Datenschutz ist kein Teil der AGB

Datenschutz ist kein Teil der AGB

1. Datenschutz als Teil der AGB
In vielen Allgemeinen Geschäftsbedingungen sind Datenschutzhinweise, Datenschutzklauseln oder eine Datenschutzerklärung enthalten. Es gibt in der Praxis im Wesentlichen drei Erscheinungsformen einer Kombination von Datenschutzerklärung und AGB:
• Die Datenschutzerklärung findet sich direkt in den AGB als eigener Vertragspunkt (Beispiel: „Mit Abschluss des Vertrags stimmen Sie zu, dass Ihre Daten verarbeitet werden.“).
• Es wird in den AGB auf die Datenschutzerklärung in einem getrennten Dokument verwiesen (Beispiel: „Die Datenschutzerklärung finden Sie hier.“)
• Die Datenschutzerklärung ist ein eigenes Dokument, das aber gemeinsam mit den AGB akzeptiert werden muss, typischerweise durch das Anklicken einer Checkbox oder Unterzeichnung des Dokuments (Beispiel: „Ich bestätige, die Datenschutzerklärung zur Kenntnis genommen zu haben.“)
Die Verknüpfung von AGB und Datenschutzerklärung kann aber rechtlich problematisch sein. Der Oberste Gerichtshof hat sich damit bereits mehrfach beschäftigt. Was wurde entschieden?

2. Datenschutzrechtliche Grundlagen
Zunächst muss man verstehen, worum es sich bei der Datenschutzerklärung aus rechtlicher Sicht handelt.
Bei der sogenannten Datenschutzerklärung (Privacy Policy, Privacy Notice, Datenschutzhinweise etc.) handelt es sich um eine reine Informationspflicht. Derjenige, der personenbezogene Daten verarbeitet („Verantwortlicher“), informiert denjenigen, dessen Daten verarbeitet werden („Betroffener“) darüber, wie die Daten verarbeitet werden.
Die relevante gesetzliche Grundlage ist Artikel 13 und 14 DSGVO. Art 13 und 14 DSGVO sind Informationspflichten, die einseitig durch den Verantwortlichen gegenüber dem Betroffenen erfüllt werden müssen.
Es gibt keine Verpflichtung, dass der Datenschutzerklärung zugestimmt werden muss und der Betroffene kann der Information auch nicht widersprechen. In die Datenschutzerklärung müssen die folgenden Themenbereiche aufgenommen werden:
• Namen und Kontaktdaten des Verantwortlichen
• Kontaktdaten des Datenschutzbeauftragten
• Zwecke, für die die personenbezogenen Daten verarbeitet werden
• Rechtsgrundlage für die Verarbeitung
• Berechtigte Interessen an der Verarbeitung
• Empfänger der personenbezogenen Daten
• Übermittlungen an ein Drittland sowie die Rechtsgrundlage dafür
• Speicherdauer
• Rechtsbelehrung
• Widerrufsmöglichkeit bei einer erteilten Einwilligung
• Bestehen eines Beschwerderechts
• Information, ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben ist und
• Information, ob eine automatisierte Entscheidungsfindung einschließlich Profiling vorliegt.
Datenschutzrechtlich ist also keine Zustimmung zur Datenschutzerklärung notwendig. Was sind nun die Gründe dafür, dass es in der Praxis üblich ist, eine ausdrückliche Bestätigung zur Datenschutzerklärung einzuholen?
Art 5 Abs 2 DSGVO sieht die sogenannte Rechenschaftspflicht vor, was bedeutet, dass man nachweisen können muss, dass man die Pflichten der DSGVO erfüllt hat.
Es macht vor diesem Hintergrund also Sinn, eine ausdrückliche Bestätigung einzuholen. Damit kann man im Streitfall nachweisen, dass die Information nach Art 13 und 14 DSGVO erteilt wurde. Wo ist nun das rechtliche Risiko?

3. Die Verbandsklage
Bestimmte Rechtsträger sind in Österreich berechtigt, gegen unzulässige Bestimmungen in AGB vorzugehen. Das II. Hauptstück des Konsumentenschutzgesetzes (KSchG) sieht hierfür gesetzliche Regelungen vor.
Wer im geschäftlichen Verkehr in Allgemeinen Geschäftsbedingungen (AGB) oder in Formblättern für Verträge Bedingungen vorsieht, die gegen ein gesetzliches Verbot oder gegen die guten Sitten verstoßen kann durch bestimmte Rechtsträger auf Unterlassung geklagt werden.
Diese Ansprüche werden in Österreich vor allem durch die Bundesarbeitskammer, dem Österreichischen Gewerkschaftsbund und dem Verein für Konsumenteninformation geltend gemacht und gerichtlich durchgesetzt.
Verwendet man gegenüber Konsumenten (B2C) AGB, muss man daher sicherstellen, dass diese auch den gesetzlichen Vorgaben entsprechen.
Welchen Einfluss hat nun die Datenschutzerklärung? Dabei handelt es sich doch offensichtlich nicht um AGB?

