Im Versicherungsantrag mussten Kund:innen bestätigen, den Datenschutzhinweis zur Kenntnis genommen zu haben.
Aktivlegitimation
Durch die EuGH-Entscheidung C-319/20 (Meta Platforms Ireland Ltd./vzbv) ist geklärt, dass das Unionsrecht in Gestalt der DSGVO der Klagebefugnis des klagenden Vereins nicht entgegensteht (6 Ob 106/22i).
Datenschutzerklärung
Datenschutzerklärungen unterliegen nur dann der Klauselkontrolle, wenn sie als Vertragsbestimmungen anzusehen sind, das heißt Vertragserklärungscharakter (Rechtsfolgewille) haben, und nicht als bloße Hinweise rein der Informationserteilung iSd Art 13 f DSGVO dienen.
Beim Datenschutzhinweis der Beklagten handelt es sich um kein bloßes Informationsdokument ohne Rechtsfolgewillen: Der Umstand, dass der Datenschutzhinweis nicht Teil der Allgemeinen Versicherungsbedingungen, sondern ein eigenes Formblatt ist, spricht nicht gegen dessen Vertragserklärungscharakter, vielmehr kommt es auf die Vertragsgestaltung an. Hier muss der Verbraucher dem Datenschutzhinweis zwar nicht „zustimmen“, allerdings muss er im Versicherungsantrag bestätigen, den Datenschutzhinweis „zur Kenntnis“ genommen zu haben. Dies macht aber keinen relevanten Unterschied, weil die Zurkenntnisnahme auch die Zustimmung zu dessen Inhalt implizieren kann. Der Datenschutzhinweis unterliegt daher insgesamt der Klauselkontrolle.
Zu den einzelnen Klauseln
„In all diesen Fällen gehen wir grundsätzlich von Ihrer Berechtigung zur Bekanntgabe dieser Daten aus. Wir verwenden Ihre Daten und die Daten solcher Dritter, die von Ihnen genannt werden, in unserem berechtigten Interesse als Verantwortliche Ihrer Datenverarbeitung und in jenem Ausmaß, als dies zur ordnungsgemäßen Begründung und Abwicklung unseres Versicherungsverhältnisses mit Ihnen notwendig ist.“ [Klausel 1]
Bei der gebotenen kundenfeindlichsten Auslegung ist der erste Satz der Klausel so zu verstehen, dass der Versicherungsnehmer erklärt, zur Bekanntgabe seiner Daten sowie der Daten von Dritten an die Beklagte berechtigt zu sein. Damit ist aber im Streitfall eine Erschwerung der Beweissituation für einen Konsumenten zumindest denkbar.
Mit dem zweiten Satz der Klausel stimmt der Verbraucher bei kundenfeindlichster Interpretation der Verwendung der Daten in der dort beschriebenen Form zu. Die Klausel lässt offen, welche Daten die Beklagte in welchem Umfang zu verwenden berechtigt wird, sodass die Klausel schon aus diesem Grund intransparent iSv § 6 Abs 3 KSchG ist. Selbst wenn die Beklagte zur Datenverarbeitung auch ohne Zustimmung der Kunden berechtigt ist (vgl Art 6 Abs 1 lit b und lit f DSGVO), ist kein rechtlich geschütztes Interesse der Beklagten erkennbar, durch eine unklare Vertragsklausel einen weiteren Rechtfertigungsgrund (Einwilligung gemäß Art 6 Abs 1 lit a DSGVO) zu schaffen. Die Klausel ist daher unzulässig.
