Besitzen Sie diesen Inhalt bereits,
melden Sie sich an.
oder schalten Sie Ihr Produkt zur digitalen Nutzung frei.
„Privacy by Default“: Klauselprozess gegen Leasinggeber
https://doi.org/10.47782/oeba202303020701
Art 25, 80 DSGVO; § 28, 29 KSchG.
Nur durch vollständige Unterwerfung unter den Anspruch einer gem § 29 KSchG klageberechtigten Einrichtung kann der Unternehmer die Wiederholungsgefahr beseitigen. Der Unternehmer muss nach Abmahnung eine unbedingte, uneingeschränkte und strafbewehrte Unterlassungserklärung abgeben.
Die DSGVO steht der Klagebefugnis nach § 28, 29 KSchG nicht entgegen. Eine Klausel in AGB, die Voreinstellungen vorsieht, die eine Datenverarbeitung ganz unabhängig von der Erforderlichkeit für bestimmte Verarbeitungszwecke zulässt, verstößt gegen die Vorgaben des Art 25 Abs 2 DSGVO.
Aus den Entscheidungsgründen:
[1] Der Kl ist ein nach § 29 KSchG klagebefugter Verein.
[2] Die Bekl betreibt das Gewerbe der Autovermietung. Pkt 23 [ihrer AGB] lautet „Anhang zum Datenschutz bei vernetzten Autos“. Der erste Abs dieses Textes lautet:
„Bitte lesen Sie sorgfältig diese Regelungen; sie enthalten Einzelheiten über die Daten, die wir über Sie und Ihr vernetztes Auto erfassen. Durch die Unterzeichnung des Mietvertrags stimmen Sie gleichzeitig diesen Regelungen zu; Sie erkennen an, dass wir Ihre Daten für die in diesem Anhang angeführten Zwecke erfassen und bearbeiten dürfen.“
Der vierte Abs dieses Abschnitts lautet:
„Dieser Anhang ist ein integraler Bestandteil unseres Mietvertrags, unserer Allgemeinen Mietvertragsbedingungen (AGB), der Besonderen Mietvertragsbedingungen der Mietstation und unserer Datenschutzrichtlinien. Bitte lesen Sie unbedingt sorgfältig diesen Anhang, die AGB, die Besonderen Mietvertragsbedingungen der Mietstation und unsere Datenschutzrichtlinien. Die Regelungen dieses Anhangs bestehen unbeschadet der AGB, der Besonderen Mietvertragsbedingungen der Mietstation und unserer Datenschutzrichtlinien. Falls sich ein Konflikt zwischen diesem Anhang und den AGB und/oder den Besonderen Mietvertragsbedingungen der Mietstation und/oder unseren Datenschutzrichtlinien ergeben sollte, haben die Regelungen dieses Anhangs Vorrang.“
[3] Verfahrensgegenstand sind nur mehr folgende zwei Klauseln:
1. „Solange Sie keine relevanten Funktionen (wie unten erläutert) deaktivieren,S. 208sind diese Geräte stets aktiv, selbst wenn andere Dienste oder Medien im Fahrzeug ausgeschaltet wurden.“
2. „1.3. Zusammenfassend ausgedrückt erfassen und verarbeiten wir die Informationen (einschließlich Ihrer persönlichen Daten) auf der Grundlage von: (1) Ihrer Zustimmung, welche Sie zurückziehen können, indem Sie Ihr Gerät ausschalten/abkoppeln und Ihre Informationen im Infotainment-System löschen.“
[7] Die Vorinstanzen gaben dem Klagebegehren statt. Die erste Klausel verstoße gegen den in Art 25 Abs 2 DSGVO normierten Grundsatz des „Privacy by Default“. Die zweite Klausel verstoße gegen § 6 Abs 3 KSchG.
[9] Die Revision der Bekl ist zulässig, sie ist aber nicht berechtigt.
1. Vorabentscheidungsersuchen vor dem EuGH
[10] Während des Revisionsverfahrens stellte die Bekl einen Unterbrechungsantrag wegen einer vom Bundesgerichtshof beim EuGH zu einer auch im vorliegenden Verfahren bedeutsamen Frage des Unionsrechts.