4. Definition der AGB
Nach der Rechtsprechung des Obersten Gerichtshofs (7 Ob 112/22d) sind unter Allgemeinen Geschäftsbedingungen alle für eine Vielzahl von Verträgen vorformulierte Vertragsbedingungen zu verstehen, die eine Vertragspartei (Verwender) der anderen Vertragspartei bei Abschluss eines Vertrags stellt. Es kommt nicht darauf an, ob diese AGB einen äußerlich gesonderten Bestandteil des Vertrags bilden oder in die Vertragsurkunde selbst aufgenommen werden. Die Definition von AGB ist daher sehr weitgehend.
Eine Formulierung ist unbedenklich, wenn sie keine Willenserklärung des Verbrauchers enthält, sondern bloß dessen Aufklärung dient. Wenn allerdings Informationsklauseln bei der kundenfeindlichsten Auslegung über eine bloße Aufklärung des Verbrauchers hinausgehen und den Vertragsinhalt gestalten, können diese Regelungen als AGB zu betrachten und damit Gegenstand der Verbandsklage sein.

5. Datenschutzerklärungen als Vertragsklauseln?
Datenschutzerklärungen unterliegen somit der sogenannten Klauselkontrolle, wenn sie als Vertragsbestimmungen anzusehen sind. Als Vertragsbestimmungen sind Klauseln einer Datenschutzerklärung dann anzusehen, wenn sie einen Vertragserklärungscharakter haben und aus diesen eine Rechtsfolge abgeleitet werden soll. In diesem Fall handelt es sich nicht um bloße Informationserteilung.
Und hier zeigt sich auch das Risiko, wenn man die Datenschutzerklärung in die AGB einbezieht oder auf diese verweist: Die Datenschutzerklärung könnte als Teil der AGB und damit als Teil der Vertragserklärung zu betrachten sein. Damit ist auch die Klagebefugnis nach dem KSchG eröffnet.
Ein Verweis in den AGB auf eine online abrufbare Datenschutzerklärung ist unzulässig, da für den Verbraucher nicht erkennbar ist, welche Fassung der Datenschutzerklärung für ihn anwendbar ist und ob die Fassung im Zeitpunkt des Vertragsschlusses oder auch die im Nachhinein veröffentlichte Fassung gilt. In diesem Szenario ist die Datenschutzerklärung ungültig, da der Verweis intransparent im Sinne des § 6 Abs 3 KSchG ist.

6. Auswirkungen und Empfehlung
Wird die Datenschutzerklärung in die AGB einbezogen, besteht ein hohes Risiko, dass die Datenschutzerklärung als Teil der AGB und nicht nur als Informationserteilung betrachtet wird und daher eine Abmahnung und Unterlassungsklage möglich ist.
Dies gilt auch dann, wenn der Verbraucher der Datenschutzerklärung zwar nicht „zustimmen“ muss, aber bestätigt, den Inhalt „zur Kenntnis“ genommen zu haben. Nach der Rechtsprechung impliziert die Zurkenntnisnahme auch eine Zustimmung, sodass es sich wieder um Vertragsbestimmungen handelt.
Wird in den AGB auf die Datenschutzerklärung verwiesen, so kann es sich ebenfalls um AGB handeln. Ist nicht ersichtlich, auf welche Fassung der Datenschutzerklärung verwiesen wird, liegt zudem Intransparenz im Sinne des KSchG vor.
Vor diesem Hintergrund empfiehlt sich folgende Vorgehensweise:
• Nehmen Sie die Datenschutzerklärung nicht in die AGB auf und verweisen Sie nicht auf diese.
• Die Datenschutzerklärung sollte ein separates Dokument sein, das von Verbrauchern nicht ausdrücklich akzeptiert werden muss.
• Die Formulierung der Datenschutzerklärung sollte so erfolgen, dass keine Verpflichtungen des Empfängers abgeleitet werden können.
• Implementieren Sie die Datenschutzerklärung standardmäßig in Ihren Geschäftsprozess, sodass Sie nachweisen können, dass die Information erteilt wurde.
• Versionieren Sie die Datenschutzerklärung und informieren Sie immer in Bezug auf eine konkrete Version der Datenschutzerklärung.
Sollten Sie in diesem Zusammenhang Unterstützung benötigen, steht Ihnen unsere Praxisgruppe data & technology gerne zur Verfügung.
Clemens Handl ist Partner und Leiter der Praxisgruppe data & technology.