DSGVO für Altfälle: Apple-Datenschutzrichtlinie teilweise rechtswidrig

Auch eine ältere Datenschutzrichtlinie muss sich gegebenenfalls am Maßstab der Datenschutz-Grundverordnung (DSGVO) messen, wie ein Urteil des Kammergerichts Berlin (KG Berlin, Urteil v. 27.12.2018, Az. 23 U 196/13)  jetzt zeigt.

Dabei geht es um die von Apple Sales International im Jahr 2011 verwendete Datenschutzrichtlinie, die den heutigen Anforderungen der DSGVO nicht entspricht. Das hat das Kammergericht Berlin nach einer Klage des Verbraucherzentrale Bundesverbands (vzbv) gegen die Apple Sales International entschieden.

Wie das Kammergericht (KG) Berlin entschieden hat und warum Unternehmen für alte Datenschutzklauseln verklagt werden können, klärt der folgende Beitrag.

Vorgeschichte

Apple Sales International war im Jahr 2011 für den Applestore verantwortlich. Dabei hatte sich das Unternehmen in der Datenschutzrichtlinie von 2011 weitgehende Rechte zur Nutzung der Kundendaten eingeräumt. So gab sich Apple Sales International in der Datenschutzrichtlinie die Erlaubnis, Nutzerdaten für Werbezwecke zu verwenden, präzise Standortdaten auszuwerten und persönliche Daten an strategische Partner zu übermitteln. Nach ihrer Einwilligung wurden die Betroffenen hingegen nicht gefragt.

Bereits erstinstanzlich hatte das Landgericht Berlin (LG Berlin, Urteil v. 30.04.2013 – Az.: 15 O 92/12) die Bestimmungen als rechtswidrig eingestuft. Diese Ansicht bestätigte das KG Berlin nun in der Berufungsinstanz bis auf einen Punkt und erklärte die acht Jahre alten Geschäftsbedingungen des Apple-Online-Shops in Teilen für unwirksam. Dabei war Bewertungsmaßstab die DSGVO und nicht mehr, wie noch in der I. Instanz, das BDSG.

Es ging bei dem Rechtsstreit um die folgenden Datenschutz-Klauseln:

“ 3. (Erheben und nutzen von personenbezogenen Daten
Wenn Sie mit Apple oder einem mit Apple verbundenen Unternehmen in Kontakt treten, können Sie jederzeit dazu aufgefordert werden, personenbezogene Daten von Ihnen anzugeben.)
Apple und sein verbundenen Unternehmen können diese personenbezogenen Daten untereinander austauschen und sie nach Maßgabe dieser Datenschutzrichtlinie nutzen. Sie können solche Daten auch mit anderen Informationen verbinden, um unsere Produkte, Dienstleistungen, Inhalte und Werbung anzubieten oder zu verbessern.

4. (Welche personenbezogenen Daten erheben wir)
Wenn du Inhalte mit Familie oder Freunden teilst und dabei Produkte von Apple verwendest, Geschenkgutscheine und Produkte verschickst oder andere dazu einlädst, sich dir in einem Apple Forum anzuschließen, kann Apple die Daten erheben, welche du über diese Personen zur Verfügung stellst, wie Name, Adresse, E-Mail und Telefonnummer.

5. (Wie wir personenbezogene Daten nutzen)
Die personenbezogenen Daten, die wir erheben, erlauben uns, dich über die neuesten Apple Produktankündigungen, Softwareupdates und anstehenden Veranstaltungen zu informieren.
Du hilfst uns auch damit, unsere Dienste, Inhalte und Werbung zu verbessern.
(Wenn du nicht in unserem Verteiler sein möchtest, kannst du dich jederzeit abmelden, indem du deine Einsteilungen änderst.)

6. (Wie wir personenbezogene Daten nutzen)
Wir nutzen personen bezogene Daten auch als Unterstützung, um unsere Produkte, Dienste, Inhalte und Werbung zu entwickeln, anzubieten und zu verbessern.

7. (Wie wir personenbezogene Daten nutzen)
Wir können personenbezogene Daten auch für interne Zwecke nutzen, wie zur Datenanalyse und Forschung, um Apples Produkte, Dienste und die Kommunikation mit Kunden zu verbessern.

8. (Weitergabe an Dritte)
Mitunter wird Apple bestimmte personenbezogene Daten an strategische Partner weitergeben, die mit Apple zusammenarbeiten, um Produkte und Dienste zur Verfügung zu stellen, oder die Apple beim Marketing gegenüber Kunden helfen.
(Wenn du beispielsweise ein iPhone kaufst und aktivierst, ermöglichst du Apple und seinen Mobilfunkanbieter zum Austausch der Daten, die du während des Aktivierungsprozesses bereitstellst, um den Dienst zu ermöglichen. Wenn du für den Dienst zugelassen wirst, gelten die Datenschutzrichtlinien von Apple bzw. seinem Mobilfunkanbieter für deinen Account.) Die personenbezogenen Daten werden von Apple nur weitergegeben, um (unsere Produkte, Dienste oder) unsere Werbung zu erbringen oder zu verbessern; (sie werden nicht an Dritte für deren Marketingzwecke weiter gegeben).

