Update Datenschutzrecht: Nationale und internationale Entwicklungen

Sowohl national wie auch international gibt es rund um Datenschutz aktuell einiges zu berichten: So hat der OGH vor kurzem entschieden, dass Verbraucherschutzverbände in Österreich datenschutzwidrige Klauseln in AGB im Rahmen von Verbandsklagen aufgreifen dürfen. Den damit in Zusammenhang stehenden Handlungsbedarf für Unternehmen sowie die aktuellen Entwicklungen rund um das neue Abkommen zwischen der EU und den USA zum internationalen Datentransfer haben unsere DORDA Datenschutzexperten gerne für Sie zusammengefasst:

Zulässigkeit von Verbandsklagen bei Einbindung von datenschutzrechtlichen Klauseln in AGB

Seit Inkrafttreten der DSGVO war es strittig, ob die nach § 29 KSchG legitimierten Verbände (insb VKI und BAK) auch vermeintlich rechtswidrige Datenschutzinformationen gem Art 13 und 14 DSGVO nach §§ 28, 28a KSchG verfolgen können. Sowohl der deutsche Bundesgerichtshof als auch der OGH wandten sich dazu mit entsprechenden Vorabentscheidungsfragen an den EuGH. Im April 2022 entschied dieser zusammengefasst, dass die DSGVO solchen Klagen nicht entgegensteht, sofern das nationale Recht entsprechende Regelungen dazu vorsieht. Unsere Datenschutzexperten haben in unseren DSGVO Clarity Talks bereits über dieses Urteil berichtet. Nunmehr liegt die erste Entscheidung des OGH (6 Ob 106/22i) zu dieser Thematik vor:

Das beklagte Unternehmen hatte in seinen AGB einen Anhang zu Datenschutz integriert. Im ersten Absatz wurde die Zustimmung zum Vertrag gleichzeitig als Akzeptanz der datenschutzrechtlichen Regelungen vorgesehen. Der OGH fasste den Anhang daher nicht als bloßes Informationsdokument, sondern als Vertragsbestandteil auf. Der Inhalt der Klauseln würde die Vertragsbeziehung inhaltlich gestalten und nicht mehr bloß – wie von Art 13 und 14 DSGVO eigentlich vorgesehen – als Aufklärung über die Datenverarbeitung dienen. Folglich sind die Datenschutzregelungen im Anhang auch als Bestandteil der AGB einzuordnen und unterliegen damit auch der Prüfkompetenz des Verbraucherschutzverbands.

Bis heute hat sich in der Praxis der Mythos hartnäckig gehalten, dass Datenschutzhinweise von Betroffenen aktiv und dokumentiert angenommen werden müssen. Dies ist Art 13 und 14 DSGVO jedoch gar nicht vorgesehen und handelt es sich hierbei vielmehr bewusst um bloße (und damit einseitige) Informationspflichten. Durch Einbindung in die AGB – etwa durch Aufnahme datenschutzrechtlicher Klauseln, Einwilligungserklärungen oder Links auf die Datenschutzhinweise – werden diese jedoch unweigerlich zum Vertragsinhalt erhoben. Damit unterliegen sie sodann auch der Prüfkompetenz des VKI und der BAK, die folglich regelmäßig in Klauselverfahren auch datenschutzrechtliche Punkte aufgreifen. Es ist daher besonders wichtig, dass die Datenschutzhinweise gegenüber Verbrauchern klar von den AGB und sonstigen Vertragsinhalten getrennt sind. Hier besteht aus unserer Erfahrung ein akuter Handlungsbedarf bei Unternehmen. Die aktuelle Entscheidung ist ein guter Anlass, die eigenen AGB zu prüfen und etwaige Verlinkungen aufzulösen.

Derzeit sind noch weitere Verfahren zu ähnlichen Rechtsfragen beim OGH anhängig, die nun in den kommenden Wochen und Monaten entschieden werden. Wir halten Sie dazu am Laufenden.

Update zum EU-US-Datentransfer: Privacy Shield 2.0 (oder Safe Harbor 3.0) steht unmittelbar vor der Tür

Aller guten Dinge sind Drei: Am 7.10.2022 hat US-Präsident Biden eine präsidentielle Verfügung (Executive Order) zur Implementierung des European Union-US Data Privacy Framework (EU-US DPF) unterschrieben. Diese Verfügung beinhaltet diverse wesentliche Anordnungen für die Verarbeitung von personenbezogenen Daten aus der EU durch US-Geheimdienste. Die wichtigste Neuerung ist dabei die Einrichtung des Data Protection Review Court (DPRC) für die gerichtliche Kontrolle von Beschwerden durch betroffene Personen. Damit sollen die vom EuGH im Juli 2020 zu Schrems II (Rs C-311/18) aufgezeigten Rechtschutzlücken geschlossen werden. Der nun noch ausständige Schritt zur Wiederherstellung der Rechtssicherheit im internationalen Datentransfer ist der formale Angemessenheitsbeschluss der EU-Kommission. Dieser wurde bereits am selben Tag angekündigt. Im Gegenzug haben aber auch NOYB und Max Schrems bereits verlautbart, das EU-US DPF im Detail zu prüfen und ggfs neue Gerichtsverfahren einzuleiten. Wir werden Sie über die nächsten Schritte und weiteren Entwicklungen wie gewohnt informieren.

