Eine von Apple im Jahr 2011 verwendete „Datenschutzrichtlinie“ ist in weiten Teilen rechtswidrig. Die Darstellung der Verarbeitungen ersetzt nicht die tatsächliche Einholung von Einwilligungen für Nutzungen, die über die Zwecke der Vertragserfüllung hinausgehen.
Der Verbraucherzentrale Bundesverband e.V. (vzbv) hatte gegen eine Datenschutzrichtlinie von 2011 der Apple Sales International geklagt. Dort war festgehalten, dass man die personenbezogenen Daten für „Werbung, Verbesserung von Produkten und interne Zwecke“ nutzen würde. Auf dieser Grundlage wurden neben Kontaktdaten auch präzise Standortdaten an „strategische Partner“ weitergegeben.
Das Kammergericht (KG) Berlin hat in seinem Urteil vom 27. Dezember 2018 (AZ: 23 U 196/13) sieben von acht beanstandeten Klauseln für unzulässig erklärt. Die dort dargestellten Verarbeitungen entbehren einer Rechtsgrundlage und sind nicht mehr zur Vertragserfüllung notwendig.
Die entsprechenden Klauseln seien auch deswegen rechtswidrig, weil sie den Eindruck vermitteln würden, es komme auf die Einwilligung der Kunden gar nicht an. Das Gericht stellt in diesem Zusammenhang klar, dass die Erfüllung der Informationspflichten, die ein Betroffener ungefragt hinnehmen muss, nicht die Einholung der Einwilligung ersetzt.
In unseren regelmäßigen Besprechungen von Urteilen zum Datenschutzrecht erklären wir Ihnen die Konsequenzen für den Unternehmensalltag.
Datenschutzrechtliche Relevanz des Urteils
Man beobachtet derzeit bei vielen Unternehmen, deren Geschäftsmodell der Weiterverkauf von personenbezogenen Daten zu Werbezwecken ist, dass man im Rahmen der Datenschutzerklärung zwar die Datenverarbeitung umfassend und transparent darstellt, dass die dargestellten Datenverarbeitungen aber nicht – oder zumindest so nicht – zulässig sind.
Hier genügt beispielsweise ein Blick in die Datenrichtlinien bekannter sozialer Netzwerke, mit denen die Informationspflichten nach Art. 13 f. DSGVO erfüllt werden sollen. Es reicht dabei nicht, nur die Datenverarbeitungen darzustellen. Diese müssen auch rechtmäßig sein, also vor allem eine rechtliche Grundlage haben (Art. 6 DSGVO) und die Grundsätze der Datenverarbeitung nach der DSGVO beachten (Art. 5 DSGVO).
Dabei werden drei Punkte oft außer Acht gelassen:
- Der Zweckbindungsgrundsatz (Art. 5 Abs. 1 lit. b) besagt, dass personenbezogene Daten nur für festgelegte, eindeutige und legitime Zwecke erhoben und nicht über diese Zwecke hinaus verarbeitet werden dürfen. Oft stützt man sich auf die Vertragserfüllung als Zweck, obwohl viele der dargestellten Verarbeitungen nicht für die Vertragserfüllung notwendig sind. Ferner werden „harmlose“ Zwecke kommuniziert und die Weitergabe und der Verkauf von Daten zu Werbezwecken verheimlicht.
- Wer sich auf die Wahrung berechtigter Interessen (Art. 6 Abs. 1 lit . f DSGVO) stützt, muss diese bei Erhebung begründen (Art. 13 Abs. 1 lit. d DSGVO). Ferner muss dieses berechtigte Interesse des Verantwortlichen den Interessen, Grundrechten und Grundfreiheiten der betroffenen Person auch wirklich überwiegen.
- Wer sich auf die Einwilligung (Art. 6 Abs. 1 lit. a DSGVO, Art. 7 DSGVO) der betroffenen Person beruft, muss diese tatsächlich und in rechtmäßiger Weise einholen und die Konsequenzen eines Widerrufs der Einwilligung umsetzen können.
Transparenz ist daher nur der erste Schritt. Es reicht nicht aus, offen zu kommunizieren, was man mit den Daten macht – die Verarbeitungen müssen an sich auch rechtmäßig sein.
Im besagten Fall stellt das Kammergericht ferner fest, dass die DSGVO auch für früher verwendete Klauseln maßgeblich sei, da diese für die Verarbeitung personenbezogener Daten uneingeschränkt gilt und die Unterlassungsklage des vzbv auf das künftige Verhalten des Unternehmens gerichtet war.
Es bleibt zu beobachten, ob die Gerichte auch weitere Datenschutzrichtlinien und Datenschutzerklärungen von verantwortlichen Unternehmen für rechtswidrig erklären, die auch heute noch mit ähnlichen Klauseln wie denen in der Apple-Datenschutzrichtlinie von 2011 arbeiten.
