übermitteln.“
[59] Auch nach Ehmann/Selmayr (Datenschutzgrundverordnung, Art 6, Rz 13), ist die „Speicherung von Kundenpräferenzen für Marketingzwecke nicht für die Erfüllung des Vertrags erforderlich“.
[60] 3.4. Für die datenschutzrechtliche Auslegung des Vertrags und die Frage, ob eine Datenverarbeitung „erforderlich“ im Sinn von Art 6 Abs 1 lit b DSGVO ist, ist der objektive Vertragszweck maßgeblich. Künstlich bzw einseitig auferlegte Leistungen können hierunter nicht subsumiert werden. Die Erforderlichkeit einer Datenverarbeitung zur Vertragserfüllung hängt davon ab, ob ein unmittelbarer sachlicher Zusammenhang zwischen der beabsichtigten Datenverarbeitung und dem konkreten Zweck des rechtsgeschäftlichen Schuldverhältnisses besteht. Art 6 Abs 1 lit b DSGVO ist in diesem Sinne eng auszulegen und gilt nicht für Situationen, in denen die Verarbeitung für die Erfüllung eines Vertrags nicht tatsächlich notwendig ist. Die Tatsache, dass die Zwecke der Verarbeitung durch vom Anbieter formulierte Vertragsklauseln abgedeckt sind, bedeutet nicht automatisch, dass die Verarbeitung für die Erfüllung des Vertrags erforderlich ist (Europäischer Datenschutzbeauftragter „EDPS“, Stellungnahme 4/2017, 19; vgl auch Kastelitz/Hötzendorfer/Tschohl in Knyrim, DatKomm Art 6 DSGVO Rz 36).
[61] 4.1. Im Fall des Klägers werden außerdem Daten zu seinen politischen Überzeugungen und seiner sexuellen Orientierung verarbeitet. Die Beklagte verarbeitet etwa das Interesse an „A*“, „Die G*“ oder „n*“. Dem Kläger wurde Werbung zur n*‑Politikerin B* angezeigt, basierend auf einer Analyse, dass er anderen Nutzern ähnelt, die diese Politikerin mit „gefällt mir“ markiert haben („Lookalike Audience“). Er erhält Werbung zu Veranstaltungen, die auf homosexuelle Personen abzielen, basierend auf einer Analyse seiner „Interessen“ und nicht seiner sexuellen Orientierung oder der seiner Freunde. In der Liste seiner Aktivitäten finden sich Apps und Webseiten, die sich an homosexuelle Nutzer richten, oder von politischen Parteien.
[62] 4.2. Art 9 Abs 1 DSGVO sieht ein generelles Verarbeitungsverbot für solche sensiblen Daten vor, das ausschließlich durch das Vorliegen zumindest eines der Fälle des Art 9 Abs 2 DSGVO durchbrochen werden kann. Liegt ein solcher Fall vor, führt dies zur Durchbrechung des generellen Verarbeitungsverbots des Art 9 Abs 1 DSGVO. Sensible Daten sind etwa Daten über die rassische und ethnische Herkunft, politische Meinungen, religiöse Überzeugungen oder der sexuellen Orientierung.
[63] 4.3. Art 9 Abs 2 lit e DSGVO lässt die Verarbeitung von sensiblen personenbezogenen Daten über die betroffene Person zu, wenn diese die betroffene Person offensichtlich öffentlich gemacht hat (Kastelitz/Hötzendorfer/Tschohl in Knyrim, DatKomm Art 9 DSGVO Rz 41). Hintergrund der Regelung ist, dass personenbezogene Daten, die in freier Selbstbestimmung von der betroffenen Person der Öffentlichkeit zugänglich gemacht worden sind, keine erhebliche Gefahr für die Privatsphäre darstellen, sodass sie des gesteigerten Schutzes nach Art 9 DSGVO nicht bedürfen (Kampert in Sydow, Europäische Datenschutzgrundverordnung2 [2018] Art 9 Rz 30). Der Regelung unterfallen Daten, die frei im Internet oder in für jedermann einsehbaren öffentlichen Registern und Verzeichnissen enthalten sind oder die über die Medien Verbreitung finden. Allein der Umstand, dass Daten öffentlich zugänglich sind, reicht allerdings noch nicht aus, um auf den Schutz des Art 9 DSGVO zu verzichten. Die Öffentlichkeit der Daten muss vielmehr offensichtlich auf einen Willensakt der betroffenen Person zurückzuführen sein (Kampert aaO, Rz 31 f).
[64] 4.4. Nach den Feststellungen kommuniziert der Kläger seine sexuelle Ausrichtung (freiwillig) öffentlich, hat diese jedoch nicht in seinem F*‑Profil angegeben. Im Rahmen eines Vortrags bei der Vertretung der Europäischen Kommission in Österreich äußerte der Kläger:
„Ich gebe Ihnen jetzt ein ganz banales Beispiel: Anhand von meiner Freundesliste können Sie meine sexuelle Orientierung hochrechnen. Ich habe auf F* nie angegeben, dass ich schwul bin. Das ist bei mir, seitdem ich 14 bin, geoutet und stressfrei und was weiß ich. Aber das ist zum Beispiel etwas, was ich öffentlich nicht permanent rundherum erzähle, weil ich ma denk, ja, ich red lieber über den Datenschutz, sonst bist dann wieder in der Kategorie drinnen. Und das lenkt ab vom Datenschutz.“
[65] Daraus ergibt sich, dass der Kläger diese Aussage offenbar gerade mit der Intention getätigt hat, die von der Beklagten bereits durchgeführte Datenverarbeitung zu hinterfragen und öffentlich zu kritisieren. Aus dieser Äußerung kann keine Zustimmung iSd Art 9 DSGVO abgeleitet werden.
[66] 4.5. Damit stellt sich die Frage, auf welche Weise die Öffentlichkeit sensibler Daten des Klägers bewirkt worden sein muss, damit Art 9 Abs 2 DSGVO anzuwenden ist.
[67] 5. Die gestellten Vorlagefragen sind zur Klärung der Auslegung der anzuwendenden unionsrechtlichen Bestimmungen erforderlich.
[68] 6. Bis zur Erledigung der Sache ist das Verfahren über die Revisionen der Streitteile nach § 90a Abs 1 GOG auszusetzen.