Datenschutzbehörde (vor 2014: Datenschutzkommission)

Entscheidungstext K212.766/0010-DSK/2012

Entscheidende Behörde

Datenschutzkommission

Dokumenttyp

Entscheidungstext

Entscheidungsart

Empfehlung

Geschäftszahl

K212.766/0010-DSK/2012

Entscheidungsdatum

13.07.2012

Norm

DSG 2000 §4 Z14;
DSG 2000 §7 Abs1;
DSG 2000 §8 Abs1 Z2;
DSG 2000 §30 Abs6;

Text

[Anmerkung Bearbeiter: Namen (Firmen), (Internet-)Adressen, Aktenzahlen (und dergleichen), Rechtsformen und Produktbezeichnungen etc. sowie deren Initialen und Abkürzungen können aus Anonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]

 

EMPFEHLUNG

 

Die Datenschutzkommission hat unter dem Vorsitz von Dr. SPENLING und in Anwesenheit der Mitglieder Dr. BLAHA, Dr. SOUHRADA-KIRCHMAYER, Mag. MAITZ-STRASSNIG, Mag. ZIMMER und Dr. HEISSENBERGER sowie des Schriftführers Mag. SUDA in ihrer Sitzung vom 13. Juli 2012 folgenden Beschluss gefasst:

 

Aus Anlass der Eingabe von Herrn R**** vom 12. August 2011, betreffend Gestaltung der allgemeinen Geschäftsbedingungen für ***, ergeht gemäß § 30 Abs. 6 DSG 2000 zur Herstellung des rechtmäßigen Zustands die folgende Empfehlung an die X***:

 

-

Die X*** möge die Annahme der

allgemeinen Geschäftsbedingungen für ***

("Allgemeine Geschäftsbedingungen ***"; AGB)

– und damit den Abschluss eines entsprechenden Vertrags – nicht von der in Klausel 6 dieser AGB enthaltenen Zustimmungserklärung abhängig machen.

 

-

Für die Umsetzung dieser Empfehlung wird eine Frist von zwei Monaten gesetzt.

 

Rechtsgrundlagen: §§ 1 Abs. 1 und 2, § 4 Z 14, § 7 Abs. 1, § 8 Abs. 1 Z 2 und § 30 Abs. 6 des Datenschutzgesetzes 2000 (DSG 2000), BGBl. I Nr. 165/1999 idgF.

 

Gründe für diese Empfehlung:

 

A. Vorbringen der Beteiligten und Verfahrensgang

 

B. Sachverhaltsfeststellungen

In seiner Eingabe vom 12. August 2011 führte der Einschreiter aus, dass die X*** in ihren allgemeinen Geschäftsbedingungen für *** ("Allgemeine Geschäftsbedingungen ***"; im Folgenden kurz: AGB), veröffentlicht auf der Website https://***, in Klausel 6 Zustimmungen von den Kunden für die Verwendung ihrer Daten ua. für Gewinnspiele und Spendenaktionen einholt. Der Einschreiter sieht sich im Ergebnis dadurch in seinem Recht auf Geheimhaltung verletzt, dass er durch die Einbindung dieser Zustimmungserklärung in die AGB den dort genannten Datenverwendungen zustimmen muss. Er ersucht die Datenschutzkommission, dies zu unterbinden.

 

Die Datenschutzkommission nahm dies zum Anlass, ein Verfahren nach § 30 DSG 2000 (Kontroll- und Ombudsmannverfahren) einzuleiten und die X*** zur Stellungnahme aufzufordern.

 

In seiner Stellungnahme vom 5. September 2011 bestritt die X*** den Sachverhalt nicht, sondern führte im Ergebnis aus, warum die gegenständliche Zustimmungserklärung trotz ihrer Einbettung in die AGB als "freiwillig" zu qualifizieren und daher datenschutzrechtlich zulässig sei. Er führte dazu insbesondere aus (Textauszeichnung beibehalten):

 

"Das der verfahrensgegenständlichen Zustimmungserklärung zugrunde liegende Angebot einer *** stellt einen freiwilligen Produktbezug dar, für welchen sich der Betroffene frei entscheiden kann. Eine Nichtinanspruchnahme dieses Produkts beeinträchtigt weder den Programmbezug ***, noch bewirkt dies eine Gebührenerhöhung und besteht auch kein gesetzlicher Zwang zur Inanspruchnahme dieses Produkts. Folglich ist die mit dem Produktbezug einhergehende Zustimmungserklärung ebenso frei von Zwang."

