7Ob112/22d – OGH Entscheidung
7Ob112/22d – OGH Entscheidung
Verknüpfungen & Referenzen
Kopf
Der Oberste Gerichtshof hat als Revisionsgericht durch die Senatspräsidentin Dr. Solé als Vorsitzende und die Hofrätinnen und die Hofräte Mag. Dr. Wurdinger, Mag. Malesich, Dr. Faber und Dr. Weber als weitere Richter in der Rechtssache der klagenden Partei Verein für Konsumenteninformation, 1060 Wien, Linke Wienzeile 18, vertreten durch Kosesnik Wehrle Langer Rechtsanwälte KG in Wien, gegen die beklagte Partei W* AG *, vertreten durch die Schönherr Rechtsanwälte GmbH in Wien, wegen Unterlassung (Streitwert 30.500 EUR) und Urteilsveröffentlichung (Streitwert 5.500 EUR), über die Revision der klagenden Partei gegen das Urteil des Oberlandesgerichts Wien als Berufungsgericht vom 17. Juni 2020, GZ 5 R 157/19y 16, womit das Urteil des Handelsgerichts Wien vom 1. Oktober 2019, GZ 11 Cg 12/19f 12, abgeändert wurde, beschlossen und zu Recht erkannt:
Spruch
I. Das Verfahren über die Revision der klagenden Partei wird fortgesetzt.
II. Der Revision wird Folge gegeben.
Das angefochtene Urteil wird dahingehend abgeändert, dass das Urteil des Erstgerichts wiederhergestellt wird.
Die beklagte Partei ist schuldig, der klagenden Partei binnen 14 Tagen die mit 3.051,12 EUR (darin enthalten 508,52 EUR an Umsatzsteuer) bestimmten Kosten des Berufungsverfahrens sowie die mit 5.058,80 EUR (darin enthalten 366,30 EUR an Umsatzsteuer und 2.861 EUR an Barauslagen) bestimmten Kosten des Revisionsverfahrens zu ersetzen.
Text
Entscheidungsgründe:
[1] Der klagende Verein ist ein nach § 29 KSchG klagebefugter Verein. Die beklagte Partei ist ein Versicherungsunternehmen.
[2] Die Beklagte verwendet gegenüber Verbrauchern ein als Datenschutzhinweis bezeichnetes Dokument. Im Versicherungsantrag muss der Kunde bestätigen, den Datenschutzhinweis zur Kenntnis genommen zu haben.
Der Datenschutzhinweis lautet auszugsweise: [Anmerkung: Die vom Kläger beanstandeten Klauseln sind kursiv geschrieben]
„ DATENSCHUTZHINWEIS
[…]
Im Folgenden finden Sie nähere Informationen darüber, wie wir Ihre Daten verarbeiten. Sollten Sie Anliegen oder Fragen zur Verarbeitung Ihrer Daten durch unser Unternehmen haben, ersuchen wir Sie, unseren Datenschutzbeauftragten unter datenschutz@s-versicherung.at zu kontaktieren.
Ihr Versicherungsverhältnis
[...]
Umfang der Datenverwendung
Wenn Sie bei uns den Abschluss einer Versicherung beantragen, so geben Sie uns personenbezogene Daten und gegebenenfalls auch Betriebs- und Geschäftsgeheimnisse sowohl von Ihnen wie auch von Ihren Angehörigen, Mitarbeitern oder von sonstigen Dritten bekannt. In all diesen Fällen gehen wir grundsätzlich von Ihrer Berechtigung zur Bekanntgabe dieser Daten aus. Wir verwenden Ihre Daten und die Daten solcher Dritter, die von Ihnen genannt werden, in unserem berechtigten Interesse als Verantwortliche Ihrer Datenverarbeitung und in jenem Ausmaß, als dies zur ordnungsgemäßen Begründung und Abwicklung unseres Versicherungsverhältnisses mit Ihnen notwendig ist. [Klausel 1]
[...]
Weitergabe der Daten an Dritte
Der Komplexität heutiger Datenverarbeitungsprozesse ist es geschuldet, dass wir uns mitunter Dienstleistern bedienen und diese mit der Verarbeitung ihrer Daten beauftragen. Manche dieser Dienstleister befinden sich außerhalb des Gebiets der Europäischen Union. In allen Fällen der Inanspruchnahme von Dienstleistern tragen wir jedoch stets dafür Sorge, dass das europäische Datenschutzniveau und die europäischen Datensicherheits-standards gewahrt bleiben. Auch kann es im Rahmen unserer Geschäftsfallbearbeitungen erforderlich sein, dass wir innerhalb unseres Versicherungsunternehmens oder innerhalb unserer Versicherungsgruppe Ihre Daten transferieren oder gemeinschaftlich verarbeiten. Auch in diesen Fällen bleiben die europäischen Datensicherheitsstandards stets gewahrt. [Klausel 2]
[...]
Automatisierte Datenverarbeitungsprozesse
Um Ihnen eine möglichst effiziente Geschäftsfallbearbeitung zu bieten, verwenden wir zum Teil automatisierte Prüfprogramme, die auf Basis Ihrer Angaben im Versicherungsantrag das Versicherungsrisiko bestimmen und beispielsweise die Höhe Ihrer Versicherungsprämien oder auch Ihre allfälligen Risikoausschlüsse festlegen. Auch lassen wir durch solche Programme in Teilbereichen unsere Leistungspflicht im Schadensfall automatisiert bestimmen. Die in diesen Programmen verwendeten Prüfparameter bemessen sich an versicherungsmathematischen Erfahrungssätzen und sichern insofern einen objektiven Beurteilungsmaßstab. [Klausel 3] Sie können die Vornahme solcher automatisierter Verfahren zu Ihrer Person und zu Ihren Geschäftsfällen ablehnen und stattdessen in allen Fällen die manuelle Bearbeitung Ihrer Angelegenheit durch unsere Unternehmensmitarbeiter verlangen.
