LG Köln: Unzulässige Übermittlung von personenbezogenen Daten an Google

Der EuGH erklärte 2020 das „Privacy Shield“-Abkommen für ungültig. Seitdem werden häufig Standardvertragsklauseln eingesetzt, um einen Drittstaatentransfer sicherstellen zu können. Das LG Köln (Urt. v. 23.3.2023 – 33 O 376/22) entschied nun, dass diese Standardvertragsklauseln eine Datenübermittlung in die USA nicht rechtfertigen können, da sie nicht geeignet seien, ein der DSGVO entsprechendes Datenschutzniveau zu gewährleisten. Zudem stellte das Gericht klar, dass ein Cookie-Banner, der das Ablehnen der Einwilligung erst auf der zweiten Ebene ermöglicht und damit mehr Aufwand als eine Einwilligung auf der ersten Ebene erfordert, unzulässig sei.

Die Beklagte ist eine Tochtergesellschaft der Deutschen Telekom AG. Die Parteien streiten über die Rechtsmäßigkeit der von der Beklagten in der Vergangenheit verwendeten Datenschutzhinweise und damit korrespondierende Datenübermittlungen und in der Vergangenheit verwendeten Cookie-Bannern. Auf der Seite wurde u.a. ein Cookie-Banner eingesetzt, bei dem die optische Gestaltung der Auswahlmöglichkeiten nicht gleichwertig nebeneinander stand. Zudem wurden beim Aufruf der Website personenbezogene Daten wie die IP-Adresse sowie Browser- und Geräteinformationen aus einer Endeinrichtung eines Website-Besuchers an Google LLC als Betreiberin von Google Analyse- und Marketingdiensten („Google Adservices“) mit Sitz in den USA übermittelt. Der Kläger, die Verbraucherzentrale NRW e.V., sah hierin einen Verstoß gegen § 25 Abs. 1 S. 1 TTDSG und eine unzulässige Übermittlung der personenbezogenen Daten der Verbraucher an Server der Google LLC in den USA durch die Beklagte in ein Drittland ohne angemessenes Schutzniveau i.S.d. Art. 45 DSGVO und ohne geeignete Garantien i.S.d. Art. 46 DSGVO.

Hintergrund

Am 12.7.2016 trat das sog. „Privacy Shield“-Abkommen in Kraft. Dieser Beschluss der Europäischen Kommission sollte ein angemessenes Datenschutzniveau für die Datenübermittlung in die USA gewährleisten und einen sicheren Rechtsrahmen für Unternehmen schaffen. Der EuGH (Urt. v. 16.7.2020 – C-311/18) erklärte das Abkommen jedoch für ungültig. Er stellte in seinem Urteil klar, dass bei einer Übermittlung personenbezogener Daten in ein Drittland ein Schutzniveau erforderlich sei, das mit dem in der Union vergleichbar ist. Aufgrund der weitreichenden Zugriffmöglichkeiten der US-Sicherheitsbehörden sei in den USA jedoch kein gleichwertiges Schutzniveau gewährleistet. Außerdem eröffne das Abkommen keinen ausreichenden Rechtsschutz für Betroffene.

Aktuell läuft das Verfahren zur Annahme eines neuen Angemessenheitsbeschlusses.

Keine freiwillige Einwilligungserteilung wegen fehlerhafter Gestaltung des Cookie-Banners

Das Gericht stellte fest, dass die Gestaltung des Cookie-Banners nicht den Anforderungen des § 25 Abs. 1 TTDSG entsprach und die Eilwilligungserteilung nicht als freiwillig i.S.d.Art. 4 Nr. 11 DSGVO bewertet werden könne. Nach Art. 4 Nr. 11 der VO (EU) 2016/679 ist eine Einwilligung jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.

Das setzt voraus, dass der Verbraucher bei der Abgabe der Einwilligung eine echte Wahlmöglichkeit hat und nicht durch die Ausgestaltung des Cookie-Banners einseitig in Richtung einer Einwilligung gelenkt wird. Eben dies war bei dem streitgegenständlichen Cookie-Banner indessen der Fall. Denn während im Falle des Buttons „Alle akzeptieren“ eine Ein-Klick-Lösung in Größe, Farbe und Layout als Blickfang deutlich gestaltet war, war das Weitersurfen „nur mit den notwendigen Cookies“ im Fließtext versteckt und damit in Größe, Form und Gestaltung nicht ausreichend, um als tatsächliche und gleichwertige Wahlmöglichkeit angesehen zu werden.

„Ablehnen“-Button auf zweiter Ebene führt zu keiner freien Wahl des Nutzers

Zwar sei auf der zweiten Ebene ein „Ablehnen“-Button vorhanden gewesen, allerdings habe die Beschriftung des Buttons „Einstellungen ändern“ neben dem „Alle Akzeptieren“-Button eine Wahlmöglichkeit nicht zu erkennen gegeben.

