Neues aus der Handelswelt
Mit Forschung und Beratung erfolgreich im Handeln
#Verstehen
#Planen
#Machen
#Teilen
Expertise für Handel im digitalen Zeitalter
Menu
Hier findet ihr unsere Studien 
Themen
Branchen
Spannende Projekte aus der IFH Welt
DIe EVENTS DES IFH KÖLN
25. Mai 2023

Das Landgericht Köln hat sich mit der Datenübermittlung der Telekom an Google und mit den Cookie-Einwilligungen der Telekom befasst. Datenübermittlungen auch an Google USA wurden untersagt (nicht rechtskräftig). Zudem wird deutlich, dass Einwilligungen bei der Cookie-Banner Gestaltung, die dem Urteil zugrunde lag, nicht wirksam eingeholt werden. Rechtsanwalt Rolf Becker, ECC Clubmitglied und Partner bei Wienke & Becker, erläutert auch weitere interessante Aspekte zum AGB Charakter von Datenschutzhinweisen.

Das Urteil erhält allgemeine Aufmerksamkeit, weil es u.a. um die Gestaltung der Einwilligung und ihrer Ablehnung bei den Cookie-Bannern geht und vielfach unter dem Titel: „Telekom darf keine personenbezogenen Daten an Google-Server in die USA übermitteln“ läuft. Hierzu berichten die Verbraucherschützer über die Klage der Verbraucherzentrale NRW und dem erfolgreichen Urteil des LG Köln (Urt. v. 23.03.2023, Az. 376/22f) in erster Instanz.

IP-Datenübermittlung mit Google in die USA

Wenn Besucher die Seiten des Konzerns aufriefen, übermittelte die Telekom Deutschland GmbH personenbezogene Daten an Google LLC in die USA, um deren Analyse- und Marketingdienste Google Ad Services zu nutzen. Da reichte dem Gericht schon die Übermittlung der (dynamischen) IP-Adresse des Besuchers aus, die seitens der Telekom nach Ansicht des Gerichts nicht hinreichend bestritten wurde. Diese hatte insbesondere bestritten, dass die dargelegte Serveradresse sich in den USA befinden sollte.

Das Gericht:

Als Telekommunikationsanbieterin und Websitebetreiberin kann die Beklagte, soweit es sich bei den Besuchern um ihre Kunden handelt, ohne großen Aufwand Internet-Nutzer identifizieren, denen sie eine IP-Adresse zugewiesen hat, da sie in der Regel in Dateien systematisch Datum, Zeitpunkt, Dauer und die dem Internet-Nutzer zugeteilte dynamische IP-Adresse zusammenführen kann. In Kombination können die eingehenden Informationen dazu benutzt werden, um Profile der natürlichen Personen zu erstellen und sie (sogar ohne Heranziehung Dritter) zu identifizieren (…).

Gleiches gilt für Google LLC, die als Anbieterin von Online-Mediendiensten ebenso über die Mittel verfügt Personenprofile zu erstellen und diese auszuwerten. Dabei kann gerade die IP-Adresse als personenspezifisches Merkmal dienen (vgl. LG München I, Urteil vom 20.1.2022 – 3 O 17493/20) und etwa in der Kombination mit der Nutzung anderer Onlinedienste zur Identifizierung herangezogen werden (…).

Kein angemessenes Schutzniveau in den USA

Bekanntlich leidet die Nutzung von Services der im Land des digitalen Marktführers USA ansässigen Unternehmen noch immer unter der Schrems II-Entscheidung des Europäischen Gerichtshofs (EuGH, Az. C-311/18). Der hatte auf Betreiben des Datenschutzaktivisten bzw. seiner Organisation schon am 16. Juli 2020 festgestellt, dass die damals existierende Privacy Shield Regelung keine ausreichende Grundlage für ein angemessenes Schutzniveau bei der Datenübermittlung bietet. Unter anderem missfiel den Richter:innen, dass Ausländern in den USA keine durchsetzbaren Rechte gegen Datenzugriffe gewährt wurden. Ein solches Schutzniveau ist aber bei entsprechenden Datenübermittlungen personenbezogener Daten in sog. Drittländer außerhalb der EU zu gewährleisten.

Angemessenheitsbeschlüsse der EU-Kommission

Grundsätzlich kann die EU-Kommission mit einem Angemessenheitsbeschluss ein solches Schutzniveau feststellen. Das erleichtert dann dem Datenübermittler die Sicherstellung des Datenschutzes ungemein.

