Was vielen Juristen schon länger klar war, ist nunmehr in Deutschland auch erstmals gerichtlich bestätigt worden. Mehrere von Apple verwendete Datenschutzklauseln sind rechtswidrig.
Das Landgericht Berlin (Urteil vom 30.04.2013, AZ.: 15 O 92/12) verurteile Apple, auf eine Klage des Verbraucherzentrale Bundesverband e.V. hin, zur Unterlassung von insgesamt acht für Apple zentralen Datenschutzklauseln.
Danach ist die Regelung, nach der Apple und seine verbundenen Unternehmen die Kundendaten untereinander austauschen und mit anderen Daten verbinden können, ebenso unwirksam, wie die Klausel, dass Apple auch Daten von Freunden und Familienangehörigen erheben darf, die der Apple-Kunde im Rahmen des Produktversandes oder aus anderen Gründen zur Verfügung stellt. Unwirksam ist zudem die Klausel, wonach die Erhebung von personenbezogenen Daten gleichzeitig dazu berechtigt, den Kunden über neue Produkte, Updates und Veranstaltungen zu informieren.
Auch die Klauseln, nach denen Apple die erhobenen Daten an strategische Partner und andere Dritte weitergeben darf, um beispielsweise Produkte zur Verfügung zu stellen oder Apple beim Marketing gegenüber Kunden zu helfen, hat das Landgericht Berlin beanstandet.
Ebenfalls rechtswidrig sind die Regeln zur Erhebung von Standortdaten der Apple-Nutzer (Geolocation).
Das Gericht beanstandet im Einzelnen immer wieder, dass Apple eine nur allgemeine und globale Einwilligung in Datenverarbeitungsprozesse einholt, ohne, dass der Kunde erfährt, welche Daten konkret betroffen sind. Auch die fehlende Erläuterung des Zwecks der Datenverarbeitung wird mehrfach beanstandet und bei der Datenweitergabe an Dritte auch die fehlende Information darüber, wer diese Dritten sind.
Apple wird diese Entscheidung vermutlich nicht rechtskräftig werden lassen und Berufung einlegen. Einige der Klauseln sind allerdings derart intransparent, dass man überwiegende Erfolgsaussichten von Apple wohl kaum attestieren kann.
Der vzbv geht in letzter Zeit verstärkt auch gegen die großen Player der TK- und IT-Wirtschaft vor und nimmt damit die Interessen der Nutzer und Verbraucher sehr effektiv wahr.
Der Kollege Dosch berichtet ebenfalls etwas ausführlicher über das Urteil.
Update:
Der Kollege Carlo Piltz thematisiert zu Recht die Frage, ob deutsches Datenschutzrecht hier überhaupt anwendbar ist und kritisiert die diesbezügliche Begründung des Landgerichts. In einem älteren Blogbeitrag habe ich am Beispiel Facebooks schon einmal dargelegt, weshalb ich deutsches Datenschutzrecht in derartigen Konstellationen für anwendbar halte. Die Frage ist freilich derzeit äußerst umstritten, wie aktuelle verwaltungsgerichtliche Entscheidungen aus Schleswig-Holstein zeigen.
Die vom Kollegen Härting geäußerte Kritik an der Entscheidung des Landgerichts Berlin teile ich nicht. Sie wählt bereits einen unzutreffenden Ansatz. Nach dem geltenden Recht ist eine Datenverarbeitung nur dann zulässig, wenn der Betroffene eingewilligt hat oder eine Rechtsvorschrift die Datenverarbeitung erlaubt (§§ 4 Abs. 1 BDSG, 12 Abs. 1 TMG). Rechtsvorschriften, die die gerügte Datenverarbeitung erlauben würden, sind nicht ersichtlich.
Apple könnte sich also nur auf eine Einwilligung berufen, die man bei Apple in der Tat versucht im Hinblick auf diese Klauseln auch einzuholen. Die mir bekannten Einwilligungserklärungen von Apple genügen aber noch nicht einmal den formellen Anforderungen von § 13 Abs. 2 TMG. Weder kann der Nutzer den Inhalt der Einwilligung jederzeit abrufen, noch wird er darüber unterrichtet, dass er die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann.
Inhaltlich gilt im deutschen Datenschutzrecht der Grundsatz der informierten Einwilligung. Der Betroffene ist auf den vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung sowie auf die Folgen der Verweigerung der Einwilligung hinzuweisen. Er muss also konkret darüber informiert werden, welche Daten erhoben werden und was mit diesen Daten dann genau passiert. Dazu findet man in den schwammigen Klauseln von Apple aber nichts erhellendes.
Die Klauseln von Apple weichen also von den wesentlichen Grundgedanken der §§ 12 Abs. 1 TMG, 4 Abs. 1 BDSG ab und sind daher als AGB nach § 307 BGB unwirksam.