[...]
Unsere Datenaufbewahrung
Grundsätzlich bewahren wir Ihre Daten für die Dauer unserer Versicherungsbeziehung mit Ihnen auf. Darüber hinaus sind wir vielfältigen Aufbewahrungspflichten unterworfen, gemäß denen wir Daten zu Ihrer Person, zu Drittpersonen (etwa Mitversicherten), zu Ihren Leistungsfällen und zu Ihrem Versicherungsverhältnis über die Beendigung des Versicherungsverhältnisses hinaus oder auch nach Abschluss eines Leistungsfalls aufzubewahren haben, wie dies etwa aufgrund der unternehmensrechtlichen Aufbewahrungsfristen der Fall ist. Wir bewahren Ihre Daten zudem so lange auf, wie die Geltendmachung von Rechtsansprüchen aus unserem Versicherungsverhältnis mit Ihnen möglich ist. [Klausel 4]
Die Erforderlichkeit der Verarbeitung Ihrer Daten
Die Bereitstellung Ihrer personenbezogenen Daten sowie gegebenenfalls von Dritten, die Sie namhaft machen, ist zur Prüfung Ihres Versicherungsrisikos, zur Begründung unseres Versicherungsverhältnisses und zur Erfüllung Ihrer Leistungsansprüche erforderlich. [Klausel 5] Sollten Sie uns diese Daten nicht oder nicht im benötigten Umfang bereitstellen, so können wir das von Ihnen gewünschte Versicherungsverhältnis unter Umständen nicht begründen oder Ihren Leistungsfall nicht erfüllen. Bitte beachten Sie, dass dies nicht als vertragliche Nichterfüllung unsererseits gelten würde. [Klausel 6] [...]“
[3] Der Kläger begehrt gestützt auf seine Aktivlegitimation nach den §§ 28, 29 KSchG, die Beklagte schuldig zu erkennen, es im geschäftlichen Verkehr mit Verbrauchern zu unterlassen, in Allgemeinen Geschäftsbedingungen, die diese von ihr geschlossenen Verträgen zugrundelegt und/oder in hierbei verwendeten Vertragsformblättern (hier konkret als „Datenschutzhinweis“ betitelt), sechs näher bezeichnete und sinngleiche Klauseln zu verwenden oder sich darauf zu berufen, weil diese nach Ansicht des Klägers gegen die im Einzelnen angeführten Bestimmungen der DSGVO verstoßen.
[4] Die Beklagte beantragte die Abweisung des Klagebegehrens und erwiderte, dem Kläger fehle schon die Aktivlegitimation. Eine Verbandsklagebefugnis für Datenschutzverletzungen nach der DSGVO habe der Gesetzgeber nicht geschaffen. Dem Kläger käme daher nur dann ein Klagerecht zu, wenn die Datenschutzinformation als Vertragsformblatt zu werten sei, was hier nicht zutreffe. Die Klauseln seien im Übrigen ausreichend klar formuliert und stünden mit dem Gesetz und den guten Sitten in Einklang.
[5] Das Erstgericht gab dem Klagebegehren statt.
[6] Das Berufungsgericht änderte diese Entscheidung im Sinn der Abweisung der Klagebegehren mit der wesentlichen Begründung ab, dass dem Datenschutzhinweis im vorliegenden Fall kein Vertragserklärungscharakter (kein Rechtsfolgewille) zukomme. Es sprach aus, dass die ordentliche Revision zulässig sei, weil es sich um einen vom Obersten Gerichtshof bisher noch nicht beurteilten Datenschutzhinweis einer Geschäftsbranche handle, welcher regelmäßig für eine größere Anzahl von Verbrauchern bestimmt und von Bedeutung sei; überdies sei die Rechtslage nicht so eindeutig, dass nur eine Möglichkeit der Beurteilung in Betracht käme.
[7] Gegen diese Entscheidung richtet sich die Revision des Klägers mit dem Antrag auf Abänderung im Sinn der Wiederherstellung des dem Klagebegehren stattgebenden Ersturteils.
[8] Die Beklagte erstattete eine Revisionsbeantwortung und beantragte, die Revision zurückzuweisen, hilfsweise dieser nicht Folge zu geben.
Zu I.:
[9] 1. Der Senat hat aus Anlass der Revision mit Beschluss vom 27. Jänner 2021, AZ 7 Ob 175/20s, das Revisionsverfahren bis zur Entscheidung des Gerichtshofs der Europäischen Union über das Vorabentscheidungsersuchen vom 25. November 2020 des Obersten Gerichtshofs (AZ 6 Ob 77/20x), Rechtssache C 701/20, Avis Autovermietung Gesellschaft mbH/Verein für Konsumenteninformation , unterbrochen.
[10] 2. Der Oberste Gerichtshof hat mit Beschluss vom 18. Mai 2022, AZ 6 Ob 77/20x, das zu C 701/20 anhängige Vorabentscheidungsersuchen zurückgezogen, weil der Gerichtshof der Europäischen Union die strittige Rechtsfrage in der Rechtssache C 319/20 , Meta Platforms Ireland Ltd./Verbraucherzentrale Bundesverband e.V. , mit Urteil vom 28. April 2022 geklärt hat.
[11] 3. Das Revisionsverfahren ist daher fortzusetzen.
Zu II.:
Rechtliche Beurteilung
[12] Die Revision ist aus den vom Berufungsgericht genannten Gründen zulässig; sie ist auch berechtigt.
