5. März 2019
Das Kammergericht Berlin hat am 27.12.2018 (23 U 196/13) entschieden, dass mehrere Klauseln in Apples Datenschutzrichtlinie aus dem Jahr 2011 rechtswidrig waren. Dabei wendete das Kammergericht auch Vorschriften der Datenschutz-Grundverordnung (DS-GVO) an. Gegenstand des Verfahrens war eine Klage des Bundesverbands der Verbraucherzentralen und Verbrauchverbände (vzbv) gegen Apple Sales International (Apple). Die Klägerin wandte sich gegen die Verwendung von Bestimmungen in der Datenschutzrichtlinie, welche der Kunde bei einer Bestellung mittels voreingestelltem Ankreuzhäkchen bestätigen musste. In den betreffenden Bestimmungen beschrieb Apple, wie personenbezogene Daten der Kunden erhoben, genutzt und an Dritte weitergegeben werden.
Die Bestimmungen in der Datenschutzrichtlinie sind nach Auffassung des Kammergerichts allgemeine Geschäftsbedingungen und unterliegen somit der AGB-Kontrolle nach §§ 305 ff. BGB. Dies wird damit begründet, dass die Regelungen dem objektiven Wortlaut nach beim Kunden den Eindruck hervorrufen, dass sie Inhalt eines vertraglichen Rechtsverhältnisses werden sollten.
Dies ergebe sich bereits aus der Überschrift „Apple Datenschutzrichtlinie“, da diese den Eindruck erwecke, dass die Erklärungen nicht „bloße Tatsachenmitteilungen [seien], sondern Rechtsregeln enthalten“. Ferner spreche die Einleitung dafür, wonach die Richtlinie „regelt“, wie mit den Daten umgegangen wird. Daran ändern auch die Formulierungen nichts, welche nicht eindeutig verbindlich sind („Können“ statt „Dürfen“). Maßgeblich für die Wertung des Kammergerichts war ferner, dass der Kunde sich dem „Reglement, ob er will oder nicht, zu fügen habe“.
Auch Apples Argument, wonach die Datenschutzrichtlinie keine Regelungen treffen solle, sondern den Kunden lediglich über die Verarbeitung seiner personenbezogenen Daten durch Apple informiert, konnte das Gericht nicht überzeugen.
Von den beanstandeten Klauseln hielt lediglich eine Klausel, Gegenstand derer das Teilen von Inhalten oder die Schenkung von Gutscheinen an Dritte ist, der AGB-Kontrolle des Kammergerichts stand.
Die restlichen Klauseln seien wegen unangemessener Benachteiligung der Kunden unwirksam (§ 307 I 1, II Nr. 1 BGB Sie seien mit wesentlichen Grundgedanken der gesetzlichen Regelung, von der abgewichen wird, nicht zu vereinbaren. Die relevante gesetzliche Regelung sei hier Art. 6 Abs. 1 DS-GVO, der die Rechtsgrundlagen für eine Verarbeitung personenbezogener Daten vorgibt.
Insbesondere eine Rechtfertigung nach Art. 6 I lit. b) DS-GVO, wonach die Verarbeitung personenbezogener Daten rechtmäßig ist, soweit diese für die Vertragserfüllung erforderlich ist (Art. 6 I lit. b) DS-GVO), scheide vorliegend aus: Die nach den entsprechenden Klauseln erhobenen Daten würden nicht verarbeitet, um eine Verpflichtung dem Kunden gegenüber zu erfüllen. Die Verarbeitung diene lediglich internen Zwecken, der Produktverbesserung und Werbemaßnahmen.
Anders sei dies nur bei Klausel 4, bei der die Verarbeitung personenbezogener Daten des Dritten für die Vertragserfüllung erforderlich sei. Diese Wertung ist deshalb bemerkenswert, weil der Wortlaut von Art. 6 I lit. b) DS-GVO an sich verlangt, dass die betroffene Person Vertragspartner ist.
Auch eine Einwilligung (Art. 6 I lit. a) DS-GVO) hat das Gericht nicht angenommen: Interessant ist hier, dass nach Ansicht des KG eine aktuelle Vorlagefrage an den EuGH zur Wirksamkeit von Einwilligungen mittels voreingestellter Ankreuzkästchen (BGH, Beschluss vom 05.10.2017 – I ZR 7/16) in diesem Kontext nicht relevant ist.
Eine der wesentlichen datenschutzrechtlichen Verpflichtungen für Unternehmen ist es, die betroffenen Personen transparent über die Verarbeitung ihrer personenbezogenen Daten zu informieren. Dabei kann es in der Praxis durchaus aufwendig sein, die umfangreichen Informationen, welche Art. 13 und 14 DS-GVO verlangen, vollständig in einer Datenschutzerklärung zusammenzutragen.
Die Entscheidung des Kammergerichts verdeutlicht umso mehr, dass bei der Formulierung solcher Informationen besondere Vorsicht geboten ist. Es gilt zu vermeiden, dass die Datenschutzerklärung neben den datenschutzrechtlichen Anforderungen auch an den deutschen AGB-Vorschriften zu messen ist.
Insbesondere folgende Punkte sollten Unternehmen bei der Erstellung ihrer Datenschutzerklärung zukünftig beachten:
Vermeidung von Überschriften, die einen verbindlichen Eindruck erwecken
Vermeidung von Formulierungen wie „Durch Nutzung unserer Seite, unseres Dienstes etc. stimmen Sie diesen Bestimmungen zu“
Keine Kästchen, mit denen der Kunde die Bestimmungen aktiv bestätigen muss
von Dr. Benedikt Kohn, CIPP/E und Paul Brings