 

Im Gehör dazu bekräftigte der Einschreiter in der Folge seine in der verfahrenseinleitenden Eingabe erhobenen Vorwürfe.

 

Es wird der folgende Sachverhalt festgestellt:

 

Die X*** bietet ihren Kunden eine *** an, die über Internet bestellt werden kann. Mit dieser Karte ist *** möglich. Alternativ dazu besteht die Möglichkeit, ***

Für *** legt die X*** allgemeine Geschäftsbedingungen vor ("Allgemeine Geschäftsbedingungen ***"; AGB). Klausel 6 dieser AGB lautet (im Original ist der gesamte Text fettgedruckt):

 

"6. Datenschutzrechtliche und telekommunikationsrechtliche ZUSTIMMUNGSERKLÄRUNG des Kunden:

 

Der Kunde stimmt zu, dass die von ihm angegebenen Daten (Name oder Firma, Geburtsdatum, Adresse, Telefonnummer, E-Mail-Adresse, allenfalls ***-Teilnehmernummer, allenfalls Kartennummer der ***) von der X*** verwendet werden, um dem Kunden Informationen über ***angebote und damit zusammenhängende Informationsdienste der X*** (z. B. Newsletter), technische Informationen (z. B. ***); Informationen über die X*** und ihre Organe (z. B. ***), Informationen über sonstige Produkte der X*** (z. B. ***) sowie über von der X*** veranstaltete oder unterstützte Veranstaltungen (z. B. ***), Gewinnspiele und Spendenaktionen (z. B. ***) und Einladungen zur *** (z.B. ***) per Post, E-Mail, SMS oder Fax zukommen zu lassen.

 

Des Weiteren stimmt der Kunde zu, dass die von ihm angegebenen Daten zu den oben angeführten Zwecken an die X***-Tochtergesellschaften ([enumerative Aufzählung]) übermittelt werden.

 

Diese Zustimmung (Punkt 6.) kann der Kunde jederzeit schriftlich mit Brief an *** oder per E-Mail an *** widerrufen."

 

Eine von den AGB getrennte Annahme dieser Zustimmungserklärung ist nicht möglich, da zum Abschluss der Bestellung folgender Text durch Tickbox angenommen werden muss:

 

"Ich bestätige hiermit, den Inhalt der Allgemeinen Geschäftsbedingungen (AGB) für die Verwendung der *** und insbesondere die in deren Punkt 6 enthaltene Zustimmung zur Verarbeitung und Übermittlung meiner Daten zur Kenntnis genommen zu haben, und erkläre mich damit einverstanden."

 

Der Abschluss des Vertrages ohne Abgabe der Zustimmungserklärung ist daher nicht möglich.

 

Beweiswürdigung: Die AGB sind über die Website der X*** abrufbar; überdies wird der festgestellte Sachverhalt durch die Ausführungen der X*** in ihrer Stellungnahme vom 6. September 2011 bestätigt.

 

C. In rechtlicher Hinsicht folgt daraus:

 

1. anzuwendende Rechtsvorschriften

 

Die relevanten Vorschriften des DSG 2000 lauten auszugsweise:

 

Die Verfassungsbestimmung § 1 Abs. 1 und 2 DSG 2000 lautet samt

Überschrift:

 

"Grundrecht auf Datenschutz

 

§ 1. (1) Jedermann hat, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Das Bestehen eines solchen Interesses ist ausgeschlossen, wenn Daten infolge ihrer allgemeinen Verfügbarkeit oder wegen ihrer mangelnden Rückführbarkeit auf den Betroffenen einem Geheimhaltungsanspruch nicht zugänglich sind.

 

(2) Soweit die Verwendung von personenbezogenen Daten nicht im lebenswichtigen Interesse des Betroffenen oder mit seiner Zustimmung erfolgt, sind Beschränkungen des Anspruchs auf Geheimhaltung nur zur Wahrung überwiegender berechtigter Interessen eines anderen zulässig, und zwar bei Eingriffen einer staatlichen Behörde nur auf Grund von Gesetzen, die aus den in Art. 8 Abs. 2 der Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten (EMRK), BGBl. Nr. 210/1958, genannten Gründen notwendig sind. Derartige Gesetze dürfen die Verwendung von Daten, die ihrer Art nach besonders schutzwürdig sind, nur zur Wahrung wichtiger öffentlicher Interessen vorsehen und müssen gleichzeitig angemessene Garantien für den Schutz der Geheimhaltungsinteressen der Betroffenen festlegen. Auch im Falle zulässiger Beschränkungen darf der Eingriff in das Grundrecht jeweils nur in der gelindesten, zum Ziel führenden Art vorgenommen werden."

