Europäischer Datenschutzausschuss: Zustimmung zur Datenschutzerklärung stellt Verstoß gegen Grundsatz von „Treu und Glauben“ dar

Wie der Oberste Gerichtshof in Österreich bereits entschied, ist die Einholung einer Einwilligung in die Geltung der Datenschutzerklärung aufgrund der dadurch möglichen (strengen) AGB-Kontrollen nicht empfehlenswert. Darüber hinaus sollten Online-Händler zur Vermeidung eines Verstoßes gegen den Grundsatz von "Treu und Glauben" in Zukunft von der Einholung einer Einwilligung in die bzw. „Kenntnisnahme“ der Datenschutzerklärung absehen. Was der Europäische Datenschutzausschuss (EDSA) in diesem Zusammenhang entschieden hat, beleuchten wir näher in diesem Beitrag.

AGB-rechtliche Dimension: Warum kann das Verlangen einer Zustimmung in die Datenschutzerklärung gefährlich sein?

Wird eine Einwilligung in die Datenschutzerklärung verlangt, kann dies dazu führen, dass die Datenschutzerklärung einer (strengen) AGB-rechtlichen Kontrolle unterliegt.

Dies wiederum kann zur Folge haben, dass bestimmte Informationen in der Datenschutzerklärung als unwirksame Klauseln beurteilt werden.

Zudem besteht das Risiko, dass derartige Klauseln in der Datenschutzerklärung als Wettbewerbsverstöße abgemahnt werden könnten. Hierzu hatte bereits das Kammergericht Berlin mit Urteil vom 27.12.2018, Az.: 23 U 196/13 entschieden: im damaligen Fall wurde in einem Online-Shop während des Bestellvorgangs die Zustimmung des Kunden zur “Datenschutzvereinbarung” des Anbieters verlangt. Das Kammergericht urteilte, dass ein Großteil der Datenschutzbestimmungen wegen Unvereinbarkeit mit den Grundgedanken der DSGVO als AGB-rechtliche Verstöße zu werten seien.

Der österreichische Oberste Gerichtshof (OGH) hat jüngst entschieden (Urteil vom 23.11.2022, Az.: 7 Ob 112/22d), dass Datenschutzhinweise auch dann der AGB-Kontrolle unterliegen, wenn der Betroffene dem Datenschutzhinweis zwar nicht „zustimmen“ muss, aber in einem Versicherungsantrag bestätigen muss, dass er ihn „zur Kenntnis genommen“ hat.

Nach Ansicht des OGH unterliegen Datenschutzerklärungen der Klauselkontrolle, wenn sie als Vertragsbestimmungen anzusehen seien. Wenn sie also den Charakter einer Vertragserklärung (Rechtsfolgewillen) aufwiesen und nicht als bloße Informationshinweise im Sinne der Art. 13 ff. DSGVO dienten.

Bei dem im Fall des OGH vorliegenden Datenschutzhinweisen handle es sich nicht lediglich um ein Informationsdokument ohne Rechtsfolgewille. Der Umstand, dass der Datenschutzhinweis in einem Formblatt sei und gerade nicht Teil der Allgemeinen Versicherungsbedingungen, spreche nicht gegen dessen Vertragserklärungscharakter, vielmehr komme es auf die Vertragsgestaltung an.

Zwar bedurfte es im Fall des OGH keiner Zustimmung, allerdings einer Kenntnisnahme der Datenschutzhinweise. Eine solche Kenntnisnahme könne eine Zustimmung zu dessen Inhalt implizieren, sodass die Wortwahl hier keinen Unterschied machen dürfe. Hiernach unterlagen die verwendeten Datenschutzhinweise nach Ansicht des OGH einer AGB-Kontrolle.

Europäische Datenschutzausschuss (EDSA): Einholung der Zustimmung auch als Verstoß gegen "Treue und Glauben"?

Die Einholung der Zustimmung in eine Datenschutzerklärung ist auch nach Ansicht des EDSA unzulässig und kann außerdem gegen die DSGVO selbst verstoßen, wenn es sich bei der Erklärung lediglich um eine Informationserteilung nach Art. 13 DSGVO handelt.

Die Frage, ob dies einen Verstoß gegen den Grundsatz der Verarbeitung nach Treu und Glaube nach Art. 5 Abs. 1 a) DSGVO darstellt, entschied der EDSA in seiner bindenden Entscheidung 5/2022 (Art. 65 DSGVO) vom 5.12.2022.

Dabei ging es um ein Verfahren der irischen Behörde gegen die WhatsApp Ireland Limited. Am 25. Mai 2018 hatte die gemeinnützige Organisation "European Center for Digital Rights" Beschwerde eingereicht. Beanstandet wurde die Rechtmäßigkeit der von WhatsApp IE vorgenommenen Verarbeitung personenbezogener Daten, insbesondere die Datenverarbeitung aufgrund der Zustimmung der Nutzungsbedingungen und die Transparenz der Informationen, die WhatsApp IE den betroffenen Personen über die Verarbeitung zur Verfügung stellte.