Auch die Wahlmöglichkeit „Einstellungen ändern", führt ebenso wenig zur Wirksamkeit der Einwilligung, da der Button – wie der Landesbeauftragte für Datenschutz und Informationsfreiheit in seiner Stellungnahme vom 27.02.2023 zutreffend umschrieben hat – keine für den Verbraucher erkennbare zu dem Button „Alle akzeptieren“ im Alternativverhältnis stehende Wahlmöglichkeit in Form einer Willenserklärung oder eines Hinweises darauf enthält. So ist in der Formulierung „Einstellungen ändern“ kein unmissverständlicher Hinweis auf eine – wenn auch auf zweiter Ebene – alternative Ablehnungsmöglichkeit der technisch nicht notwendigen Cookies enthalten. Sieht sich der Verbraucher also einer Willenserklärung („Alles akzeptieren“) und daneben einer unspezifischen Konfigurationsmöglichkeit gegenüber, die die mögliche folgende Willenserklärung „Nicht alles akzeptieren/Alles abwählen“ etc.) und damit die Wahlmöglichkeit nicht zu erkennen gibt, wird durch das Klicken des Buttons „Alles akzeptieren“ keine freie Wahl zwischen zwei Willenserklärungen getroffen.

Im Ergebnis war der Antrag des Klägers jedoch unbegründet, da er zu weit gefasst war und die Formulierung „ohne im Cookie-Banner eine der Einwilligungserklärung in Form, Funktion und Farbgebung gleichwertige, gleichrangige und gleich einfach zu bedienende Ablehnungsoption bereitzustellen“ enthielt. Eine entsprechende Form der Bannergestaltung ergebe sich jedoch weder aus der DSGVO noch den TTDSG.

Aus den Anforderungen an die Freiwilligkeit der Einwilligung lässt sich eine bestimmte Form der Gestaltung nicht entnehmen. Insbesondere kann der Kläger eine solche bestimmte Form der Ausgestaltung nicht mittels eines Unterlassungsantrages erzwingen. Ein solches Verlangen läuft § 2 Abs. 1 UKlaG zuwider. Der Kläger hat in der mündlichen Verhandlung auf den Vorschlag des Gerichts hin, diesen Passus zu streichen oder einzuschränken, zu erkennen gegeben, dass es ihm gerade darum gehe, dass eine gleichwertige Ablehnungsoption auf der ersten Ebene vorhanden sein müsse. Eine Verpflichtung hierzu ist aber weder dem UKlaG noch dem TTDSG oder der DGSVO zu entnehmen. Vielmehr sind unterschiedliche Gestaltungen denkbar, die den Anforderungen an eine freiwillige Einwilligung genügen.

Unzulässige Drittlandsübermittlung

Das Gericht stellte jedoch fest, dass die Beklagte personenbezogene Daten unzulässig in die USA übermittelt habe.

Die Beklagte hat gegen die Beklagte einen Anspruch auf Unterlassung der bezeichneten Datenübermittlung in die USA nach § 2 Abs. 2 S. 1 Nr. 11 UKlaG iVm §§ 8, 3 Abs. 1, 3a UWG iVm Art. 44 ff. DSGVO. Die klägerseits vorgetragene Übermittlung von IP-Adressen sowie Browser- und Geräteinformationen an Google LLC als Betreiberin von Google Analyse- und Marketingdiensten mit Sitz in den USA ist als unstreitig zu behandeln und ist nicht von den Rechtfertigungstatbeständen der DSGVO gedeckt.

Kein gleichwertiges Schutzniveau

Das Gericht nahm Bezug auf die Schrems-II-Entscheidung des EuGH (Urt. v. 16.7.2020 – C-311/18), mit der er das Privacy-Shield-Abkommen für ungültig erklärte. Er stellte in seinem Urteil klar, dass bei einer Übermittlung personenbezogener Daten in ein Drittland ein Schutzniveau erforderlich sei, das mit dem in der Union vergleichbar ist. Aufgrund der weitreichenden Zugriffmöglichkeiten der US-Sicherheitsbehörden sei in den USA jedoch kein gleichwertiges Schutzniveau gewährleistet. Außerdem eröffne das Abkommen keinen ausreichenden Rechtsschutz für Betroffene.

In den USA ist kein angemessenes Datenschutzniveau gewährleistet (vgl. EuGH Urt. v. 16.7.2020 – C-311/18 – Facebook Ireland u. Schrems, im Folgenden: Schrems II). Der EuGH hat ausgesprochen, dass der EU-US Angemessenheitsbeschluss („Privacy Shield“) – ohne Aufrechterhaltung seiner Wirkung – ungültig ist. Die gegenständliche Datenübermittlung findet daher keine Deckung in Art. 45 DSGVO.

Standardvertragsklauseln nicht geeignet

Zudem stellte das Gericht klar, dass etwaige Standarddatenschutzklauseln die Datenübermittlung in die USA nicht zu rechtfertigen vermögen, da sie nicht geeignet seien, ein der DSGVO entsprechendes Datenschutzniveau zu gewährleisten, insbesondere da solche Verträge nicht vor einem behördlichen Zugriff in den USA schützen. Auch hierbei berief sich das Gericht auf den EuGH.

