Die Deutsche Telekom darf ohne ausdrückliche Einwilligung der Betroffenen und ohne zusätzliche Datenschutzgarantien keine personenbezogenen Daten mehr an Server von Google Analytics in den USA weitergeben. Das Landgericht (LG) Köln bejaht damit den ersten Unterlassungsanspruch zum Drittlandtransfer basierend auf Standardvertragsklauseln (Urteil vom 23. März 2023, Az.: 33 O 376/22).
Der Rechtsstreit
Ausgangspunkt war eine Klage der Verbraucherzentrale Nordrhein-Westfalen e.V. gegen die Deutsche Telekom. Letztere nutzte auf ihrer Website den Dienst Google Analytics, wobei die IP-Adressen der Besucher an Server von Google in die USA übertragen wurden.
Die Verbraucherzentrale warf der Telekom vor, dass durch den Einsatz von Google Analytics auf den Endgeräten der Besucher Cookies gespeichert werden, welche personenbezogene Daten in die USA übermitteln. Beim Aufruf der Website wurden personenbezogene Daten wie die IP-Adresse als auch Browser- und Geräteinformationen aus der Endeinrichtung der Website-Besucher an Google LLC in den USA übermittelt. Mittels einer Echtzeitanalyse vom Browser des Klägers konnten ein- und ausgehenden Netzwerkverbindungen nachgewiesen werden. Die Verbraucherzentrale warf der Telekom vor, dass es an einer ausreichenden Einwilligung im Sinne der Datenschutz-Grundverordnung (DSGVO) fehle.
Die Deutsche Telekom widersprach diesem Vorwurf mit der Begründung, dass die Einwilligung ausreichend sei und dass die Nutzer über die Zwecke der Datenverarbeitung ausreichend informiert würden. Zudem sei die Datenerhebung für die Bereitstellung von Dienstleistungen und legitimen Geschäftsinteressen notwendig gewesen.
Die Beklagte betonte außerdem, dass Nutzer die Möglichkeit hatten, die Einwilligung zu widerrufen und somit der Datenverarbeitung zu widersprechen.
Zudem fügte das Unternehmen als Argumentation an, dass Standardvertragsklauseln abgeschlossen wurden und somit eine ausreichende Datenschutzgarantie für den Drittlandtransfer vorläge.
Aktuelle Urteile zur DSGVO
In unseren regelmäßigen Besprechungen von Urteilen zum Datenschutzrecht erklären wir Ihnen die Konsequenzen für den Unternehmensalltag.
Das Urteil
Das Landgericht Köln entschied, dass die Datenübermittlung der Deutschen Telekom an Google Analytics weder aufgrund einer Auftragsverarbeitung noch durch eine Einwilligung der Besucher gerechtfertigt sei. Das Gericht stellte einen Verstoß gegen die Grundsätze der Schrems-II-Entscheidung des Europäischen Gerichtshofs (EuGH) fest. Da die USA kein ausreichendes Datenschutzniveau aufweisen, werden hohe Anforderungen an die Datenübermittlung gestellt. Der Abschluss von Standardvertragsklauseln sein nicht geeignet, um die Zugriffs- und Überwachungsmöglichkeiten von US-Behörden auszuschließen. Das Gericht betonte, dass zusätzliche Maßnahmen erforderlich seien, um den Schutz personenbezogener Daten zu gewährleisten, beispielsweise durch den Einsatz von Verschlüsselung oder Pseudonymisierung.
Bezüglich der Einwilligung führte das Gericht an, dass ein Cookie-Banner mit einem allgemeinen „Alles akzeptieren“ Button nicht für eine ausdrückliche Einwilligung ausreicht. Für einen Datentransfer in die USA sind zusätzliche Transparenzpflichten sowie eine Aufklärung über die Gefahren der Übermittlung in ein Drittland notwendig, die der Websitebesucher zur Kenntnis genommen haben muss.
Die Telekom als Verantwortliche der Datenverarbeitung erwähnte in ihrem Banner Google nicht einmal als Empfänger der Daten. Folglich konnte der Datentransfer nicht über die Ausnahmeregelung bezüglich Übermittlung personenbezogener Daten an ein Drittland gemäß Art. 49 Abs. 1 lit. a DSGVO abgedeckt werden.
Jedoch lehnte es das Landgericht ab, konkrete Bannergestaltungen vorzugeben. Die DSGVO enthält keine bestimmte Form der Bannergestaltung, so dass auch ein Gericht keine konkrete Gestaltung auferlegen kann, wenn dem keine gesetzliche Regelung zu Grunde liegt.
