Kopf
Der Oberste Gerichtshof hat als Revisionsgericht durch die Senatspräsidentin Dr. Solé als Vorsitzende und die Hofrätinnen und die Hofräte Mag. Dr. Wurdinger, Mag. Malesich, Dr. Faber und Dr. Weber als weitere Richter in der Rechtssache der klagenden Partei Verein für Konsumenteninformation, 1060 Wien, Linke Wienzeile 18, vertreten durch Kosesnik-Wehrle & Langer Rechtsanwälte KG in Wien, gegen die beklagte Partei W* AG *, vertreten durch die Schönherr Rechtsanwälte GmbH in Wien, wegen Unterlassung (Streitwert 30.500 EUR) und Urteilsveröffentlichung (Streitwert 5.500 EUR), über die Revision der klagenden Partei gegen das Urteil des Oberlandesgerichts Wien als Berufungsgericht vom 17. Juni 2020, GZ 5 R 157/19y-16, womit das Urteil des Handelsgerichts Wien vom 1. Oktober 2019, GZ 11 Cg 12/19f-12, abgeändert wurde, beschlossen und zu Recht erkannt:
Spruch
I. Das Verfahren über die Revision der klagenden Partei wird fortgesetzt.römisch eins. Das Verfahren über die Revision der klagenden Partei wird fortgesetzt.
II. Der Revision wird Folge gegeben.römisch zwei. Der Revision wird Folge gegeben.
Das angefochtene Urteil wird dahingehend abgeändert, dass das Urteil des Erstgerichts wiederhergestellt wird.
Die beklagte Partei ist schuldig, der klagenden Partei binnen 14 Tagen die mit 3.051,12 EUR (darin enthalten 508,52 EUR an Umsatzsteuer) bestimmten Kosten des Berufungsverfahrens sowie die mit 5.058,80 EUR (darin enthalten 366,30 EUR an Umsatzsteuer und 2.861 EUR an Barauslagen) bestimmten Kosten des Revisionsverfahrens zu ersetzen.
Text
Entscheidungsgründe:
[1] Der klagende Verein ist ein nach § 29 KSchG klagebefugter Verein. Die beklagte Partei ist ein Versicherungsunternehmen. [1] Der klagende Verein ist ein nach Paragraph 29, KSchG klagebefugter Verein. Die beklagte Partei ist ein Versicherungsunternehmen.
[2] Die Beklagte verwendet gegenüber Verbrauchern ein als Datenschutzhinweis bezeichnetes Dokument. Im Versicherungsantrag muss der Kunde bestätigen, den Datenschutzhinweis zur Kenntnis genommen zu haben.
Der Datenschutzhinweis lautet auszugsweise: [Anmerkung: Die vom Kläger beanstandeten Klauseln sind kursiv geschrieben]
„DATENSCHUTZHINWEIS
[…]
Im Folgenden finden Sie nähere Informationen darüber, wie wir Ihre Daten verarbeiten. Sollten Sie Anliegen oder Fragen zur Verarbeitung Ihrer Daten durch unser Unternehmen haben, ersuchen wir Sie, unseren Datenschutzbeauftragten unter datenschutz@s-versicherung.at zu kontaktieren.
Ihr Versicherungsverhältnis
[...]
Umfang der Datenverwendung
Wenn Sie bei uns den Abschluss einer Versicherung beantragen, so geben Sie uns personenbezogene Daten und gegebenenfalls auch Betriebs- und Geschäftsgeheimnisse sowohl von Ihnen wie auch von Ihren Angehörigen, Mitarbeitern oder von sonstigen Dritten bekannt. In all diesen Fällen gehen wir grundsätzlich von Ihrer Berechtigung zur Bekanntgabe dieser Daten aus. Wir verwenden Ihre Daten und die Daten solcher Dritter, die von Ihnen genannt werden, in unserem berechtigten Interesse als Verantwortliche Ihrer Datenverarbeitung und in jenem Ausmaß, als dies zur ordnungsgemäßen Begründung und Abwicklung unseres Versicherungsverhältnisses mit Ihnen notwendig ist. [Klausel 1]
[...]
Weitergabe der Daten an Dritte
Der Komplexität heutiger Datenverarbeitungsprozesse ist es geschuldet, dass wir uns mitunter Dienstleistern bedienen und diese mit der Verarbeitung ihrer Daten beauftragen. Manche dieser Dienstleister befinden sich außerhalb des Gebiets der Europäischen Union. In allen Fällen der Inanspruchnahme von Dienstleistern tragen wir jedoch stets dafür Sorge, dass das europäische Datenschutzniveau und die europäischen Datensicherheits-standards gewahrt bleiben. Auch kann es im Rahmen unserer Geschäftsfallbearbeitungen erforderlich sein, dass wir innerhalb unseres Versicherungsunternehmens oder innerhalb unserer Versicherungsgruppe Ihre Daten transferieren oder gemeinschaftlich verarbeiten. Auch in diesen Fällen bleiben die europäischen Datensicherheitsstandards stets gewahrt. [Klausel 2]
[...]
Automatisierte Datenverarbeitungsprozesse
Um Ihnen eine möglichst effiziente Geschäftsfallbearbeitung zu bieten, verwenden wir zum Teil automatisierte Prüfprogramme, die auf Basis Ihrer Angaben im Versicherungsantrag das Versicherungsrisiko bestimmen und beispielsweise die Höhe Ihrer Versicherungsprämien oder auch Ihre allfälligen Risikoausschlüsse festlegen. Auch lassen wir durch solche Programme in Teilbereichen unsere Leistungspflicht im Schadensfall automatisiert bestimmen. Die in diesen Programmen verwendeten Prüfparameter bemessen sich an versicherungsmathematischen Erfahrungssätzen und sichern insofern einen objektiven Beurteilungsmaßstab. [Klausel 3] Sie können die Vornahme solcher automatisierter Verfahren zu Ihrer Person und zu Ihren Geschäftsfällen ablehnen und stattdessen in allen Fällen die manuelle Bearbeitung Ihrer Angelegenheit durch unsere Unternehmensmitarbeiter verlangen.
[...]
