13.12.2022 | Datenschutz & IT | ID: 1128048

Datenschutz: Zur Verbandsklage iZm „Privacy by Default“

Stefan Steinkogler

RA Stefan Steinkogler, LL.M. (WU) LL.B. (WU) erläutert in diesem Beitrag die aktuelle OGH-Entscheidung zum Thema „Privacy by Default“ und Verbandsklagen.

OGH 14.09.2022, 6 Ob 106/22i

Sachverhalt

Der Verein für Konsumenteninformation (VKI) brachte eine Verbandsklage (§ 28 KSchG) gegen eine Autovermietungs-Gesellschaft wegen zwei Klauseln in den Allgemeinen Geschäftsbedingungen (AGB) ein. Die Klauseln enthielten Regelungen zum Datenschutz, insbesondere zu Voreinstellungen und Deaktivierungserfordernis bei vernetzten Autos. Vor Klagseinbringung gab die Beklagte zu weiteren 56 Klauseln eine Unterlassungserklärung ab.

Verfahren

Die beklagte Autovermietungs-Gesellschaft bestritt die Klagebefugnis des VKI, da §§ 28 f KSchG auf die gegenständlichen Klauseln nicht anwendbar seien und somit datenschutzrechtliche Verbandsklagen nach österreichischem Recht unzulässig sind.

Das Verfahren wurde zunächst unterbrochen, um eine Entscheidung des EuGH[1] abzuwarten. In der Entscheidung sprach der EuGH aus, dass das Unionsrecht einer Verbandsklage nicht entgegensteht, wenn Datenverarbeitungen gegen das Verbot der Vornahme unlauterer Geschäftspraktiken, gegen ein Verbraucherschutzgesetz oder gegen die Verwendung unwirksamer AGB verstößt. Damit wurde geklärt, dass hier das Unionsrecht in Gestalt der DSGVO der Klagebefugnis des klagenden Vereins (VKI) nicht entgegensteht.

Entscheidung

Zur ersten Klausel

„Solange Sie keine relevanten Funktionen (wie unten erläutert) deaktivieren, sind diese Geräte stets aktiv, selbst wenn andere Dienste oder Medien im Fahrzeug ausgeschaltet wurden.“

Die Beklagte brachte zu dieser Klausel vor, dass Art 25 Abs 2 DSGVO dem Betroffenen kein subjektives Recht auf Geltendmachung einer spezifischen Datensicherheitsmaßname, etwa einer Pseudonymisierung, im Rahmen einer Datenschutzbeschwerde gewährt. Der OGH führte zu dieser Klausel klar aus, dass Art 25 Abs 2 DSGVO zwar als objektive Vorschrift ausgestaltet ist, die sich an datenschutzrechtliche Verantwortliche richtet und spezifische Pflichten statuiert. Daraus lässt sich aber nicht ableiten, dass diese Norm ausschließlich öffentlichen Interessen dient und nicht dem Schutz einzelner Personen. Der individualschützende Charakter des Art 25 Abs 2 DSGVO hat zur Folge, dass auch bei Verstößen gegen die darin geregelten Verhaltenspflichten der Anwendungsbereich des Art 79 Abs 1 DSGVO für den Betroffenen eröffnet ist. Folglich steht dem Betroffenen sehr wohl eine durch gerichtlichen Rechtschutz abgesicherte subjektive Rechtsposition zu.

Die Klausel wurde als rechtswidrig qualifiziert, da die Vertragsbestimmung unabhängig von der Erforderlichkeit für bestimmte Verarbeitungszwecke eine Datenverarbeitung zulasse und daher gegen Art 25 Abs 2 DSGVO (datenschutzfreundliche Voreinstellungen) verstoße.

Zur zweiten Klausel

„Zusammenfassend ausgedrückt erfassen und verarbeiten wir die Informationen (einschließlich Ihrer persönlichen Daten) auf der Grundlage von: (1) Ihrer Zustimmung, welche Sie zurückziehen können, indem Sie Ihr Gerät ausschalten/abkoppeln und Ihre Informationen im Infotainment-System löschen.“

Diese Klausel wurde vom OGH als unzulässig erachtetet, weil diese dem Verbraucher nicht deutlich macht, durch welches konkrete Verhalten dieser seine Einwilligung zur Datenverarbeitung im Zuge der Nutzung des Infotainment-Systems gibt. Schon allein der Umstand, dass sich der Verbraucher, die nötigen Informationen zu den Einwilligungsmodalitäten selbst „zusammensuchen“ muss, widerspricht dem Transparenzgebot nach dem KSchG. Ob die Einwilligung in die Datenverarbeitung den Voraussetzungen der DSGVO standhaltet wurde daher nicht mehr beurteilt.

Zusammenfassung

Mit der Entscheidung wurde daher klargestellt, dass der Verantwortliche verpflichtet ist, die Erforderlichkeit personenbezogener Daten für bestimmte Verarbeitungszwecke streng zu überprüfen.

Leider wurde die zweite Klausel nicht dahingehend überprüft, ob diese den Vorschriften zur Erteilung von Einwilligungen und dem Widerruf (Art 7 Abs 3 und 4 DSGVO) entspricht. Hier kann aber davon ausgegangen werden, dass die Verantwortlichen bei der Ausgestaltung der Prozesse auf die Leichtigkeit des Widerrufs von Einwilligungen Rücksicht nehmen sollten.

Autor

Stefan Steinkogler ist Partner bei Steinkogler Karpf Rechtsanwälte OG (Wien).

Link auf die Kanzlei: 

https://www.skalegal.at/

________________

Fußnote:

[1] EuGH 28. 4. 2022 C-319/20, Meta Platforms Ireland.

Ähnliche Beiträge

  • Datenschutz: Privacy by Design oder Privacy by Default?

    Zum Beitrag
  • Wie geht es weiter mit der ePrivacy-Verordnung? – Teil 1

    Zum Beitrag
  • Schadenersatz bei Verstößen gegen die DSGVO – Was droht den Verantwortlichen?

    Zum Beitrag

Produkt-Empfehlungen

Seminar-Empfehlungen

Produkt-Empfehlungen

Seminar-Empfehlungen