Einwillung & Kopplungsverbot


Datenweitergabeklausel in AGB - ist das zulässig?

 

I

 

Die Einwilligung zur Verarbeitung von personenbezogenen Daten muss „freiwillig“ erfolgen …


Beispiel

 

 Die Datenschutzbehörde entschied am 22.5.2017 einen  Fall, bei dem der Auftraggeber (ab 25.5.2018: der Verantwortliche) - im Text als „A“ bezeichnet - von seinen Vertragspartnern die Zustimmung zu einer über den Vertrag hinausgehenden Verarbeitung der personenbezogenen Daten beim Vertragsabschluss (in den AGB) verlangte.

 

 

Die Klausel lautete:

„Sie stimmen darüber hinaus zu, dass diese personenbezogenen Daten zu denselben Zwecken an B*** (Adresse) sowie an B*** Marketing (Adresse, DVR Nummer: …) übermittelt und von diesen verarbeitet werden dürfen. B*** Marketing, ein Adressverlag und Direktmarketingunternehmen der B*** Unternehmensgruppe, wird Ihre personenbezogenen Daten im Rahmen der Gewerbeberechtigung iSd § 151 GewO zur Vorbereitung und Durchführung von Marketingaktionen einschließlich der Gestaltung und des Versandes von Werbemitteln sowie zum Listbroking auf Basis Ihrer Zustimmung verarbeiten. Gem § 151 Abs. 5 GewO ist A*** Marketing überdies berechtigt, aus Ihren Daten die Datenarten Namen, Geschlecht, Titel, akademischer Grad, Anschrift, Geburtsdatum, Berufs-, Branchen- oder Geschäftsbezeichnung sowie Ihre Zugehörigkeit zu ihrer Kunden- und Interessentendatei an Adressverlage und Direktmarketingunternehmen weiterzugeben, solange Sie dies nicht untersagt haben.

Sie können diese Zustimmungen jederzeit, auch getrennt voneinander, widerrufen (zB durch Brief, Fax oder E-Mail).“

Ein Vertragsabschluss, ohne dieser Klausel, die die Übermittlung der erhobenen Daten für einen Zweck, der außerhalb der Vertragserfüllung lag, war nicht möglich.

 

Ein Vertragspartner, der einen Vertrag abgeschlossen hatte, und den AGB mit dieser Klausel zustimmen musste, hat diese Art der Einwilligung bei der Datenschutzbehörde beanstandet. 

 

§ 107 TKG?

Die Entscheidung nimmt auch epxlizit auf § 107 (3) TKG Bezug, in dem eine Privilegierung für die Zusendung elektronischer Post (Email) an Bestandskunden enthalten ist.

 

Die Datenschutzbehörde dazu:


Nach der Bestimmung des § 107 Abs. 3 Z 3 TKG 2003 reicht es aber nicht aus, dass lediglich in den jeweiligen Werbezusendungen die Möglichkeit zur Abbestellung weiterer Zusendungen vorgesehen ist, sondern es ist nach dem klaren Gesetzeswortlaut die Ablehnung der Nutzung der elektronischen Kontaktinformation schon „bei deren Erhebung“ zu ermöglichen.

 

Bei der Erlangung der Kontaktinformationen sollte der Kunde über deren weitere Nutzung zum Zweck der Direktwerbung klar und eindeutig unterrichtet werden und die Möglichkeit erhalten, diese Verwendung abzulehnen (siehe dazu VwSlg 17651 A/2009 mwN).

 

 

Die Entscheidung:

  

 A stützt die Zulässigkeit der Datenverwendung zunächst auf eine datenschutzrechtliche Zustimmung (…). Eine gültige datenschutzrechtliche Zustimmung liegt nur vor, wenn die Willenserklärung u.a. ohne Zwang abgegeben wurde. (…).

 

 

„ausdrücklich“?

Eine ausdrückliche Zustimmung des Betroffenen kann keinesfalls dann vorliegen, wenn sie bloß als Bestandteil von Allgemeinen Geschäftsbedingungen vom Betroffenen zur Kenntnis genommen wurde. Vielmehr liegt eine „ausdrückliche“ schriftliche Zustimmung nur dann vor, wenn der Betroffene sein Einverständnis zur Datenübermittlung getrennt von etwaigen sonstigen vertraglichen Vereinbarungen gegeben hat.

 

Form

Hinsichtlich der Form der Zustimmungserklärung ist daher zu verlangen, dass diese deutlich vom übrigen Text eines Formulars, eines Schriftstückes udgl. abgesetzt ist. Hinweise auf allgemeine Geschäftsbedingungen, auf Angaben in anderen Dokumenten, die nicht Bestandteil des unterzeichneten Papiers sind, sind nicht zulässig.

Die Zustimmungserklärung bedarf jedenfalls einer gesonderten Unterzeichnung, die einheitliche Unterzeichnung eines Formulars, in dem neben anderen Erklärungen auch die Zustimmungserklärung enthalten ist, reicht nicht aus. (…) 

Die „Stellungnahme 15/2011 zur Definition von Einwilligung“ (iSd DatenschutzRichtlinie 95/46/EG) der Art 29 Datenschutzgruppe, WP 187, vom 13. Juli 2011, führt folgendes aus:

„Eine Einwilligung muss für den konkreten Fall erfolgen.

