Die Zustimmung zur Weitergabe von Daten ist über Allgemeine Geschäftsbedin-gungen künftig nur in engeren Grenzen möglich.
Wien. In der Praxis werden datenschutzrechtliche Erklärungen häufig in Allgemeine Geschäftsbedingungen (AGB) eingebettet. Oft stimmt man damit zu, Werbung zu erhalten. Je nach tatsächlicher Ausgestaltung ist dies auf Basis der aktuellen Gesetzeslage zulässig, wenngleich vermehrt kritisch hinterfragt. Die strengere Tendenz der Rechtsprechung und die anstehenden Änderungen durch die Datenschutz-Grundverordnung der EU stellen den etablierten Marktstandard jedoch auf die Probe.
Nach geltendem Recht muss eine Zustimmungserklärung
• auf einer umfassenden Information des Betroffenen beruhen,
• von ihm ohne Zwang erteilt werden und
• über die jederzeitige, grundlose Widerrufbarkeit aufklären.
„Ohne Zwang“ wird in der Praxis allerdings weit im Sinne von „freiwillig“ – also mit tatsächlicher Alternative – ausgelegt.
Die Art-29-Datenschutzgruppe, in der die Datenschutzbehörden der EU-Staaten vertreten sind, hat sich bereits 2011 mit dem Erfordernis der Freiwilligkeit auseinandergesetzt. Sie hielt fest, dass eine Zustimmung dann ohne Zwang erfolgt, „wenn die betroffene Person eine tatsächliche Wahlmöglichkeit hat und kein Risiko einer Täuschung, Einschüchterung, Nötigung oder beträchtlicher negativer Folgen besteht, wenn sie die Einwilligung nicht erteilt“. Die österreichische Datenschutzbehörde hat 2012 in einer Empfehlung in dieselbe Kerbe geschlagen: Die Freiwilligkeit sei streng zu beurteilen, eine Einbindung von Zustimmungserklärungen in AGB nicht zulässig. Vielmehr müsse ein Vertragsabschluss auch ohne Abgabe einer Einwilligung möglich sein.
Diese Empfehlung ist nicht (unmittelbar) verbindlich. Der bisherigen Marktübung hat sie daher keinen Abbruch getan. In der Praxis hat sie aber zumindest dazu geführt, dass Unternehmen bei Integration von Datenschutzerklärungen in AGB durch Fettdruck oder Hinweise im Zustimmungstext bei der Vereinbarung der AGB verstärkt auf den Datenschutz aufmerksam machen. Gerade im Online-Bereich werden AGB häufig mittels einer Checkbox einbezogen: Der Kunde muss ein Kästchen aktivieren, um zu bestätigen, dass er die AGB des Unternehmers akzeptiert.
Unfreiwillige Koppelung
Zuletzt befassten sich auch Zivilgerichte mit der Gültigkeit datenschutzrechtlicher Zustimmungserklärungen: Das HG Wien wertete in einem Verfahren rund um die Unzulässigkeit einer kostenpflichtigen Lottotippgemeinschaft die Koppelung des Vertragsabschlusses mit einer zwangsweisen datenschutzrechtlichen Einwilligung als Verstoß gegen das Freiwilligkeitsverbot (39 Cg 31/13x). Das OLG Wien bestätigte diese Position – wenn auch nur in einem Beisatz (4 R 13/15h). Der OGH wies die Revision des Beklagten jedoch generell als nicht erheblich zurück, ohne sich inhaltlich zum Erfordernis der Freiwilligkeit zu äußern (4 Ob 135/15d).
Es bleibt daher vertretbar, dass die aktuelle Marktpraxis der Einbettung einer datenschutzrechtlichen Zustimmung in AGB in Österreich nicht per se unzulässig ist. Wer die Datenverwendung transparent und umfassend beschreibt und die Klausel hervorhebt, kann sich weiter darauf berufen, dass die Einwilligung auch gemeinsam mit der Annahme der AGB wirksam ist. Dies gilt umso mehr, wenn im Begleittext der Checkbox für die Zustimmung zu den AGB explizit auf die dort enthaltene datenschutzrechtliche Bestimmung verwiesen wird.
Die am 25. Mai 2018 in Kraft tretende Datenschutz-Grundverordnung bringt freilich einen datenschutzrechtlichen Regimewechsel: Sie gibt für die Beurteilung der Freiwilligkeit, aber auch die Einbettung der Zustimmung in AGB, neue Rahmenbedingungen vor: So legt Art 7 Abs 2 DSGVO fest, dass bei Einholung durch eine schriftliche Erklärung, die noch andere Sachverhalte betrifft, das Ersuchen in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache erfolgen muss, sodass die Zustimmung von den anderen Sachverhalten klar zu unterscheiden ist. Dies deutet darauf, dass eine Einholung via Fettdruck in AGB weiterhin zulässig sein soll.
Art 7 Abs 4 DSGVO beurteilt aber die Freiwilligkeit restriktiv und stellt darauf ab, ob die Vertragserfüllung von der Einwilligung abhängig gemacht wird. Die enge Auslegung wird auch durch die Erwägungsgründe 42 und 43 gestützt: Danach muss davon ausgegangen werden, dass keine freiwillige Zustimmung erfolgt, wenn unterschiedliche Sachverhalte mit einer statt mit separaten Erklärungen abgedeckt werden oder die Vertragserfüllung von einer Zustimmung zur Datenverarbeitung abhängig gemacht wird, obwohl sie dafür gar nicht erforderlich ist.
Das letzte Wort hat der EuGH
In Zukunft wird die etablierte Praxis durch das Kopplungsverbot in Art 7 Abs 4 DSGVO auf die Probe gestellt. Aus Art 7 Abs 2 DSGVO ergibt sich aber, dass auch zukünftig eine Einholung von Zustimmungserklärungen in AGB möglich sein muss: Sonst hätte die Norm keinen Anwendungsbereich. Die Einbindung muss jedenfalls zulässig sein, wenn die Zustimmung Daten betrifft, die auch für die Vertragserfüllung benötigt werden. Die Verarbeitung anderer Daten ist nach dem neuen Regime wohl aber nur auf Basis einer separaten Erklärung möglich. Das letzte Wort hat der EuGH, der dabei die als Zweck der DSGVO definierte Gewährleistung des freien Verkehrs personenbezogener Daten zwischen den Mitgliedstaaten berücksichtigen muss.
("Die Presse", Print-Ausgabe, 20.06.2016)