Unsere Datenaufbewahrung
Grundsätzlich bewahren wir Ihre Daten für die Dauer unserer Versicherungsbeziehung mit Ihnen auf. Darüber hinaus sind wir vielfältigen Aufbewahrungspflichten unterworfen, gemäß denen wir Daten zu Ihrer Person, zu Drittpersonen (etwa Mitversicherten), zu Ihren Leistungsfällen und zu Ihrem Versicherungsverhältnis über die Beendigung des Versicherungsverhältnisses hinaus oder auch nach Abschluss eines Leistungsfalls aufzubewahren haben, wie dies etwa aufgrund der unternehmensrechtlichen Aufbewahrungsfristen der Fall ist. Wir bewahren Ihre Daten zudem so lange auf, wie die Geltendmachung von Rechtsansprüchen aus unserem Versicherungsverhältnis mit Ihnen möglich ist. [Klausel 4]
Die Erforderlichkeit der Verarbeitung Ihrer Daten
Die Bereitstellung Ihrer personenbezogenen Daten sowie gegebenenfalls von Dritten, die Sie namhaft machen, ist zur Prüfung Ihres Versicherungsrisikos, zur Begründung unseres Versicherungsverhältnisses und zur Erfüllung Ihrer Leistungsansprüche erforderlich. [Klausel 5] Sollten Sie uns diese Daten nicht oder nicht im benötigten Umfang bereitstellen, so können wir das von Ihnen gewünschte Versicherungsverhältnis unter Umständen nicht begründen oder Ihren Leistungsfall nicht erfüllen. Bitte beachten Sie, dass dies nicht als vertragliche Nichterfüllung unsererseits gelten würde. [Klausel 6] [...]“
[3] Der Kläger begehrt gestützt auf seine Aktivlegitimation nach den §§ 28, 29 KSchG, die Beklagte schuldig zu erkennen, es im geschäftlichen Verkehr mit Verbrauchern zu unterlassen, in Allgemeinen Geschäftsbedingungen, die diese von ihr geschlossenen Verträgen zugrundelegt und/oder in hierbei verwendeten Vertragsformblättern (hier konkret als „Datenschutzhinweis“ betitelt), sechs näher bezeichnete und sinngleiche Klauseln zu verwenden oder sich darauf zu berufen, weil diese nach Ansicht des Klägers gegen die im Einzelnen angeführten Bestimmungen der DSGVO verstoßen. [3] Der Kläger begehrt gestützt auf seine Aktivlegitimation nach den Paragraphen 28, 29, KSchG, die Beklagte schuldig zu erkennen, es im geschäftlichen Verkehr mit Verbrauchern zu unterlassen, in Allgemeinen Geschäftsbedingungen, die diese von ihr geschlossenen Verträgen zugrundelegt und/oder in hierbei verwendeten Vertragsformblättern (hier konkret als „Datenschutzhinweis“ betitelt), sechs näher bezeichnete und sinngleiche Klauseln zu verwenden oder sich darauf zu berufen, weil diese nach Ansicht des Klägers gegen die im Einzelnen angeführten Bestimmungen der DSGVO verstoßen.
[4] Die Beklagte beantragte die Abweisung des Klagebegehrens und erwiderte, dem Kläger fehle schon die Aktivlegitimation. Eine Verbandsklagebefugnis für Datenschutzverletzungen nach der DSGVO habe der Gesetzgeber nicht geschaffen. Dem Kläger käme daher nur dann ein Klagerecht zu, wenn die Datenschutzinformation als Vertragsformblatt zu werten sei, was hier nicht zutreffe. Die Klauseln seien im Übrigen ausreichend klar formuliert und stünden mit dem Gesetz und den guten Sitten in Einklang.
[5] Das Erstgericht gab dem Klagebegehren statt.
[6] Das Berufungsgericht änderte diese Entscheidung im Sinn der Abweisung der Klagebegehren mit der wesentlichen Begründung ab, dass dem Datenschutzhinweis im vorliegenden Fall kein Vertragserklärungscharakter (kein Rechtsfolgewille) zukomme. Es sprach aus, dass die ordentliche Revision zulässig sei, weil es sich um einen vom Obersten Gerichtshof bisher noch nicht beurteilten Datenschutzhinweis einer Geschäftsbranche handle, welcher regelmäßig für eine größere Anzahl von Verbrauchern bestimmt und von Bedeutung sei; überdies sei die Rechtslage nicht so eindeutig, dass nur eine Möglichkeit der Beurteilung in Betracht käme.
[7] Gegen diese Entscheidung richtet sich die Revision des Klägers mit dem Antrag auf Abänderung im Sinn der Wiederherstellung des dem Klagebegehren stattgebenden Ersturteils.
[8] Die Beklagte erstattete eine Revisionsbeantwortung und beantragte, die Revision zurückzuweisen, hilfsweise dieser nicht Folge zu geben.
Zu I.:Zu römisch eins.:
[9] 1. Der Senat hat aus Anlass der Revision mit Beschluss vom 27. Jänner 2021, AZ 7 Ob 175/20s, das Revisionsverfahren bis zur Entscheidung des Gerichtshofs der Europäischen Union über das Vorabentscheidungsersuchen vom 25. November 2020 des Obersten Gerichtshofs (AZ 6 Ob 77/20x), Rechtssache C-701/20, Avis Autovermietung Gesellschaft mbH/Verein für Konsumenteninformation, unterbrochen.
[10] 2. Der Oberste Gerichtshof hat mit Beschluss vom 18. Mai 2022, AZ 6 Ob 77/20x, das zu C-701/20 anhängige Vorabentscheidungsersuchen zurückgezogen, weil der Gerichtshof der Europäischen Union die strittige Rechtsfrage in der Rechtssache C-319/20, Meta Platforms Ireland Ltd./Verbraucherzentrale Bundesverband e.V., mit Urteil vom 28. April 2022 geklärt hat.
[11] 3. Das Revisionsverfahren ist daher fortzusetzen.
Zu II.:Zu römisch zwei.:
Rechtliche Beurteilung
[12] Die Revision ist aus den vom Berufungsgericht genannten Gründen zulässig; sie ist auch berechtigt.