Inwieweit ein Hinweis genügt hätte, bzw. in welchem Umfang Websitebesucher über das Risiko der Datenübermittlung in die USA informiert werden müssten, ließ das Landgericht Köln offen.
Datenschutzrechtliche Einschätzung
Es ist eines der ersten Gerichtsurteile, in denen eine Datenübermittlung in die USA für unrechtmäßig erklärt wurde. Unternehmen müssen sicherstellen, dass die EU-Datenschutzstandards auch über die Landesgrenzen hinweg eingehalten werden müssen.
Abschluss Standardvertragsklauseln
Es sei an dieser Stelle auch nochmals daran erinnert, dass Standardvertragsklauseln alleine eine Datenübermittlung in ein Drittland nicht rechtfertigen, da sie sich nicht eignen, ein der DSGVO entsprechendes Datenschutzniveau zu gewährleisten, insbesondere weil die Klauseln nicht vor einem behördlichen Zugriff im Drittland schützen. Im Schrems-II-Urteil führte der EuGH an, dass Standardvertragsklauseln als Instrument für den internationalen Datentransfer zwar grundsätzlich eingesetzt werden können, jedoch dem Grunde nach nur ein Vertrag sind, der zwischen den beteiligten Unternehmen abgeschlossen wird und somit Behörden aus einem Drittstaat nicht binden können.
Je nach der gegebenen Lage in dem Drittland kann es also erforderlich sein, dass verantwortliche Unternehmen zusätzliche Maßnahmen ergreifen müssen, um die Einhaltung dieses Schutzniveaus zu gewährleisten. Ergriffene Maßnahmen müssen zudem geeignet sein, die im Rahmen des Schrems-II-Urteils des EuGH aufgezeigten Zugriffs- und Überwachungsmöglichkeiten von Behörden im Drittland auszuschließen.
Hierzu nochmals der Verweis auf die Empfehlungen des Europäischen Datenschutzausschusses (EDSA). Unternehmen, die Dienste wie Google Analytics einsetzen, müssen also zusätzliche Maßnahmen vortragen können, die im Falle eines Zugriffs durch beispielsweise US-Nachrichtendienste die Verletzung der Grundrechte der betroffenen Person verhindern.
Einholung der Einwilligung
Das Urteil des LG Köln macht deutlich, dass es beim Einsatz von Tools wie Google Analytics darauf ankommt, eine wirksame Einwilligung zu formulieren und eine weitreichende Aufklärung der Betroffenen über den damit verbundenen Drittlandtransfer zu gewährleisten.
Für einen Drittlandtransfer müssen Verantwortliche eine „ausdrückliche Einwilligung“ im Sinne von Art. 49 Abs. 1 lit a) DSGVO einholen. Nach Art. 4 Nr. 11 DSGVO ist eine Einwilligung eine „unmissverständlich abgegebene Willensbekundung in der Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung“. Die Einwilligung zur Übermittlung personenbezogener Daten in Drittländer stellt höherer Anforderungen. Die Erklärung muss „ausdrücklich“ abgegeben werden, so dass Art. 49 Abs. 1 lit a) DSGVO dem Wortlaut nach eine besondere Informiertheit voraussetzt.
Der Betroffene muss vor allem auch darüber informiert werden, an welche Drittländer und an welche Empfänger seine Daten übermittelt werden. Eine einfache Zustimmung im Cookie-Banner über den Button „Alle akzeptieren“ reicht für eine ausdrückliche Einwilligung nicht aus. Auch die oftmals unspezifische Konfigurationsmöglichkeit „Einstellungen ändern“, die regelmäßig neben dem „Alle akzeptieren“-Button platziert wird, gibt dem Websitebesucher nicht zu erkennen, dass er neben der Einwilligung auch die Wahl hat, seine Einwilligung zu verweigern.
Für Unternehmen ist die Nutzung von Google Analytics und vergleichbaren Diensten, bei denen personenbezogenen Daten wie die IP-Adressen der Websitebesucher in die USA übertragen werden, somit weiter kritisch zu bewerten. Es gilt weiterhin die Empfehlung, möglichst Dienstleister in Europa einzusetzen, sofern man nicht auf ein entsprechendes Analysetool verzichten möchte (siehe der ausführliche Beitrag zum datenschutzkonformen Einsatz von Google Analytics bei der activeMind AG).
