Unternehmen sind verpflichtet, ihren Kund:innen und sonstigen Personen, deren personenbezogene Daten sie verarbeiten, eine Datenschutzerklärung zur Verfügung zu stellen. Darin ist zu erklären, wie die personenbezogenen Daten der Betroffenen verarbeitet werden. Die Nicht-Bereitstellung dieser Informationen stellt einen DSGVO-Verstoß dar.
Viele Unternehmen lassen sich daher von ihren Kund:innen ausdrücklich per Checkbox oder Unterschrift bestätigen, dass diese die Datenschutzerklärung zur Kenntnis genommen haben. Ein neues Urteil lässt dieses – eigentlich mustergültige – Vorgehen jedoch zur Datenschutzfalle werden.
Hintergrund
Hintergrund der Entscheidung (7 Ob 112/22d) war eine Verbandsklage des VKI gegen ein Versicherungsunternehmen. Die Verbandsklage betraf einzelne Formulierungen der Datenschutzerklärung der Beklagten. Im Versicherungsantrag mussten Kund:innen bestätigen, dass die Datenschutzerklärung zur Kenntnis genommen werde.
Der VKI argumentierte nun, durch diese ausdrückliche Bestätigung der Kenntnisnahme, werde die Datenschutzerklärung Vertragsbestandteil. Als Vertragsbestandteil müsse sie daher den strengen verbraucherrechtlichen Bestimmungen genügen, die etwa für AGB-Klauseln gelten.
Das Urteil des OGH
In seiner (aus Sicht des Autors inhaltlich völlig verfehlten) Entscheidung, folgte der OGH der Ansicht der VKI.
Dadurch, dass die Versicherung von Kunden die Bestätigung der Kenntnisnahme der Datenschutzerklärung verlangt habe, müsse die Datenschutzerklärung den Standards von AGB-Bestimmungen genügen.
Diesem Standard kann im Ergebnis natürlich keine Datenschutzerklärung genügen – schließlich gilt für Vertragsbestimmung die Pflicht, diese so exakt zu formulieren, dass keine andere Interpretation möglich und dabei jede Eventualität abgedeckt ist – ein für ein Informationsdokument wie eine Datenschutzerklärung völlig ungeeigneter Standard. Zudem gilt nach den verbraucherrechtlichen Bestimmungen, dass eine Klausel schon dann unzulässig ist, wenn sie so ausgelegt werden könnte, dass sie einen unzulässigen Inhalt hat („kundenfeindlichste Auslegung“).
Der Klage wurde daher stattgegeben. Die Versicherung muss die Verwendung zahlreicher Klauseln unterlassen. Dazu muss sie die teuren Prozesskosten sowie die Kosten einer Urteilsveröffentlichung bezahlen.
Was Unternehmen nun beachten sollten
Es ist in den meisten Fällen nicht zielführend, zu versuchen, Datenschutzerklärungen anhand der Kriterien für AGB-Vertragsklauseln zu formulieren. Während Vertragsdokumente rechtliche Verhältnisse festlegen und gestalten, sollen Datenschutzerklärungen die bestehenden datenschutzrechtlichen Verhältnisse nur beschreiben, nicht aber verändern. So ist es etwa in Datenschutzerklärungen zulässig, die Datenempfänger nur in Form von Empfängerkategorien zu nennen (Art 13 Abs 1 lit e DSGVO), während in AGB die einzelnen Empfänger genau zu bezeichnen wären (OGH 4 Ob 63/21z).
Unternehmen sollten als Konsequenz dieser Entscheidung also keinesfalls ihre Datenschutzerklärungen zu Verträgen „umstricken“. Stattdessen empfehlen wir Ihnen, künftig bei der Bereitstellung von Datenschutzerklärungen auf Checkboxen und ähnliches zu verzichten. Es ist datenschutzrechtlich nicht notwendig, dass Ihre Kund:Innen oder sonstige Betroffene die Datenschutzerklärung ausdrücklich (durch Anklicken einer Checkbox o.ä.) zur Kenntnis nehmen (oder gar der Datenschutzerklärung „zustimmen“). Es reicht vielmehr aus, wenn Sie die Datenschutzerklärung Ihren Kund:innen gut sichtbar zugänglich machen, etwa durch einen bloßen Link im Bestellvorgang oder als bloße (nicht unterschriebene) Beilage zu den physischen Vertragsdokumenten.
Verzichten Sie daher zukünftig lieber auf Checkboxen im Zusammenhang mit Ihren Datenschutzerklärungen. So reduzieren Sie die Gefahr, dass die Gerichte Ihre Datenschutzerklärung nach den Bestimmungen für AGB-Klauseln prüfen. Ansonsten kann diese Checkbox schnell für Sie zur Datenschutzfalle werden.
Das Risiko bleibt hoch
Die Erfahrung zeigt, dass der VKI und vergleichbare Organisationen derzeit verstärkt gegen Datenschutzerklärungen und sonstige Datenschutzbestimmungen vorgehen. Hier besteht also ein erhöhtes Risiko.
Zusätzlich können ab (voraussichtlich) Juni Datenschutzverstöße auch per Sammelklage nach der EU-Verbandsklagen-Richtlinie geltend gemacht werden. Dies wird die Zahl derartiger Verfahren noch weiter erhöhen.
Autor
Mag. Michael Röhsner, LL.M. ist Rechtsanwalt bei Eversheds Sutherland. Er ist auf Datenschutz, IT-Recht und Cybersecurity spezialisiert.
Regelmäßig berät er internationale Unternehmen bei der Einhaltung der DSGVO und der österreichischen Datenschutzgesetze. Bereits während seines Masterstudiums „Law and Digital Technologies“ an der Universität Leiden setzte er seinen Fokus auf Datenschutz.
Kommentare
Mär 23
DSGVO-Pain
Wenige, die das Thema nicht betrifft. Und so sehr man als Konsument / User glücklich über diese Regelung ist, so sehr ärgert dies Marketeers... Klarheit schaffen, ein rechtlich wasserfestes Wording macht Sinn!