1. Aktivlegitimation
[13] Der Oberste Gerichtshof richtete (wie schon inhaltlich gleichlautend vorher der deutsche Bundesgerichtshof) zu AZ 6 Ob 77/20x folgendes Vorabentscheidungsersuchen an den EuGH:
„Stehen die Regelungen in Kapitel VIII, insbesondere in Art. 80 Abs. 1 und 2 sowie Art. 84 Abs. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, ABl. L 119/1 vom 4. Mai 2016, S. 1; im Folgenden 'DSGVO') nationalen Regelungen entgegen, die – neben den Eingriffsbefugnissen der zur Überwachung und Durchsetzung der Verordnung zuständigen Aufsichtsbehörden und den Rechtsschutzmöglichkeiten der betroffenen Personen – einerseits Mitbewerbern und andererseits nach dem nationalen Recht berechtigten Verbänden, Einrichtungen und Kammern die Befugnis einräumen, wegen Verstößen gegen die DSGVO unabhängig von der Verletzung konkreter Rechte einzelner betroffener Personen und ohne Auftrag einer betroffenen Person gegen den Verletzer im Wege einer Klage vor den Zivilgerichten unter den Gesichtspunkten des Verbots der Vornahme unlauterer Geschäftspraktiken oder des Verstoßes gegen ein Verbraucherschutzgesetz oder des Verbots der Verwendung unwirksamer Allgemeiner Geschäftsbedingungen vorzugehen?“„Stehen die Regelungen in Kapitel römisch acht, insbesondere in Artikel 80, Absatz eins und 2 sowie Artikel 84, Absatz eins, der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, ABl. L 119/1 vom 4. Mai 2016, Sitzung eins, ; im Folgenden 'DSGVO') nationalen Regelungen entgegen, die – neben den Eingriffsbefugnissen der zur Überwachung und Durchsetzung der Verordnung zuständigen Aufsichtsbehörden und den Rechtsschutzmöglichkeiten der betroffenen Personen – einerseits Mitbewerbern und andererseits nach dem nationalen Recht berechtigten Verbänden, Einrichtungen und Kammern die Befugnis einräumen, wegen Verstößen gegen die DSGVO unabhängig von der Verletzung konkreter Rechte einzelner betroffener Personen und ohne Auftrag einer betroffenen Person gegen den Verletzer im Wege einer Klage vor den Zivilgerichten unter den Gesichtspunkten des Verbots der Vornahme unlauterer Geschäftspraktiken oder des Verstoßes gegen ein Verbraucherschutzgesetz oder des Verbots der Verwendung unwirksamer Allgemeiner Geschäftsbedingungen vorzugehen?“
1.2. In dem vom deutschen Bundesgerichtshof angestrengten Vorabentscheidungsersuchen entschied der Gerichtshof der Europäischen Union mit Urteil vom 28. April 2022 (C-319/20) und sprach aus:
„Art. 80 Abs. 2 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist dahin auszulegen, dass er einer nationalen Regelung, nach der ein Verband zur Wahrung von Verbraucherinteressen gegen den mutmaßlichen Verletzer des Schutzes personenbezogener Daten ohne entsprechenden Auftrag und unabhängig von der Verletzung konkreter Rechte betroffener Personen Klage mit der Begründung erheben kann, dass gegen das Verbot der Vornahme unlauterer Geschäftspraktiken, ein Verbraucherschutzgesetz oder das Verbot der Verwendung unwirksamer Allgemeiner Geschäftsbedingungen verstoßen worden sei, nicht entgegensteht, sofern die betreffende Datenverarbeitung die Rechte identifizierter oder identifizierbarer natürlicher Personen aus dieser Verordnung beeinträchtigen kann.“„"Art". 80 Absatz 2, der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist dahin auszulegen, dass er einer nationalen Regelung, nach der ein Verband zur Wahrung von Verbraucherinteressen gegen den mutmaßlichen Verletzer des Schutzes personenbezogener Daten ohne entsprechenden Auftrag und unabhängig von der Verletzung konkreter Rechte betroffener Personen Klage mit der Begründung erheben kann, dass gegen das Verbot der Vornahme unlauterer Geschäftspraktiken, ein Verbraucherschutzgesetz oder das Verbot der Verwendung unwirksamer Allgemeiner Geschäftsbedingungen verstoßen worden sei, nicht entgegensteht, sofern die betreffende Datenverarbeitung die Rechte identifizierter oder identifizierbarer natürlicher Personen aus dieser Verordnung beeinträchtigen kann.“
[14] 1.3. Damit ist geklärt, dass das Unionsrecht in Gestalt der DSGVO der Klagebefugnis des klagenden Vereins nicht entgegensteht (6 Ob 106/22i).
2. Allgemeines
[15] 2.1. Gemäß § 28 Abs 1 KSchG kann auf Unterlassung geklagt werden, wer im geschäftlichen Verkehr in Allgemeinen Geschäftsbedingungen (AGB), die er von ihm geschlossenen Verträgen zugrunde legt, oder in hiebei verwendeten Formblättern für Verträge Bedingungen vorsieht, die gegen ein gesetzliches Verbot oder gegen die guten Sitten verstoßen, oder wer solche Bedingungen für den geschäftlichen Verkehr empfiehlt. Der Unterlassungsanspruch ist nicht allein auf die Kontrolle und Durchsetzung der Verbote des § 6 KSchG und des § 879 ABGB beschränkt, sondern umfasst auch die Verletzung weiterer zivilrechtlicher wie auch öffentlich-rechtlicher Vorschriften (RS0110990 [T4]). Darunter fällt auch der Verstoß gegen Bestimmungen des jeweils anwendbaren Datenschutzrechts (RS0110990 [T6]). [15] 2.1. Gemäß Paragraph 28, Absatz eins, KSchG kann auf Unterlassung geklagt werden, wer im geschäftlichen Verkehr in Allgemeinen Geschäftsbedingungen (AGB), die er von ihm geschlossenen Verträgen zugrunde legt, oder in hiebei verwendeten Formblättern für Verträge Bedingungen vorsieht, die gegen ein gesetzliches Verbot oder gegen die guten Sitten verstoßen, oder wer solche Bedingungen für den geschäftlichen Verkehr empfiehlt. Der Unterlassungsanspruch ist nicht allein auf die Kontrolle und Durchsetzung der Verbote des Paragraph 6, KSchG und des Paragraph 879, ABGB beschränkt, sondern umfasst auch die Verletzung weiterer zivilrechtlicher wie auch öffentlich-rechtlicher Vorschriften (RS0110990 [T4]). Darunter fällt auch der Verstoß gegen Bestimmungen des jeweils anwendbaren Datenschutzrechts (RS0110990 [T6]).
