VZBV gegen Apple – leider nicht super für das Datenschutzrecht

Wie der VZBV (Verbraucherzentrale Bundesverband e. V.) heute in einer Pressemitteilung berichtet, hat auf seine Klage hin das Landgericht Berlin durch Urteil vom 30. April 2013 (Az. 15 O 92/12) mehrere Klauseln der Datenschutzrichtlinie von Apple für unwirksam erklärt. Ein Erfolg für den Verbraucherschutz, möchte man meinen (“Super für den Datenschutz!” lautete die Meldung auf Twitter).

Mit dem Ausgang des Verfahrens kann man im Ergebnis einverstanden sein. Die rechtliche Begründung des Gerichts in Bezug auf das anzuwendende Datenschutzrecht ist jedoch nicht haltbar und wird Apple Angriffspunkte für eine Berufung bieten.

Internationale Zuständigkeit des Gerichts

Richtig sind die Ausführungen des Landgerichts noch zu der internationalen Zuständigkeit. Diese bestimmt sich bei Ansprüchen aus unerlaubten Handlungen, wie im vorliegenden Fall, nach Art. 5 Abs. 3 EuGVVO. Dabei steht es einer unerlaubten Handlung gleich, wenn rechtsmissbräuchliche Klauseln in AGB verwendet werden und damit ein „Angriff auf die Rechtsordnung“ bereits möglich erscheint. Hierbei kommt es auch nicht auf das anzuwendende materielle Recht, gegen welches also eventuell mit den Klauseln verstoßen wird, an. Ausreichend ist die Verwendung der beanstandeten Klauseln im Inland, hier also in Deutschland.

Das zu prüfende Sachrecht

Streng von der Ebene der internationalen Zuständigkeit zu trennen ist jedoch die Frage, nach welchem Recht die Wirksamkeit der angegriffenen Klauseln zu prüfen ist. Es kann also durchaus vorkommen, dass etwa deutsche Gericht zuständig sind, jedoch ein anderes nationales Recht anzuwenden haben. Das Landgericht verweist zur Begründung der internationalen Zuständigkeit auf eine Entscheidung des Bundesgerichtshofs und dort auf Rz. 14 des Urteils. Bereits in Rz. 19 dieses Urteils stellt der BGH jedoch klar, dass nur weil Unterlassungsansprüche nach §§ 1, 4a des UklG möglich sind, sich die Wirksamkeit der AGB-Klauseln nicht unbedingt nach deutschem Recht (hier also der Vereinbarkeit mit deutschem Datenschutzrecht) richtet. Das hierfür maßgebliche Recht gilt es vielmehr abstrakt hiervon, nach dem jeweiligen Vertragsstatut zu bestimmen. Dies übersieht das Landgericht.

Nach seiner Argumentation bestimmt sich das zu prüfende Sachrecht allein nach Art. 6 Rom I-VO. Dies ist insoweit richtig, als sich bei Verbraucherverträgen das anzuwendende Vertragsrecht nach dem Recht des Staates richtet, in dem der Verbraucher seinen gewöhnlichen Aufenthaltsort besitzt. Hier also nach deutschem Recht.

Unbeachtet lässt das Gericht jedoch den Eingriffsnormcharakter (Art. 9 Rom I-VO) des § 1 Abs. 5 BDSG. Diese rechtliche Qualifizierung wurde kürzlich erst durch das VG Schleswig, in seinen Beschlüssen zu dem Verfahren zwischen dem Unabhängigen Landeszentrum für Datenschutz in Schleswig-Holstein und Facebook (hierzu mein Beitrag bei Telemedicus), bestätigt. Solche Eingriffsnormen nach Art. 9 Rom I-VO sind ungeachtet des nach Maßgabe der Rom I-VO (also auch Art. 6) anzuwendenden Rechts auf alle Sachverhalte anwendbar, die durch sie geregelt werden. Hierzu gehört im Rahmen des § 1 Abs. 5 BDSG das anzuwendende Datenschutzrecht bei internationalen Sachverhalten. Im übrigen merkt das Gericht an, dass hier eine Rechtswahl nicht stattgefunden hätte und daher nach Art. 6 Rom I-VO deutsches Recht gelte. Auch eine Rechtswahl (Art. 3 Rom I-VO) wäre jedoch gegenüber zwingenden Eingriffsnormen, wie § 1 Abs. 5 BDSG, nicht möglich. Bereits in einem anderen Urteil des Landgerichts Berlin vom 16. März 2012 (hier klagte der VZBV gegen Facebook) wurde der Eingriffsnormcharakter von § 1 Abs. 5 BDSG verkannt (wie auch das VG Schleswig in seinen Beschlüssen feststellt) und eine eine wirksame Rechtswahl des deutschen Datenschutzrechts angenommen.

Ausblick

Das Landgericht Berlin hätte also nach § 1 Abs. 5 BDSG zunächst prüfen müssen, ob deutsches Datenschutzrecht (im Übrigen auch die §§ 11 TMG ff.) überhaupt einschlägig ist und von seinen wesentlichen Grundgedanken (also gesetzlichen Vorgaben) durch die AGB-Klauseln von Apple abgewichen wird (§ 307 Abs. 2 Nr. 1 BGB).

Es wird sich zeigen, ob Apple eine solche angebliche Bindung an deutsches Datenschutzrecht auf sich sitzen lässt. Meines Erachtens können wir hier, ebenso wie bereits in dem Verfahren gegen Facebook geschehen, jedoch mit einer Berufung rechnen.