1. Aktivlegitimation
[13] Der Oberste Gerichtshof richtete (wie schon inhaltlich gleichlautend vorher der deutsche Bundesgerichtshof) zu AZ 6 Ob 77/20x folgendes Vorabentscheidungsersuchen an den EuGH:
„ Stehen die Regelungen in Kapitel VIII, insbesondere in Art. 80 Abs. 1 und 2 sowie Art. 84 Abs. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, ABl. L 119/1 vom 4. Mai 2016, S. 1; im Folgenden 'DSGVO') nationalen Regelungen entgegen, die – neben den Eingriffsbefugnissen der zur Überwachung und Durchsetzung der Verordnung zuständigen Aufsichtsbehörden und den Rechtsschutzmöglichkeiten der betroffenen Personen – einerseits Mitbewerbern und andererseits nach dem nationalen Recht berechtigten Verbänden, Einrichtungen und Kammern die Befugnis einräumen, wegen Verstößen gegen die DSGVO unabhängig von der Verletzung konkreter Rechte einzelner betroffener Personen und ohne Auftrag einer betroffenen Person gegen den Verletzer im Wege einer Klage vor den Zivilgerichten unter den Gesichtspunkten des Verbots der Vornahme unlauterer Geschäftspraktiken oder des Verstoßes gegen ein Verbraucherschutzgesetz oder des Verbots der Verwendung unwirksamer Allgemeiner Geschäftsbedingungen vorzugehen? “
1.2. In dem vom deutschen Bundesgerichtshof angestrengten Vorabentscheidungsersuchen entschied der Gerichtshof der Europäischen Union mit Urteil vom 28. April 2022 ( C 319/20 ) und sprach aus:
„ Art. 80 Abs. 2 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist dahin auszulegen, dass er einer nationalen Regelung, nach der ein Verband zur Wahrung von Verbraucherinteressen gegen den mutmaßlichen Verletzer des Schutzes personenbezogener Daten ohne entsprechenden Auftrag und unabhängig von der Verletzung konkreter Rechte betroffener Personen Klage mit der Begründung erheben kann, dass gegen das Verbot der Vornahme unlauterer Geschäftspraktiken, ein Verbraucherschutzgesetz oder das Verbot der Verwendung unwirksamer Allgemeiner Geschäftsbedingungen verstoßen worden sei, nicht entgegensteht, sofern die betreffende Datenverarbeitung die Rechte identifizierter oder identifizierbarer natürlicher Personen aus dieser Verordnung beeinträchtigen kann. “
[14] 1.3. Damit ist geklärt, dass das Unionsrecht in Gestalt der DSGVO der Klagebefugnis des klagenden Vereins nicht entgegensteht (6 Ob 106/22i).
2. Allgemeines
[15] 2.1. Gemäß § 28 Abs 1 KSchG kann auf Unterlassung geklagt werden, wer im geschäftlichen Verkehr in Allgemeinen Geschäftsbedingungen (AGB), die er von ihm geschlossenen Verträgen zugrunde legt, oder in hiebei verwendeten Formblättern für Verträge Bedingungen vorsieht, die gegen ein gesetzliches Verbot oder gegen die guten Sitten verstoßen, oder wer solche Bedingungen für den geschäftlichen Verkehr empfiehlt. Der Unterlassungsanspruch ist nicht allein auf die Kontrolle und Durchsetzung der Verbote des § 6 KSchG und des § 879 ABGB beschränkt, sondern umfasst auch die Verletzung weiterer zivilrechtlicher wie auch öffentlich rechtlicher Vorschriften (RS0110990 [T4]). Darunter fällt auch der Verstoß gegen Bestimmungen des jeweils anwendbaren Datenschutzrechts (RS0110990 [T6]).
[16] 2.2. Nach der Rechtsprechung sind unter Allgemeinen Geschäftsbedingungen alle für eine Vielzahl von Verträgen vorformulierten Vertragsbedingungen zu verstehen, die eine Vertragspartei (Verwender) der anderen Vertragspartei bei Abschluss eines Vertrags stellt und die seinen Inhalt determinieren (8 Ob 125/21x Rz 20 mwN). Gleichgültig ist, ob die Bestimmungen einen äußerlich gesonderten Bestandteil des Vertrags bilden oder in die Vertragsurkunde selbst aufgenommen werden, welchen Umfang sie haben, in welcher Schriftart sie verfasst sind und welche Form der Vertrag hat (RS0123499 [T7]). Eine Formulierung ist grundsätzlich unbedenklich, wenn sie keine Willenserklärung des Verbrauchers enthält, sondern bloß dessen Aufklärung dient (RS0131601 [insb T3]). Wenn allerdings solche Informationsklauseln – bei der gebotenen kundenfeindlichsten Auslegung (vgl RS0016590 ) – über eine bloße Aufklärung des Verbrauchers hinausgehen und den Vertragsinhalt gestalten, können diese Regelungen Gegenstand der Verbandsklage nach § 28 Abs 1 KSchG sein (vgl 6 Ob 106/22i mwN; vgl auch RS0131601 [T4]).
[17] Tatsachenbestätigungen, also widerlegbare Erklärungen des Verbrauchers über das Bestehen oder Nichtbestehen einer Tatsache (vgl RS0121955), unterliegen der Klauselkontrolle, wenn sie zu einer unzulässigen Verschiebung der Beweislast oder zumindest im Ergebnis zu dieser Wirkung – also zu einer denkbaren Erschwerung der Beweissituation für den Konsumenten – führen (vgl 1 Ob 57/20v; vgl RS0121955 [T6]) oder wenn es sich um völlig unklare Tatsachenbestätigungen zu Lasten des Verbrauchers handelt, die ihn von der Durchsetzung seiner Rechte abhalten können (vgl 1 Ob 113/17z).
