Warnung nach OGH-Entscheidung – keine „Kenntnisnahme der Datenschutzinformation“
Beitrag verfasst von Dr. Rainer Knyrim und Dr. Gerald Trieb, LL.M. – KTR-Newsletter Februar 2023
In seiner Entscheidung 7 Ob 112/22d vom 23.11.2022 sprach der OGH aus, dass die Bestätigung der Kenntnisnahme einer Datenschutzinformation durch einen Verbraucher einer Zustimmung (damit wohl auch Einwilligung iSd Art 6 Abs 1 lit a DSGVO) zur darin beschriebenen Datenverarbeitung gleichzustellen ist und der Inhalt der Datenschutzinformation schon aus diesem Grund Gegenstand der sogenannten „Klauselkontrolle“ durch u.a. den Verein für Konsumenteninformation (VKI) ist. Das bedeutet, dass u.a. der VKI „anlasslos“ (also ohne dass es einer bestimmten, von der Datenschutzinformation betroffenen Person bedarf) gegen die Datenschutzinformation vorgehen und auf Unterlassung ihrer Verwendung oder Teilen davon gegen den Verantwortlichen (nach vorheriger außergerichtlicher Abmahnung) bei Gericht klagen kann. Über die Klagebefugnis eines solchen Verbandes hat der EuGH schon positiv entschieden.
Die beklagte Partei, ein Versicherungsunternehmen, verlangte bei Vertragsabschluss seinen Kunden (als Verbraucher) die Bestätigung der Kenntnisnahme eines vom Versicherungsantrag unabhängigen Dokuments „Datenschutzhinweis“ ab; in diesem Sinne hatten die Kunden auf dem Versicherungsantrag zu bestätigen, dass sie den Datenschutzhinweis „zur Kenntnis genommen“ haben. Der Kläger (VKI) brachte Klage ein, weil er der Ansicht war, sechs Klauseln im Dokument „Datenschutzhinweis“ (gemeint: eine Datenschutzinformation nach den Art 13/14 DSGVO) würden gegen die DSGVO verstoßen.
Gegen die Klage wendete der Versicherer dem Grunde nach ein, dass ein Klagerecht dem Kläger nur dann zukomme, wenn die Datenschutzinformation als Vertragsformblatt zu werten sei, was jedoch gegenständlich nicht der Fall wäre. Dazu hält der OGH fest, dass nach § 28 Abs 1 KSchG derjenige von einem Verband auf Unterlassung geklagt werden kann, der im geschäftlichen Verkehr Allgemeine Geschäftsbedingungen den von ihm geschlossenen Verträgen zugrunde legt oder in hierbei verwendeten Formblättern für Verträge Bedingungen vorsieht, die gegen ein gesetzliches Verbot oder die guten Sitten verstoßen. Darunter fallen auch die Bestimmungen der DSGVO. Den weiteren Erläuterungen des OGH unter Bezugnahme auf gefestigte Rechtsprechung nach sind Formulierungen unbedenklich, also nicht Teil der Vertragsbestimmungen, wenn sie keine Willenserklärungen des Verbrauchers bzw. keinen Rechtsfolgewillen enthalten, sondern bloß deren Aufklärung dienen. Ob solche Informationsklauseln Vertragsinhalt und somit Gegenstand der Klauselkontrolle sind, ist durch ihre kundenfeindlichste Auslegung zu bestimmen.
Der OGH kommt zu dem Ergebnis, dass das Dokument „Datenschutzhinweis“ kein bloßes Informationsdokument ohne Rechtsfolgewille ist, sondern dass jedenfalls die Bestätigung der Kenntnisnahme die Zustimmung zu dessen Inhalt impliziert. Er fügte hinzu, dass der Umstand, dass der „Datenschutzhinweis“ nicht Teil der Allgemeinen Versicherungsbestimmungen, sondern ein eigenes Formblatt ist, nicht gegen dessen Vertragserklärungscharakter spricht. Nach Ansicht des OGH kommt es darauf an, ob inhaltlich Vereinbarungscharakter besteht oder nicht. Daher kann laut OGH auch der Datenschutzhinweis insgesamt einer Prüfung nach § 6 KSchG und § 879 ABGB unterliegen, dies selbst dann, wenn er den betroffenen Personen nur faktisch bereitgestellt wird, ohne dass diese seine Kenntnisnahme (oder Ähnliches) bestätigen müssten.
Die vom VKI bemängelten sechs Klauseln im „Datenschutzhinweis“ hat der OGH geprüft und sie aufgrund der Bestätigung der Kenntnisnahme des Dokuments, die einer Zustimmung gleiche, für unwirksam erklärt. Die Klauseln wären aber wohl auch aus datenschutzrechtlicher Sicht kaum zu halten gewesen.
Warnung:
Aufgrund dieser Entscheidung ist nicht nur darauf zu achten, bei Bereitstellung einer Datenschutzinformation an Verbraucher keine Bestätigung des Erhalts oder auch ihrer bloßen Kenntnisnahme einzufordern, sondern auch darauf, die Datenschutzinformation so zu formulieren, dass sie – soweit möglich – lediglich Informationen über die Datenverarbeitung enthält, ohne dabei Vertragserklärungscharakter zu bekommen oder einen Rechtsfolgewillen zu enthalten. Prüfen Sie aber in Verwendung befindliche Datenschutzinformationen dennoch nicht nur dahingehend, ob sie datenschutzrechtlichen Anforderungen Genüge tun, sondern auch, ob sie auf eine Information über die Datenverarbeitung beschränkt sind und auch dem Transparenzgebot des § 6 Abs 3 KSChG genügen.