KG: Apple Datenschutzrichtlinie teilweise rechtswidrig
Das Berliner KG (Urt. v. 27.12.2018 – 23 U 196/13) hat entschieden, dass zahlreiche Klauseln der von Apple im Jahr 2011 verwendeten Datenschutzrichtlinie gegen die DSGVO verstoßen. Das LG Berlin hatte bereits 2013 acht Klauseln dieser Datenschutzrichtlinie für unzulässig erklärt. Hiergegen legte Apple Berufung ein.
In der Datenschutzerklärung hatte sich Apple umfangreiche Datenverarbeitungsrechte eingeräumt und die vermeintliche Zustimmung des Kunden durch eine voreingestellte Checkbox eingeholt. Der Verbraucherzentrale Bundesverband (vzbv) war der Ansicht, dass sich aufgrund dieser Darstellung für den Verbraucher der Eindruck ergebe, dass die Bestimmungen in den Klauseln Rechtsregeln enthielten, die Bestandteil des Vertrages werden würden. Damit handele es sich bei der Datenschutzerklärung um – unzulässige – AGB.
Die Berufung der Beklagten hatte nur in Bezug auf eine Klausel Erfolg. Die übrigen Klauseln erklärte auch das KG für rechtswidrig.
Der Eindruck zählt: Datenschutz-Klauseln waren AGB
Zunächst bestätigte das KG, dass es sich bei den angegriffenen Klauseln um Allgemeine Geschäftsbedingungen i.S.d. § 305 Abs. 1 S. 1 BGB handelt.
Ob von den eigentlichen Geschäftsbedingungen äußerlich getrennte Erklärungen des Verwenders als Vertragsbedingungen anzusehen sind, hängt davon ab, ob sie dem Verbraucher den Eindruck vermitteln, dass er sie sich im Streitfall als verbindliche Regelung entgegenhalten lassen muss.
Daher sei immer darauf abzustellen, wie ein objektiver Dritter die Klauseln verstehen würde.
In diesem Fall habe der Verbraucher die beanstandeten Klauseln ihrem objektiven Wortlaut nach nur als verbindliche Regelung des bestehenden oder anzubahnenden Vertragsverhältnisses verstanden werden.
Bereits die Überschrift des Klauselwerks („…Datenschutzrichtlinie“) vermittelt den Eindruck, dass die darin enthaltenen Erklärungen nicht bloße Tatsachenmitteilungen, sondern Rechtsregeln enthalten. Ferner wird im Einleitungssatz der „Richtlinie“ ausdrücklich gesagt, dass diese „regelt“, wie Daten erhoben, verwendet, offengelegt, weitergegeben und gespeichert werden. Dass im weiteren Text der Richtlinie der Gebrauch eines spezifisch rechtlichen Vokubulars strikt vermieden und statt von einem „Dürfen“ stets von einem „Können“ oder schlicht von einem „Tun (Werden)“ gesprochen wird, ändert nichts daran, dass der Leser die Klauseln als Inanspruchnahme von Rechten verstehen muss.
Daran könne auch nichts ändern, dass die „Richtlinie” im Übrigen keine Rechtsbegriffe hinsichtlich der Einräumung von Rechten, der Einwilligung in bestimmte Handlungen oder Zustimmung zu bestimmten Verfahrensweisen enthalte. Vielmehr erwecke dies den Eindruck, als gelten die Regelungen ohne Weiteres und dass sich der Verbraucher, unabhängig davon, ob er will oder nicht, diesen zu unterwerfen habe.
Klauseln benachteiligen Kunden unangemessen
Außerdem benachteiligten die Klauseln die Apple-Kunden unangemessen, weil sie mit wesentlichen Grundgedanken der gesetzlichen Regelung, von der abgewichen wird, nicht zu vereinbaren seien.
Zur Beurteilung der Frage nach der unangemessenen Benachteiligung, musste das KG die seit Mai 2018 gültige DSGVO heranziehen.
Denn Maßstab für die Überprüfung eines erstinstanzlichen Urteils ist die Rechtslage im Zeitpunkt der Berufungsentscheidung.
Zu berücksichtigen ist dabei auch ein erst nach Erlass der erstinstanzlichen Entscheidung geltendes Gesetz, sofern es nach seinem zeitlichen Gestaltungswillen das streitige Rechtsverhältnis erfasst. Dies ist hier der Fall.
