Die Verbraucherzentrale NRW hat vor dem Landgericht Köln gegen die Telekom Deutschland GmbH geklagt.
Personenbezogene Daten von Webseitenbesucher (www.telekom.de) wurden zu Analyse- und Marketingzwecken an die Google LLC in die USA übermittelt.
Was wurde entschieden?
Das Landgericht Köln urteilte, dass die Übermittlung der Daten an Google (Ad Services) ein Verstoß gegen den Datenschutz darstellt. Die Verbraucherzentrale NRW hat damit aktuell einen Unterlassungsanspruch gegen die Telekom Deutschland GmbH.
Nach unseren Informationen ist das Urteil derzeit noch nicht rechtskräftig und es ist noch unklar, ob das Verfahren in der nächsten Instanz weitergeführt wird.
Was sind die Gründe?
Im Kern hat das LG Köln drei wesentliche Feststellungen getroffen und daraus das Urteil abgeleitet:
- IP-Adressen sind personenbezogene Daten! Gestützt wird diese Feststellung dabei durch das BGH-Urteil vom 16.05.2017 (Az. VI ZR 135/13). Ob gerade dynamische IP-Adressen personenbezogene Daten sind, ist weiterhin umstritten, trotzdem wird in der Regel auf das zuvor genannte BGH-Urteil hingewiesen.
- Durch den Wegfall des Privacy Shield Datenabkommens mit den USA (Urteil „Schrems II“) nach dem EuGH-Urteil vom 16.07.2020 (Az. C-311/18) liegt kein angemessenes Datenschutzniveau in den USA vor. Damit sind für eine Übermittlung ins Drittland besondere Maßnahmen zu ergreifen.
- Die von der Telekom genutzte Einwilligung auf der Webseite bot nicht die notwendige Transparenz, damit dadurch ein Datentransfer an Google LLC bzw. in die USA gerechtfertigt werden kann.
Welches Problem hängt mit der Einwilligung zusammen?
Gem. Art. 49 Abs. 1 lit. a DSGVO ist eine Übermittlung ohne angemessenes Datenschutzniveau im Zielland möglich, wenn die betroffene Person ausdrücklich einwilligt und über die möglichen Risiken informiert wurde.
Liest man jedoch weiter, dann stellt man fest, dass die Ausnahmen aus Art. 49 DSGVO nur gelten, „… wenn die Übermittlung nicht wiederholt erfolgt, nur eine begrenzte Zahl von betroffenen Personen betrifft, für die Wahrung der zwingenden berechtigten Interessen des Verantwortlichen erforderlich ist, sofern die Interessen oder die Rechte und Freiheiten der betroffenen Person nicht überwiegen, und der Verantwortliche alle Umstände der Datenübermittlung beurteilt und auf der Grundlage dieser Beurteilung geeignete Garantien in Bezug auf den Schutz personenbezogener Daten vorgesehen hat.“
Die vorgenannten Voraussetzungen sind eine UND-Auflistung. Gerade bei Webseiten ist es umstritten, ob die Ausnahmen anwendbar sind, denn die Übermittlung erfolgt wiederholt bei jedem Webseitenbesuch und betrifft alle Webseitenbesucher und nicht nur eine begrenzte Zahl von betroffenen Personen.
Welche Auswirkungen hat das Urteil?
Abgesehen von den beiden beteiligten Parteien ist das Urteil erst einmal eine Einzelfallentscheidung ohne direkte Auswirkung auf Ihr Unternehmen. Allerdings zeigt es sehr deutlich, wie unklar und umstritten die derzeitige Rechtslage ist.
Auch wir haben bereits mehrfach darauf hingewiesen, auch unter Berücksichtigung anderer Urteile, z.B. zu Google Analytics, dass ein rechtssicherer Datentransfer in die USA derzeit nicht möglich erscheint.
Was bringt die Zukunft?
Solange kein angemessenes Datenschutzniveau in den USA angenommen werden kann, bleibt die rechtliche Situation für die Übermittlung in die USA unklar. Auch wenn das Urteil des LG Köln keine (für uns) wirklichen neuen Informationen enthält, sieht man die Einschläge näherkommen.
Im Grunde warten alle auf das neue Datenschutzabkommen zwischen der EU und den USA, welches eigentlich für die erste Jahreshälfte 2023 erwartet wurde. Allerdings gibt es derzeit auch hier Gegenwind, so dass derzeit nicht abzuschätzen ist, wann oder ob dieses Rahmenabkommen überhaupt verabschiedet wird.
Natürlich werden wir Sie auch hier weiterhin auf dem Laufenden halten, denn dies ist wohl eins der wichtigsten Themen für Unternehmen, wenn es um Marketing und die Auswahl von Auftragsverarbeitern geht.