9. (Weitergabe an Dritte, Dienstleister)
Apple gibt personenbezogene Daten an Unternehmen weiter, die Dienstleistungen erbringen, wie zum Beispiel die Verarbeitung von Informationen, (Kreditgewährung, Ausführung von Kundenbestellungen, Lieferung von Produkten an dich), Verwaltung und Pflege von Kundendaten, (Erbringung eines Kundendienstes), die Bewertung deines Interesses an unseren Produkten und Leistungen sowie das Betreiben von Kundenforschung oder die Durchführung von Umfragen zur Kundenzufriedenheit.

10. (Standortbezogene Dienste)
Um standortbezogene Dienste auf Apple Produkten anzubieten, können Apple und unsere Partner und Lizenznehmer präzise Standortdaten erheben, nutzen und weitergeben, einschließlich des geographischen Standorts deines Apple Computers oder Geräts in Echtzeit. Diese Standortdaten werden in anonymisierter Weise erhoben, durch die du nicht persönlich identifiziert wirst. Diese werden von Apple und unseren Partnern und Lizenznehmern verwendet, um dir standortbezogene Produkte und dienste anzubieten und diese zu verbessern. Wir geben beispielsweise deinen geographischen Standort an Anwendungsdienstleister weiter wenn du deren Standortdienste auswählst.“

Maßstab der DSGVO auch in Altfällen entscheidend

Grundsätzlich ging es aber um die besagte Verwendung in 2011, lange vor dem Inkrafttreten der Datenschutzgrundverordnung.

Das Gericht prüfte Apple-Richtlinie dennoch am Maßstab der DSGVO. In erster Instanz hatte das Landgericht Berlin entschieden, dass die umstrittene Richtlinie zum großen Teil bereits nach altem Recht unzulässig war.

Das Kammergericht hat klargestellt, dass auch ältere Klauseln zur Nutzung personenbezogener Daten die Anforderungen der seit dem 25.05.2018 geltenden DSGVO erfüllen müssen, da diese für die Verarbeitung personenbezogener Daten uneingeschränkt gültig sei und die vorbeugende Unterlassungsklage des vzbv auf das künftige Verhalten des Unternehmens gerichtet war. Der vzbv wollte damit sicherstellen, dass Apple die Klauseln aus dem Jahr 2011 in Zukunft nicht noch einmal verwendet. Damit ein Gericht so einer Klage stattgibt, muss die Gefahr bestehen, dass das Unternehmen die Klauseln in Zukunft noch einmal nutzt. Apple wollte für seine Klauseln keine strafbewehrte Unterlassungserklärung abgeben. Die Richter sahen daher eine Wiederholungsgefahr.

Verstoß gegen DSGVO

Das Gericht kam zu dem Urteil, dass sieben von acht von der Verbraucherzentrale bemängelten Klauseln rechtswidrig sind (Az. 23 U 196/13, 27.12.2018). Diese seien mit wesentlichen Grundgedanken der neuen DSGVO nicht zu vereinbaren.

Apple verzichtete auf die Einwilligung der Betroffenen

Das KG Berlin brauchte sich gar nicht näher mit dem Inhalt der Regelungen auseinanderzusetzen, da es seiner Ansicht nach an der erforderlichen Einwilligung nach Art. 6  Abs.1 a) DSGVO fehlte.

So vermittelte die strittige Datenschutzrichtlinie den Eindruck, Apple sei auch ohne die Erlaubnis der Nutzer zur Verarbeitung personenbezogener Daten berechtigt. Die erforderliche Einwilligung werde jedoch nicht dadurch ersetzt, dass ein Unternehmen lediglich über seine Datenverarbeitungspraktiken unterrichte, die seine Kunden ungefragt hinzunehmen hätten.

Schon der Titel der Apple-Datenschutzrichtlinie sei irreführend, heißt es in dem Urteil. Diese Wortwahl suggeriere den Kunden, dass sie sich an die Vereinbarung immer halten müssten:

„Bereits die Überschrift des Klauselwerks (Apple-Datenschutzrichtlinie) vermittelt den Eindruck, dass die darin enthaltenen Erklärungen nicht bloße Tatsachenmitteilungen, sondern Rechtsregeln enthalten.“

Diese Klausel ist in Ordnung

Lediglich eine Klausel (Klausel  „4. (Welche personenbezogenen Daten erheben wir)“) wurde als zulässig erachtet, wonach Kontaktdaten Dritter erhoben werden können.

Gemäß Art. 6 Abs. 1 b) DSGVO ist die Verarbeitung von Daten rechtmäßig, wenn sie für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen, die auf Anfrage der betroffenen Person erfolgen, erforderlich ist.

Ein solcher Sachverhalt liegt in den von der Klausel 4 betroffenen Fällen vor. Wenn Kunden Leistungen in Anspruch nehmen, um mit Dritten in Kontakt zu treten oder diese zu beschenken, ist die Verarbeitung der Kontaktdaten dieser Personen zur Vertragserfüllung erforderlich.

Fazit

Auch alte Datenschutzklauseln von Unternehmen müssen sich heute am Maßstab der DSGVO messen lassen, wenn deren weitere Verwendung auch in Zukunft beabsichtigt ist. Im Fall Apple hatte das Landgericht Berlin als Vorinstanz festgestellt, dass Apples Richtlinie aus dem Jahr 2011 bereits damals größtenteils gegen geltendes Recht verstieß.