[18] 2.3. Die Geltungskontrolle nach § 864a ABGB geht der Inhaltskontrolle gemäß § 879 ABGB vor (RS0037089). Objektiv ungewöhnlich nach § 864a ABGB ist eine Klausel, die von den Erwartungen des Vertragspartners deutlich abweicht, mit der er also nach den Umständen vernünftigerweise nicht zu rechnen braucht. Der Klausel muss ein „Überrumpelungseffekt“ innewohnen (RS0014646). Entscheidend ist, ob die Klausel beim entsprechenden Geschäftstyp üblich ist und ob sie den redlichen Verkehrsgewohnheiten entspricht (RS0105643 [T3]).
[19] 2.4. Nach § 879 Abs 3 ABGB ist eine in Allgemeinen Geschäftsbedingungen oder Vertragsformblättern enthaltene Vertragsbestimmung, die nicht eine der beiderseitigen Hauptleistungen festlegt, nichtig, wenn sie unter Berücksichtigung aller Umstände des Falls einen Teil gröblich benachteiligt. Diese Beurteilung orientiert sich am dispositiven Recht, das als Leitbild eines ausgewogenen und gerechten Interessenausgleichs für den Durchschnittsfall dient (RS0014676). Bei der Abweichung einer Klausel von dispositiven Rechtsvorschriften liegt gröbliche Benachteiligung eines Vertragspartners schon dann vor, wenn sie unangemessen ist (RS0016914; vgl auch RS0014676). Maßgeblich ist, ob es für die Abweichung eine sachliche Rechtfertigung gibt (vgl RS0016914 [T2, T3]; RS0014676 [T21]).
[20] 2.5. Nach § 6 Abs 3 KSchG ist eine in Allgemeinen Geschäftsbedingungen oder Vertragsformblättern enthaltene Vertragsbestimmung unwirksam, wenn sie unklar oder unverständlich abgefasst ist. Das Transparenzgebot soll es dem Kunden ermöglichen, sich aus den Allgemeinen Geschäftsbedingungen oder Vertragsbestandteilen zuverlässig über seine Rechte und Pflichten bei der Vertragsabwicklung zu informieren (RS0115217 [T41]). Es soll eine durchschaubare, möglichst klare und verständliche Formulierung Allgemeiner Geschäftsbedingungen sicherstellen, um zu verhindern, dass der für die jeweilige Vertragsart typische Verbraucher von der Durchsetzung seiner Rechte abgehalten wird oder ihm unberechtigt Pflichten abverlangt werden. Das setzt die Verwendung von Begriffen voraus, deren Bedeutung dem typischen Verbraucher geläufig ist oder von ihm jedenfalls festgestellt werden kann . Das können naturgemäß auch Fachbegriffe sein, nicht aber Begriffe, die so unbestimmt sind, dass sich ihr Inhalt jeder eindeutigen Festlegung entzieht. Der durch ihre Verwendung geschaffene weite Beurteilungsspielraum schließt es aus, dass der Verbraucher Klarheit über seine Rechte und Pflichten gewinnen kann (RS0115217 [T3]). Das Transparenzgebot begnügt sich nicht mit formeller Textverständlichkeit, sondern verlangt, dass Inhalt und Tragweite vorgefasster Vertragsklauseln für den Verbraucher „durchschaubar“ sind (RS0122169). Mit dem Verbandsprozess soll nicht nur das Verbot von gesetzwidrigen Klauseln erreicht, sondern es sollen auch jene Klauseln beseitigt werden, die dem Verbraucher ein unzutreffendes oder auch nur unklares Bild seiner vertraglichen Position oder ein unrichtiges Bild der Rechtslage vermitteln (vgl RS0115219 [T14, T21]; RS0121951 [T4]).
[21] 2.6. Im Verbandsprozess nach § 28 KSchG hat die Auslegung der Klauseln im „kundenfeindlichsten“ Sinn zu erfolgen (RS0016590). Auf eine etwaige teilweise Zulässigkeit der beanstandeten Klausel kann nicht Rücksicht genommen werden, weil eine geltungserhaltende Reduktion im Verbandsprozess nicht möglich ist (RS0038205).
3. Zur Datenschutzerklärung
[22] 3.1.1. Nach Leupold/Schrems (in Knyrim , DatKomm Art 80 DSGVO Rz 49) unterliegen Datenschutzerklärungen nur dann der Klauselkontrolle, wenn sie als Vertragsbestimmungen anzusehen sind, das heißt Vertragserklärungscharakter (Rechtsfolgewille) haben, und nicht als bloße Hinweise rein der Informationserteilung im Sinn der Art 13 f DSGVO dienen (vgl auch Wendehorst/von Westphalen , Das Verhältnis zwischen Datenschutz-Grundverordnung und AGB-Recht, NJW 2016, 3745 [3748]; Werkmeister in Gola , DS-GVO² Rz 12 f [insb FN 6]).
[23] 3.1.2. Beim Datenschutzhinweis der Beklagten handelt es sich entgegen der Ansicht des Berufungsgerichts um kein bloßes Informationsdokument ohne Rechtsfolgewillen: Der Umstand, dass der Datenschutzhinweis nicht Teil der Allgemeinen Versicherungsbedingungen, sondern ein eigenes Formblatt ist, spricht entgegen der Ansicht der Beklagten nicht gegen dessen Vertragserklärungscharakter, vielmehr kommt es auf die Vertragsgestaltung an. Hier muss der Verbraucher dem Datenschutzhinweis zwar nicht „zustimmen“, allerdings muss er im Versicherungsantrag bestätigen, den Datenschutzhinweis „zur Kenntnis“ genommen zu haben. Dies macht aber keinen relevanten Unterschied, weil die Zurkenntnisnahme auch die Zustimmung zu dessen Inhalt implizieren kann (vgl 4 Ob 221/06p [P 2.28]).
[24] 3.1.3. Der Datenschutzhinweis unterliegt daher insgesamt der Klauselkontrolle.
