Besondere Vorsicht bei Datenschutzklauseln in AGB
Wieder einmal ist es dem Verein für Konsumenteninformation (VKI) gelungen, die Allgemeinen Geschäftsbedingungen (AGB) eines Versicherungsunternehmens einem Stresstest zu unterziehen.
OGH 23.11.2022, 7 Ob 112/22d
Konkret schritt der VKI ein, da Versicherungsnehmer nicht nur das Alter ihrer Eltern und Geschwister angeben sollten, sondern auch, ob bei diesen Familienangehörigen Zuckerkrankheiten, Herz- oder Kreislauferkrankungen, Schlaganfälle, Krebs oder Gemüts- oder Erbkrankheiten aufgetreten sind (siehe auch Information des VKI zum gegenständlichen Fall aufrufbar auf seiner Website unter https://vki.at/).
Die geprüften Klauseln zum Datenschutz befanden sich dabei nicht in den Allgemeinen Versicherungsbedingungen selbst, sondern in einem als „Datenschutzhinweis“ bezeichneten Dokument, das vom Kunden nicht unterfertigt werden musste. Im Versicherungsantrag musste der Kunde jedoch bestätigen, den Datenschutzhinweis zur Kenntnis genommen zu haben.
Wann werden Datenschutzklauseln zum Inhalt von AGB?
Wie der Oberste Gerichtshof (OGH) richtig ausführte, unterliegen Datenschutzerklärungen nur dann der Klauselkontrolle für AGB, wenn sie als Vertragsbestimmungen anzusehen sind, das heißt Vertragserklärungscharakter (Rechtsfolgewille) haben und nicht der reinen Informationserteilung (wie gem Art 13 f DSGVO) dienen.
Der OGH hielt dazu fest, dass es sich bei dem Datenschutzhinweis der Versicherung um kein bloßes Informationsdokument ohne Rechtsfolgewillen handle. Der Umstand, dass der Datenschutzhinweis nicht Teil der Allgemeinen Versicherungsbedingungen, sondern ein eigenes Formblatt war, sprach nicht gegen deren Vertragserklärungscharakter; vielmehr kommt es in jedem Einzelfall auf die Vertragsgestaltung an.
Im konkreten Fall musste der Verbraucher dem Datenschutzhinweis zwar nicht „zustimmen“, allerdings musste er im Versicherungsantrag bestätigen, den Datenschutzhinweis „zur Kenntnis“ genommen zu haben. Dies macht aus Sicht des OGH aber keinen relevanten Unterschied. Die Zurkenntnisnahme implizierte konkret die Zustimmung zu dem jeweiligen Inhalt. Der Datenschutzhinweis war somit Teil der Vertragsbestimmungen.
Auszug aus einigen der aufgehobenen Klauseln
Der OGH ging in seiner Klauselkontrolle der AGB immer von der kundenfeindlichsten Auslegung aus. Die Klauseln und deren Rechtswidrigkeit gestalten sich dabei (im groben Überblick) wie folgt:
Die Verwendung einer Klausel nach der das Versicherungsunternehmen von der Berechtigung des Kunden zur Bekanntgabe der personenbezogenen Daten (zB Zustimmung der Eltern zur Bekanntgabe derer Namen) ausging und in der das Versicherungsunternehmen sich auf ihr berechtigtes Interesse zur Datenverarbeitung berief, war aus mehreren Gründen unzulässig. Die Aussage des Kunden (zur Bekanntgabe der Daten berechtigt zu sein) führt im Streitfall zu einer Erschwerung der Beweissituation für den Konsumenten (zumindest wäre das laut OGH denkbar). Weiters könnte die Berufung auf die berechtigten Interessen laut OGH im konkreten Fall als Einwilligung interpretiert werden; diese lässt aber offen, welche Daten in welchem Umfang berechtigterweise verwendet werden dürfen.
Eine Klausel des Datenschutzhinweises regelte die Weitergabe von Daten an Dienstleister in und außerhalb der Europäischen Union sowie an andere Unternehmen der „Versicherungsgruppe“. Dies war unzulässig, da die Umschreibung der empfangenden Gesellschaften als „Versicherungsgruppe“ nicht ausreichend präzise war und eine derartige Klausel, über die Weitergabe von Daten, nur dann zulässig wäre, wenn die betroffene Person weiß, welche Daten zu welchem Zweck an wen weitergegeben werden. Diese Information wurde nicht – zumindest nicht im notwendigen Umfang – erteilt.
Eine Bestimmung, nach der die Aufbewahrungspflicht und die Zwecke der Aufbewahrung geregelt wurden, wurde als unzulässig beurteilt, denn die Klausel informierte nicht nur über die Datenaufbewahrung an sich. Vielmehr willigte die betroffene Person in die Verarbeitung (durch die „zur Kenntnisnahme“) ein. Das ohne detailliert informiert zu werden, welche Daten für welche Zwecke und für welche Zeiträume aufgrund dieser Zustimmung verarbeitet und aufbewahrt werden. Die Klausel einhielt auch keine (für eine Einwilligung notwendige) Widerrufsbelehrung.
Was bedeutet das für Datenschutzklauseln in AGB?
Bei der Verwendung derartiger Klauseln in AGB ist besondere Vorsicht geboten. Sollten Datenschutzklauseln in ein derart umfassendes Vertragswerk aufgenommen werden, müssen sie sowohl den Erfordernissen des Datenschutzes als auch denen des Konsumentenschutzes und der AGB-Kontrolle etc entsprechen und auch einer (gerichtlichen oder behördlichen) Kontrolle standhalten.
Jeder Verantwortliche sollte dabei insbesondere vor Erstellung der Datenschutzdokumentation evaluieren, welchen Zweck das jeweilige Dokument erfüllen soll; ob es sich dabei etwa um eine reine Datenschutzinformation oder um eine Einwilligung zur Datenverarbeitung handelt. Je besser der Zweck des Dokuments determiniert wird, desto genauer lassen sich die gesetzlichen Erfordernisse umsetzen.
Es empfiehlt sich insbesondere bei komplexen Datenverarbeitungen, internationalen Datenübermittlungen etc, einen entsprechenden Experten zu Rate zu ziehen, um ein Gerichtsverfahren oder ein Verwaltungsverfahren zu vermeiden oder dieses zumindest (aus Sicht des Verantwortlichen) erfolgreich abschließen zu können.
Zum Beitrag
Arbeitshilfen
Produkt-Empfehlungen
Arbeitshilfen
