OGH: Zur Verbandsklage iZm „Privacy by Default“ (DSGVO)
Eine Klausel in AGB, die Voreinstellungen in einem Mietwagen vorsieht, die eine Datenverarbeitung ganz unabhängig von der Erforderlichkeit für bestimmte Verarbeitungszwecke zulässt, verstößt gegen Art 25 Abs 2 DSGVO
§ 28 KSchG, Art 25 DSGVO, Art 79 DSGVO
GZ 6 Ob 106/22i, 14.09.2022
OGH: Der Unterlassungsanspruch nach § 28 Abs 1 KSchG ist nicht allein auf die Kontrolle und Durchsetzung der Verbote des § 6 KSchG (und des § 879 ABGB) beschränkt, sondern umfasst auch die Verletzung weiterer zivilrechtlicher wie auch öffentlich-rechtlicher Vorschriften; darunter fällt auch der Verstoß gegen Bestimmungen des jeweils anwendbaren Datenschutzrechts.
Der in der Revision hervorgehobene Umstand, dass Art 25 Abs 2 DSGVO dem Betroffenen kein subjektives Recht auf Geltendmachung einer spezifischen Datensicherheitsmaßnahme, etwa einer Pseudonymisierung, im Rahmen einer Datenschutzbeschwerde gewährt, steht der Prüfung eines Verstoßes von AGB gegen die darin statuierten Regelungen zur Datenverarbeitung nicht entgegen. Art 25 Abs 2 DSGVO ist zwar insoweit als objektive Vorschrift ausgestaltet, als darin bloß spezifische Pflichten von Verantwortlichen und Auftragsverarbeitern statuiert sind. Daraus lässt sich aber nicht ableiten, dass die Norm ausschließlich öffentlichen Interessen und nicht etwa auch dem Schutz des Einzelnen dient. Der individualschützende Charakter des Art 25 Abs 2 DSGVO hat zur Folge, dass auch bei Verstößen gegen die darin geregelten Verhaltenspflichten der Anwendungsbereich des Art 79 Abs 1 DSGVO für den Betroffenen eröffnet ist; ihm steht folglich sehr wohl eine durch gerichtlichen Rechtsschutz abgesicherte subjektive Rechtsposition zu.
Die Revision stellt hier den Verstoß der Klausel gegen § 25 Abs 2 DSGVO mit dem Argument in Abrede, das Berufungsgericht habe die Norm dahingehend missinterpretiert, die in Art 25 Abs 2 DSGVO implementierten Grundsätze der Datenminimierung sowie des Datenschutzes durch datenschutzfreundliche Voreinstellungen (Privacy by Default) würden den Verantwortlichen nicht dazu verhalten, so wenig Daten wie nur überhaupt denkbar zu verarbeiten, sondern lediglich dazu, bloß jene Daten zu verarbeiten, die für die jeweiligen von ihm definierten Verarbeitungszwecke erforderlich seien. Diese Argumentation verkennt, dass sich hier die in den AGB enthaltene Klausel zu den Voreinstellungen zur Datenverarbeitung im Mietfahrzeug nach ihrem klaren Wortlaut gar nicht auf bestimmte Verarbeitungszwecke bezieht, die die Datenverarbeitung erforderlich machen würden. Damit sieht die Vertragsbestimmung aber letztlich - jedenfalls bei kundenfeindlichster Auslegung - Voreinstellungen vor, die eine Datenverarbeitung ganz unabhängig von der Erforderlichkeit für bestimmte Verarbeitungszwecke zulassen. Schon deshalb ist die Rechtsansicht der Vorinstanzen, die Klausel verstoße gegen Art 25 Abs 2 DSGVO, nicht zu beanstanden.
