Datenschutzerklärungen trifft man inzwischen überall dort an, wo Personendaten bearbeitet werden. Gelesen werden sie dabei kaum. Damit ereilt sie das gleiche Schicksal wie die Allgemeinen Geschäftsbedingungen (AGB). Die Frage liegt nahe, ob sich Datenschutzerklärungen bzw. welche Datenschutzerklärungen sich als AGB qualifizieren lassen und inwiefern die Instrumente der AGB-Kontrolle darauf Anwendung finden können.
Arten der Datenschutzerklärungen
Datenschutzerklärungen können in verschiedenen Formen auftreten. Sie können einerseits auf das Datenschutzrecht beschränkt sein und ihre Wirkungen nur dort entfalten, etwa in Erfüllung der zwingenden Informations- und Transparenzpflichten. Andererseits können sie auch Grundlage einer datenschutzrechtlichen Einwilligung sein, wobei sie i.d.R. als Vertragsbestimmungen und AGB gelten (dementsprechend grundsätzlich den Instrumenten der AGB-Kontrolle unterstehen).
- Deklarative Datenschutzerklärungen, welche keine Einwilligungen enthalten, sondern lediglich der Erfüllung der datenschutzrechtlichen Informations- und Transparenzpflichten dienen, stellen keine AGB dar und sind deshalb keiner AGB-Kontrolle unterworfen. Es handelt sich lediglich um einseitige datenschutzrechtliche Hinweise, die vom Gesetzgeber zwingend verlangt werden.
- Konstitutive Datenschutzerklärungen hingegen, also im Ergebnis Einwilligungsklauseln, sind als AGB zu qualifizieren: Es handelt sich nämlich (auch) um Vertragsbestimmungen, da sie eine rechtfertigungsbedürftige Datenbearbeitung erst legitimieren und sich damit mithin vertragsgestalterisch auswirken. Es werden nicht nur (wie bei der deklarativen Datenschutzerklärung) einseitige, durch zwingendes Recht vorgeschriebene, Informations- und Transparenzpflichten erfüllt. Die entsprechenden Datenschutzerklärungen werden für eine Vielzahl von Situationen vorformuliert. Auch bei solch konstitutiven Datenschutzerklärungen können jedoch nur diejenigen Klauseln als AGB betrachtet werden, die auch regelnden Charakter haben bzw. tatsächlich Einwilligungsklauseln sind. Es ist keineswegs so, dass eine Einwilligungsklausel in einer Datenschutzerklärung den AGB-Charakter auf die übrigen deskriptiven (Informations-)Klauseln überträgt.
AGB-Kontrolle von Datenschutzerklärungen
Der wirkungsvolle Einbezug von (konstitutiven) Datenschutzerklärungen und als AGB bezeichneten Dokumenten in den Vertrag bzw. die Zustimmung zu den jeweiligen Klauselwerken und die dadurch resultierende Einwilligung in konkrete Datenbearbeitungen setzt regelmässig voraus, dass in der Einbeziehungsklausel selbst explizit darauf hingewiesen wird, dass damit eine Einwilligung erfolgt.
Im Umfeld der allgemeinen Konsenskontrolle kann mittels klarer Formulierungen zumindest in Teilen sichergestellt werden, dass sich eine betroffene Person bewusst ist, vorliegend in die Bearbeitung ihrer Personendaten einzuwilligen. Schwierigkeiten bereiten allerdings die Anwendung der Ungewöhnlichkeitsregel und der Inhaltskontrolle nach Art. 8 UWG.
Es fehlt allerdings an einer Gerichtspraxis. Soweit ersichtlich hat sich noch nie ein Gericht in der Schweiz explizit mit der Frage beschäftigt, ob und in welchem Umfang die Instrumente der AGB-Kontrolle auf Datenschutzerklärungen bzw. vorformulierte Einwilligungsklauseln Anwendung finden können. Und es erscheint fraglich, ob sich dies in naher Zukunft ändern wird.