[16] 2.2. Nach der Rechtsprechung sind unter Allgemeinen Geschäftsbedingungen alle für eine Vielzahl von Verträgen vorformulierten Vertragsbedingungen zu verstehen, die eine Vertragspartei (Verwender) der anderen Vertragspartei bei Abschluss eines Vertrags stellt und die seinen Inhalt determinieren (8 Ob 125/21x Rz 20 mwN). Gleichgültig ist, ob die Bestimmungen einen äußerlich gesonderten Bestandteil des Vertrags bilden oder in die Vertragsurkunde selbst aufgenommen werden, welchen Umfang sie haben, in welcher Schriftart sie verfasst sind und welche Form der Vertrag hat (RS0123499 [T7]). Eine Formulierung ist grundsätzlich unbedenklich, wenn sie keine Willenserklärung des Verbrauchers enthält, sondern bloß dessen Aufklärung dient (RS0131601 [insb T3]). Wenn allerdings solche Informationsklauseln – bei der gebotenen kundenfeindlichsten Auslegung (vgl RS0016590) – über eine bloße Aufklärung des Verbrauchers hinausgehen und den Vertragsinhalt gestalten, können diese Regelungen Gegenstand der Verbandsklage nach § 28 Abs 1 KSchG sein (vgl 6 Ob 106/22i mwN; vgl auch RS0131601 [T4]). [16] 2.2. Nach der Rechtsprechung sind unter Allgemeinen Geschäftsbedingungen alle für eine Vielzahl von Verträgen vorformulierten Vertragsbedingungen zu verstehen, die eine Vertragspartei (Verwender) der anderen Vertragspartei bei Abschluss eines Vertrags stellt und die seinen Inhalt determinieren (8 Ob 125/21x Rz 20 mwN). Gleichgültig ist, ob die Bestimmungen einen äußerlich gesonderten Bestandteil des Vertrags bilden oder in die Vertragsurkunde selbst aufgenommen werden, welchen Umfang sie haben, in welcher Schriftart sie verfasst sind und welche Form der Vertrag hat (RS0123499 [T7]). Eine Formulierung ist grundsätzlich unbedenklich, wenn sie keine Willenserklärung des Verbrauchers enthält, sondern bloß dessen Aufklärung dient (RS0131601 [insb T3]). Wenn allerdings solche Informationsklauseln – bei der gebotenen kundenfeindlichsten Auslegung vergleiche RS0016590) – über eine bloße Aufklärung des Verbrauchers hinausgehen und den Vertragsinhalt gestalten, können diese Regelungen Gegenstand der Verbandsklage nach Paragraph 28, Absatz eins, KSchG sein vergleiche 6 Ob 106/22i mwN; vergleiche auch RS0131601 [T4]).
[17] Tatsachenbestätigungen, also widerlegbare Erklärungen des Verbrauchers über das Bestehen oder Nichtbestehen einer Tatsache (vgl RS0121955), unterliegen der Klauselkontrolle, wenn sie zu einer unzulässigen Verschiebung der Beweislast oder zumindest im Ergebnis zu dieser Wirkung – also zu einer denkbaren Erschwerung der Beweissituation für den Konsumenten – führen (vgl 1 Ob 57/20v; vgl RS0121955 [T6]) oder wenn es sich um völlig unklare Tatsachenbestätigungen zu Lasten des Verbrauchers handelt, die ihn von der Durchsetzung seiner Rechte abhalten können (vgl 1 Ob 113/17z). [17] Tatsachenbestätigungen, also widerlegbare Erklärungen des Verbrauchers über das Bestehen oder Nichtbestehen einer Tatsache vergleiche RS0121955), unterliegen der Klauselkontrolle, wenn sie zu einer unzulässigen Verschiebung der Beweislast oder zumindest im Ergebnis zu dieser Wirkung – also zu einer denkbaren Erschwerung der Beweissituation für den Konsumenten – führen vergleiche 1 Ob 57/20v; vergleiche RS0121955 [T6]) oder wenn es sich um völlig unklare Tatsachenbestätigungen zu Lasten des Verbrauchers handelt, die ihn von der Durchsetzung seiner Rechte abhalten können vergleiche 1 Ob 113/17z).
[18] 2.3. Die Geltungskontrolle nach § 864a ABGB geht der Inhaltskontrolle gemäß § 879 ABGB vor (RS0037089). Objektiv ungewöhnlich nach § 864a ABGB ist eine Klausel, die von den Erwartungen des Vertragspartners deutlich abweicht, mit der er also nach den Umständen vernünftigerweise nicht zu rechnen braucht. Der Klausel muss ein „Überrumpelungseffekt“ innewohnen (RS0014646). Entscheidend ist, ob die Klausel beim entsprechenden Geschäftstyp üblich ist und ob sie den redlichen Verkehrsgewohnheiten entspricht (RS0105643 [T3]). [18] 2.3. Die Geltungskontrolle nach Paragraph 864 a, ABGB geht der Inhaltskontrolle gemäß Paragraph 879, ABGB vor (RS0037089). Objektiv ungewöhnlich nach Paragraph 864 a, ABGB ist eine Klausel, die von den Erwartungen des Vertragspartners deutlich abweicht, mit der er also nach den Umständen vernünftigerweise nicht zu rechnen braucht. Der Klausel muss ein „Überrumpelungseffekt“ innewohnen (RS0014646). Entscheidend ist, ob die Klausel beim entsprechenden Geschäftstyp üblich ist und ob sie den redlichen Verkehrsgewohnheiten entspricht (RS0105643 [T3]).