Zu den einzelnen Klauseln:
3.2. Klausel 1
In all diesen Fällen gehen wir grundsätzlich von Ihrer Berechtigung zur Bekanntgabe dieser Daten aus. Wir verwenden Ihre Daten und die Daten solcher Dritter, die von Ihnen genannt werden, in unserem berechtigten Interesse als Verantwortliche Ihrer Datenverarbeitung und in jenem Ausmaß, als dies zur ordnungsgemäßen Begründung und Abwicklung unseres Versicherungsverhältnisses mit Ihnen notwendig ist.
[25] 3.2.1. Das Erstgericht erachtete die Klausel als intransparent, weil sie völlig unbestimmt sei und dem Konsumenten überhaupt keine Information gebe, in welchem Umfang die Beklagte Daten zu verwenden berechtigt sein solle.
[26] Das Berufungsgericht sah darin keine Tatsachenbestätigung des Verbrauchers, sondern eine Wissenserklärung der Beklagten, die ohne Zustimmung des Verbrauchers eine Beweislastverschiebung zu dessen Lasten schon grundsätzlich nicht bewirken könne.
[27] Die Revision argumentiert, durch den ersten Satz werde suggeriert, dass eine Einwilligung für jegliche Form der Datenverarbeitung notwendig sei. Dies führe zu einer unzulässigen Beweislastverschiebung, weil die Beklagte die Bestimmungen der DSGVO nicht nur einhalten müsse, sondern auch die Beweislast für deren Einhaltung treffe. Außerdem werde die notwendige Transparenz nicht eingehalten, weil für den Betroffenen die Rechtsgrundlage der Verarbeitung nicht ersichtlich sei. Weiters differenziere die Klausel nicht zwischen „normalen“ personenbezogenen Daten und besonderer Kategorien personenbezogener Daten. Die in der Klausel angedeuteten Rechtmäßigkeitsgründe würden auch nicht die Anforderungen des Art 9 Abs 2 DSGVO erfüllen. Die Klausel sei auch intransparent iSd § 6 Abs 3 KSchG, weil sie eine Berechtigung für die Beklagte enthalte, die Daten des Konsumenten sowie die Daten Dritter in einem völlig unbestimmten Ausmaß zu verwenden.
[28] Die Revisionsbeantwortung bringt vor, eine Beweislastverschiebung sei aufgrund des datenschutzrechtlichen Accountability-Prinzips nicht möglich, weil die Beklagte ohnehin stets die Berechtigung ihrer Datenverarbeitung nachweisen müsse.
[29] 3.2.2. Bei der gebotenen kundenfeindlichsten Auslegung ist der erste Satz der Klausel so zu verstehen, dass der Versicherungsnehmer erklärt, zur Bekanntgabe seiner Daten sowie der Daten von Dritten an die Beklagte berechtigt zu sein. Damit ist aber im Streitfall eine Erschwerung der Beweissituation für einen Konsumenten zumindest denkbar (vgl RS0121955 [T6]). Wenn die Beklagte behauptet, sie könne sich in einem möglichen Streitverfahren gegen den Verbraucher nicht darauf berufen, dass er seine Berechtigung bestätigt hätte, so fragt sich, welchen Zweck die Beklagte dann mit einer derartigen Klausel verfolgt und warum sie an dieser Klausel festhält.
[30] Mit dem zweiten Satz der Klausel stimmt der Verbraucher bei kundenfeindlichster Interpretation der Verwendung der Daten in der dort beschriebenen Form zu. Dabei willigt er in die Verwendung seiner Daten und auch jener von Dritten in „jenem Ausmaß, als dies zur ordnungsgemäßen Begründung und Abwicklung unseres Versicherungsverhältnisses mit Ihnen notwendig ist“ ein, was offen lässt, welche Daten die Beklagte in welchem Umfang zu verwenden berechtigt wird (vgl RS0115216; 6 Ob 140/18h P 4.1.2.]), sodass die Klausel schon aus diesem Grund intransparent im Sinn von § 6 Abs 3 KSchG ist. Selbst wenn die Beklagte zur Datenverarbeitung auch ohne Zustimmung der Kunden berechtigt ist (vgl Art 6 Abs 1 lit b und lit f DSGVO), ist kein rechtlich geschütztes Interesse der Beklagten erkennbar, durch eine unklare Vertragsklausel einen weiteren Rechtfertigungsgrund (Einwilligung gemäß Art 6 Abs 1 lit a DSGVO) zu schaffen (vgl 2 Ob 155/16g [P 4.9]; zur Frage der Zulässigkeit des Heranziehens mehrerer Rechtfertigungsgründe siehe Kastelitz/Hötzendorfer/Tschohl in Knyrim , DatKomm Art 6 DSGVO Rz 15 ; Jahnel , Kommentar zur DSGVO Art 6 Rz 7 ff ; Schulz in Gola , DS GVO 2 Art 6 Rz 18; Frenzel in Paal/Pauly , DS GVO/BDSG 2 Art 6 Rz 3, 8). Die Klausel ist daher unzulässig.
3.3. Klausel 2
Manche dieser Dienstleister befinden sich außerhalb des Gebiets der Europäischen Union. In allen Fällen der Inanspruchnahme von Dienstleistern tragen wir jedoch stets dafür Sorge, dass das europäische Datenschutzniveau und die europäischen Datensicherheitsstandards gewahrt bleiben. Auch kann es im Rahmen unserer Geschäftsfallbearbeitungen erforderlich sein, dass wir innerhalb unseres Versicherungsunternehmens oder innerhalb unserer Versicherungsgruppe Ihre Daten transferieren oder gemeinschaftlich verarbeiten. Auch in diesen Fällen bleiben die europäischen Datensicherheitsstandards stets gewahrt.