In Schrems II hat der EuGH zwar ausgeführt, dass Standarddatenschutzklauseln als Instrument für den Internationalen Datenverkehr dem Grunde nach nicht zu beanstanden sind, allerdings hat der EuGH auch darauf hingewiesen, dass Standarddatenschutzklauseln ihrer Natur nach ein Vertrag sind und demnach Behörden aus einem Drittstaat nicht binden können […].

Der EuGH ist zu dem Ergebnis gekommen, dass der EU-US Angemessenheitsbeschluss aufgrund des einschlägigen Rechts der USA und der Durchführung von behördlichen Überwachungsprogrammen kein angemessenes Schutzniveau für natürliche Personen gewährleistet (Schrems II, Rn. 180 ff). Wenn sogar der EU-US Angemessenheitsbeschluss aufgrund der Rechtslage in den USA für ungültig erklärt wurde, so kann erst recht nicht davon ausgegangen werden, dass vertragliche Bindungen zwischen privaten Rechtssubjekten ein angemessenes Schutzniveau nach Art. 44 DSGVO für die gegenständliche Datenübermittlung in die USA gewährleisten können. Denn diese können schon ihrer Natur nach ausländische Behörden nicht in ihrer Handlungsmacht beschränken. […] Solche Maßnahmen müssten geeignet sein, die im Rahmen des Schrems II Urteils des EuGH aufgezeigten Rechtsschutzlücken – also die Zugriffs- und Überwachungsmöglichkeiten von US-Nachrichtendiensten – zu schließen. Dies ist hier nicht gegeben.

Keine wirksame Einwilligung

Die Beklagte könne sich auch nicht auf eine wirksame Einwilligung gem. Art. 49 Abs. 1 lit. a) DSGVO berufen. Die Besucher der Website seien nicht über eine Datenübermittlung an Google informiert worden. Zudem seien an Einwilligungen in Übermittlungen in Drittländer höhere Anforderungen zu stellen als an sonstige Einwilligungen.

Eine „ausdrückliche Einwilligung“ iSd Art. 49 Abs. 1 lit. a) DSGVO auf hinreichender Informationserteilung u.a. über den Empfänger der Informationen wurde schon nicht dargelegt.

Nach Art. 4 Nr. 11 DSGVO ist eine Einwilligung eine unmissverständlich abgegebene Willensbekundung in der Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung. Für die nach Art. 49 Abs. 1 lit. a) DSGVO erforderliche Einwilligung ist es schon dem Wortlaut nach darüber hinaus erforderlich, dass die Erklärung „ausdrücklich“ abgegeben wird. Angesichts dieser unterschiedlichen Wortwahl sind an die Einwilligung zu Übermittlungen in Drittländer höhere Anforderungen als an sonstige Einwilligungen zu stellen. Insbesondere setzt Art. 49 Abs. 1 lit. a DSGVO schon dem Wortlaut nach eine besondere Informiertheit voraus. Der Einwilligende muss u.a. darüber informiert worden sein, an welche Drittländer und an welche Empfänger seine Daten übermittelt werden (BeckOK DatenschutzR/Lange/Filip DS-GVO Art. 49 Rn. 7; Klein/Pieper in: Schwartmann/Jaspers/Thüsing/Kugelmann, DS-GVO/BDSG, Artikel 49 Ausnahmen für bestimmte Fälle Rn. 6).

Hier sind die Website-Besucher aber keineswegs über eine Datenübermittlung an Google LLC unterrichtet worden. In den ehemaligen Datenschutzhinweisen wurde lediglich über eine Übermittlung von Daten an Xandr und Heap informiert worden, was ersichtlich nicht den Empfänger Google LLC erfasst.

Die Entscheidung ist noch nicht rechtskräftig.

Unser Tipp: Im Rahmen unserer Legal Products Enterprise und Ultimate übernehmen wir auch eine außergerichtliche Vertretung bei der Geltendmachung von Unterlassungs- und Aufwendungsersatzansprüchen sowie Schadensersatz-/Schmerzensgeldansprüchen nach der DSGVO (z.B. aufgrund eines nicht erteilten Auskunftsersuchens oder einer unzulässigen Datenübermittlung). Eine Lösung, um die Einwilligung wirksam einzuholen, bietet zudem der Trusted Shops Consent-Manager. Selbstverständlich erhalten Sie umfassenden Support bei der Integration. Ebenfalls enthalten ist ein Update-Service – ergeben sich Gesetzesänderungen oder relevante gerichtliche oder behördliche Entscheidungen, die auch Sie betreffen, aktualisieren wir den Consent-Manager entsprechend und informieren Sie darüber natürlich. Unser Consent-Manager ist in allen Legal Products enthalten. Nutzen Sie auch für Ihre AGB, Ihr Impressum, Ihre Datenschutzerklärung und Ihre Widerrufsbelehrung unseren kostenlosen Rechtstexter.

sergign/Shutterstock.com

23.05.23