[19] 2.4. Nach § 879 Abs 3 ABGB ist eine in Allgemeinen Geschäftsbedingungen oder Vertragsformblättern enthaltene Vertragsbestimmung, die nicht eine der beiderseitigen Hauptleistungen festlegt, nichtig, wenn sie unter Berücksichtigung aller Umstände des Falls einen Teil gröblich benachteiligt. Diese Beurteilung orientiert sich am dispositiven Recht, das als Leitbild eines ausgewogenen und gerechten Interessenausgleichs für den Durchschnittsfall dient (RS0014676). Bei der Abweichung einer Klausel von dispositiven Rechtsvorschriften liegt gröbliche Benachteiligung eines Vertragspartners schon dann vor, wenn sie unangemessen ist (RS0016914; vgl auch RS0014676). Maßgeblich ist, ob es für die Abweichung eine sachliche Rechtfertigung gibt (vgl RS0016914 [T2, T3]; RS0014676 [T21]). [19] 2.4. Nach Paragraph 879, Absatz 3, ABGB ist eine in Allgemeinen Geschäftsbedingungen oder Vertragsformblättern enthaltene Vertragsbestimmung, die nicht eine der beiderseitigen Hauptleistungen festlegt, nichtig, wenn sie unter Berücksichtigung aller Umstände des Falls einen Teil gröblich benachteiligt. Diese Beurteilung orientiert sich am dispositiven Recht, das als Leitbild eines ausgewogenen und gerechten Interessenausgleichs für den Durchschnittsfall dient (RS0014676). Bei der Abweichung einer Klausel von dispositiven Rechtsvorschriften liegt gröbliche Benachteiligung eines Vertragspartners schon dann vor, wenn sie unangemessen ist (RS0016914; vergleiche auch RS0014676). Maßgeblich ist, ob es für die Abweichung eine sachliche Rechtfertigung gibt vergleiche RS0016914 [T2, T3]; RS0014676 [T21]).
[20] 2.5. Nach § 6 Abs 3 KSchG ist eine in Allgemeinen Geschäftsbedingungen oder Vertragsformblättern enthaltene Vertragsbestimmung unwirksam, wenn sie unklar oder unverständlich abgefasst ist. Das Transparenzgebot soll es dem Kunden ermöglichen, sich aus den Allgemeinen Geschäftsbedingungen oder Vertragsbestandteilen zuverlässig über seine Rechte und Pflichten bei der Vertragsabwicklung zu informieren (RS0115217 [T41]). Es soll eine durchschaubare, möglichst klare und verständliche Formulierung Allgemeiner Geschäftsbedingungen sicherstellen, um zu verhindern, dass der für die jeweilige Vertragsart typische Verbraucher von der Durchsetzung seiner Rechte abgehalten wird oder ihm unberechtigt Pflichten abverlangt werden. Das setzt die Verwendung von Begriffen voraus, deren Bedeutung dem typischen Verbraucher geläufig ist oder von ihm jedenfalls festgestellt werden kann. Das können naturgemäß auch Fachbegriffe sein, nicht aber Begriffe, die so unbestimmt sind, dass sich ihr Inhalt jeder eindeutigen Festlegung entzieht. Der durch ihre Verwendung geschaffene weite Beurteilungsspielraum schließt es aus, dass der Verbraucher Klarheit über seine Rechte und Pflichten gewinnen kann (RS0115217 [T3]). Das Transparenzgebot begnügt sich nicht mit formeller Textverständlichkeit, sondern verlangt, dass Inhalt und Tragweite vorgefasster Vertragsklauseln für den Verbraucher „durchschaubar“ sind (RS0122169). Mit dem Verbandsprozess soll nicht nur das Verbot von gesetzwidrigen Klauseln erreicht, sondern es sollen auch jene Klauseln beseitigt werden, die dem Verbraucher ein unzutreffendes oder auch nur unklares Bild seiner vertraglichen Position oder ein unrichtiges Bild der Rechtslage vermitteln (vgl RS0115219 [T14, T21]; RS0121951 [T4]). [20] 2.5. Nach Paragraph 6, Absatz 3, KSchG ist eine in Allgemeinen Geschäftsbedingungen oder Vertragsformblättern enthaltene Vertragsbestimmung unwirksam, wenn sie unklar oder unverständlich abgefasst ist. Das Transparenzgebot soll es dem Kunden ermöglichen, sich aus den Allgemeinen Geschäftsbedingungen oder Vertragsbestandteilen zuverlässig über seine Rechte und Pflichten bei der Vertragsabwicklung zu informieren (RS0115217 [T41]). Es soll eine durchschaubare, möglichst klare und verständliche Formulierung Allgemeiner Geschäftsbedingungen sicherstellen, um zu verhindern, dass der für die jeweilige Vertragsart typische Verbraucher von der Durchsetzung seiner Rechte abgehalten wird oder ihm unberechtigt Pflichten abverlangt werden. Das setzt die Verwendung von Begriffen voraus, deren Bedeutung dem typischen Verbraucher geläufig ist oder von ihm jedenfalls festgestellt werden kann. Das können naturgemäß auch Fachbegriffe sein, nicht aber Begriffe, die so unbestimmt sind, dass sich ihr Inhalt jeder eindeutigen Festlegung entzieht. Der durch ihre Verwendung geschaffene weite Beurteilungsspielraum schließt es aus, dass der Verbraucher Klarheit über seine Rechte und Pflichten gewinnen kann (RS0115217 [T3]). Das Transparenzgebot begnügt sich nicht mit formeller Textverständlichkeit, sondern verlangt, dass Inhalt und Tragweite vorgefasster Vertragsklauseln für den Verbraucher „durchschaubar“ sind (RS0122169). Mit dem Verbandsprozess soll nicht nur das Verbot von gesetzwidrigen Klauseln erreicht, sondern es sollen auch jene Klauseln beseitigt werden, die dem Verbraucher ein unzutreffendes oder auch nur unklares Bild seiner vertraglichen Position oder ein unrichtiges Bild der Rechtslage vermitteln vergleiche RS0115219 [T14, T21]; RS0121951 [T4]).