 

§ 4 Z 1 und 14 DSG 2000 lauten:

 

"§ 4. Im Sinne der folgenden Bestimmungen dieses Bundesgesetzes bedeuten die Begriffe:

 

1.

"Daten" ("personenbezogene Daten"): Angaben über Betroffene (Z 3), deren Identität bestimmt oder bestimmbar ist; "nur indirekt personenbezogen" sind Daten für einen Auftraggeber (Z 4), Dienstleister (Z 5) oder Empfänger einer Übermittlung (Z 12) dann, wenn der Personenbezug der Daten derart ist, daß dieser Auftraggeber, Dienstleister oder Übermittlungsempfänger die Identität des Betroffenen mit rechtlich zulässigen Mitteln nicht bestimmen kann;

 

[…]

14.

"Zustimmung": die gültige, insbesondere ohne Zwang abgegebene Willenserklärung des Betroffenen, daß er in Kenntnis der Sachlage für den konkreten Fall in die Verwendung seiner Daten einwilligt;"

 

§ 7 Abs. 1 DSG 2000 lautet samt Überschrift:

 

"Zulässigkeit der Verwendung von Daten

 

§ 7. (1) Daten dürfen nur verarbeitet werden, soweit Zweck und Inhalt der Datenanwendung von den gesetzlichen Zuständigkeiten oder rechtlichen Befugnissen des jeweiligen Auftraggebers gedeckt sind und die schutzwürdigen Geheimhaltungsinteressen der Betroffenen nicht verletzen."

 

§ 8 Abs. 1 DSG 2000 lautet samt Überschrift:

 

"Schutzwürdige Geheimhaltungsinteressen bei Verwendung

nichtsensibler Daten

 

§ 8. (1) Gemäß § 1 Abs. 1 bestehende schutzwürdige Geheimhaltungsinteressen sind bei Verwendung nicht-sensibler Daten dann nicht verletzt, wenn

1.

eine ausdrückliche gesetzliche Ermächtigung oder Verpflichtung zur Verwendung der Daten besteht oder

2.

der Betroffene der Verwendung seiner Daten zugestimmt hat, wobei ein Widerruf jederzeit möglich ist und die Unzulässigkeit der weiteren Verwendung der Daten bewirkt, oder

3.

lebenswichtige Interessen des Betroffenen die Verwendung erfordern oder

4.

überwiegende berechtigte Interessen des Auftraggebers oder eines Dritten die Verwendung erfordern."

 

§ 30 Abs. 1 und 6 DSG 2000 lauten:

 

"Kontrollbefugnisse der Datenschutzkommission

 

§ 30. (1) Jedermann kann sich wegen einer behaupteten Verletzung seiner Rechte oder ihn betreffender Pflichten eines Auftraggebers oder Dienstleisters nach diesem Bundesgesetz mit einer Eingabe an die Datenschutzkommission wenden.

 

[...]

 

(6) Zur Herstellung des rechtmäßigen Zustandes kann die Datenschutzkommission, sofern nicht Maßnahmen nach den §§ 22 und 22a oder nach Abs. 6a zu treffen sind, Empfehlungen aussprechen, für deren Befolgung erforderlichenfalls eine angemessene Frist zu setzen ist. Wird einer solchen Empfehlung innerhalb der gesetzten Frist nicht entsprochen, so kann die Datenschutzkommission je nach der Art des Verstoßes von Amts wegen insbesondere

1.

Strafanzeige nach §§ 51 oder 52 erstatten, oder

2.

bei schwerwiegenden Verstößen durch Auftraggeber des privaten Bereichs Klage vor dem zuständigen Gericht gemäß § 32 Abs. 5 erheben, oder

3.

bei Verstößen von Auftraggebern, die Organe einer Gebietskörperschaft sind, das zuständige oberste Organ befassen. Dieses Organ hat innerhalb einer angemessenen, jedoch zwölf Wochen nicht überschreitenden Frist entweder dafür Sorge zu tragen, dass der Empfehlung der Datenschutzkommission entsprochen wird, oder der Datenschutzkommission mitzuteilen, warum der Empfehlung nicht entsprochen wurde. Die Begründung darf von der Datenschutzkommission der Öffentlichkeit in geeigneter Weise zur Kenntnis gebracht werden, soweit dem nicht die Amtsverschwiegenheit entgegensteht."