Update vom 9. Mai 2013:
Nach nochmaliger Studie des landgerichtlichen Urteils, möchte ich den obigen Ausführungen eine dogmatische Korrektur hinzufügen.

Der Eingriffsnormcharakter von § 1 Abs. 5 BDSG bzw. Art. 4 Abs. 1 DS-RL folgt in dem vorliegenden Fall aus Art. 16 Rom II-VO. Der VZBV macht hier Ansprüche auf Unterlassung der Verwendung missbräuchlicher Klauseln geltend, die nicht aus einem Vertragsverhältnis herrühren, sondern eine unerlaubte Handlung zum Gegenstand haben. Daher greift die Rom I-VO, welche sich auf vertragliche Schuldverhältnisse bezieht, diesbezüglich nicht ein. Vielmehr ergibt sich das Vorgehen des § 1 Abs. 5 BDSG gegenüber dem ansonsten anwendbaren Recht hier aus Art. 16 Rom II-VO. Im Ergebnis ist dieser Unterschied unbedeutend, da die Voraussetzungen für die Annahme einer Eingriffsnorm dieselben sind und das LG Berlin das anzuwendende Datenschutzrecht dennoch über eine Prüfung der Voraussetzungen von § 1 Abs. 5 BDSG hätte feststellen müssen.

Sollte es zu einer Berufung kommen, so wird im Rahmen dieser Prüfung das Gericht zu untersuchen haben, ob die Niederlassung von Apple in Irland im Rahmen ihrer Aktivitäten die Datenverarbeitungsprozesse ausführt, auf welche sich die beanstandeten Klauseln beziehen. Anders als dies durch § 1 Abs. 5 S. 1 BDSG vorgegeben wird, ist hierbei irrelevant, wo sich die verantworliche Stelle befindet. Art. 4 Abs. 1 lit a) DS-RL stellt explizit nur auf die Niederlassung des für die Verarbeitung Verantwortlichen ab. Diese Sichtweise wurde jüngst durch das OVG Schleswig in seinen Beschlüssen in dem Verfahren des ULD Schleswig-Holstein gegen Facebook noch einmal ausdrücklich bestätigt (Az. 4 MB 11/13, Rz. 20). Insofern bleibt die deutsche Umsetzung in § 1 Abs. 5 S. 1 BDSG hinter den europäischen Vorgaben zurück und muss richtlinienkonform ausgelegt werden.

Erst wenn feststeht, welches Datenschutzrecht anwendbar ist, kann auch in die AGB Prüfung nach § 307 Abs. 2 Nr. 1 BGB eingestiegen werden. Im Prinzip wäre es daher auch denkbar, dass im Rahmen dessen eine Abweichung von den gesetzlichen Grundgedanken der irischen Vorschriften des Datenschutzrechts zu prüfen sein wird. Dies zeigt etwa § 4a UKlaG, der die Möglichkeit von Unterlassungsansprüchen allgemein bei der Verletzung innergemeinschaftlicher Gesetze zum Schutz der Verbraucher vorsieht. Freilich müssten die irischen Vorschriften dann auf einer Umsetzung der im Anhang zur Verordnung (EG) Nr. 2006/2004 beruhen und verbraucherschützenden Charakter aufweisen.

Mit dem Urteil des Landgerichts Berlin befassen sich auch Rechtsanwalt Thomas Stadler, Rechtsanwalt Niko Härting und Rechtsanwalt Sebastian Dosch.

4 thoughts on “VZBV gegen Apple – leider nicht super für das Datenschutzrecht

  1. Und deine Einschätzung? Das VG Schleswig hat ja auch “nur” einstweilen entschieden, aber offenbar dennoch in die richtige Richtung. Die Begründung des Sitzes der datenverarbeitenden Stelle über § 1 V BDSG zieht doch wohl, oder nicht?

    • Hallo Fritz.

      Eine Einschätzung zu Apple ist schwer bzw. beruht auf Spekulation, da man wissen müsste, im Rahmen welcher Aktivitäten die irische Niederlassung tätig ist und welche Datenverarbeitungsvorgänge im Rahmen dieser Tätigkeiten ausgeführt werden. Für genau diese Tätigkeiten greift dann irisches Datenschutzrecht.

      VG und OVG Schleswig hatten den Vorteil auf das Audit aus Irland zurückgreifen zu können, in dem ja die Prozesse genauer erläutert werden.

      Grundsätzlich ist es aber natürlich so, dass für diejenige Niederlassung, im Rahmen derer Aktivität die Daten verarbeitet werden, auch nur das Recht des Mitgliedstaates gilt, in dem sie sich befindet. Das OVG hat richtigerweise zB explizit darauf hingewiesen, dass es irisches Datenschutzrecht nur für die Datenverarbeitungsprozesse angenommen hat, die in Rede standen, also Aktivierung und Deaktivierung von Konten deutscher Nutzer. Das heißt aber eben noch nicht, dass zB für die Datenverarbeitung im Rahmen einer Gesichtserkennung auch dieses Datenschutzrecht gilt. Es kommt wirklich sehr auf die tatsächlichen Umstände und die einzelnen Prozesse an.

      Und zuletzt: sollte dann zB nicht die irische Niederlassung die “relevante” Niederlassung sein, müsste geprüft werden ob die verantwortliche Stelle (wohl Apple Inc in den USA) zum Zwecke der Datenverarbeitung auf Mittel in Deutschland zurückgreift.

  2. Pingback: Apple vs. Datenschutz und LG Berlin vs. VG Schleswig | Zu Recht gehört

  3. Pingback: Nicht überzeugend: LG Berlin zu Apple-Datenschutzbedingungen – CR-online.de Blog

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>