[21] 2.6. Im Verbandsprozess nach § 28 KSchG hat die Auslegung der Klauseln im „kundenfeindlichsten“ Sinn zu erfolgen (RS0016590). Auf eine etwaige teilweise Zulässigkeit der beanstandeten Klausel kann nicht Rücksicht genommen werden, weil eine geltungserhaltende Reduktion im Verbandsprozess nicht möglich ist (RS0038205). [21] 2.6. Im Verbandsprozess nach Paragraph 28, KSchG hat die Auslegung der Klauseln im „kundenfeindlichsten“ Sinn zu erfolgen (RS0016590). Auf eine etwaige teilweise Zulässigkeit der beanstandeten Klausel kann nicht Rücksicht genommen werden, weil eine geltungserhaltende Reduktion im Verbandsprozess nicht möglich ist (RS0038205).
3. Zur Datenschutzerklärung
[22] 3.1.1. Nach Leupold/Schrems (in Knyrim, DatKomm Art 80 DSGVO Rz 49) unterliegen Datenschutzerklärungen nur dann der Klauselkontrolle, wenn sie als Vertragsbestimmungen anzusehen sind, das heißt Vertragserklärungscharakter (Rechtsfolgewille) haben, und nicht als bloße Hinweise rein der Informationserteilung im Sinn der Art 13 f DSGVO dienen (vgl auch Wendehorst/von Westphalen, Das Verhältnis zwischen Datenschutz-Grundverordnung und AGB-Recht, NJW 2016, 3745 [3748]; Werkmeister in Gola, DS-GVO² Rz 12 f [insb FN 6]). [22] 3.1.1. Nach Leupold/Schrems (in Knyrim, DatKomm Artikel 80, DSGVO Rz 49) unterliegen Datenschutzerklärungen nur dann der Klauselkontrolle, wenn sie als Vertragsbestimmungen anzusehen sind, das heißt Vertragserklärungscharakter (Rechtsfolgewille) haben, und nicht als bloße Hinweise rein der Informationserteilung im Sinn der Artikel 13, f DSGVO dienen vergleiche auch Wendehorst/von Westphalen, Das Verhältnis zwischen Datenschutz-Grundverordnung und AGB-Recht, NJW 2016, 3745 [3748]; Werkmeister in Gola, DS-GVO² Rz 12 f [insb FN 6]).
[23] 3.1.2. Beim Datenschutzhinweis der Beklagten handelt es sich entgegen der Ansicht des Berufungsgerichts um kein bloßes Informationsdokument ohne Rechtsfolgewillen: Der Umstand, dass der Datenschutzhinweis nicht Teil der Allgemeinen Versicherungsbedingungen, sondern ein eigenes Formblatt ist, spricht entgegen der Ansicht der Beklagten nicht gegen dessen Vertragserklärungscharakter, vielmehr kommt es auf die Vertragsgestaltung an. Hier muss der Verbraucher dem Datenschutzhinweis zwar nicht „zustimmen“, allerdings muss er im Versicherungsantrag bestätigen, den Datenschutzhinweis „zur Kenntnis“ genommen zu haben. Dies macht aber keinen relevanten Unterschied, weil die Zurkenntnisnahme auch die Zustimmung zu dessen Inhalt implizieren kann (vgl 4 Ob 221/06p [P 2.28]). [23] 3.1.2. Beim Datenschutzhinweis der Beklagten handelt es sich entgegen der Ansicht des Berufungsgerichts um kein bloßes Informationsdokument ohne Rechtsfolgewillen: Der Umstand, dass der Datenschutzhinweis nicht Teil der Allgemeinen Versicherungsbedingungen, sondern ein eigenes Formblatt ist, spricht entgegen der Ansicht der Beklagten nicht gegen dessen Vertragserklärungscharakter, vielmehr kommt es auf die Vertragsgestaltung an. Hier muss der Verbraucher dem Datenschutzhinweis zwar nicht „zustimmen“, allerdings muss er im Versicherungsantrag bestätigen, den Datenschutzhinweis „zur Kenntnis“ genommen zu haben. Dies macht aber keinen relevanten Unterschied, weil die Zurkenntnisnahme auch die Zustimmung zu dessen Inhalt implizieren kann vergleiche 4 Ob 221/06p [P 2.28]).
[24] 3.1.3. Der Datenschutzhinweis unterliegt daher insgesamt der Klauselkontrolle.
Zu den einzelnen Klauseln:
3.2. Klausel 1
In all diesen Fällen gehen wir grundsätzlich von Ihrer Berechtigung zur Bekanntgabe dieser Daten aus. Wir verwenden Ihre Daten und die Daten solcher Dritter, die von Ihnen genannt werden, in unserem berechtigten Interesse als Verantwortliche Ihrer Datenverarbeitung und in jenem Ausmaß, als dies zur ordnungsgemäßen Begründung und Abwicklung unseres Versicherungsverhältnisses mit Ihnen notwendig ist.
[25] 3.2.1. Das Erstgericht erachtete die Klausel als intransparent, weil sie völlig unbestimmt sei und dem Konsumenten überhaupt keine Information gebe, in welchem Umfang die Beklagte Daten zu verwenden berechtigt sein solle.
[26] Das Berufungsgericht sah darin keine Tatsachenbestätigung des Verbrauchers, sondern eine Wissenserklärung der Beklagten, die ohne Zustimmung des Verbrauchers eine Beweislastverschiebung zu dessen Lasten schon grundsätzlich nicht bewirken könne.