1.1 Daraufhin setzte der erkSen das Revisionsverfahren aus und richtete (wie schon inhaltlich gleichlautend vorher der BGH) mit Beschluss vom (6 Ob 77/20x) folgendes Vorabentscheidungsersuchen an den EuGH:
„Stehen die Regelungen in Kapitel VIII, insb in Art 80 Abs 1 und 2 sowie Art 84 Abs 1 der [DSGVO] nationalen Regelungen entgegen, die – neben den Eingriffsbefugnissen der zur Überwachung und Durchsetzung der Verordnung zuständigen Aufsichtsbehörden und den Rechtsschutzmöglichkeiten der betroffenen Personen – einerseits Mitbewerbern und andererseits nach dem nationalen Recht berechtigten Verbänden, Einrichtungen und Kammern die Befugnis einräumen, wegen Verstößen gegen die DSGVO unabhängig von der Verletzung konkreter Rechte einzelner betroffener Personen und ohne Auftrag einer betroffenen Person gegen den Verletzer im Wege einer Klage vor den Zivilgerichten unter den Gesichtspunkten des Verbots der Vornahme unlauterer Geschäftspraktiken oder des Verstoßes gegen ein Verbraucherschutzgesetz oder des Verbots der Verwendung unwirksamer AGB vorzugehen?“
1.2 In dem vom BGH angestrengten Vorabentscheidungsersuchen entschied der EuGH (C-319/20) und sprach aus:
„Art 80 Abs 2 der [DSGVO] ist dahin auszulegen, dass er einer nationalen Regelung, nach der ein Verband zur Wahrung von Verbraucherinteressen gegen den mutmaßlichen Verletzer des Schutzes personenbezogener Daten ohne entsprechenden Auftrag und unabhängig von der Verletzung konkreter Rechte betroffener Personen Klage mit der Begründung erheben kann, dass gegen das Verbot der Vornahme unlauterer Geschäftspraktiken, ein Verbraucherschutzgesetz oder das Verbot der Verwendung unwirksamer AGB verstoßen worden sei, nicht entgegensteht, sofern die betreffende Datenverarbeitung die Rechte identifizierter oder identifizierbarer natürlicher Personen aus dieser Verordnung beeinträchtigen kann.“
[11] 1.3. Damit ist geklärt, dass hier das Unionsrecht in Gestalt der DSGVO der Klagebefugnis des klagenden Vereins nicht entgegensteht.
2. Zur Aktivlegitimation iÜ
[12] 2.1. Die Revision der Bekl steht im Kern auf dem Standpunkt, der Kl sei zur Erhebung der Verbandsklage nach § 28 Abs 1 KSchG schon deshalb nicht aktivlegitimiert, weil die Bekl von der Verwendung der beanstandeten Klauseln noch vor Schluss der mündlichen Verhandlung erster Instanz Abstand genommen und zugleich eine Unterlassungserklärung iSd § 28 Abs 2 KSchG abgegeben habe, weshalb auch eine künftige Verwendung der Klauseln als AGB nicht drohe. Die Unterlassungserklärung habe nämlich gerade auch jene Zustimmungsfiktionsklausel in der Präambel des „Anhangs zum Datenschutz bei vernetzten Autos“ (und sinngleiche Klauseln) umfasst, deretwegen die beanstandeten Klauseln, die für sich genommen nur Informationscharakter hätten, (womöglich) als Teil der AGB aufgefasst werden könnten. Als bloße Informationsklauseln zur Aufklärung des Verbrauchers unterfielen sie jedoch nicht dem Verbandsklageverfahren nach § 28 Abs 1 KSchG, das nur der Kontrolle von Willenserklärungen diene.
[13] 2.2. Diese Argumentation ist bereits im Ansatz verfehlt: Zutreffend geht zwar die Revision davon aus, dass Voraussetzung für den Unterlassungsanspruch nach § 28 Abs 1 S 1 KSchG die tatsächliche oder drohende Verwendung (3 Ob 133/06i; 5 Ob 205/13b) unzulässiger AGB oder Formblätter als Vertragsbestandteile im geschäftlichen Verkehr ist (5 Ob 227/98p; 6 Ob 210/17a). Jedoch ist ihre weitere Annahme unzutreffend, wonach den beiden Klauseln durch die strafbewehrte Unterlassungserklärung (nur) in Bezug auf die erwähnte Zustimmungsfiktionsklausel jedenfalls der Charakter einer die Rechtslage zwischen den Vertragsparteien gestaltenden vertraglichen Vereinbarung genommen worden sei. Denn in der angesprochenen Präambel findet sich nicht nur die relevierte Zustimmungsfiktion, die die Bekl tatsächlich in ihre Unterlassungserklärung aufgenommen hat, sondern auch ein – nicht von der Unterlassungserklärung umfasster – ausdrücklicher Hinweis darauf, dass der Anhang (als Ganzes) Bestandteil des Mietvertrags und der AGB ist und seine Regelungen gegenüber den AGB Vorrang haben.