[31] 3.3.1. Das Erstgericht beurteilte die Klausel als intransparent, weil der Konsument nicht aufgeklärt werde, in welchen Fällen seine Daten in welche Drittländer übermittelt werden und welche Datenschutzbestimmungen dort anzuwenden seien.
[32] Das Berufungsgericht führte aus, dass der Kläger einen möglichen vertragsregelnden Charakter der Klausel nicht aufzeige, sondern nur das Fehlen der von Art 13 Abs 1 f DSGVO verlangten Informationen und deren Intransparenz beanstande.
[33] Die Revision argumentiert, die Klausel verstoße gegen das Transparenzgebot, weil sie den Betroffenen im Unklaren lasse, ob es für die betreffenden Drittländer einen Angemessenheitsbeschluss der Europäischen Kommission und/oder geeignete Garantien gebe. Es liege auch eine gröbliche Benachteiligung iSd § 879 Abs 3 ABGB vor, weil Daten an Drittländer ohne jegliche gesetzlich vorgeschriebene Gewährung des Schutzniveaus weitergegeben werden könnten. Darüber hinaus sei die Klausel intransparent iSd § 6 Abs 3 KSchG, weil der Konsument nicht darüber aufgeklärt werde, in welchen Fällen seine Daten an Drittländer übermittelt werden, um welche Drittländer es sich dabei handle und welche Datenschutzbestimmungen dort anzuwenden seien.
[34] Die Revisionsbeantwortung argumentiert, der Kläger verwechsle die Informationspflichten des Art 13 DSGVO mit der Auskunftspflicht gemäß Art 15 DSGVO. Während Art 13 DSGVO eine allgemeine Information über die grundsätzlichen Datenverarbeitungen eines Verantwortlichen verlange, sei unter Art 15 DSGVO auf Anfrage einer Person Auskunft über die konkrete Verarbeitung ihrer Daten zu erteilen. Eine vorab erteilte Auskunft über die konkrete Datenweitergabe sei undurchführbar, weil im Vorhinein nicht bekannt sei, welche konkrete Datenweitergabe erforderlich sein werde.
[35] 3.3.2. Die in Rede stehende Klausel ist bei der gebotenen kundenfeindlichsten Auslegung dahin zu verstehen, dass der Verbraucher nicht bloß über die darin genannte Datenübermittlung informiert wird, sondern dass er ihr – durch Akzeptieren der AGB – auch zustimmt (vgl 2 Ob 155/16g [P 4.6]). Nach der Rechtsprechung ist die Umschreibung der empfangenden Gesellschaften als „Konzerngesellschaften“ nicht ausreichend präzise ( 4 Ob 63/21z [Rz 129]; vgl auch RS0115217 ). Gleiches gilt, wenn – wie hier – die empfangenden Gesellschaften als „Versicherungsgruppe“ umschrieben werden. Überhaupt ist eine Klausel, die eine Datenweitergabe vorsieht, nur zulässig, wenn der Betroffene weiß, wer welche Daten zu welchem Zweck erhält ( RS0115216; 6 Ob 140/18h [P 4.1.2.]), was hier völlig offen bleibt. Da alle drei Sätze der Klausel in einem inneren Zusammenhang stehen, ist sie insgesamt unzulässig.
3.4. Klausel 3
Auch lassen wir durch solche Programme in Teilbereichen unsere Leistungspflicht im Schadensfall automatisiert bestimmen. Die in diesen Programmen verwendeten Prüfparameter bemessen sich an versicherungsmathematischen Erfahrungssätzen und sichern insofern einen objektiven Beurteilungsmaßstab.
[36] 3.4.1. Das Erstgericht beurteilte diese Klausel als intransparent, weil die Teilbereiche, in denen die Beklagte automationsunterstützt arbeiten werde, völlig unbeschrieben bleiben und der Verweis auf versicherungsmathematische Erfahrungssätze nicht klarlege, welche Auswirkungen dies bei der Ermittlung der Leistungspflicht der Beklagten habe.
[37] Das Berufungsgericht führte auch zu dieser Klausel aus, dass der Kläger einen möglichen vertragsregelnden Charakter der Klausel nicht aufzeige, sondern nur das Fehlen der von Art 13 DSGVO verlangten Informationen und deren Intransparenz beanstande.
[38] Die Revision argumentiert, diese Klausel greife unmittelbar in die vertraglichen Rechte und Pflichten des Verbrauchers ein, zumal automatisierte Programme in Teilbereichen die Leistungspflicht im Schadensfall bestimmen und durch das Widerspruchsrecht eine manuelle Bearbeitung beantragt werden könne. Der Begriff „versicherungs-mathematische Erfahrungssätze“ sei unbestimmt, weshalb die Klausel intransparent sei. Außerdem räume sich die Beklagte einen Ermessensspielraum ein, der unmittelbar auf ihre Leistungspflicht durchschlage, weshalb die Klausel auch gröblich benachteiligend sei. Da ein Fall des Profiling iSd Art 22 DSGVO vorliege, seien auch die entsprechenden Informationen zu erteilen. Weiters könne durch die Klausel ein Verstoß gegen § 1d Abs 3 VersVG vorliegen, weil sich die Beklagte durch die Klausel ihrer Offenlegungspflicht entledigen könne.
[39] Die Revisionsbeantwortung argumentiert, dass eine allfällige falsche Information nach der DSGVO nur in einem datenschutzbehördlichen Aufsichtsverfahren entschieden werden könnte. Die Verwendung automatisierter Datenverarbeitungsprozesse würde nicht mit dem Versicherungsnehmer vereinbart werden, sondern werde dieser in Entsprechung des Art 13 Abs 2 lit f DSGVO nur darüber informiert, dass die Beklagte solche verwende.