Solche Beschlüsse gibt es etwa für

Andorra, Argentinien, Färöer-Inseln, Guernsey, Isle of Man, Israel (eingeschränkt), Japan, Jersey, Kanada (eingeschränkt), Neuseeland, Schweiz, Südkorea, Uruguay und Vereinigtes Königreich (eingeschränkt).

Abschluss von Standardvertragsklauseln allein reicht nicht

Mit der EuGH-Entscheidung fiel der Angemessenheitsbeschluss jedoch für die USA weg und dann wurde es sehr kompliziert. Man muss sog. Standardvertragsklauseln nutzen, die aber – so auch das LG Köln in seiner Begründung unter Berufung auf den EuGH – alleine ebenfalls nicht reichen. Man müsste nach weiteren Garantien suchen.

Informierte Einwilligung

Eine weitere versuchte Lösung des Problems ist die Einholung einer Einwilligung nach Art. 49 Abs. 1 lit. a) DSGVO. Die wollte die Telekom mit den in der Vergangenheit genutzten Gestaltungen über das sog. Cookie-Banner einholen. Dem Landgericht Köln fehlte aber schon eine Information zur Datenübermittlung in die USA an die Google LLC. In den Datenschutzhinweisen werde nur über eine Übermittlung von Daten an „Xandr und Heap“ informiert. Spätere Gestaltungen, insbesondere aktuellere Datenschutzhinweise der Telekom (genannt ist eine Version vom 03.01.2023), spielten keine Rolle. Vor diesem Hintergrund untersagte das Gericht dem Konzern bei Nutzung der Website www.telekom.de, insbesondere beim Einsatz von Cookies und ähnlichen Technologien zu Analyse- und Marketingzwecke, personenbezogene Daten von Verbrauchern in Drittländer zu übermitteln, ohne dass die gesetzlichen Voraussetzungen vorliegen oder Ausnahmen gegeben sind.

Gleichwertige Ablehnungsfunktion im Cookie-Banner

Der Kläger hatte aber noch weitere Anträge gestellt und wollte die Telekom zwingen, eine bestimmte Gestaltung der Einwilligung zu Zwecken der Werbung und/oder Marktforschung im Cookie-Banner vorzusehen. Das Cookie-Banner sollte eine „Einwilligungserklärung in Form, Funktion und Farbgebung gleichwertige, gleichrangige und gleich einfach zu bedienende Ablehnungsoption bereit[zu]stellen“.

Die Richter stellten in der Urteilsbegründung tatsächlich fest, dass die konkrete Gestaltung der Einwilligung, die der Klage zugrunde lag, keine Wirksamkeit begründete, da der Verbraucher keine echte gleichwertige Wahlmöglichkeit gehabt habe.

Der Verbraucher dürfe nicht durch die Ausgestaltung des Cookie-Banners in Richtung einer Einwilligung gelenkt werden (sog. Nudging für Anstoßen oder Schubsen/Stupsen). Die Telekom hatte einen Button „Alle akzeptieren“ vorgesehen, während sich die Wahl zum Weitersurfen „nur mit den notwendigen Cookies“ im Fließtext versteckt fand. Eine weitere Wahlmöglichkeit über „Einstellung ändern“ reichte den Richtern ebenfalls nicht aus, da es sich nicht um einen klaren Hinweis auf Ablehnungsmöglichkeit handele:

„Sieht sich der Verbraucher also einer Willenserklärung („Alles akzeptieren“) und daneben einer unspezifischen Konfigurationsmöglichkeit gegenüber, die die mögliche folgende Willenserklärung „Nicht alles akzeptieren/Alles abwählen“ etc.) und damit die Wahlmöglichkeit nicht zu erkennen gibt, wird durch das Klicken des Buttons „Alles akzeptieren“ keine freie Wahl zwischen zwei Willenserklärungen getroffen.“

Ablehnung weil Klageantrag zu weit gefasst

Dennoch lehnte das LG Köln das Begehren der Verbraucherschützer ab, da der Klageantrag mit der Vorgabe einer bestimmten Gestaltung zu weit gefasst gewesen sei.