„Manche dieser Dienstleister befinden sich außerhalb des Gebiets der Europäischen Union. In allen Fällen der Inanspruchnahme von Dienstleistern tragen wir jedoch stets dafür Sorge, dass das europäische Datenschutzniveau und die europäischen Datensicherheitsstandards gewahrt bleiben. Auch kann es im Rahmen unserer Geschäftsfallbearbeitungen erforderlich sein, dass wir innerhalb unseres Versicherungsunternehmens oder innerhalb unserer Versicherungsgruppe Ihre Daten transferieren oder gemeinschaftlich verarbeiten. Auch in diesen Fällen bleiben die europäischen Datensicherheitsstandards stets gewahrt.“ [Klausel 2]
Die Klausel ist bei der gebotenen kundenfeindlichsten Auslegung dahin zu verstehen, dass der Verbraucher nicht bloß über die darin genannte Datenübermittlung informiert wird, sondern dass er ihr – durch Akzeptieren der AGB – auch zustimmt. Die Umschreibung der empfangenden Gesellschaften als „Versicherungsgruppe“ ist nicht ausreichend präzise. Überhaupt ist eine Klausel, die eine Datenweitergabe vorsieht, nur zulässig, wenn der Betroffene weiß, wer welche Daten zu welchem Zweck erhält, was hier völlig offen bleibt. Da alle drei Sätze der Klausel in einem inneren Zusammenhang stehen, ist sie insgesamt unzulässig.
„Auch lassen wir durch solche Programme in Teilbereichen unsere Leistungspflicht im Schadensfall automatisiert bestimmen. Die in diesen Programmen verwendeten Prüfparameter bemessen sich an versicherungsmathematischen Erfahrungssätzen und sichern insofern einen objektiven Beurteilungsmaßstab.“ [Klausel 3]
Die Klausel ist bei der gebotenen kundenfeindlichsten Auslegung dahin zu verstehen, dass der Verbraucher nicht bloß über die darin genannte automatisierte Datenverarbeitung informiert wird, sondern dass er ihr – durch Zurkenntnisnehmen des Datenschutzhinweises – auch zustimmt, sodass der durchschnittliche Verbraucher den Eindruck gewinnt, es werde damit der Inhalt des Vertragsverhältnisses bestimmt. Worauf sich die Zustimmung des Verbrauchers konkret bezieht, ist mangels näherer Beschreibung der „Teilbereiche“ sowie der „versicherungsmathematischen Erfahrungssätze“ und der dabei verwendeten Daten unklar. Selbst wenn die Beklagte zum in der Klausel beschriebenen Vorgehen auch ohne Zustimmung der Verbraucher berechtigt wäre, ist kein rechtlich geschütztes Interesse der Beklagten erkennbar, dies auch durch eine unklare Vertragsklausel abzusichern. Die Klausel ist daher unzulässig.
„Darüber hinaus sind wir vielfältigen Aufbewahrungspflichten unterworfen, gemäß denen wir Daten zu Ihrer Person, zu Drittpersonen (etwa Mitversicherten), zu Ihren Leistungsfällen und zu Ihrem Versicherungsverhältnis über die Beendigung des Versicherungsverhältnisses hinaus oder auch nach Abschluss eines Leistungsfalls aufzubewahren haben, wie dies etwa aufgrund der unternehmensrechtlichen Aufbewahrungsfristen der Fall ist. Wir bewahren Ihre Daten zudem so lange auf, wie die Geltendmachung von Rechtsansprüchen aus unserem Versicherungsverhältnis mit Ihnen möglich ist.“ [Klausel 4]
Die Klausel ist bei der gebotenen kundenfeindlichsten Auslegung dahin zu verstehen, dass der Verbraucher nicht bloß über die darin genannte Datenaufbewahrung informiert wird, sondern dass er ihr – durch Zurkenntnisnehmen des Datenschutzhinweises – auch zustimmt. Aus der Klausel ist zunächst nicht ersichtlich, welche Daten für welche Zwecke und für welche Zeiträume aufbewahrt werden. Darüber hinaus wird die Rechtslage unklar dargestellt, weil der Verbraucher nicht darüber informiert wird, dass er die Einwilligung nach der DSGVO jederzeit widerrufen kann. Die Klausel ist daher unzulässig.
