Der Verein für Konsumenteninformation (VKI) hatte im Auftrag des Sozialministeriums die AVIS Autovermietung Gesellschaft mbH (AVIS) wegen Klauseln in den Allgemeinen Geschäftsbedingungen (AGB) geklagt. Zuvor hatte das Unternehmen zum Großteil der vom VKI abgemahnten Klauseln bereits eine Unterlassungserklärung abgeben. Hinsichtlich der nicht unterlassenen Klauseln, welche Regelungen zum Datenschutz bei vernetzten Autos enthielten, brachte der VKI in weiterer Folge eine Verbandsklage ein. Der Oberste Gerichtshof (OGH) erklärt die eingeklagten Klauseln nun für gesetzwidrig.
Vernetzte Autos (connected cars) sind Fahrzeuge, die über das Internet verbunden sind und über eine Vielzahl von Geräten zur Datenmessung und -sammlung verfügen. Dadurch können etwa Assistenzsysteme bei der Fahrt unterstützen, das Smartphone mit dem Infotainment-System verbunden werden, Daten über den technischen Zustand des Autos übermittelt werden, aber auch Informationen über den Fahrstil gesammelt und Bewegungsprofile erstellt werden. Auch die geklagte Autovermietung AVIS bietet Mietfahrzeuge an, die entweder bereits vom Hersteller oder nachträglich mit internetfähigen Geräten ausgestattet wurden.
Eine der beiden eingeklagten Klauseln von AVIS regelte, dass die im vernetzten Fahrzeug integrierten Geräte stets aktiv sind, solange Verbraucherinnen und Verbraucher keine Deaktivierung vornehmen – selbst dann, wenn andere Dienste oder Medien im Fahrzeug ausgeschaltet bzw. nicht benötigt werden. Diese Regelung verstößt laut OGH gegen die Grundsätze der Datenminimierung sowie des Datenschutzes durch datenschutzfreundliche Voreinstellungen (Privacy by Default) – und damit folglich gegen die Datenschutzgrundverordnung (DSGVO). Dem Grundsatz der Datenminimierung folgend dürfen Voreinstellungen nur die Verarbeitung von personenbezogenen Daten vorsehen, die für den jeweiligen bestimmten Verarbeitungszweck auch tatsächlich erforderlich sind. Ein Verstoß gegen Privacy by Default liegt vor, da die Verbraucherinnen und Verbraucher von sich aus aktiv werden müssen, um eine Verbesserung des – voreingestellten schlechteren – Datenschutzniveaus zu erreichen.
Eine weitere Klausel beschäftigte sich mit dem Widerruf der Zustimmung zur Datenverarbeitung, z.B. bei Verbindung des Mobiltelefons mit dem Infotainment-System (Autoradio, Navigationsgerät, Freisprecheinrichtung, etc.) des vernetzten Fahrzeuges. Die Klausel sieht vor, dass diese Zustimmung zur Datenverarbeitung zurückgezogen werden kann, indem Verbraucherinnen und Verbraucher ihr Gerät ausschalten bzw. abkoppeln und ihre Informationen im Infotainment-System des Fahrzeuges löschen. Laut OGH wird Verbraucherinnen und Verbrauchern mit dieser Klausel jedoch nicht klar vor Augen geführt, wie sie im Vorfeld ihre Einwilligung zur Datenverarbeitung im Zuge der Nutzung des Infotainment-Systems überhaupt erteilen. Denn weitere Informationen über die Zustimmung zur Datenverarbeitung befinden sich – auffindbar lediglich in Form einer ungenauen Verweiskette – an anderen Stellen. Der OGH beurteilte die gegenständliche Klausel daher als intransparent, weil sich Verbraucherinnen und Verbraucher die nötigen Informationen zu den Modalitäten der Einwilligung selbst „zusammensuchen“ müssen.
„Vernetzte Autos sammeln unzählige Daten, wie beispielsweise über den Fahrstil, Kontaktdaten in Adressbüchern, diverse Nutzerkonten von Musikstreamingdiensten oder auch Ortsangaben. Dadurch können beispielsweise Bewegungsprofile erstellt werden. Werden Telefonnummer, Adressen, Mailadressen oder gar die auf einem Smartphone abgespeicherten Fotos mit einem Infotainment-System synchronisiert, droht die Gefahr von Daten-Diebstählen, wenn Verbraucherinnen und Verbraucher die Daten bei Rückgabe des Mietwagens nicht löschen“, skizziert Dr. Joachim Kogelmann mögliche Risiken. „Gerade deswegen müssen Datenschutzklauseln klar und transparent gestaltet werden und gerade deshalb ist es so wichtig, dass Verbraucherinnen und Verbraucher klar nachvollziehen können, was mit ihren Daten geschieht und welche Rechte ihnen zustehen.“
Mit dem Urteil stellt der OGH erstmals klar, dass auch die Verpflichtung zum „Datenschutz durch Technikgestaltung“ gerade den Schutz individueller Betroffener bezweckt. „Das ist eine für den Rechtsschutz von Verbraucherinnen und Verbrauchern wesentliche Weichenstellung“, erläutert Dr. Petra Leupold, Leiterin der VKI-Akademie und Datenschutzexpertin. „Damit haben Betroffene auch bei einem Verstoß gegen das Privacy by Default-Prinzip Rechte bis hin zum Schadenersatz, die sie bei Bedarf gerichtlich durchsetzen können.“
SERVICE: Das OGH-Urteil im Volltext gibt es auf www.verbraucherrecht.at/AVIS102022.