[14] 2.3. Damit droht aber sehr wohl weiterhin die Verwendung der inkriminierten Klauseln im geschäftlichen Verkehr nicht bloß als Informationsdokument, sondern als Vertragsbestandteil, ist doch aufgrund des erwähnten Präambeltextes – jedenfalls bei gebotener kundenfeindlichster Auslegung (RS0016590) – davon auszugehen, dass der Inhalt der Klauseln nicht bloß der Aufklärung der Kunden über Datenverarbeitungsvorgänge und ihre Rechtsgrundlagen dient, sondern die Vertragsbeziehung inhaltlich gestalten soll. Die Rsp, wonach § 28 Abs 1 KSchG nicht auf bloß der Aufklärung des Verbrauchers dienende Hinweise anzuwenden ist (5 Ob 217/16x; RS0131601), ist daher nicht einschlägig: Der OGH hat bereits in einer Reihe von E zu solchen Informationsbestimmungen klargestellt, dass jedenfalls dann, wenn diese – bei kundenfeindlichster Auslegung – über eine bloße Aufklärung des Verbrauchers hinausgehen und den Vertragsinhalt gestalten, sie Gegenstand der Verbandsklage nach § 28 Abs 1 KSchG sein können (4 Ob 130/03a; 10 Ob 28/14m; 9 Ob 31/15x; 2 Ob 155/16g; 10 Ob 60/17x; RS0131601 [T4]).
[15] 2.4. An der weiterhin drohenden Verwendung der inkriminierten Klauseln als Vertragsbestandteil im geschäftlichen Verkehr vermögen weder die eingeschränkte Unterlassungserklärung der Bekl noch die nachträgliche Abstandnahme von der Verwendung der beiden Klauseln nach Abmahnung durch den Kl etwas zu ändern: Nach stRsp kann nämlich nur durch vollständige UnterwerfungS. 209 unter den Anspruch einer gem § 29 KSchG klageberechtigten Einrichtung die Wiederholungsgefahr beseitigt werden (RS0111637). Die mit dem Abmahnverfahren angestrebte außergerichtliche Streitbereinigung tritt nur dann ein, wenn für beide Seiten Rechtssicherheit entsteht; die Verwendung der Klauseln muss für die Zukunft geradezu ausgeschlossen sein, uzw sowohl für neu abzuschließende Verträge als auch durch eine Berufung darauf in bereits bestehenden Verträgen (RS0111637 [T4]). Eine bloße Änderung der Geschäftsbedingungen, die zudem keine Gewähr dafür bietet, dass sich das Unternehmen nicht für bereits bestehende Verträge auf eine frühere Fassung beruft, reicht keinesfalls aus, um die Wiederholungsgefahr zu beseitigen (RS0111637 [T5]). Der Unternehmer muss, will er die Wiederholungsgefahr beseitigen, nach Abmahnung eine unbedingte, uneingeschränkte und strafbewehrte Unterlassungserklärung abgeben (RS0124304 [T2]).
3. Zur ersten Klausel
[17] 3.1. Die Revision bestreitet, dass Klauseln in Vertragsformblättern im Verbandsklageverfahren nach § 28 Abs 1 KSchG auf ihre Übereinstimmung mit Art 25 Abs 2 DSGVO hin überprüft werden können, zumal diese Vorschrift gar nicht den Inhalt von Vertrags- bzw Informationsdokumenten regle.
[18] Dem ist zu erwidern, dass der Unterlassungsanspruch nach § 28 Abs 1 KSchG nicht allein auf die Kontrolle und Durchsetzung der Verbote des § 6 KSchG (und des § 879 ABGB) beschränkt ist, sondern auch die Verletzung weiterer zivilrechtlicher wie auch öffentlich-rechtlicher Vorschriften umfasst (RS0110990 [T4]); darunter fällt auch der Verstoß gegen Bestimmungen des jeweils anwendbaren Datenschutzrechts (RS0110990 [T6]; zuletzt 6 Ob 140/18h zur DSGVO).
[19] 3.2. Auch der in der Revision hervorgehobene Umstand, dass Art 25 Abs 2 DSGVO dem Betroffenen kein subjektives Recht auf Geltendmachung einer spezifischen Datensicherheitsmaßnahme, etwa einer Pseudonymisierung, im Rahmen einer Datenschutzbeschwerde gewährt (DSB-D123.070/0005-DSB/2018), steht der Prüfung eines Verstoßes von AGB gegen die darin statuierten Regelungen zur Datenverarbeitung nicht entgegen. Art 25 Abs 2 DSGVO ist zwar insoweit als objektive Vorschrift ausgestaltet, als darin bloß spezifische Pflichten von Verantwortlichen und Auftragsverarbeitern statuiert sind. Daraus lässt sich aber nicht ableiten, dass die Norm ausschließlich öffentlichen Interessen und nicht etwa auch dem Schutz des Einzelnen dient. Der sich schon aus dem Regelungsinhalt in wertender Zusammenschau mit den Ausführungen in ErwGr 78 der Verordnung ergebende individualschützende Charakter des Art 25 Abs 2 DSGVO hat zur Folge, dass auch bei Verstößen gegen die darin geregelten Verhaltenspflichten der Anwendungsbereich des Art 79 Abs 1 DSGVO für den Betroffenen eröffnet ist; ihm steht folglich sehr wohl eine durch gerichtlichen Rechtsschutz abgesicherte subjektive Rechtsposition zu (Leupold/Schrems in Knyrim, DatKomm Art 79 DSGVO Rn 15; Bergt in Kühling/Buchner, DSGVO/BDSG3 Art 79 Rn 5).
