Die Vorweihnachtszeit in der Datenschutzwelt war geprägt durch eine Vielzahl von Urteilen des Europäischen Gerichtshofes (EuGH), wie wir im Rahmen unseres Jahresrückblicks teilweise schon dargestellt haben. Hierbei ist ein Urteil aus Deutschland fast übersehen wurden, was diesem aufgrund seiner Bedeutung beziehungsweise der vielfach zugemessenen Bedeutung nicht gerecht würde. Gemeint ist das Urteil des OLG Köln vom 3.11.2023 – Az.: 6 U 58/23. Zum Teil wird aus dem Urteil geschlussfolgert, dass das OLG Köln das Data Privacy Framework für unzulässig erklärt habe, was selbstredend nicht stimmt, wie bereits durch den Kollegen Carlo Piltz zutreffend dargestellt wurde. Worum es in dem Urteil wirklich geht und welche Auswirkungen für die Praxis zu erwarten sind, soll im nachstehenden Beitrag näher dargestellt werden.
Was ist eigentlich Inhalt des Urteils?
Gegenstand des Verfahrens war die Internetpräsenz www.telekom.de der Telekom Deutschland GmbH. Der Seite war ein sogenanntes Cookie-Banner vorgeschalten, mit welchem unter Verweis auf die Datenschutzinformationen die Einwilligung in die Verwendung von Analyse- und Marketing-Cookies eingeholt wurde. Die Klägerin, die Verbraucherzentrale NRW, beanstandete die Einbindung von Google Analytics. In erster Instanz befand das LG Köln mit Urteil vom 23. März 2023 – Az.: 33 O 376/22 die Einbindung als rechtswidrig, da eine unzulässige Datenübermittlung in die USA erfolge und mithin kein ausreichendes Datenschutzniveau gewährleistet werden könne.
Die Telekom Deutschland GmbH übermittelte bei Aufruf der Seite die IP-Adresse, Informationen über den genutzten Browser und das genutzte Endgerät der Nutzer an Server der Google LLC in den USA. Das LG Köln nahm in seinem Urteil unter anderem Bezug auf die Standarddatenschutzklauseln nach Art. 46 Abs. 2 lit. c) DS-GVO.
Zur Erinnerung: Am 10. Juli 2023 hat die Europäische Kommission den Angemessenheitsbeschluss nach dem EU-U.S. Data Privacy Framework angenommen. Das Data Privacy Framework stellt einen Angemessenheitsbeschluss im Sinne des Art. 45 DS-GVO dar. Damit wird den USA ein im Vergleich zur Europäischen Union vergleichbares Datenschutzniveau attestiert. Das EU-U.S. Data Privacy Framework räumt Bürgern der Europäischen Union gegenüber US-amerikanischen Unternehmen neue Rechte ein (z.B. das Recht auf Auskunft, das Recht auf Berichtigung, das Recht auf Löschung unrichtiger oder unrechtmäßig verarbeiteter personenbezogener Daten). Weiterhin bestehen verschiedene Rechtsbehelfe sowie unabhängige Streitbeilegungsmechanismen und ein Schlichtungsgremium. Die US-amerikanischen Unternehmen können ihre Teilnahme am EU-U.S. Data Privacy Framework zertifizieren lassen, indem diese sich verpflichten, verschiedene datenschutzrechtliche Anforderungen (z.B. Zweckbindung, Datenminimierung) einzuhalten.
Das OLG Köln hat sich sodann im Rahmen des Berufungsverfahrens mit der erstinstanzlichen Entscheidung befasst. Das Gericht beanstandet in seiner Entscheidung die Übermittlung personenbezogener Daten an Server der Google LLC sowohl für den Zeitraum vor als auch nach Geltung der des EU-U.S. Data Privacy Framework.
Und was ist nun durch das OLG Köln wirklich entschieden worden?
Das OLG Köln stuft die Datenübermittlungen mangels wirksamer Rechtsgrundlage nach Art. 6 DS-GVO, hier konkret in Ermangelung einer entsprechenden Einwilligung, als unzulässig ein:
„Die Datenübermittlung war auch unzulässig, da sie nicht von einem Erlaubnistatbestand der DSGVO gedeckt war.“ Und weiter heißt es: „Die Datenübertragung an die Google LLC und damit in die USA war vor Geltung des DPF nicht durch Erlaubnistatbestände der DSGVO gedeckt. Denn die Übermittlung war weder nach Art. 46 Abs. 1 DSGVO aufgrund geeigneter Garantien für ein angemessenes Datenschutzniveau in den USA als Drittland […] noch aufgrund einer Einwilligung nach Art. 49 Abs. 1 S. 1 lit. a) DSGVO […] zulässig.“
In Bezug auf die Standarddatenschutzklauseln wird festgehalten: „Insofern reicht es jedoch nicht aus, dass die Beklagte sich auf Standardvertragsklauseln im Verhältnis zwischen Google und Google Ireland Ltd. […] sowie auf zusätzliche Maßnahmen, die von Google in den sogenannten „Google Ads IDTI“ […] ausgeführt werden, stützt. Denn der EuGH hat in seiner Entscheidung „Schrems II“ […] zunächst klargestellt, dass die Verwendung von Standardvertragsklauseln zwar im Verhältnis der Vertragsparteien relevant sei, aber keinen Schutz vor Maßnahmen der Behörden von Drittstaaten biete, weil diese durch die vertragliche Vereinbarung nicht gebunden seien. Deshalb gebe es Situationen, in denen die in den Klauseln enthaltenen Regelungen kein ausreichendes Mittel darstellten, um den effektiven Schutz von in das betreffende Drittland übermittelten personenbezogenen Daten zu gewährleisten […].“
