AVIS hat gegen die Datenschutz-Grundverordnung verstoßen Bild: ricochet64/Shutterstock

AVIS vernetzte Autos: Datenschutzklausel unzulässig

11.10.2022

Geld + Recht Datenschutz Auto + Transport Mietwagen

Wieviel darf die Mietwagenfirma über mich wissen? Der Oberste Gerichtshof verurteilte AVIS wegen Verstößen gegen die Datenschutz-Grundverordnung.

Vernetzte Autos (connected cars) sind Fahrzeuge, die über das Internet verbunden sind. Sie messen und sammeln Daten und schicken sie an Hersteller und Mietwagenbetreiber. Positiv ist: Dadurch können etwa Assistenzsysteme bei der Fahrt unterstützen, das Smartphone sich mit dem Infotainment-System verbinden, Daten über den technischen Zustand des Autos übermitteln. Negativ ist: Vernetzte Autos sammeln unzählige Daten, wie beispielsweise über den Fahrstil, Geschwindigkeit, Pausen, Ort der Tankstelle, Kontakte in Adressbüchern, diverse Nutzerkonten von Musik-Streamingdiensten oder auch Ortsangaben. Dadurch können beispielsweise Bewegungsprofile erstellt werden.

Nun bietet der Autovermieter AVIS Mietfahrzeuge an, die entweder vom Hersteller oder nachträglich mit solchen internetfähigen Geräten ausgestattet sind. Wir haben AVIS in Sachen Datenschutz geklagt und vor dem Obersten Gerichtshof (OGH) Recht bekommen.

Vor Gericht

Es ging um Klauseln in den Allgemeinen Geschäftsbedingungen (AGB). Wir hatten zuvor viele dieser Klauseln beanstandet und AVIS hatte für die meisten zugesichert, sie nicht mehr zu verwenden (sogenannte Unterlassungserklärung). Auf zwei Klauseln wollte AVIS aber nicht verzichten. Wir klagten.

Die erste Klausel lautet: „Solange Sie keine relevanten Funktionen (wie unten erläutert) deaktivieren, sind diese Geräte stets aktiv, selbst wenn andere Dienste oder Medien im Fahrzeug ausgeschaltet wurden.“

Diese Regelung verstößt laut OGH gegen die Grundsätze der Datenminimierung sowie des Datenschutzes. Unternehmen dürfen nicht mehr Daten erheben und verarbeiten als unbedingt nötig. Das fordert die Datenschutz-Grundverordnung (DSGVO). Entsprechende technische Voreinstellungen gehören da dazu (Privacy by Default).

Kunde musste selbst aktiv werden

Im Fall von AVIS liegt so ein Verstoß gegen Privacy by Default vor. Die Verbraucherinnen und Verbraucher müssen nämlich von sich aus aktiv werden, um das Absaugen von Daten zu beschränken.

Eine zweite AVIS-Klausel beschäftigte sich mit der Zustimmung zur Datenverarbeitung bzw. mit deren Widerruf. Da geht es z.B. um die Verbindung des Mobiltelefons mit dem Infotainment-System (Autoradio, Navigationsgerät, Freisprecheinrichtung, etc.) des vernetzten Fahrzeuges. Die Klausel sieht vor, dass diese Zustimmung zur Datenverarbeitung zurückgezogen werden kann, indem Verbraucherinnen und Verbraucher ihr Gerät ausschalten bzw. abkoppeln und ihre Informationen im Infotainment-System des Fahrzeuges löschen. Laut OGH wird Verbraucherinnen und Verbrauchern mit dieser Klausel jedoch nicht klar vor Augen geführt, wie sie im Vorfeld ihre Einwilligung zur Datenverarbeitung überhaupt erteilen.

Gut versteckt

Weitere Informationen über die Zustimmung zur Datenverarbeitung befinden sich – auffindbar lediglich in Form einer ungenauen Verweiskette – an anderen Stellen. Betroffene müssen sich die nötigen Informationen zur Einwilligung mühsam selbst suchen. Der OGH beurteilte die gegenständliche Klausel daher als intransparent. Intransparenz ist laut Konsumentenschutzgesetz verboten.

Gefahr des Daten-Diebstahls

Portrait von Dr. Joachim Kogelmann, Jurist beim VKI

Dr. Joachim Kogelmann, Jurist beim VKI Bild: Konstantinoudi/VKI

„Werden Telefonnummer, Adressen, Mailadressen oder gar die auf einem Smartphone abgespeicherten Fotos mit einem Infotainment-System synchronisiert, droht die Gefahr von Daten-Diebstählen, wenn Verbraucherinnen und Verbraucher die Daten bei Rückgabe des Mietwagens nicht löschen“, skizziert Dr. Joachim Kogelmann mögliche Risiken. „Gerade deswegen müssen Datenschutzklauseln klar und transparent gestaltet werden. Gerade deshalb ist es so wichtig, dass Verbraucherinnen und Verbraucher klar nachvollziehen können, was mit ihren Daten geschieht und welche Rechte ihnen zustehen.“

„Wesentliche Weichenstellung“

Portrait von Dr. Petra Leupold, Juristin beim VKI

Dr. Petra Leupold, Juristin in der VKI-Rechtsabteilung Bild: Konstantinoudi/VKI

Das Urteil des Höchstgerichts hat große Bedeutung. Erstmals stellt es deutlich klar, dass die Verpflichtung zum „Datenschutz durch Technikgestaltung“ den Schutz individuell Betroffener bezweckt. „Das ist eine für den Rechtsschutz von Verbraucherinnen und Verbrauchern wesentliche Weichenstellung“, erläutert Dr. Petra Leupold, Leiterin der VKI-Akademie und Datenschutzexpertin. „Damit haben Betroffene bei einem Verstoß gegen das Privacy-by-Default-Prinzip Rechte bis hin zum Schadenersatz, die sie bei Bedarf gerichtlich durchsetzen können.“