Datenschutzklauseln von Apple verstoßen gegen DSGVO

Das Kammergericht Berlin entschied mit Urteil vom 27.12.2018, dass die Klauseln der Apple-Datenschutzrichtlinie überwiegend unzulässig seien. Denn für die Verarbeitung der personenbezogenen Daten hole Apple nicht die erforderliche Einwilligung der betroffenen Personen ein. So ein Vorgehen verstoße aber gegen das Datenschutzrecht.

Darf Apple seine Datenschutzrichtlinien verwenden?
Kläger war der Bundesverband der Verbraucherzentrale, Beklagte der frühere Apple Online Store. Der Kläger beanstandete insgesamt acht Klauseln der Datenschutzrichtlinie der Beklagten. Darüber räumte sich die Beklagte durch voreingestellte Ankreuzhäkchen weitgehende Rechte an der Nutzung von Kundendaten ein. Beispielsweise gab die Beklagte persönliche Daten ohne Einwilligung des Nutzers an Unternehmen weiter, die Dienstleistungen wie Kreditgewährung, Kundendienste oder Umfragen erbrachten. Hiergegen ging der Kläger vor. Die Vorinstanz untersagte der Beklagten die Verwendung der in Rede stehenden Klauseln, wogegen diese in Berufung ging. Sie war der Meinung, die Datenschutzrichtlinie hätte rein informatorischen Charakter und könne daher verwendet werden.

Datenschutzrichtline ist als AGB zu bewerten
Das Kammergericht entschied, dass die Datenschutzrichtlinie als Allgemeine Geschäftsbedingungen einzustufen seien. Denn sie sei nach ihrem objektiven Wortlaut als verbindliche Regelung des Vertragsverhältnisses zu verstehen. Hierbei komme es darauf an, ob der Verbraucher den Eindruck habe, sie enthielten verbindliche Regelungen und ihr Inhalt bestimme das vertragliche Rechtsverhältnis. Vorliegend vermittle bereits die Überschrift (Datenschutzrichtlinie) den Eindruck einer rechtlichen Regelung. Ferner werde im Einleitungssatz bereits ausdrücklich gesagt, dass die Richtlinie die Datenerhebung und -verwendung „regelt“. Somit erscheine dem Durchschnittskunden die Datenschutzrichtlinie und die Allgemeinen Geschäftsbedingungen als eine Einheit, die er insgesamt zu akzeptieren habe, wenn er von Apple beliefert werden möchte.

DSGVO ist anwendbar
Einige Klauseln seien nicht mit den wesentlichen Grundgedanken der Datenschutz-Grundverordnung (DSGVO) vereinbar, urteilte das Gericht. Denn die DSGVO finde vorliegend uneingeschränkt Anwendung. Zum einen ginge es um Datenverarbeitungsvorgänge. Zum anderen seien selbst Datenverarbeitungen, die zum Zeitpunkt des Inkrafttretens der DSGVO bereits begonnen hätten, binnen zwei Jahre mit der Verordnung in Einklang zu bringen. Ab diesem Zeitpunkt verdränge die Verordnung in ihrem Anwendungsbereich die nationalen Gesetze. Die umstrittene Frage, welches Datenschutzrecht anwendbar sei, stelle sich somit nicht.

Datenerhebung zur Vertragserfüllung rechtmäßig
Eine Klausel erachtete das Gericht als rechtmäßig. Denn sie ziele darauf ab, Daten zu erheben, die für die Erfüllung des Vertrages oder zur Durchführung vorvertraglicher Maßnahmen erforderlich seien. Nehme der Kunde beispielsweise Leistungen der Beklagten in Anspruch, um mit Dritten in Kontakt zu treten oder diese zu beschenken, sei die Verarbeitung der Kontaktdaten zur Vertragserfüllung erforderlich.

Keine Einwilliung durch vorangekreuzte Kästchen
Das Kammergericht entschied, dass weitere Klauseln nicht mit der DSGVO vereinbar seien. Dies gelte für Klauseln, durch die Daten ausschließlich zu internen Zwecken, zur Produktverbesserung oder zu Werbezwecken verarbeitet oder die Standortdaten verwenden werden, um Produkte und Dienste anzubieten oder zu verbessern. Denn eine derartige Verwendung der personenbezogenen Daten wäre nur dann rechtmäßig, wenn die betroffene Person dazu ihre Einwilligung gegeben hätte. Zwar sei höchstrichterlich noch nicht abschließend geklärt, wie eine Einwilligung nach DSGVO zu erklären sei. Allerdings habe grundsätzlich die Einwilligung durch eine eindeutige bestätigende Handlung zu erfolgen. Mit dieser müsse freiwillig und unmissverständlich bekundet werden, dass der Kunde mit der Datenverarbeitung einverstanden sei. Dies sei in vielerlei Varianten wie durch mündliche Erklärung, Anklicken eines Kästchens, bestimmte technische Einstellungen etc. möglich. Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit der betroffenen Person stelle hingegen keine Einwilligung dar.

Wiederholungsgefahr durch frühere Verwendung
Das Gericht sah auch eine Wiederholungsgefahr als gegeben. Denn die Wiederholungsgefahr setze lediglich voraus, dass die Beklagte die beanstandeten Klauseln in der Vergangenheit verwendet habe. Dies sei eindeutig der Fall. Es spiele dem gegenüber keine Rolle, dass die Beklagte den Online-Shop nicht mehr betreibe. Denn die Wiederholungsgefahr erlösche erst, wenn es zu einer endgültigen Geschäftsaufgabe komme. Die Beklagte nehme aber weiterhin am Geschäftsverkehr teil. Somit sei nicht auszuschließen, dass sie im Zuge einer Umstrukturierung der Unternehmensgruppe auch wieder den Onlinehandel übernehme und die Datenschutzrichtlinie in ihrer früheren Fassung weiterverwende.

Kammergericht Berlin, Urteil vom 27.12.2018, Az. 23 U 196/13