Denn die Klage des vzbv sei auf eine zukünftige Handlung von Apple gerichtet, die nach dem Anwendungsbeginn der DSGVO vorzunehmen sein wird und deshalb an deren Vorgaben zu messen ist.
Verstoß gegen Regeln der DSGVO
Art. 6 Abs. 1 DSGVO enthält die Voraussetzungen, unter denen die Datenverarbeitung rechtmäßig ist.
Eine der beanstandeten Klauseln behandelte die Datenverarbeitung, wenn der Kunde Geschenkgutscheine oder Produkte an Freunde und Bekannte verschickt und dazu Daten wie Name, Adresse, E-Mail oder Telefonnummer angeben muss. Hier urteilte das Gericht, dass die Verarbeitung für die Erfüllung des Vertrags erforderlich im Sinne des Art. 6 Abs. 1 Buchst. b DSGVO und damit rechtmäßig sei.
Bei allen anderen Klauseln war dieses Erforderlichkeitskriterium nicht erfüllt, sodass nur noch die Rechtmäßigkeit durch Einwilligung nach Art. 6 Abs. 1 Buchst. a DSGVO in Frage kam.
Zunächst stellte das Gericht fest, dass die genauen Anforderungen an eine Einwilligung nach Buchst. b noch nicht höchstrichterlich geklärt seien. Das KG sah den Fall hier aber klar – die einseitige Bekanntgabe bestimmter Klauseln stelle keine Einwilligung des hiervon Betroffenen dar.
Der Senat hält es für eindeutig und keiner Klärung durch den EuGH bedürftig, dass die bloß einseitige Verlautbarung bestimmter Datenverarbeitungspraktiken durch einen Klauselverwender keine Einwilligung des Betroffenen darstellt.
Die Unterrichtung über Datenverarbeitungspraktiken, die sich die Beklagte selbst erlaubt und die ihre Kunden ungefragt hinzunehmen haben, ersetzt nicht deren Einwilligung.
Falscher Eindruck der Zulässigkeit
Die Beklagte drang auch nicht mit ihrem Argument durch, mit der Bereitstellung der Datenschutzrichtlinie nur ihrer Pflicht zur Unterrichtung der Verbraucher über ihre Datenverarbeitungspraxis nachgekommen zu sein.
Denn eine zutreffende Unterrichtung über geübte Datenverarbeitungspraktiken macht diese nicht rechtmäßig. Sie erzeugt und nährt bei dem Verbraucher lediglich die Fehlvorstellung, dass die geübten Datenverarbeitungspraktiken keiner Einwilligung bedürfen und allein deswegen rechtmäßig seien, weil die Beklagte in ihrer „Datenrichtlinie“ über sie unterrichtet.
Durch die spezielle Gestaltung der Datenschutzerklärung könne der Verbraucher diese auch nur so verstehen, dass er die Datenverarbeitungspraktiken in jedem Fall zu akzeptieren habe.
Die beanstandeten Klauseln der „Apple-Datenschutzrichtlinie” waren damit unzulässig und der Unterlassungsanspruch des Verbraucherzentrale Bundesverbands war begründet.
Ähnliche Verstöße bei Google-Datenschutzerklärung
In einem anderen Fall hatte sich das KG (Urt. v. 21.3.2019 – 23 U 268/13) mit einigen ähnlichen Verstößen in der Datenschutzerklärung sowie in den Nutzungsbedingungen von Google zu beschäftigen.
Auch hier hatte die Datenschutzerklärung umfassende Datenverarbeitungsrechte eingeräumt, während keine wirksame Einwilligung des Verbrauchers eingeholt wurde.
Auch hier stellte die bloß einseitige Bekanntgabe keine Einwilligung dar. Zwar musste der Verbraucher ein Kästchen mit dem Text „Ich stimme den Nutzungsbedingungen von Google zu und habe die Datenschutzerklärung gelesen.” anklicken. Die einfache Erklärung, etwas gelesen zu haben, bedeute nicht notwendigerweise auch die Billigung dessen, so das Gericht. Vielmehr vermittelten die Klauseln dem Verbraucher den Eindruck, dass die Datenverarbeitung seiner Einwilligung nicht bedürfe und auch ohne sie zulässig wäre. Auch in diesem Fall waren die beanstandeten Klauseln unzulässig.
Alexander Kirch/Shutterstock.com