Das nunmehr in Kraft getretene EU-U.S. Data Privacy Framework stellt nach Ansicht des OLG Köln sogar ein entsprechende Übermittlungsgrundlage dar:
„Der unter dem 10.07.2023 gefasste Beschluss der EU-Kommision mit dem Titel „EU US Data Privacy Framework“ […] stellt nunmehr in den USA ein angemessenes Datenschutzniveau fest und entfaltet unmittelbare Wirkung, so dass Datenübermittlungen in das betreffende Land keiner besonderen aufsichtsbehördlichen Genehmigung bedürfen […]. Auf der Grundlage des neuen Angemessenheitsbeschlusses können personenbezogene Daten aus der EU an solche US-Unternehmen übermittelt werden, die an dem DPF teilnehmen […].“
Vielmehr führt das Gericht weiter aus: „Auch bei Vorliegen eines Angemessenheitsbeschlusses müssen die übrigen – allgemeinen – Anforderungen an eine zulässige Datenverarbeitung erfüllt sein, wozu unter anderem das Erfordernis der in Kapitel II der DSGVO geregelten Einwilligung (Art. 6, 7 DSGVO) gehört […] Daran fehlt es im Streitfall […].“ Und dies dürfte der springende Punkt der Entscheidung sein, wie man so schön sagt. Der Entscheidung des OLG Köln ist zu entnehmen, dass die streitgegenständliche Datenübermittlung nicht auf der Stufe der Prüfung einer Rechtsgrundlage zur Übermittlung der Daten an datenschutzrechtliche Drittländer (vgl. Artt. 45 ff. DS-GVO) scheitert, sondern bereits an den Grundsätzen der Datenverarbeitung, insbesondere dem Vorliegen einer belastbaren Rechtsgrundlage gemäß Art. 6 DS-GVO.
Interessant für die Praxis ist, was anschließend folgt: „Denn ebenso wie im Kontext des Art. 49 Abs. 1 S. 1 lit. a) DSGVO ist die eingeholte Einwilligung, die nunmehr Art. 6 Abs. 1 S. 1 lit. a) DSGVO unterfällt, unwirksam. Eine Einwilligung im Sinne der letzteren Vorschrift erfordert, dass der für die Verarbeitung Verantwortliche der betroffenen Person eine Information über alle Umstände im Zusammenhang mit der Verarbeitung der Daten in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zukommen lässt, da dieser Person insbesondere die Art der zu verarbeitenden Daten, die Identität des für die Verarbeitung Verantwortlichen, die Dauer und die Modalitäten dieser Verarbeitung sowie die Zwecke, die damit verfolgt werden, bekannt sein müssen. Solche Informationen müssen diese Person in die Lage versetzen, die Konsequenzen einer etwaigen von ihr erteilten Einwilligung leicht zu bestimmen, und gewährleisten, dass die Einwilligung in voller Kenntnis der Sachlage erteilt wird […].“
Und weiter: „Gemessen hieran wird im Datenschutzhinweis, wie oben näher ausgeführt, suggeriert, dass die Verwendung von Google Ads grundsätzlich ohne Übermittlung personenbezogener Daten auskommt. Unabhängig davon, ob diese Übermittlung in ein Drittland mit oder ohne Angemessenheitsbeschluss erfolgt, entspricht es nicht dem Erfordernis einer transparenten und leicht verständlichen Unterrichtung des Nutzers, wenn dieser aufgrund einer entsprechenden Aussage von Google, auf die sich die Beklagte beruft, davon ausgeht, es komme erst gar nicht zu einer Verarbeitung seiner personenbezogenen Daten.“
Vorab hatte das OLG Köln bereits ausgeführt: „Gemessen an diesen Grundsätzen teilt der Senat die landgerichtliche Bewertung, wonach die Datenschutzhinweise keine AGB sind. Denn insoweit handelte die Beklagte in Erfüllung der sich aus Art. 13 und 14 DSGVO ergebenden Informationspflichten, die – wovon das Landgericht zutreffend ausgegangen ist – nicht – dispositives Recht darstellen […] Es ist anerkannt, dass die bloße Wiedergabe gesetzlicher Informationspflichten, die nicht auf eine Änderung oder Ausgestaltung bestimmter Regelungen abzielt, keine AGB darstellt.“
Zu unterscheiden sind hiervon Klauseln zu den Themen „Analytische Cookies“ und „Marketing-Cookies“ in den Datenschutzhinweisen, bei diesen sei von kontrollfähigen AGB auszugehen: „Dieses Cookie-Banner dient der Einholung der Einwilligung von Besuchern der Webseite zum Setzen bestimmter Cookies und der Datenverarbeitung […] Indem der Datenschutzhinweis zum Gegenstand dieser Einwilligung gemacht wird, hat er an dem Rechtscharakter der vorformulierten Einwilligungserklärung als AGB teil.“
Fazit
Das EU-U.S. Data Privacy Framework gilt also auch weiter, zumindest so lange bis der EuGH etwas anderes verlauten lässt. Eine Unzulässigkeitserklärung durch das OLG Köln ist jedenfalls nicht erfolgt. Vielmehr konstatiert das Gericht entsprechende Prüffragen, an denen sich verwendete Einwilligungserklärungen wie zum Beispiel in Form von Consent-Management-Plattformen beziehungsweise Cookie-Bannern, insbesondere im Punkto Informiertheit messen lassen müssen. Darüber hinaus setzt das OLG einen Fingerzeig in Richtung AGB-Kontrolle von Datenschutzinformationen und Einwilligungserklärungen.
Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.