[40] 3.4.2. Die in Rede stehende Klausel ist bei der gebotenen kundenfeindlichsten Auslegung dahin zu verstehen, dass der Verbraucher nicht bloß über die darin genannte automatisierte Datenverarbeitung informiert wird, sondern dass er ihr – durch Zurkenntnisnehmen des Datenschutzhinweises – auch zustimmt, sodass der durchschnittliche Verbraucher den Eindruck gewinnt, es werde damit der Inhalt des Vertragsverhältnisses bestimmt. Worauf sich die Zustimmung des Verbrauchers konkret bezieht, ist mangels näherer Beschreibung der „Teilbereiche“ sowie der „versicherungsmathematischen Erfahrungssätze“ und der dabei verwendeten Daten unklar. Selbst wenn die Beklagte zum in der Klausel beschriebenen Vorgehen auch ohne Zustimmung der Verbraucher berechtigt wäre, ist kein rechtlich geschütztes Interesse der Beklagten erkennbar, dies auch durch eine unklare Vertragsklausel abzusichern (vgl 2 Ob 155/16g [P 4.9]). Die Klausel ist daher unzulässig.
3.5. Klausel 4
Darüber hinaus sind wir vielfältigen Aufbewahrungspflichten unterworfen, gemäß denen wir Daten zu Ihrer Person, zu Drittpersonen (etwa Mitversicherten), zu Ihren Leistungsfällen und zu Ihrem Versicherungsverhältnis über die Beendigung des Versicherungsverhältnisses hinaus oder auch nach Abschluss eines Leistungsfalls aufzubewahren haben, wie dies etwa aufgrund der unternehmensrechtlichen Aufbewahrungspflichten der Fall ist. Wir bewahren Ihre Daten zudem so lange auf, wie die Geltendmachung von Rechtsansprüchen aus unserem Versicherungsverhältnis mit Ihnen möglich ist.
[41] 3.5.1. Das Erstgericht erachtete diese Klausel als intransparent, weil der Kunde nicht aufgeklärt werde, in welchen Fällen seine Daten wie lange aufbewahrt bleiben. Die Bestimmung scheine dies gerade verschleiern zu wollen und räume der Beklagten einen völlig unbestimmten Ermessensspielraum hinsichtlich der Aufbewahrungsdauer ein.
[42] Das Berufungsgericht führte zu dieser Klausel wiederum aus, dass der Kläger einen möglichen vertragsregelnden Charakter nicht aufzeige, sondern nur das Fehlen der von Art 13 DSGVO verlangten Informationen und deren Intransparenz beanstande.
[43] Die Revision argumentiert, die Klausel sei intransparent, weil sie nicht zwischen verschiedenen Datenkategorien und nicht darüber aufkläre, in welchen Fällen die Daten wie lange aufbewahrt werden dürften und wann deren Löschung begehrt werden dürfe. Durch die Formulierung der Klausel würden Betroffene daher von der Durchsetzung ihrer Rechte abgehalten.
[44] Die Revisionsbeantwortung wiederholt, dass die Frage, ob die erteilten Informationen den Transparenzanforderungen des Art 13 DSGVO entsprechen würden, eine Frage des datenschutzbehördlichen Aufsichtsverfahrens sei. Außerdem verwechsle der Kläger auch hier Art 13 und 15 DSGVO.
[45] 3.5.2. Die in Rede stehende Klausel ist bei der gebotenen kundenfeindlichsten Auslegung dahin zu verstehen, dass der Verbraucher nicht bloß über die darin genannte Datenaufbewahrung informiert wird, sondern dass er ihr – durch Zurkenntnisnehmen des Datenschutzhinweises – auch zustimmt (vgl 2 Ob 155/16g [P 4.6]). Aus der Klausel ist zunächst nicht ersichtlich, welche Daten für welche Zwecke und für welche Zeiträume aufbewahrt werden (vgl RS0115216). Darüber hinaus wird die Rechtslage unklar dargestellt, weil der Verbraucher nicht darüber informiert wird, dass er die Einwilligung nach der DSGVO jederzeit widerrufen kann. Die Klausel ist daher unzulässig.
3.6. Klauseln 5 und 6
Die Bereitstellung Ihrer personenbezogenen Daten sowie gegebenenfalls von Dritten, die Sie namhaft machen, ist zur Prüfung Ihres Versicherungsrisikos, zur Begründung unseres Versicherungsverhältnisses und zur Erfüllung Ihrer Leistungsansprüche erforderlich. [Klausel 5]
Sollten Sie uns diese Daten nicht oder nicht im benötigten Umfang bereitstellen, so können wir das von Ihnen gewünschte Versicherungsverhältnis unter Umständen nicht begründen oder Ihren Leistungsfall nicht erfüllen. Bitte beachten Sie, dass dies nicht als vertragliche Nichterfüllung unsererseits gelten würde. [Klausel 6]
[46] 3.6.1. Das Erstgericht beurteilte Klausel 5 als intransparent, weil völlig unklar bleibe, welche konkreten Daten gemeint seien, die zur Begründung des Versicherungsverhältnisses oder zur Erfüllung eines Leistungsanspruchs erforderlich seien. Die Klausel 6 sei intransparent, weil unklar sei, welche Daten der Kunde preisgeben müsse. Die Wortwahl „unter Umständen“ ohne jedwede Beschreibung, welche Umstände das seien, sei geradezu beispielhaft für eine verpönte intransparente Regelung.
[47] Das Berufungsgericht führte zu den Klauseln 5 und 6 aus, dass sich diese auf die in Art 13 Abs 2 lit e DSGVO vorgesehenen Informationen des Verbrauchers beschränken würden. Sie würden weder eine Verschiebung der Beweislast auf den Verbraucher in Bezug auf die Rechtmäßigkeit der Datenverarbeitung bewirken noch sollen sie die Grundlage dafür bieten, dass sich die Beklagte im Streitfall auf die Unmöglichkeit eines Vertragsabschlusses oder der Vertragserfüllung stützen könne. Es handle sich daher um bloße Informationen.
