Online-Weiterbildung
Präsenz-Weiterbildung
Produkte
Themen
Dashöfer

LG Köln zur Datenübermittlung USA und Cookie-Banner Telekom

22.05.2023  — Rolf Becker.  Quelle: Verlag Dashöfer GmbH.

Das Landgericht Köln hat sich auf Klage der Verbraucherzentrale NRW mit den Cookie-Einwilligungen und der Datenschutzerklärung der Telekom befasst und (nicht rechtskräftig) entschieden, dass die Telekom auf der Grundlage der Datenschutzerklärung keine Daten in die USA versenden darf.

Rechtsanwalt Rolf Becker, Partner bei Wienke & Becker, erläutert auch weitere interessante Aspekte zum AGB Charakter von Datenschutzhinweisen und der Einwilligungsgestaltung über Cookie-Banner.
Hierzu berichten die Verbraucherschützer über:

Anzeige
Steuern und Digitales Rechnungswesen

Persönliche Haftungsrisiken vermeiden durch ein Steuer-IKS / TCM

  • ✔ Leitung Fibu, ReWe & Steuern und deren Mitarbeiter*innen
  • ✔ Geschäftsleitung, Vorstände
  • ✔ Prokura, Führungskräfte
  • ✔ Gesellschafter*innen, Beirat, Aufsichtsrat

Datenübermittlung in die USA

Die Klage der Verbraucherzentrale NRW gegen die Telekom war (teilweise) erfolgreich und das Urteil des LG Köln (Urt. v. 23.03.2023, Az. 376/22f) in erster Instanz bringt interessante Erkenntnisse.

Bei Besuchern, die Seiten des beklagten Konzerns aufgerufen hatten, übermittelte die Telekom Deutschland GmbH personenbezogene Daten an Google LLC in die USA, um deren Analyse- und Marketingdienste Google Ad Services zu nutzen. Für die personenbezogenen Daten reichte dem Gericht schon die Übermittlung der (dynamischen) IP-Adresse des Besuchers aus.

Angemessenheitsbeschluss fehlt

Grundsätzlich kann die EU-Kommission mit einem Angemessenheitsbeschluss ein Schutzniveau für eine Drittlandübermittlung außerhalb der EU feststellen.

Solche Beschlüsse gibt es etwa für: Andorra, Argentinien, Färöer-Inseln, Guernsey, Isle of Man, Israel (eingeschränkt), Japan, Jersey, Kanada (eingeschränkt), Neuseeland, Schweiz, Südkorea, Uruguay und Vereinigtes Königreich (eingeschränkt).

Abschluss von Standardvertragsklauseln allein reicht nicht

Mit der Schrems II-Entscheidung des Europäischen Gerichtshofs (EuGH, Az. C-311/18) fiel der Angemessenheitsbeschluss im Rahmen der Privacy Shield Regelung jedoch für die USA weg und dann wurde es sehr kompliziert. Man muss sog. Standardvertragsklauseln nutzen, die aber – so auch das LG Köln in seiner Begründung unter Berufung auf den EuGH – alleine ebenfalls nicht reichen. Man müsste nach weiteren Garantien suchen.

Keine informierte Einwilligung ohne Information

Eine weitere versuchte Lösung des Problems ist die Einholung einer Einwilligung nach Art. 49 Abs. 1 lit. a) DSGVO. Die wollte die Telekom mit den in der Vergangenheit genutzten Gestaltungen über das sog. Cookie-Banner einholen. Dem Landgericht Köln fehlte aber schon eine Information zur Datenübermittlung in die USA an die Google LLC. In den Datenschutzhinweisen werde nur über eine Übermittlung von Daten an „Xandr und Heap“ informiert. Vor diesem Hintergrund untersagte das Gericht dem Konzern bei Nutzung der Website www.telekom.de, insbesondere beim Einsatz von Cookies und ähnlichen Technologien zu Analyse- und Marketingzwecken, personenbezogene Daten von Verbrauchern in Drittländer zu übermitteln, ohne dass die gesetzlichen Voraussetzungen vorliegen oder Ausnahmen gegeben sind.

Gestaltung der Einwilligung im Cookie-Banner

Der Kläger hatte aber noch weitere Anträge gestellt und wollte die Telekom zwingen, eine bestimmte Gestaltung der Einwilligung zu Zwecken der Werbung und/oder Marktforschung im Cookie-Banner vorzusehen. Das Cookie-Banner sollte eine „Einwilligungserklärung in Form, Funktion und Farbgebung gleichwertige, gleichrangige und gleich einfach zu bedienende Ablehnungsoption bereit[zu]stellen“.