[20] 3.3. Die Revision stellt den Verstoß der Klausel gegen § 25 Abs 2 DSGVO mit dem Argument in Abrede, das BerG habe die Norm dahingehend missinterpretiert, die in Art 25 Abs 2 DSGVO implementierten Grundsätze der Datenminimierung sowie des Datenschutzes durch datenschutzfreundliche Voreinstellungen (Privacy by Default) würden den Verantwortlichen nicht dazu verhalten, so wenig Daten wie nur überhaupt denkbar zu verarbeiten, sondern lediglich dazu, bloß jene Daten zu verarbeiten, die für die jeweiligen von ihm definierten Verarbeitungszwecke erforderlich seien.
[21] Diese Argumentation verkennt, dass sich die Klausel zu den Voreinstellungen zur Datenverarbeitung im Mietfahrzeug nach ihrem klaren Wortlaut gar nicht auf bestimmte Verarbeitungszwecke bezieht, die die Datenverarbeitung erforderlich machen würden. Damit sieht die Vertragsbestimmung aber letztlich – jedenfalls bei kundenfeindlichster Auslegung – Voreinstellungen vor, die eine Datenverarbeitung ganz unabhängig von der Erforderlichkeit für bestimmte Verarbeitungszwecke zulassen. Schon deshalb ist die Rechtsansicht der Vorinstanzen, die Klausel verstoße gegen Art 25 Abs 2 DSGVO, nicht zu beanstanden.
4. Zur zweiten Klausel
[22] 4.1. Die Revision hält der Rechtsauffassung der Vorinstanzen, die Klausel verstoße gegen § 6 Abs 3 KSchG, entgegen, die Klausel behandle bloß die Frage der Rechtsgrundlage der Datenverarbeitung, regle folglich das Ausmaß der Datenverarbeitung gar nicht, weshalb ein Verstoß gegen Art 25 Abs 2 DSGVO und folglich eine Verschleierung der Rechtslage (und somit Intransparenz) nicht vorliegen können.
[23] 4.2. Diese Kritik geht am Kern der Argumentation der Vorinstanzen vorbei: Mit der Klausel wird dem Verbraucher nicht klar vor Augen geführt, durch welches konkrete Verhalten er seine Einwilligung zur Datenverarbeitung im Zuge der Nutzung des Infotainment-Systems gibt.
[24] 4.2.1. Zwar findet sich in unmittelbarem Anschluss an die in Rede stehende Klausel unter Pkt 1.3. des Anhangs ein Verweis darauf, dass die rechtlichen Grundlagen in der „obigen Tabelle“ ausführlicher dargelegt werden; im Text der angesprochenen Tabelle (Pkt 1.1. des Anhangs) wird wiederum auf „weitere Informationen hinsichtlich Ihrer Nutzung des Infotainment-Systems“ unter „Abschnitt 4“ (gemeint Pkt 4. des Anhangs) verwiesen, wo sich folgende Regelung findet: „Durch das Anschließen Ihres Mobilgeräts an das vernetzte Auto erklären Sie sich mit der Verarbeitung Ihrer persönlichen Daten (welche Sie zurückziehen können, indem Sie Ihr Gerät abkoppeln und Ihre Informationen aus dem Infotainment-System entfernen) einverstanden.“
[25] 4.2.2. Schon allein der Umstand, dass sich der Verbraucher die nötige Information zu den konkreten Einwilligungsmodalitäten selbst dadurch „zusammensuchen“ muss, dass er einen jeweils recht ungenauen doppelten Querverweis im Klauselwerk nachvollziehen muss, widerspricht dem Transparenzgebot nach § 6 Abs 3 KSchG (RS0122040 [T16]), weshalb auch insoweit die Beurteilung der Vorinstanzen nicht zu beanstanden ist.
[26] 4.3. Ob die in Rede stehenden Regelungen zur Einwilligung in die Datenverarbeitung und zum Widerruf der Einwilligung Art 7 Abs 3 und 4 DSGVO standhalten, muss hier daher nicht beurteilt werden.