[48] Die Revision bringt vor, Klausel 5 definiere sämtliche Daten, die der Verbraucher für sich oder einen Dritten bekannt gebe, als solche personenbezogenen Daten, die zur Vertragserfüllung erforderlich seien. Damit werde für alle Daten die Rechtmäßigkeitsgrundlage des Art 6 Abs 1 lit b DSGVO herangezogen, unabhängig davon, ob dieser Tatbestand erfüllt sei. Außerdem verstoße die Klausel gegen das Gebot der Datenminimierung. Da die Beklagte eine Rechenschaftspflicht für die Einhaltung der Rechtmäßigkeit der Verarbeitung treffe, sei in der Klausel 5 auch eine Beweislastverschiebung zu sehen. Außerdem sei die Klausel intransparent, weil unklar bleibe, welche Daten gemeint sein könnten, die zur Begründung des Versicherungsverhältnisses oder zur Erfüllung der Leistungsansprüche erforderlich seien. Die Klausel 6 sehe als Konsequenz der Nichtbekanntgabe der Daten vor, dass das Vertragsverhältnis unter Umständen nicht begründet oder der Leistungsfall nicht erfüllt werde. Damit werde direkt auf den Abschluss und die Erfüllung des Vertrags Einfluss genommen. Es bleibe aber unklar, welche konkreten Umstände gemeint seien. Außerdem sei sie gröblich benachteiligend, weil die Beklagte einen viel zu weiten Ermessensspielraum habe, innerhalb dessen sie leistungsfrei sei.
[49] Die Revisionsbeantwortung führt aus, dass in Klausel 5 ausschließlich über den Zweck der Datenverarbeitung informiert werde. Klausel 6 setze die gemäß Art 13 Abs 2 lit e DSGVO geschuldeten Informationen um. Diese Information sei unter das Kautel „unter Umständen“ gestellt, weil es sich dabei um keine absolute Folge handle.
[50] 3.6.2. Klausel 5 ist bei der gebotenen kundenfeindlichsten Auslegung dahin zu verstehen, dass der Verbraucher nicht bloß über die Erforderlichkeit der Datenbereitstellung informiert wird, sondern dass er – durch Zurkenntnisnehmen des Datenschutzhinweises – erklärt, sämtliche von ihm bereitgestellten Daten seien für die in der Klausel angeführten Zwecke erforderlich. In Klausel 6 gilt bei kundenfeindlichster Auslegung als vereinbart, dass dann, wenn der Verbraucher seine personenbezogenen Daten (sowie gegebenenfalls jene von Dritten) nicht – im von der Beklagten verlangten Umfang – bereitstellt, „unter Umständen“ kein Vertrag zustande kommt oder der Leistungsfall nicht erfüllt wird und dass dies nicht als Nichterfüllung seitens der Beklagten „gilt“.
[51] Abgesehen davon, dass aus der Klausel 5 nicht ersichtlich ist, welche konkreten personenbezogenen Daten des Verbrauchers oder eines Dritten (zB Mitversicherten) für die genannten Zwecke (Risikoprüfung, Vertragsbegründung, Leistungsanspruch) „erforderlich“ sind, wird dem Verbraucher überdies suggeriert, dass sämtliche seiner personenbezogenen Daten und jener von Dritten, die er der Beklagten bereitgestellt hat, zur Vertragserfüllung „erforderlich“ sind, ohne dass im Einzelfall die Voraussetzungen des Art 6 Abs 1 lit b DSGVO vorliegen müssten. Dadurch wird die Rechtslage verschleiert. Wenn die Beklagte ausführt, sie sei zur Verarbeitung der für die Abwicklung des Vertrags erforderlichen Daten auch ohne Zustimmung der Verbraucher berechtigt, dann ist dies richtig. Allerdings ist kein rechtlich geschütztes Interesse der Beklagten erkennbar, dies durch eine Erklärung des Verbrauchers abzusichern. Vielmehr wird dem Verbraucher ein unzutreffendes bzw unklares Bild seiner vertraglichen Position sowie ein unrichtiges Bild der Rechtslage vermittelt.
[52] Aus der Klausel 6 ergibt sich zunächst nicht, in welchen konkreten Fällen, also etwa bei Nichtbereitstellung welcher personenbezogener Daten, der Vertrag nicht zustande kommt oder der Leistungsfall nicht erfüllt wird („unter Umständen“). Im Fall der Verletzung einer nachvertraglichen Informationsobliegenheit fehlt im Übrigen jeglicher Hinweis auf § 6 Abs 3 VersVG, sodass auch die Rechtslage durch die Klausel verschleiert wird (vgl RS0131601 [T2]). Darüber hinaus ordnet die Klausel bei kundenfeindlichster Auslegung als Rechtsfolge an, dass die Nichtbereitstellung der – nicht konkretisierten und daher unbestimmten – „benötigten“ personenbezogenen Daten zwar „unter Umständen“ (welchen?) eine Nichterfüllung des Verbrauchers bewirkt, hingegen keinesfalls als vertragliche Nichterfüllung der Beklagten gilt. Damit wird die Rechtslage ohne sachliche Rechtfertigung zum Nachteil des Verbrauchers verändert.
[53] Die Klauseln sind daher unzulässig.
[54] 4. Die Beklagte hat in ihrer Berufung die vom Erstgericht angeordnete Urteilsveröffentlichung nicht bekämpft, sodass auf diese selbständig zu beurteilende Rechtsfrage vom Obersten Gerichtshof nicht mehr einzugehen ist ( RS0043338 [T13]).
[55] 5. Der Revision war daher Folge zu geben und die Entscheidung des Erstgerichts wiederherzustellen.
[56] 6. Die Kostenentscheidung beruht auf §§ 50, 41 ZPO.