Sowohl national wie auch international gibt es rund um Datenschutz aktuell einiges zu berichten: So hat der OGH vor kurzem entschieden, dass Verbraucherschutzverbände in Österreich datenschutzwidrige Klauseln in AGB im Rahmen von Verbandsklagen aufgreifen dürfen. Den damit in Zusammenhang stehenden Handlungsbedarf für Unternehmen sowie die aktuellen Entwicklungen rund um das neue Abkommen zwischen der EU und den USA zum internationalen Datentransfer haben unsere DORDA Datenschutzexperten gerne für Sie zusammengefasst:

Zulässigkeit von Verbandsklagen bei Einbindung von datenschutzrechtlichen Klauseln in AGB

Seit Inkrafttreten der DSGVO war es strittig, ob die nach § 29 KSchG legitimierten Verbände (insb VKI und BAK) auch vermeintlich rechtswidrige Datenschutzinformationen gem Art 13 und 14 DSGVO nach §§ 28, 28a KSchG verfolgen können. Sowohl der deutsche Bundesgerichtshof als auch der OGH wandten sich dazu mit entsprechenden Vorabentscheidungsfragen an den EuGH. Im April 2022 entschied dieser zusammengefasst, dass die DSGVO solchen Klagen nicht entgegensteht, sofern das nationale Recht entsprechende Regelungen dazu vorsieht. Unsere Datenschutzexperten haben in unseren DSGVO Clarity Talks bereits über dieses Urteil berichtet. Nunmehr liegt die erste Entscheidung des OGH (6 Ob 106/22i) zu dieser Thematik vor:

Das beklagte Unternehmen hatte in seinen AGB einen Anhang zu Datenschutz integriert. Im ersten Absatz wurde die Zustimmung zum Vertrag gleichzeitig als Akzeptanz der datenschutzrechtlichen Regelungen vorgesehen. Der OGH fasste den Anhang daher nicht als bloßes Informationsdokument, sondern als Vertragsbestandteil auf. Der Inhalt der Klauseln würde die Vertragsbeziehung inhaltlich gestalten und nicht mehr bloß – wie von Art 13 und 14 DSGVO eigentlich vorgesehen – als Aufklärung über die Datenverarbeitung dienen. Folglich sind die Datenschutzregelungen im Anhang auch als Bestandteil der AGB einzuordnen und unterliegen damit auch der Prüfkompetenz des Verbraucherschutzverbands.

Bis heute hat sich in der Praxis der Mythos hartnäckig gehalten, dass Datenschutzhinweise von Betroffenen aktiv und dokumentiert angenommen werden müssen. Dies ist Art 13 und 14 DSGVO jedoch gar nicht vorgesehen und handelt es sich hierbei vielmehr bewusst um bloße (und damit einseitige) Informationspflichten. Durch Einbindung in die AGB – etwa durch Aufnahme datenschutzrechtlicher Klauseln, Einwilligungserklärungen oder Links auf die Datenschutzhinweise – werden diese jedoch unweigerlich zum Vertragsinhalt erhoben. Damit unterliegen sie sodann auch der Prüfkompetenz des VKI und der BAK, die folglich regelmäßig in Klauselverfahren auch datenschutzrechtliche Punkte aufgreifen. Es ist daher besonders wichtig, dass die Datenschutzhinweise gegenüber Verbrauchern klar von den AGB und sonstigen Vertragsinhalten getrennt sind. Hier besteht aus unserer Erfahrung ein akuter Handlungsbedarf bei Unternehmen. Die aktuelle Entscheidung ist ein guter Anlass, die eigenen AGB zu prüfen und etwaige Verlinkungen aufzulösen.

Derzeit sind noch weitere Verfahren zu ähnlichen Rechtsfragen beim OGH anhängig, die nun in den kommenden Wochen und Monaten entschieden werden. Wir halten Sie dazu am Laufenden.

Update zum EU-US-Datentransfer: Privacy Shield 2.0 (oder Safe Harbor 3.0) steht unmittelbar vor der Tür

Aller guten Dinge sind Drei: Am 7.10.2022 hat US-Präsident Biden eine präsidentielle Verfügung (Executive Order) zur Implementierung des European Union-US Data Privacy Framework (EU-US DPF) unterschrieben. Diese Verfügung beinhaltet diverse wesentliche Anordnungen für die Verarbeitung von personenbezogenen Daten aus der EU durch US-Geheimdienste. Die wichtigste Neuerung ist dabei die Einrichtung des Data Protection Review Court (DPRC) für die gerichtliche Kontrolle von Beschwerden durch betroffene Personen. Damit sollen die vom EuGH im Juli 2020 zu Schrems II (Rs C-311/18) aufgezeigten Rechtschutzlücken geschlossen werden. Der nun noch ausständige Schritt zur Wiederherstellung der Rechtssicherheit im internationalen Datentransfer ist der formale Angemessenheitsbeschluss der EU-Kommission. Dieser wurde bereits am selben Tag angekündigt. Im Gegenzug haben aber auch NOYB und Max Schrems bereits verlautbart, das EU-US DPF im Detail zu prüfen und ggfs neue Gerichtsverfahren einzuleiten. Wir werden Sie über die nächsten Schritte und weiteren Entwicklungen wie gewohnt informieren.