„Die Bereitstellung Ihrer personenbezogenen Daten sowie gegebenenfalls von Dritten, die Sie namhaft machen, ist zur Prüfung Ihres Versicherungsrisikos, zur Begründung unseres Versicherungsverhältnisses und zur Erfüllung Ihrer Leistungsansprüche erforderlich.“ [Klausel 5]
„Sollten Sie uns diese Daten nicht oder nicht im benötigten Umfang bereitstellen, so können wir das von Ihnen gewünschte Versicherungsverhältnis unter Umständen nicht begründen oder Ihren Leistungsfall nicht erfüllen. Bitte beachten Sie, dass dies nicht als vertragliche Nichterfüllung unsererseits gelten würde.“ [Klausel 6]
Klausel 5 ist bei der gebotenen kundenfeindlichsten Auslegung dahin zu verstehen, dass der Verbraucher nicht bloß über die Erforderlichkeit der Datenbereitstellung informiert wird, sondern dass er – durch Zurkenntnisnehmen des Datenschutzhinweises – erklärt, sämtliche von ihm bereitgestellten Daten seien für die in der Klausel angeführten Zwecke erforderlich. In Klausel 6 gilt bei kundenfeindlichster Auslegung als vereinbart, dass dann, wenn der Verbraucher seine personenbezogenen Daten (sowie gegebenenfalls jene von Dritten) nicht – im von der Beklagten verlangten Umfang – bereitstellt, „unter Umständen“ kein Vertrag zustande kommt oder der Leistungsfall nicht erfüllt wird und dass dies nicht als Nichterfüllung seitens der Beklagten „gilt“.
Abgesehen davon, dass aus der Klausel 5 nicht ersichtlich ist, welche konkreten personenbezogenen Daten des Verbrauchers oder eines Dritten (zB Mitversicherten) für die genannten Zwecke (Risikoprüfung, Vertragsbegründung, Leistungsanspruch) „erforderlich“ sind, wird dem Verbraucher überdies suggeriert, dass sämtliche seiner personenbezogenen Daten und jener von Dritten, die er der Beklagten bereitgestellt hat, zur Vertragserfüllung „erforderlich“ sind, ohne dass im Einzelfall die Voraussetzungen des Art 6 Abs 1 lit b DSGVO vorliegen müssten. Dadurch wird die Rechtslage verschleiert. Wenn die Beklagte ausführt, sie sei zur Verarbeitung der für die Abwicklung des Vertrags erforderlichen Daten auch ohne Zustimmung der Verbraucher berechtigt, dann ist dies richtig. Allerdings ist kein rechtlich geschütztes Interesse der Beklagten erkennbar, dies durch eine Erklärung des Verbrauchers abzusichern. Vielmehr wird dem Verbraucher ein unzutreffendes bzw unklares Bild seiner vertraglichen Position sowie ein unrichtiges Bild der Rechtslage vermittelt.
Aus der Klausel 6 ergibt sich zunächst nicht, in welchen konkreten Fällen, also etwa bei Nichtbereitstellung welcher personenbezogener Daten, der Vertrag nicht zustande kommt oder der Leistungsfall nicht erfüllt wird („unter Umständen“). Im Fall der Verletzung einer nachvertraglichen Informationsobliegenheit fehlt im Übrigen jeglicher Hinweis auf § 6 Abs 3 VersVG, sodass auch die Rechtslage durch die Klausel verschleiert wird (vgl RS0131601 [T2]). Darüber hinaus ordnet die Klausel bei kundenfeindlichster Auslegung als Rechtsfolge an, dass die Nichtbereitstellung der – nicht konkretisierten und daher unbestimmten – „benötigten“ personenbezogenen Daten zwar „unter Umständen“ (welchen?) eine Nichterfüllung des Verbrauchers bewirkt, hingegen keinesfalls als vertragliche Nichterfüllung der Beklagten gilt. Damit wird die Rechtslage ohne sachliche Rechtfertigung zum Nachteil des Verbrauchers verändert. Die Klauseln sind daher unzulässig.
Klagsvertreter: Dr. Stefan Langer, Rechtsanwalt in Wien