Der Grundsatz von Treu und Glaube

In Art. 5 Abs. 1 a) DSGVO heißt es:

"Personenbezogene Daten müssen auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“);"

Nach Ansicht des EDSA seien die Grundsätze der Fairness, Rechtmäßigkeit und Transparenz, drei zu unterscheidende, aber trotzdem untrennbar miteinander verbundene und voneinander abhängige Grundsätze. Sie müssten bei der Verarbeitung personenbezogener Daten stets beachtet werden.

Dem Grundsatz der Fairness komme dabei eine eigenständige Bedeutung zu. So könne es durchaus sein, dass trotz der Einhaltung des Grundsatzes der Transparenz, die Einhaltung des Grundsatzes der Fairness anders bewertet werden müsse.

Der allgemeine Grundsatz der Verarbeitung nach Treu und Glaube diene vor allem dazu, einen angemessenen Ausgleich zwischen den geschäftlichen Interessen der Verantwortlichen und den Rechten und Anforderungen der betroffenen Personen zu schaffen.

So umfasse er beispielsweise die Anerkennung der berechtigten Erwartungen der betroffenen Personen und die Berücksichtigung möglicher nachteiliger Folgen, die die Verarbeitung für sie haben kann. Auch die Berücksichtigung des Verhältnisses und der möglichen Auswirkungen eines Ungleichgewichts zwischen der betroffenen Person und dem für die Verarbeitung Verantwortlichen seien von ihm erfasst.

Mangelnde Transparenz und Fairness bei Wahl der Rechtsgrundlage = Verstoß gegen Treu und Glauben

Die Auslegung des Grundsatzes von Treu und Glauben durch die EDSB bedeutet auch, dass der für die Verarbeitung Verantwortliche bei der Wahl der geeigneten Rechtsgrundlage für die Datenverarbeitung und insbesondere bei der Unterrichtung der betroffenen Personen über diese Rechtsgrundlage fair und transparent vorgehen muss.

Bei der Beurteilung, ob dies geschehen ist, müssen die Auswirkungen der Wahl und der Darstellung der Rechtsgrundlage auf die betroffenen Personen berücksichtigt werden.

Im Fall der EDSA stellte dieser fest, dass der Verbraucher gezwungen war, den Nutzungsbedingungen und der Datenschutzrichtlinie zuzustimmen. Dies beeinträchtige jedoch die berechtigten Erwartungen der Nutzer. Diese wüssten nicht, ob sie durch Anklicken der Schaltfläche "Akzeptieren" ihre Einwilligung zur Verarbeitung ihrer personenbezogenen Daten geben.

Zudem sei die Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO nicht die einzige Rechtsgrundlage für die Datenverarbeitung. So konnten sich die Betroffenen bei entsprechender Gestaltung und Einholung der Einwilligung nicht sicher sein, ob diese eine Einwilligung in alle Datenverarbeitungsvorgänge darstellte.

Aus Sicht des EDSB hätte der Verantwortliche die Rechtsgrundlage für die Verarbeitung klarer darstellen und die Betroffenen über den Zusammenhang zwischen den verfolgten Zwecken, der anwendbaren Rechtsgrundlage und den entsprechenden Verarbeitungstätigkeiten informieren müssen.

Durch den Mangel an Klarheit und Transparenz habe der Verantwortliche gegen den Grundsatz von Treu und Glauben (Fairness) gemäß Art. 5 Abs. 1 a DSGVO verstoßen.

Die Verarbeitung könne nicht als ethisch und wahrheitsgemäß bewertet werden, da die Betroffenen angemessen und verständlich über die Art der verarbeiteten Daten, die Rechtsgrundlage und die Zwecke der Verarbeitung hätten informiert werden müssen. In diesem Fall war dies jedoch nicht der Fall.

Fazit

Bei der Datenerhebung müssen Informationen über die Datenverarbeitung gemäß Artikel 12 ff. DSGVO gegeben werden. Es besteht keine gesetzliche Verpflichtung, die Einwilligung des Betroffenen einzuholen. Es kommt hierbei nicht darauf an, dass die Informationen betreffend der datenschutzrechtlichen Verarbeitungsvorgänge auch tatsächlich gelesen werden.

Es reicht hierbei aus, dass im Zusammenhang mit der Datenerhebung auf die Datenschutzinformationen hingewiesen wird, dieser Hinweis muss klar und unmissverständlich erfolgen.

Die Einholung einer Einwilligung (und wohl auch die Bestätigung der Kenntnisnahme) in eine Datenschutzerklärung machen diese einer AGB-Kontrolle zugänglich. Nach Ansicht des Europäische Datenschutzausschuss (EDSA) verstößt die Einholung einer Einwilligung zudem gegen den Grundsatz von Treu und Glauben (Art. 5 Abs. 1 lit. a DSGVO).

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.