Datenübermittlung an die Schufa

Das gleiche Schicksal erlitt auch ein Klageantrag, der sich gegen die Übermittlung von Positivdaten, also aller Vertragsdaten, an die Schufa richtete. Die Datenübermittlung zu Betrugspräventionszwecken kann zwar von entsprechenden Interessen gedeckt sein, allerdings gilt das nicht für eine unterschiedslose generelle Übermittlung aller Vertragsdaten:

Eine pauschale und präventive Übermittlungen sämtlicher Daten im Zusammenhang mit dem Vertragsverhältnis ist im Wirtschaftsverkehr ohne Einwilligung weder üblich noch wird sie vernünftiger Weise erwartet.“

Die Richter hätten also diese Übermittlung wohl untersagt. Aber auch hier war aus Sicht der Richter der Antrag zu weit gefasst, weil eine Verurteilung nach dem Begehren des Klägers auch Fälle des berechtigten Interesses ausgeschlossen hätte.

Datenschutzhinweise sind keine AGB

Ebenfalls nicht erfolgreich waren die Angriffe des Verbraucherschutzverbandes gegen die Datenschutzerklärung und dort enthaltene entsprechende Ausführungen zur Übermittlung von Daten an die Schufa und CRIF Bürgel GmbH, zu analytischen Cookies und zu Marketing Cookies/Retargeting. Das LG Köln entschied, dass die Formulierungen in Datenschutzhinweisen nicht der AGB-Kontrolle unterliegen. Sie entfalten als Hinweise keine vertragliche Bindungswirkung für den Betroffenen oder die Betroffene und ihnen kommt auch kein Regelungsgehalt zu, wenn sie richtig formuliert sind. Anders kann dies aussehen, wenn z.B. in den Datenschutzhinweisen Einwilligungen enthalten sollen.

Fazit:

Das Urteil bestätigt in seiner Begründung die Auffassung der Landesdatenschutzbehörden zur Gleichwertigkeit von Zustimmungs- und Ablehnungsmöglichkeiten bei Einwilligung, die über Cookie-Banner eingeholt werden. Webseitenbetreiber sind gut beraten, sich ihre Cookie-Banner noch einmal anzusehen, da noch sehr häufig vergleichbare Gestaltungen verwendet werden, wie im Rechtsstreit. Für die Zukunft steht zu erwarten, dass Fehler bei den Klageanträgen sich nicht wiederholen werden. Zwar kommt es immer auf den Einzelfall an, aber es stellt sich immer deutlicher heraus, dass man mit versteckten Ablehnungsmöglichkeiten nicht erfolgreich weiterkommt. Dann drohen nicht nur Unterlassungsklagen, sondern empfindliche Bußgelder.

Auch der Einsatz von Tools, bei denen Daten in die USA fließen, bleibt hoch problematisch, bis der neue Angemessenheitsbeschluss der EU kommt. Da reichen nach Auffassung der Datenschutzbehörden schon IP Adressen aus, auch wenn man kein Telekommunikationsanbieter ist.

Erfreulich ist die Feststellung, dass Formulierungen in Datenschutzhinweisen keine AGB sind. Damit ist bei der richtigen Gestaltung und Formulierung Abmahnungen weitgehend der Boden entzogen.

ÜBER DEN AUTOR

Rechtsanwalt Rolf Becker ist Partner der Rechtsanwälte WIENKE & BECKER in Köln und Autor von Fachbüchern und Fachartikeln zum Wettbewerbsrecht, Markenrecht und Vertriebsrecht insbesondere im Fernabsatz. Als Mitglied im ECC CLUB kommentiert Rechtsanwalt Becker für das ECC KÖLN regelmäßig aktuelle Urteile zum Online-Handel und gibt Händlern praktische Tipps, wie sie mit den gesetzlichen Vorgaben umgehen sollen. 

RA Becker auf Twitter: http://twitter.com/rolfbecker   

Er ist auch Autor auf den Informationsdiensten www.versandhandelsrecht.de.

PRESSEHINWEISE

Gerne dürfen Sie den Text von Herrn Becker redaktionell weiterverwenden. Bitte geben Sie hierbei die URL zum Rechtstipp sowie folgende Quelle an: RA Rolf Becker WIENKE & BECKER / ECC Rechtstipp. Bitte senden Sie ein Belegexemplar bzw. den Link zur Veröffentlichung an presse(at)ifhkoeln.de. Vielen Dank!

Newsletter handel im fokus

Holen Sie sich die neueste Forschungserkenntnisse und aktuelle Themen, Trends und Hintergründe rund um Einzel-, Großhandel und E-Commerce wöchentlich in Ihr Postfach.
cartmagnifiermenu