[27] Die Revision argumentiert, durch den ersten Satz werde suggeriert, dass eine Einwilligung für jegliche Form der Datenverarbeitung notwendig sei. Dies führe zu einer unzulässigen Beweislastverschiebung, weil die Beklagte die Bestimmungen der DSGVO nicht nur einhalten müsse, sondern auch die Beweislast für deren Einhaltung treffe. Außerdem werde die notwendige Transparenz nicht eingehalten, weil für den Betroffenen die Rechtsgrundlage der Verarbeitung nicht ersichtlich sei. Weiters differenziere die Klausel nicht zwischen „normalen“ personenbezogenen Daten und besonderer Kategorien personenbezogener Daten. Die in der Klausel angedeuteten Rechtmäßigkeitsgründe würden auch nicht die Anforderungen des Art 9 Abs 2 DSGVO erfüllen. Die Klausel sei auch intransparent iSd § 6 Abs 3 KSchG, weil sie eine Berechtigung für die Beklagte enthalte, die Daten des Konsumenten sowie die Daten Dritter in einem völlig unbestimmten Ausmaß zu verwenden. [27] Die Revision argumentiert, durch den ersten Satz werde suggeriert, dass eine Einwilligung für jegliche Form der Datenverarbeitung notwendig sei. Dies führe zu einer unzulässigen Beweislastverschiebung, weil die Beklagte die Bestimmungen der DSGVO nicht nur einhalten müsse, sondern auch die Beweislast für deren Einhaltung treffe. Außerdem werde die notwendige Transparenz nicht eingehalten, weil für den Betroffenen die Rechtsgrundlage der Verarbeitung nicht ersichtlich sei. Weiters differenziere die Klausel nicht zwischen „normalen“ personenbezogenen Daten und besonderer Kategorien personenbezogener Daten. Die in der Klausel angedeuteten Rechtmäßigkeitsgründe würden auch nicht die Anforderungen des Artikel 9, Absatz 2, DSGVO erfüllen. Die Klausel sei auch intransparent iSd Paragraph 6, Absatz 3, KSchG, weil sie eine Berechtigung für die Beklagte enthalte, die Daten des Konsumenten sowie die Daten Dritter in einem völlig unbestimmten Ausmaß zu verwenden.
[28] Die Revisionsbeantwortung bringt vor, eine Beweislastverschiebung sei aufgrund des datenschutzrechtlichen Accountability-Prinzips nicht möglich, weil die Beklagte ohnehin stets die Berechtigung ihrer Datenverarbeitung nachweisen müsse.
[29] 3.2.2. Bei der gebotenen kundenfeindlichsten Auslegung ist der erste Satz der Klausel so zu verstehen, dass der Versicherungsnehmer erklärt, zur Bekanntgabe seiner Daten sowie der Daten von Dritten an die Beklagte berechtigt zu sein. Damit ist aber im Streitfall eine Erschwerung der Beweissituation für einen Konsumenten zumindest denkbar (vgl RS0121955 [T6]). Wenn die Beklagte behauptet, sie könne sich in einem möglichen Streitverfahren gegen den Verbraucher nicht darauf berufen, dass er seine Berechtigung bestätigt hätte, so fragt sich, welchen Zweck die Beklagte dann mit einer derartigen Klausel verfolgt und warum sie an dieser Klausel festhält. [29] 3.2.2. Bei der gebotenen kundenfeindlichsten Auslegung ist der erste Satz der Klausel so zu verstehen, dass der Versicherungsnehmer erklärt, zur Bekanntgabe seiner Daten sowie der Daten von Dritten an die Beklagte berechtigt zu sein. Damit ist aber im Streitfall eine Erschwerung der Beweissituation für einen Konsumenten zumindest denkbar vergleiche RS0121955 [T6]). Wenn die Beklagte behauptet, sie könne sich in einem möglichen Streitverfahren gegen den Verbraucher nicht darauf berufen, dass er seine Berechtigung bestätigt hätte, so fragt sich, welchen Zweck die Beklagte dann mit einer derartigen Klausel verfolgt und warum sie an dieser Klausel festhält.
[30] Mit dem zweiten Satz der Klausel stimmt der Verbraucher bei kundenfeindlichster Interpretation der Verwendung der Daten in der dort beschriebenen Form zu. Dabei willigt er in die Verwendung seiner Daten und auch jener von Dritten in „jenem Ausmaß, als dies zur ordnungsgemäßen Begründung und Abwicklung unseres Versicherungsverhältnisses mit Ihnen notwendig ist“ ein, was offen lässt, welche Daten die Beklagte in welchem Umfang zu verwenden berechtigt wird (vgl RS0115216; 6 Ob 140/18h P 4.1.2.]), sodass die Klausel schon aus diesem Grund intransparent im Sinn von § 6 Abs 3 KSchG ist. Selbst wenn die Beklagte zur Datenverarbeitung auch ohne Zustimmung der Kunden berechtigt ist (vgl Art 6 Abs 1 lit b und lit f DSGVO), ist kein rechtlich geschütztes Interesse der Beklagten erkennbar, durch eine unklare Vertragsklausel einen weiteren Rechtfertigungsgrund (Einwilligung gemäß Art 6 Abs 1 lit a DSGVO) zu schaffen (vgl 2 Ob 155/16g [P 4.9]; zur Frage der Zulässigkeit des Heranziehens mehrerer Rechtfertigungsgründe siehe Kastelitz/Hötzendorfer/Tschohl in Knyrim, DatKomm Art 6 DSGVO Rz 15; Jahnel, Kommentar zur DSGVO Art 6 Rz 7 ff; Schulz in Gola, DS-GVO2 Art 6 Rz 18; Frenzel in Paal/Pauly, DS-GVO/BDSG2 Art 6 Rz 3, 8). Die Klausel ist daher unzulässig. [30] Mit dem zweiten Satz der Klausel stimmt der Verbraucher bei kundenfeindlichster Interpretation der Verwendung der Daten in der dort beschriebenen Form zu. Dabei willigt er in die Verwendung seiner Daten und auch jener von Dritten in „jenem Ausmaß, als dies zur ordnungsgemäßen Begründung und Abwicklung unseres Versicherungsverhältnisses mit Ihnen notwendig ist“ ein, was offen lässt, welche Daten die Beklagte in welchem Umfang zu verwenden berechtigt wird vergleiche RS0115216; 6 Ob 140/18h P 4.1.2.]), sodass die Klausel schon aus diesem Grund intransparent im Sinn von Paragraph 6, Absatz 3, KSchG ist. Selbst wenn die Beklagte zur Datenverarbeitung auch ohne Zustimmung der Kunden berechtigt ist vergleiche Artikel 6, Absatz eins, Litera b und Litera f, DSGVO), ist kein rechtlich geschütztes Interesse der Beklagten erkennbar, durch eine unklare Vertragsklausel einen weiteren Rechtfertigungsgrund (Einwilligung gemäß Artikel 6, Absatz eins, Litera a, DSGVO) zu schaffen vergleiche 2 Ob 155/16g [P 4.9]; zur Frage der Zulässigkeit des Heranziehens mehrerer Rechtfertigungsgründe siehe Kastelitz/Hötzendorfer/Tschohl in Knyrim, DatKomm Artikel 6, DSGVO Rz 15; Jahnel, Kommentar zur DSGVO Artikel 6, Rz 7 ff; Schulz in Gola, DS-GVO2 Artikel 6, Rz 18; Frenzel in Paal/Pauly, DS-GVO/BDSG2 Artikel 6, Rz 3, 8). Die Klausel ist daher unzulässig.