Eine pauschale Einwilligung ohne genaue Festlegung des Zwecks ist nicht rechtmäßig.

Diese Informationen sollten nicht in den allgemeinen Geschäftsbedingungen des Vertrags stehen, sondern es sollten stattdessen spezielle Einwilligungsklauseln gesondert von den allgemeinen Geschäftsbedingungen verwendet werden.“
(…)

 

(…) [E]s im gegenständlichen Fall (…) nicht möglich gewesen, den angestrebten Vertrag mit „O***“ zu schließen, ohne gleichzeitig die Zustimmungserklärung zur Datenverwendung für andere Zwecke als für die Abwicklung des Abonnements (v.a. für Kontaktaufnahme zu Werbezwecken) abzugeben. Dieser Umstand ist (…) mit dem Erfordernis der Freiwilligkeit (…)  nicht vereinbar. Der Umstand, dass dem Kunden die Möglichkeit eingeräumt wird, die von ihm zunächst abgegebene Zustimmungserklärung jederzeit wieder zu widerrufen, vermag an diesem Ergebnis nichts zu ändern. 

Die Datenschutzbehörde/Datenschutzkommission hält daher in ständiger Rechtsprechung eine derartige Einbindung datenschutzrechtlicher Zustimmungserklärungen in AGB für nicht zulässig (…). Vielmehr muss dem Kunden die Möglichkeit gegeben werden, den angestrebten Vertrag auch ohne die Abgabe der datenschutzrechtlichen Zustimmungserklärung einzugehen („Opt-in“ – Lösung, etwa durch eine Gestaltung der AGB, bei der die Zustimmungserklärung gesondert anzuklicken ist). 

 

Das Fazit:

 

Wenn sich ein Auftraggeber (Verantwortlicher) auf einen Vertrag bei der Verarbeitung der personenbezogenen Daten stützen kann, dann sollte er darüber hinaus für die Datenverarbeitung, die zur Vertragserfüllung notwendig ist, oder auf gesetzlicher Basis (notwendige Dokumentationen etc…), keine Zustimmung / Einwilligung einholen.     

2.     Wenn für die Verarbeitung der personenbezogenen Daten die Einwilligung als taugliche Grundlage für die Rechtmäßigkeit angesehen wird (derzeit: § § 7 Abs. 1 iVm § 8 Abs. 1 Z 2 DSG 2000; ab 25.5.2018: Art. 6 (1) lit a iVm Art 7 f DSGVO für „nicht-sensible“ Daten), dann sind „Formalismen“ bzw. Informationspflichten zu beachten:

a.       keine Einwilligung in AGB

b.      Trennung der Einwilligung vom Vertragsabschluss („Kopplungsverbot“), dh die betroffene Person muss die Möglichkeit haben, den Vertrag auch ohne die Einwilligung zur Datenverwendung abzuschließen

c.       gesonderte „Unterzeichnung“ der Einwilligungserklärung

d.      tatsächlicher Nachweis einer Einwilligung (separate Unterschrift / checkbox; opt-in) ist notwendig (siehe Art 7 (1) DSGVO)

e.      klare und einfache Sprache (siehe Art 7 (2) DSGVO)

f.        Hinweis auf die Widerrufsmöglichkeit (siehe Art 7 (3) DSGVO, siehe Art 13 (2) lit c DSGVO)

g.       Bekanntgabe des Namen und Kontaktdaten des Verantwortlichen (siehe Art 13 (1) lit a DSVO)

h.      gegebenenfalls Bekanntgabe der Kontaktdaten des DSB (siehe Art 13 (1) lit b DSGVO)

i.         Information über den Zweck der Verarbeitung (siehe Art 13 (1) lit c DSGVO)

j.        Information über Empfänger sowie Drittlandübermittlung (siehe Art 13 (1) lit e und f DSGVO)

k.       Angabe über die Dauer der Speicherung oder die Kriterien für die Festlegung derselben (siehe Art 13 (2) lit a DSGVO)

l.         Information über das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch und Datenübertragbarkeit (siehe Art 13 (2) lit b DSGVO)

m.    Information über das Bestehen des Beschwerderechts bei der Aufsichtsbehörde (siehe Art 13 (2) lit d DSGVO)


Kommentar schreiben

Kommentare: 1
  • #1

    Johannes Guger (Sonntag, 22 Oktober 2017 11:26)

    Das Thema Direktmarketing und Adressverlage scheint mir relativ unklar definiert.
    Inwieweit darf ein Händler, der Adressen aus verschiedenen Quellen besitzt, diese Adressen auch an andere Händler weitergeben?
    Welche Voraussetzungen sind daran gebunden?
    Was ist der Unterschied zwischen Adresshändler und Direktmarketingunternehmen?
    Gibt es einen eigenen Gewerbeschein (Unternehmenszweck) für diese Aktivitäten?
    Muss ich für Adressen, die ich bereits habe, im nachhinein Einwilligungen einholen?

    Ich nehme an, das ist ein Thema, das erst nach einigen "Entscheidungen" klarer wird.
    Hannes