DSGVO & Co. Der VKI klagte wegen Klauseln in den Geschäftsbedingungen von Autovermietern: Es ging um Datenschutz bei vernetzten Autos.
Der Verein für Konsumenteninformation (VKI) hat laut den Angaben im Auftrag des Sozialministeriums eine Autovermietung wegen Klauseln in den Allgemeinen Geschäftsbedingungen (AGB) geklagt. Zuvor hatte das Unternehmen zum Großteil der vom VKI abgemahnten Klauseln bereits eine Unterlassungserklärung abgeben. Hinsichtlich der nicht unterlassenen Klauseln, welche Regelungen zum Datenschutz bei vernetzten Autos enthielten, brachte der VKI laut den Angaben in weiterer Folge eine Verbandsklage ein. Der Oberste Gerichtshof (OGH) erklärte die eingeklagten Klauseln nun für gesetzwidrig (6 Ob 106/22i, 14.09.2022, Klagsvertreter war der Wiener Anwalt Stefan Langer).
Die Entscheidung
Vernetzte Autos (connected cars) sind Fahrzeuge, die über das Internet verbunden sind und über eine Vielzahl von Geräten zur Datenmessung und -sammlung verfügen. Dadurch können etwa Assistenzsysteme bei der Fahrt unterstützen, das Smartphone mit dem Infotainment-System verbunden werden, Daten über den technischen Zustand des Autos übermittelt werden, aber auch Informationen über den Fahrstil gesammelt und Bewegungsprofile erstellt werden.
Privacy by Default ist Pflicht
Eine der beiden eingeklagten Klauseln regelte, dass die im vernetzten Fahrzeug integrierten Geräte stets aktiv sind, solange Verbraucherinnen und Verbraucher keine Deaktivierung vornehmen – selbst dann, wenn andere Dienste oder Medien im Fahrzeug ausgeschaltet bzw. nicht benötigt werden. Diese Regelung verstößt laut OGH gegen die Grundsätze der Datenminimierung sowie des Datenschutzes durch datenschutzfreundliche Voreinstellungen (Privacy by Default) – und damit folglich gegen die Datenschutzgrundverordnung (DSGVO).
Dem Grundsatz der Datenminimierung folgend dürfen Voreinstellungen nur die Verarbeitung von personenbezogenen Daten vorsehen, die für den jeweiligen bestimmten Verarbeitungszweck auch tatsächlich erforderlich sind. Ein Verstoß gegen Privacy by Default liege vor, da die Verbraucherinnen und Verbraucher von sich aus aktiv werden müssen, um eine Verbesserung des – voreingestellten schlechteren – Datenschutzniveaus zu erreichen.
Die Frage der Einwilligung
Eine weitere Klausel beschäftigte sich mit dem Widerruf der Zustimmung zur Datenverarbeitung, z.B. bei Verbindung des Mobiltelefons mit dem Infotainment-System (Autoradio, Navigationsgerät, Freisprecheinrichtung, etc.) des vernetzten Fahrzeuges. Die Klausel sieht vor, dass diese Zustimmung zur Datenverarbeitung zurückgezogen werden kann, indem Verbraucherinnen und Verbraucher ihr Gerät ausschalten bzw. abkoppeln und ihre Informationen im Infotainment-System des Fahrzeuges löschen. Laut OGH wird Verbraucherinnen und Verbrauchern mit dieser Klausel jedoch nicht klar vor Augen geführt, wie sie im Vorfeld ihre Einwilligung zur Datenverarbeitung im Zuge der Nutzung des Infotainment-Systems überhaupt erteilen. Denn weitere Informationen über die Zustimmung zur Datenverarbeitung befinden sich – auffindbar lediglich in Form einer ungenauen Verweiskette – an anderen Stellen. Der OGH beurteilte die gegenständliche Klausel daher als intransparent, weil sich Verbraucherinnen und Verbraucher die nötigen Informationen zu den Modalitäten der Einwilligung selbst „zusammensuchen“ müssen, so der VKI.
Mit dem Urteil stelle der OGH erstmals klar, dass auch die Verpflichtung zum „Datenschutz durch Technikgestaltung“ gerade den Schutz individueller Betroffener bezweckt. „Das ist eine für den Rechtsschutz von Verbraucherinnen und Verbrauchern wesentliche Weichenstellung“, so Petra Leupold, Leiterin der VKI-Akademie und Datenschutzexpertin: „Damit haben Betroffene auch bei einem Verstoß gegen das Privacy by Default-Prinzip Rechte bis hin zum Schadenersatz, die sie bei Bedarf gerichtlich durchsetzen können.“
