Datenschutz & AGB. Der VKI hat vor dem Obersten Gerichtshof erfolgreich gegen die Wiener Städtische (Vienna Insurance Group) prozessiert. Es ging vor allem darum, ob der VKI überhaupt Datenschutz-Klagen durchführen darf.
Der Verein für Konsumenteninformation (VKI) hatte im Auftrag des Sozialministeriums die Wiener Städtische Versicherung AG Vienna Insurance Group geklagt. Inhalt des Verfahrens waren sechs Klauseln aus dem Datenschutzhinweis des Versicherungsunternehmens. Worüber sich die Verbraucherschützer vom VKI in einer Aussendung betont erfreut zeigen: Die Wiener Städtische argumentierte vor allem damit, dass der VKI gar keine Berechtigung zur Prüfung von Klauseln in ihrem Datenschutzhinweis hätte.
Der Oberste Gerichtshof (OGH) hingegen bestätigte das Klagsrecht des VKI und erkannte alle eingeklagten Klauseln für gesetzwidrig. Das Urteil (7Ob112/22d) ist rechtskräftig, so der VKI.
Der Stein des (digitalen) Anstoßes
Die Wiener Städtische beantragte die Klagsabweisung vor allem mit dem Argument, dass dem VKI die Aktivlegitimation zu dieser Klage fehlt. Der OGH sah dies anders: Der Europäische Gerichtshof (EuGH) bestätigte im Frühjahr 2022 in einem Verfahren gegen den Facebook-Betreiber Meta Platforms, dass die Datenschutzgrundverordnung (DSGVO) dem Klagsrecht von Verbraucherschutzverbänden gegen die Verwendung unzulässiger Allgemeiner Geschäftsbedingungen nicht entgegenstehe.
Bei der Wiener Städtischen waren die eingeklagten Klauseln zwar in einem eigenen Formblatt, dem Datenschutzhinweis, enthalten. Die Konsument*innen mussten aber im Versicherungsantrag bestätigen, den Datenschutzhinweis zur Kenntnis genommen zu haben. Beim Datenschutzhinweis der Wiener Städtischen handelt es sich daher nicht um ein bloßes Informationsdokument; vielmehr haben die eingeklagten Klauseln Vertragserklärungscharakter und unterliegen damit der Klauselkontrolle. „Auch wenn der österreichische Gesetzgeber bei Verletzungen der DSGVO keine eigene Klagebefugnis bei Datenschutzverletzungen nach der DSGVO geschaffen hat, so kann der VKI doch weiterhin Klauseln wegen Verstößen gegen das Datenschutzrecht einklagen. Und das werden wir auch weiterhin mit vollem Elan tun“, so Beate Gelbmann, Leiterin der Klagsabteilung im VKI.
Die Klauseln im Detail
- Eine Klausel sah vor, dass die Wiener Städtische die von Versicherungsnehmer*innen erhaltenen Daten innerhalb ihrer Versicherungsgruppe transferieren könne. Lauf OGH ist die Umschreibung der empfangenden Gesellschaften als „Versicherungsgruppe“ nicht ausreichend präzise, schildert VKI. Überhaupt ist eine Klausel, die eine Datenweitergabe vorsieht, demnach nur zulässig, wenn die Betroffenen wissen, wer welche Daten zu welchem Zweck erhält, was hier völlig offenbleibt. Die Klausel ist somit laut OGH gesetzwidrig.
- Ebenfalls als zu unbestimmt wurde vom OGH eine Klausel zur Speicherdauer von Daten befunden. Aus der Klausel war nicht ersichtlich, welche Daten für welche Zwecke und für welche Zeiträume aufbewahrt werden. Auch diese Klausel ist somit unzulässig.
- Anlass für das Einschreiten des VKI war ursprünglich eine Klausel, nach der die Versicherungsnehmer*innen nicht nur das Alter ihrer Eltern und Geschwistern angeben sollten, sondern auch, ob bei diesen Familienangehörigen Zuckerkrankheiten, Herz- oder Kreislauferkrankungen, Schlaganfälle, Krebs oder Gemüts- oder Erbkrankheiten aufgetreten sind. Hierin erblickte der VKI aus mehreren Gründen datenschutzrechtliche Verstöße. Zu dieser Klausel gab die Wiener Städtische allerdings bereits außergerichtlich eine Unterlassungserklärung gegenüber dem VKI ab, sodass sie nicht mehr Teil des Gerichtsverfahrens war.
