Der Oberster Gerichtshof (OGH) unterstellt in der am 20.12.2022 ergangenen Entscheidung (7 Ob 112/22d – [Link zum Volltext der Entscheidung]) die Datenschutzinformationen nach Artt 13 f DSGVO recht großzügig der AGB-Klauselkontrolle nach dem Konsumentenschutzgesetz:
Der Umstand, dass der Datenschutzhinweis nicht Teil der Allgemeinen Bedingungen, sondern ein eigenes Formblatt ist, spricht nicht gegen dessen Vertragserklärungscharakter, vielmehr kommt es auf die Vertragsgestaltung an. Gegenständlich musste der Verbraucher dem Datenschutzhinweis im gesonderten Blatt zwar nicht „zustimmen“, allerdings musste er im Auftrag bestätigen, den Datenschutzhinweis „zur Kenntnis“ genommen zu haben. Dies macht aber nach Ansicht des OGH keinen relevanten Unterschied, weil die Zurkenntnisnahme auch die Zustimmung zu dessen Inhalt implizieren kann. Der Datenschutzhinweis unterliegt daher dann insgesamt der Klauselkontrolle:
Klausel 1: „In all diesen Fällen gehen wir grundsätzlich von Ihrer Berechtigung zur Bekanntgabe dieser Daten aus. Wir verwenden Ihre Daten und die Daten solcher Dritter, die von Ihnen genannt werden, in unserem berechtigten Interesse als Verantwortliche Ihrer Datenverarbeitung und in jenem Ausmaß, als dies zur ordnungsgemäßen Begründung und Abwicklung unseres Versicherungsverhältnisses mit Ihnen notwendig ist.“
Der OGH sprach dazu aus: Bei der gebotenen kundenfeindlichsten Auslegung ist der erste Satz der Klausel so zu verstehen, dass der Kunde erklärt, zur Bekanntgabe seiner Daten sowie der Daten von Dritten berechtigt zu sein. Damit ist aber im Streitfall eine Erschwerung der Beweissituation für einen Konsumenten zumindest denkbar und daher unzulässig. Mit dem zweiten Satz der Klausel stimmt der Verbraucher bei kundenfeindlichster Interpretation der Verwendung der Daten in der dort beschriebenen Form zu. Dabei willigt er in die Verwendung seiner Daten und auch jener von Dritten in „jenem Ausmaß, als dies zur ordnungsgemäßen Begründung und Abwicklung unseres Versicherungsverhältnisses mit Ihnen notwendig ist“ ein, was offen lässt, welche Daten in welchem Umfang zu verwenden berechtigt wird, sodass die Klausel schon aus diesem Grund intransparent im Sinn von § 6 Abs 3 KSchG ist. Die Klausel ist daher unzulässig.
Klausel 2: „Manche dieser Dienstleister befinden sich außerhalb des Gebiets der Europäischen Union. In allen Fällen der Inanspruchnahme von Dienstleistern tragen wir jedoch stets dafür Sorge, dass das europäische Datenschutzniveau und die europäischen Datensicherheitsstandards gewahrt bleiben. Auch kann es im Rahmen unserer Geschäftsfallbearbeitungen erforderlich sein, dass wir innerhalb unseres Versicherungsunternehmens oder innerhalb unserer Versicherungsgruppe Ihre Daten transferieren oder gemeinschaftlich verarbeiten. Auch in diesen Fällen bleiben die europäischen Datensicherheitsstandards stets gewahrt.“
Der OGH sprach dazu aus: Die in Rede stehende Klausel ist bei der gebotenen kundenfeindlichsten Auslegung dahin zu verstehen, dass der Verbraucher nicht bloß über die darin genannte Datenübermittlung informiert wird, sondern dass er ihr – durch Akzeptieren der AGB – auch zustimmt. Nach der Rechtsprechung ist die Umschreibung der empfangenden Gesellschaften als „Konzerngesellschaften“ nicht ausreichend präzise. Gleiches gilt, wenn – wie hier – die empfangenden Gesellschaften als „Versicherungsgruppe“ umschrieben werden. Überhaupt ist eine Klausel, die eine Datenweitergabe vorsieht, nur zulässig, wenn der Betroffene weiß, wer welche Daten zu welchem Zweck erhält, was hier völlig offen bleibt. Da alle drei Sätze der Klausel in einem inneren Zusammenhang stehen, ist sie insgesamt unzulässig.
Klausel 3: „Auch lassen wir durch solche Programme in Teilbereichen unsere Leistungspflicht im Schadensfall automatisiert bestimmen. Die in diesen Programmen verwendeten Prüfparameter bemessen sich an versicherungsmathematischen Erfahrungssätzen und sichern insofern einen objektiven Beurteilungsmaßstab.“
Der OGH sprach dazu aus: Die in Rede stehende Klausel ist bei der gebotenen kundenfeindlichsten Auslegung dahin zu verstehen, dass der Verbraucher nicht bloß über die darin genannte automatisierte Datenverarbeitung informiert wird, sondern dass er ihr – durch Zurkenntnisnehmen des Datenschutzhinweises – auch zustimmt, sodass der durchschnittliche Verbraucher den Eindruck gewinnt, es werde damit der Inhalt des Vertragsverhältnisses bestimmt. Worauf sich die Zustimmung des Verbrauchers konkret bezieht, ist mangels näherer Beschreibung der „Teilbereiche“ sowie der „versicherungsmathematischen Erfahrungssätze“ und der dabei verwendeten Daten unklar. Selbst wenn die Beklagte zum in der Klausel beschriebenen Vorgehen auch ohne Zustimmung der Verbraucher berechtigt wäre, ist kein rechtlich geschütztes Interesse der Beklagten erkennbar, dies auch durch eine unklare Vertragsklausel abzusichern. Die Klausel ist daher unzulässig.