Klageantrag zu weit gefasst

Die Richter stellten in der Urteilsbegründung tatsächlich fest, dass die konkrete Gestaltung der Einwilligung, die der Klage zugrunde lag, keine Wirksamkeit begründete, da der Verbraucher keine echte gleichwertige Wahlmöglichkeit gehabt habe. Dennoch lehnten sie das Begehren ab, da der Klageantrag mit der Vorgabe einer bestimmten Gestaltung zu weit gefasst gewesen sei.

Nudging unerwünscht

Der Verbraucher dürfe nicht durch die Ausgestaltung des Cookie-Banners in Richtung einer Einwilligung gelenkt werden (sog. Nudging für Anstoßen oder Schubsen/Stupsen). Die Telekom hatte einen Button „Alle akzeptieren“ vorgesehen, während sich die Wahl zum Weitersurfen „nur mit den notwendigen Cookies“ im Fließtext versteckt fand. Eine weitere Wahlmöglichkeit über „Einstellung ändern“ reichte den Richtern ebenfalls nicht aus, da es sich nicht um einen klaren Hinweis auf Ablehnungsmöglichkeit handele:

„Sieht sich der Verbraucher also einer Willenserklärung („Alles akzeptieren“) und daneben einer unspezifischen Konfigurationsmöglichkeit gegenüber, die die mögliche folgende Willenserklärung „Nicht alles akzeptieren/Alles abwählen“ etc.) und damit die Wahlmöglichkeit nicht zu erkennen gibt, wird durch das Klicken des Buttons „Alles akzeptieren“ keine freie Wahl zwischen zwei Willenserklärungen getroffen.“

Datenübermittlung an die Schufa nicht immer erlaubt

Das gleiche Schicksal erlitt auch ein Antrag, der sich gegen die Übermittlung von Positivdaten, also aller Vertragsdaten, an die Schufa richtete. Die Datenübermittlung zu Betrugspräventionszwecken kann zwar von entsprechenden Interessen gedeckt sein, allerdings gilt das nicht für eine unterschiedslose generelle Übermittlung aller Vertragsdaten:

„Eine pauschale und präventive Übermittlungen sämtlicher Daten im Zusammenhang mit dem Vertragsverhältnis ist im Wirtschaftsverkehr ohne Einwilligung weder üblich noch wird sie vernünftiger Weise erwartet.“

Aber auch hier war aus Sicht der Richter der Antrag zu weit gefasst, weil er Fälle des berechtigten Interesses nicht erfasste.

Datenschutzhinweise unterliegen nicht AGB-Kontrolle

Ebenfalls nicht erfolgreich waren die Angriffe des Verbraucherschutzverbandes gegen die Datenschutzerklärung und dort enthaltene Ausführungen zur Übermittlung von Daten an die Schufa und CRIF Bürgel GmbH, zu analytischen Cookies und zu Marketing Cookies/Retargeting. Das LG Köln entschied, dass die Formulierungen in Datenschutzhinweisen nicht der AGB-Kontrolle unterliegen. Sie entfalten als Hinweise keine vertragliche Bindungswirkung für den Betroffenen und ihnen kommt auch kein Regelungsgehalt zu, wenn sie richtig formuliert sind. Das kann etwa der Fall sein, wenn sie Einwilligungen enthalten sollen.

Fazit

Das Urteil bestätigt in seiner Begründung die Auffassung der Landesdatenschutzbehörden zur Gleichwertigkeit von Zustimmungs- und Ablehnungsmöglichkeiten bei Einwilligung, die über Cookie-Banner eingeholt werden. Webseitenbetreiber sind gut beraten, sich ihre Cookie-Banner noch einmal anzusehen, da noch sehr häufig vergleichbare Gestaltungen verwendet werden, wie im Rechtsstreit. Für die Zukunft steht zu erwarten, dass Fehler bei den Klageanträgen sich nicht wiederholen werden. Zwar kommt es immer auf den Einzelfall an, aber es stellt sich immer deutlicher heraus, dass man mit versteckten Ablehnungsmöglichkeiten nicht erfolgreich weiterkommt. Dann drohen nicht nur Unterlassungsklagen, sondern empfindliche Bußgelder.

Bild: Pavel Danilyuk (Pexels, Pexels Lizenz)

nach oben