Ist die Übermittlung personenbezogener Daten an Google LLC datenschutzwidrig?
Mit dem Angemessenheitsbeschluss der Europäischen Kommission vom Juli 2023 (“Data Privacy Framework – DPF”) wurde für solche US-Unternehmen, die sich im Rahmen dieses Beschlusses zertifizieren lassen, ein angemessenes Datenschutzniveau festgestellt. Nach Auffassung des OLG Köln (Urt. V. 03.11.2023 – Az.: 6 U 58/23) war die Übermittlung von Daten durch die Telekom an die Google LLC. mit Sitz in den USA unzulässig. Ist eine Übermittlung von Daten in die USA daher unzulässig?
Zuvor hatte das Landgericht Köln der Klage der Verbraucherzentrale NRW nur im Hinblick auf die unzulässige Übermittlung der Daten an die Google LLC. stattgegeben. Konkret hatte die Beklagte, die Telekom, Browser- und Geräteinformationen an Google LLC. als Betreiberin der Google Analyse- und Marketingdienste mit Sitz in den USA übermittelt. Das LG Köln argumentierte, IP-Adressen sind insofern personenbezogene Daten, als das es sich bei den Besuchern der Website um Kunden der Telekom handelt und die Nutzer identifizierbar sind.
Unerheblich ist jedoch die Frage der Anonymisierung der IP-Adresse, da die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, nur zulässig sind, wenn sie von einem der folgenden Rechtfertigungstatbeständen gedeckt sind:
- § 25 Abs. 1 TTDSG: Wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. Die Einwilligung hat gem. Artikel 6 Absatz 1 S. 1 lit. a) DS-GVO zu erfolgen;
- § 25 Abs. 2 Nr. 1 TTDSG: Wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist oder
- § 25 Abs. 2 Nr. 2 TTDSG: Wenn die Speicherung oder der Zugriff unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann.
Das OLG hat in der Berufung dem Anklagepunkt zwar zugestimmt, den Grund für die Unzulässigkeit jedoch bereits auf Ebene der Datenerhebung gesehen. Auch wenn aufgrund des Angemessenheitsbeschlusses eine Drittlandübermittlung zulässig ist, müssen trotzdem die allgemeinen Anforderungen für eine Datenerhebung und -verarbeitung erfüllt sein. Dazu ist auch das Vorliegen einer Einwilligung im Sinne der DS-GVO nötig. Eine Einwilligung im Sinne der Vorschrift erfordert, dass der für die Verarbeitung Verantwortliche der betroffenen Person eine Information über alle Umstände im Zusammenhang mit der Verarbeitung der Daten in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zukommen lässt, da dieser Person insbesondere die Art der zu verarbeitenden Daten, die Identität des für die Verarbeitung Verantwortlichen, die Dauer und die Modalitäten dieser Verarbeitung sowie die Zwecke, die damit verfolgt werden, bekannt sein müssen. Solche Informationen müssen diese Person in die Lage versetzen, die Konsequenzen einer etwaigen von ihr erteilten Einwilligung leicht zu bestimmen, und gewährleisten, dass die Einwilligung in voller Kenntnis der Sachlage erteilt wird (vgl. EuGH, Urteil vom 11.11.2020, Rs. C-61/19 Rn. 40 – Orange România SA/ANSPDCP, = NJW 2021, 841). Im Cookie-Banner befanden sich jedoch widersprüchliche Informationen über die Erhebung der Daten und deren Übermittlung an Google LLC. Dies hatte zur Folge, dass – unabhängig von der tatsächlichen Übermittlung in ein Drittland – schon keine wirksame Einwilligung in die Erhebung der Daten vorlag. Mangels Transparenz kann keine „informierte“ Einwilligung eingeholt werden, weshalb keine Rechtsgrundlage für die Erhebung und Verarbeitung der Daten durch die Telekom besteht. Folglich kann die Drittlandübermittlung dieser Daten nicht zulässig sein.
Der Angemessenheitsbeschluss befreit nicht von der rechtmäßigen Erhebung und Verarbeitung von personenbezogenen Daten, demnach müssen auch bei Vorliegen eines Angemessenheitsbeschlusses die übrigen – allgemeinen – Anforderungen an eine zulässige Datenverarbeitung erfüllt sein. Für Unternehmen gilt es daher bei der Datenerhebung weiterhin die Grundsätze der zulässigen Datenverarbeitung zu achten. Vor allem aber sollte die Korrektheit und die Verständlichkeit der Informationen in Cookie-Bannern ausreichend geprüft werden, wenn deren Einwilligung (§ 25 TTDSG i.V.m. Art. 6 Abs. 1 lit. a) DS-GVO) als Basis für die Erhebung und Übermittlung der Daten dienen soll.