 

***

 

2. rechtliche Schlussfolgerungen

 

Der Auftraggeber stützt die Zulässigkeit der in Klausel 6 der AGB genannten Datenverwendungen auf eine ausdrückliche datenschutzrechtliche Zustimmung (iSd § 4 Z 14 DSG 2000) gemäß § 7 Abs. 1 iVm § 8 Abs. 1 Z 2 DSG 2000. Eine gültige datenschutzrechtlichen Zustimmung iSd § 4 Z 14 DSG 2000 liegt nur vor, wenn die Willenserklärung ua. ohne Zwang abgegeben wurde. Die Freiwilligkeit bei der Abgabe der Zustimmungserklärung ist eine Grundvoraussetzung für den rechtsgültigen Eingriff in das Grundrecht auf Datenschutz (§ 1 DSG 2000).

 

Betreffend Zustimmungserklärungen in AGBs führt das Rundschreiben des BKA-VD, 810.008/1-V/1a/85 vom 10. August 1985 (zur gleich gelagerten alten Rechtslage), abgedruckt in Dohr/Pollirer/Weiss/Knyrim, Datenschutzrecht (Kommentar), 2. Aufl., S 79, aus:

 

"1. Eine ausdrückliche Zustimmung des Betroffenen kann keinesfalls dann vorliegen, wenn sie bloß als Bestandteil von Allgemeinen Geschäftsbedingungen vom Betroffenen zur Kenntnis genommen wurde. Vielmehr liegt eine ‚ausdrückliche‘ schriftliche Zustimmung nur dann vor, wenn der Betroffene sein Einverständnis zur Datenübermittlung getrennt von etwaigen sonstigen vertraglichen Vereinbarungen gegeben hat.

 

2. a) Hinsichtlich der Form der Zustimmungserklärung ist daher zu verlangen, daß diese deutlich vom übrigen Text eines Formulars, eines Schriftstückes u. dgl. abgesetzt ist. Hinweise auf allgemeine Geschäftsbedingungen, auf Angaben in anderen Dokumenten, die nicht Bestandteil des unterzeichneten Papiers sind, sind nicht zulässig.

...

c) Die Zustimmungserklärung bedarf jedenfalls einer gesonderten Unterzeichnung: die einheitliche Unterzeichnung eines Formulars, in dem neben anderen Erklärungen auch die Zustimmungserklärung enthalten ist, reicht nicht aus. Es ist daher in solchen Fällen jedenfalls erforderlich, die Zustimmungserklärung vom übrigen Formulartext derart zu trennen, daß eine gesonderte Unterfertigung der Zustimmungserklärung und der sonstigen vom Formular vorgesehenen Angaben möglich ist."

 

Die "Stellungnahme 15/2011 zur Definition von Einwilligung" (iSd Datenschutz-Richtlinie 95/46/EG) der Art 29 Datenschutzgruppe, WP 187, vom 13. Juli 2011, führt folgendes aus:

 

"II.3. Verwandte Begriffe

...

Einwilligung als Zustimmung der natürlichen Person in die Verarbeitung ihrer personenbezogenen Daten kann auf unterschiedliche

Weise ausgedrückt werden:

...

In dem Arbeitspapier 114 der Datenschutzgruppe steht:

 

"Dadurch dass eine ausdrückliche vorherige Willensbekundung verlangt wird, wird faktisch eine Regelung ausgeschlossen, bei der sich eine Person erst gegen die Übermittlung aussprechen kann, nachdem sie bereits stattgefunden hat."

 

IV.1. Klärung der Schlüsselaspekte des geltenden Rechtsrahmens

...

Spezielle Elemente des Rechtsrahmens, die sich auf die Einwilligung beziehen

 

-

Damit eine Einwilligung gültig ist muss sie ohne Zwang erfolgen.

Das heißt, dass kein Risiko der Täuschung, Einschüchterung oder deutlicher negativer Folgen für die betroffene Person bestehen darf, wenn sie ihre Einwilligung nicht gibt. Bei der Datenverarbeitung im Beschäftigungsbereich, wo eine gewisse Abhängigkeit vorliegt und im öffentlichen Dienst, beispielsweise im Bereich der Gesundheit, muss möglicherweise genau bewertet werden, ob der Einzelne ohne Zwang einwilligen kann.