3.3. Klausel 2
Manche dieser Dienstleister befinden sich außerhalb des Gebiets der Europäischen Union. In allen Fällen der Inanspruchnahme von Dienstleistern tragen wir jedoch stets dafür Sorge, dass das europäische Datenschutzniveau und die europäischen Datensicherheitsstandards gewahrt bleiben. Auch kann es im Rahmen unserer Geschäftsfallbearbeitungen erforderlich sein, dass wir innerhalb unseres Versicherungsunternehmens oder innerhalb unserer Versicherungsgruppe Ihre Daten transferieren oder gemeinschaftlich verarbeiten. Auch in diesen Fällen bleiben die europäischen Datensicherheitsstandards stets gewahrt.
[31] 3.3.1. Das Erstgericht beurteilte die Klausel als intransparent, weil der Konsument nicht aufgeklärt werde, in welchen Fällen seine Daten in welche Drittländer übermittelt werden und welche Datenschutzbestimmungen dort anzuwenden seien.
[32] Das Berufungsgericht führte aus, dass der Kläger einen möglichen vertragsregelnden Charakter der Klausel nicht aufzeige, sondern nur das Fehlen der von Art 13 Abs 1 f DSGVO verlangten Informationen und deren Intransparenz beanstande. [32] Das Berufungsgericht führte aus, dass der Kläger einen möglichen vertragsregelnden Charakter der Klausel nicht aufzeige, sondern nur das Fehlen der von Artikel 13, Absatz eins, f DSGVO verlangten Informationen und deren Intransparenz beanstande.
[33] Die Revision argumentiert, die Klausel verstoße gegen das Transparenzgebot, weil sie den Betroffenen im Unklaren lasse, ob es für die betreffenden Drittländer einen Angemessenheitsbeschluss der Europäischen Kommission und/oder geeignete Garantien gebe. Es liege auch eine gröbliche Benachteiligung iSd § 879 Abs 3 ABGB vor, weil Daten an Drittländer ohne jegliche gesetzlich vorgeschriebene Gewährung des Schutzniveaus weitergegeben werden könnten. Darüber hinaus sei die Klausel intransparent iSd § 6 Abs 3 KSchG, weil der Konsument nicht darüber aufgeklärt werde, in welchen Fällen seine Daten an Drittländer übermittelt werden, um welche Drittländer es sich dabei handle und welche Datenschutzbestimmungen dort anzuwenden seien. [33] Die Revision argumentiert, die Klausel verstoße gegen das Transparenzgebot, weil sie den Betroffenen im Unklaren lasse, ob es für die betreffenden Drittländer einen Angemessenheitsbeschluss der Europäischen Kommission und/oder geeignete Garantien gebe. Es liege auch eine gröbliche Benachteiligung iSd Paragraph 879, Absatz 3, ABGB vor, weil Daten an Drittländer ohne jegliche gesetzlich vorgeschriebene Gewährung des Schutzniveaus weitergegeben werden könnten. Darüber hinaus sei die Klausel intransparent iSd Paragraph 6, Absatz 3, KSchG, weil der Konsument nicht darüber aufgeklärt werde, in welchen Fällen seine Daten an Drittländer übermittelt werden, um welche Drittländer es sich dabei handle und welche Datenschutzbestimmungen dort anzuwenden seien.
[34] Die Revisionsbeantwortung argumentiert, der Kläger verwechsle die Informationspflichten des Art 13 DSGVO mit der Auskunftspflicht gemäß Art 15 DSGVO. Während Art 13 DSGVO eine allgemeine Information über die grundsätzlichen Datenverarbeitungen eines Verantwortlichen verlange, sei unter Art 15 DSGVO auf Anfrage einer Person Auskunft über die konkrete Verarbeitung ihrer Daten zu erteilen. Eine vorab erteilte Auskunft über die konkrete Datenweitergabe sei undurchführbar, weil im Vorhinein nicht bekannt sei, welche konkrete Datenweitergabe erforderlich sein werde. [34] Die Revisionsbeantwortung argumentiert, der Kläger verwechsle die Informationspflichten des Artikel 13, DSGVO mit der Auskunftspflicht gemäß Artikel 15, DSGVO. Während Artikel 13, DSGVO eine allgemeine Information über die grundsätzlichen Datenverarbeitungen eines Verantwortlichen verlange, sei unter Artikel 15, DSGVO auf Anfrage einer Person Auskunft über die konkrete Verarbeitung ihrer Daten zu erteilen. Eine vorab erteilte Auskunft über die konkrete Datenweitergabe sei undurchführbar, weil im Vorhinein nicht bekannt sei, welche konkrete Datenweitergabe erforderlich sein werde.
[35] 3.3.2. Die in Rede stehende Klausel ist bei der gebotenen kundenfeindlichsten Auslegung dahin zu verstehen, dass der Verbraucher nicht bloß über die darin genannte Datenübermittlung informiert wird, sondern dass er ihr – durch Akzeptieren der AGB – auch zustimmt (vgl 2 Ob 155/16g [P 4.6]). Nach der Rechtsprechung ist die Umschreibung der empfangenden Gesellschaften als „Konzerngesellschaften“ nicht ausreichend präzise (4 Ob 63/21z [Rz 129]; vgl auch RS0115217). Gleiches gilt, wenn – wie hier – die empfangenden Gesellschaften als „Versicherungsgruppe“
