Dropbox zieht nach. Wie zuletzt Twitter hat auch der US-amerikanische Filehosting-Dienst seine AGB geändert und will Nutzer außerhalb Nordamerikas ab 1. Juni über die irische Niederlassung betreuen. Aus Datenschutzsicht werden die AGB zudem noch weiter aufgeweicht. Die gute Nachricht ist, dass nach der EuGH-Rechtsprechung auch für Dropbox Irland das BDSG gelten dürfte.
Die Änderungen im Überblick
Soweit ersichtlich, stellt Dropbox keine Übersicht der Änderungen zur Verfügung. Es gibt lediglich eine Hilfeseite zum Thema AGB-Änderung. Entgegen dem irreführenden Titel (“…welche Änderungen sind das und was bedeutet das für mich?“) wird dort aber nicht über alle Änderungen informiert. Es wird ausschließlich die Übertragung der Nutzungsverhältnisse auf Dropbox Irland erläutert. Daher zunächst ein kurzer Überblick über sämtliche Änderungen:
- die Dropbox-Dienste werden Nutzern außerhalb Nordamerikas (d.h. außerhalb der USA, Kanadas und Mexikos) zukünftig nicht mehr von der amerikanischen Mutter Dropbox Inc., sondern von Dropbox Irland angeboten
- die in den AGB enthaltene Einwilligung zur Datenverarbeitung wird auf die “Partnerunternehmen” von Dropbox erweitert
- die Haftungsbeschränkung wurde erheblich umformuliert
- die bisherige Schiedsklausel wird auf US-Nutzer beschränkt; für nicht-amerikanische Nutzer bleibt es bei der Gerichtswahlklausel (zugunsten kalifornischer Gerichte)
Wirksamkeit der AGB im Einzelnen zweifelhaft
Hinsichtlich der Wirksamkeit der Änderungen ist zunächst darauf hinzuweisen, dass AGB nach deutschem Recht (und zum Teil europäischen Vorgaben) einer strengen AGB-Kontrolle unterworfen sind. Gerade deutsche Verbraucher sind dadurch vor unangemessenen Benachteiligungen durch Klauseltexte geschützt. Für Dropbox gilt dabei dasselbe wie für andere amerikanische Diensteanbieter, die ihre auf Basis des US-Rechts entworfenen Nutzungsbedingungen lediglich übersetzen, aber nicht an das deutsche Recht anpassen: Die AGB halten der sog. Inhaltskontrolle nach §§ 307 ff. BGB in vielen Punkten nicht stand und sind insoweit unwirksam.
So ist etwa die Formulierung der Haftungsbeschränkung (in der alten wie der neuen AGB-Fassung) nicht ansatzweise am deutschen Recht orientiert und würde bei einer Auseinandersetzung vor deutschen Gerichten wohl keinen Bestand haben. Daran ändert es zumindest gegenüber Verbrauchern nichts, dass laut den AGB kalifornisches Recht vereinbart wird. Denn der Schutz grundlegender gesetzlicher Bestimmungen kann europäischen Verbrauchern durch Rechtswahl nicht entzogen werden (Art. 6 Abs. 2 S. 2 ROM-I-Verordnung).
Sowohl AGB- als auch datenschutzrechtlich unwirksam dürfte ferner die Einwilligungserklärung in die Datenverarbeitung sein. So heißt es im neuen AGB-Text (die Änderung ist unterstrichen):
Wir benötigen Ihre Genehmigung, um beispielsweise Ihre Daten zu hosten, zu sichern und sie auf Ihre Aufforderung hin freizugeben. Unsere Dienste bieten Ihnen auch Funktionen an wie Miniaturbilder von Fotos, Voransicht von Dokumenten, E-Mail-Organisation, leichtes Sortieren, Bearbeiten, Freigeben und Suchen. Diese und andere Funktionen erfordern den Zugriff und das Scannen Ihrer Daten durch unsere Systeme. Sie erteilen uns die Genehmigung, diese Aufgaben auszuführen, und diese Genehmigung erstreckt sich auch auf unsere Partnerunternehmen und die Drittanbieter, mit denen wir zusammenarbeiten.
Die am Ende des Absatzes enthaltene Einwilligung ist sehr vage und weit formuliert. Unklar ist schon, was mit “Zugriff und Scannen Ihrer Daten” konkret gemeint ist. Auch gibt es keine klare Zweckbindung dieser Einwilligung an die Erbringung der Dienste. Schließlich kann der Nutzer nicht erkennen, wer die Partnerunternehmen und Drittanbieter sind – theoretisch umfasst die Einwilligung also jede Verarbeitung durch jeden, mit dem Dropbox irgendwann zusammenarbeitet. Eine so weitgehende Einwilligung in die Datenverarbeitung ist nach deutschem Recht unwirksam.
Nach EuGH-Rechtsprechung gilt deutsches Datenschutzrecht
Im letzten Blog-Beitrag hatte ich erläutert, warum auf Twitter nach der formellen Verlagerung der Verarbeitung auf Twitter Irland gleichwohl das Bundesdatenschutzgesetz gilt (soweit personenbezogene Daten deutscher Nutzer verarbeitet werden). Die Ausführungen gelten für Dropbox ebenso.
Nach der EuGH-Rechtsprechung ist davon auszugehen, dass ausländische Diensteanbieter (egal ob innerhalb oder außerhalb der EU), welche Niederlassungen in EU-Staaten unterhalten, das jeweilige nationale Datenschutzrecht sämtlicher Niederlassungen beachten müssen. Dies gilt auch dann, wenn die jeweilige Niederlassung an der Datenverarbeitung im Rahmen des Dienstes nicht unmittelbar beteiligt ist, sondern lediglich Marketing-Aufgaben wahrnimmt.
Dropbox hat eine solche deutsche Niederlassung. Seit dem 21. Januar 2015 ist im Handelsregister die Dropbox Germany GmbH mit Sitz in Hamburg eingetragen, Gesellschaftszweck ist u.a.: “Marketing, Vertrieb und Support hinsichtlich von Softwareprodukten der Dropbox-Gruppe”. Es dürfte auch hier nicht in Zweifel stehen, dass es sich im Sinne der Datenschutzrichtlinie um eine Niederlassung gerade von Dropbox Irland (und nicht nur Dropbox Inc.) handelt. Dafür spricht z.B., dass einer der beiden Geschäftsführer in Dublin sitzt.
Bildnachweis: (c) Box Polda18, CC-BY-SA 3.0