 

-

Eine Einwilligung muss für den konkreten Fall erfolgen. Eine

pauschale Einwilligung ohne genaue Festlegung des Zwecks ist nicht rechtmäßig. Diese Informationen sollten nicht in den allgemeinen Geschäftsbedingungen des Vertrags stehen, sondern es sollten stattdessen spezielle Einwilligungsklauseln gesondert von den allgemeinen Geschäftsbedingungen verwendet werden.

..."

 

Daraus folgt für die konkret zu beurteilende Zustimmungserklärung:

 

Wie bereits oben ausgeführt, ist es im hier zu beurteilenden Fall für den Kunden nicht möglich, den angestrebten Vertrag mit der X*** abzuschließen, ohne gleichzeitig die in Punkt 6 der AGB enthaltene Zustimmungserklärung abzugeben. Dieser Umstand ist auch nach Ansicht der Datenschutzkommission mit dem Erfordernis der Freiwilligkeit iSd § 4 Z 14 DSG 2000 und § 8 Abs. 1 Z 2 DSG 2000 nicht vereinbar.

 

Dass – wie die X*** betont – dem Kunden ohnedies die Möglichkeit eingeräumt werde, die von ihm zunächst abgegebene Zustimmungserklärung jederzeit wieder zu widerrufen ("Opt –out"), vermag an diesem Ergebnis nichts zu ändern.

 

Die jederzeitige Widerrufbarkeit ist Voraussetzung dafür, dass eine Zustimmungserklärung als Rechtsgrund für die Verwendung von Daten geeignet ist (vgl §§ 8 Abs 1 Z 2, 9 Abs 1 Z 6 DSG 2000). Sie ändert aber nichts daran, dass die Erklärung vorher freiwillig abgegeben worden sein muss.

 

Hier hat der Kunde nur die Wahl, vom Abschluss des Vertrags Abstand zu nehmen oder die Zustimmungserklärung zu erteilen. Dem kommt deshalb beachtliches Gewicht zu, weil es sich bei dieser Zustimmungserklärung um eine Klausel handelt, die nicht im synallagmatischen Zusammenhang mit den von der X*** angebotenen Leistungen steht, sondern in Wahrheit mit diesen Leistungen überhaupt nichts zu tun hat. Die von der X*** gewählte Gestaltung der AGB führt daher zum Ergebnis, dass auch jene Kunden, die nie bereit wären, eine derartige Zustimmung zu erteilen, aber dennoch den Vertrag abschließen wollen, eine entsprechende Zustimmungserklärung zunächst abgeben müssen, um sie erst in weiterer Folge widerrufen zu können. Dabei stellt hier überdies der Umstand, dass ihnen dafür kein entsprechendes Internet-Formular zur Verfügung steht, ein weiteres Hindernis dar, dass unter Umständen zur Verlängerung der Wirkung einer nie gewünschten Zustimmung führen kann. Dieses Ergebnis ist mit der – streng zu beurteilenden – Freiwilligkeit datenschutzrechtlicher Zustimmungserklärungen nicht zu vereinbaren.

 

Die Datenschutzkommission hält daher eine derartige Einbindung datenschutzrechtlicher Zustimmungserklärungen in AGB als nicht zulässig. Vielmehr muss dem Kunden die Möglichkeit gegeben werden, den angestrebten Vertrag auch ohne die Abgabe der datenschutzrechtlichen Zustimmungserklärung abzugeben ("Opt-in"- Lösung), etwa durch eine Gestaltung der AGB, bei der die Zustimmungserklärung gesondert anzuklicken ist.

 

Aus der von der X*** ins Treffen geführten Entscheidungen des Obersten Gerichtshofs (4 Ob 28/01y und 4 Ob 179/02f) ist für den Standpunkt der X*** nichts zu gewinnen. Abgesehen davon, dass der zugrundeliegende Sachverhalt nicht vergleichbar ist, wurde die Frage der Freiwilligkeit der Zustimmungserklärung nicht thematisiert.

 

Es war daher gemäß § 30 Abs. 6 DSG 2000 zur Herstellung des rechtmäßigen Zustands die obige Empfehlung zu erteilen. Eine Frist von zwei Monaten scheint in Anbetracht des Umstandes, dass einige organisatorische Änderungen erforderlich sind, angemessen.

Schlagworte

Empfehlungen, AGB, Zustimmungserklärung, Freiwilligkeit, Opt-in- Lösung, Opt-out-Lösung

Zuletzt aktualisiert am

11.10.2012

Dokumentnummer

DSKTE_20120713_K212766_0010_DSK_2012_00