Klausel 4: „Darüber hinaus sind wir vielfältigen Aufbewahrungspflichten unterworfen, gemäß denen wir Daten zu Ihrer Person, zu Drittpersonen (etwa Mitversicherten), zu Ihren Leistungsfällen und zu Ihrem Versicherungsverhältnis über die Beendigung des Versicherungsverhältnisses hinaus oder auch nach Abschluss eines Leistungsfalls aufzubewahren haben, wie dies etwa aufgrund der unternehmensrechtlichen Aufbewahrungspflichten der Fall ist. Wir bewahren Ihre Daten zudem so lange auf, wie die Geltendmachung von Rechtsansprüchen aus unserem Versicherungsverhältnis mit Ihnen möglich ist.“
Der OGH sprach dazu aus: Die in Rede stehende Klausel ist bei der gebotenen kundenfeindlichsten Auslegung dahin zu verstehen, dass der Verbraucher nicht bloß über die darin genannte Datenaufbewahrung informiert wird, sondern dass er ihr – durch Zurkenntnisnehmen des Datenschutzhinweises – auch zustimmt. Aus der Klausel ist zunächst nicht ersichtlich, welche Daten für welche Zwecke und für welche Zeiträume aufbewahrt werden. Darüber hinaus wird die Rechtslage unklar dargestellt, weil der Verbraucher nicht darüber informiert wird, dass er die Einwilligung nach der DSGVO jederzeit widerrufen kann. Die Klausel ist daher unzulässig.
Klauseln 5 und 6: „Die Bereitstellung Ihrer personenbezogenen Daten sowie gegebenenfalls von Dritten, die Sie namhaft machen, ist zur Prüfung Ihres Versicherungsrisikos, zur Begründung unseres Versicherungsverhältnisses und zur Erfüllung Ihrer Leistungsansprüche erforderlich.“ [Klausel 5] „Sollten Sie uns diese Daten nicht oder nicht im benötigten Umfang bereitstellen, so können wir das von Ihnen gewünschte Versicherungsverhältnis unter Umständen nicht begründen oder Ihren Leistungsfall nicht erfüllen. Bitte beachten Sie, dass dies nicht als vertragliche Nichterfüllung unsererseits gelten würde.“ [Klausel 6]
Der OGH sprach dazu aus: Klausel 5 ist bei der gebotenen kundenfeindlichsten Auslegung dahin zu verstehen, dass der Verbraucher nicht bloß über die Erforderlichkeit der Datenbereitstellung informiert wird, sondern dass er – durch Zurkenntnisnehmen des Datenschutzhinweises – erklärt, sämtliche von ihm bereitgestellten Daten seien für die in der Klausel angeführten Zwecke erforderlich. In Klausel 6 gilt bei kundenfeindlichster Auslegung als vereinbart, dass dann, wenn der Verbraucher seine personenbezogenen Daten (sowie gegebenenfalls jene von Dritten) nicht – im von der Beklagten verlangten Umfang – bereitstellt, „unter Umständen“ kein Vertrag zustande kommt oder der Leistungsfall nicht erfüllt wird und dass dies nicht als Nichterfüllung seitens der Beklagten „gilt“.
Abgesehen davon, dass aus der Klausel 5 nicht ersichtlich ist, welche konkreten personenbezogenen Daten des Verbrauchers oder eines Dritten (zB Mitversicherten) für die genannten Zwecke (Risikoprüfung, Vertragsbegründung, Leistungsanspruch) „erforderlich“ sind, wird dem Verbraucher überdies suggeriert, dass sämtliche seiner personenbezogenen Daten und jener von Dritten, die er der Beklagten bereitgestellt hat, zur Vertragserfüllung „erforderlich“ sind, ohne dass im Einzelfall die Voraussetzungen des Art 6 Abs 1 lit b DSGVO vorliegen müssten. Dadurch wird die Rechtslage verschleiert. Wenn die Beklagte ausführt, sie sei zur Verarbeitung der für die Abwicklung des Vertrags erforderlichen Daten auch ohne Zustimmung der Verbraucher berechtigt, dann ist dies richtig. Allerdings ist kein rechtlich geschütztes Interesse der Beklagten erkennbar, dies durch eine Erklärung des Verbrauchers abzusichern. Vielmehr wird dem Verbraucher ein unzutreffendes bzw unklares Bild seiner vertraglichen Position sowie ein unrichtiges Bild der Rechtslage vermittelt.
Aus der Klausel 6 ergibt sich zunächst nicht, in welchen konkreten Fällen, also etwa bei Nichtbereitstellung welcher personenbezogener Daten, der Vertrag nicht zustande kommt oder der Leistungsfall nicht erfüllt wird („unter Umständen“). Im Fall der Verletzung einer nachvertraglichen Informationsobliegenheit fehlt im Übrigen jeglicher Hinweis auf § 6 Abs 3 VersVG, sodass auch die Rechtslage durch die Klausel verschleiert wird. Darüber hinaus ordnet die Klausel bei kundenfeindlichster Auslegung als Rechtsfolge an, dass die Nichtbereitstellung der – nicht konkretisierten und daher unbestimmten – „benötigten“ personenbezogenen Daten zwar „unter Umständen“ (welchen?) eine Nichterfüllung des Verbrauchers bewirkt, hingegen keinesfalls als vertragliche Nichterfüllung der Beklagten gilt. Damit wird die Rechtslage ohne sachliche Rechtfertigung zum Nachteil des Verbrauchers verändert.
Die Klauseln sind daher unzulässig.