Nach dem Angemessenheitsbeschluss der EU-Kommission vom 11.07.2023 konnten Onlinehändler zunächst aufatmen, was die Übertragung von personenbezogenen Daten in die USA anging. Plötzlich war die Nutzung von Google & Co. wieder weniger „gefährlich“, immerhin stellte der Angemessenheitsbeschluss die Einhaltung eines notwendigen Datenschutzniveaus sicher. Nun sorgt das Urteil des OLG Körn vom 03.11.2023 (AZ.: U 58/23) wieder für neue Unsicherheit.
Das OLG Köln hat in seinem Urteil festgestellt, dass trotz des Angemessenheitsbeschlusses der EU-Kommission ein Datentransfern in die USA an Google gegen Datenschutzrecht verstößt. Der Grund dafür ist das Fehlen der erforderlichen Rechtsschutzmöglichkeiten, so das Gericht.
Die Deutsche Telekom war in diesem Verfahren Beklagte. Ursprung des Rechtsstreits war die Weitergabe von personenbezogenen Daten durch die Telekom an Google LLC USA.
Das OLG Köln äußerte sich zu zwei Zeitpunkten: vor und nach dem Angemessenheitsbeschluss der EU-Kommission.
Für die Zeit von dem Angemessenheitsbeschluss bewertete das OLG Köln die Weitergabe der personenbezogenen Daten als Verstoß gegen Datenschutz. Zum Zeitpunkt der Abmahnung fehlte es an einer Rechtsgrundlage für die Weitergabe. Damals war das zuvor geltende Privacy Shield gekippt worden.
Hinsichtlich der aktuellen Rechtslage seit Inkrafttreten des Angemessenheitsbeschlusses der EU-Kommission führte das Gericht aus:
“Der unter dem 10.07.2023 gefasste Beschluss der EU-Kommision mit dem Titel „EU US Data Privacy Framework“ (im Folgenden: DPF, (…) stellt nunmehr in den USA ein angemessenes Datenschutzniveau fest und entfaltet unmittelbare Wirkung, so dass Datenübermittlungen in das betreffende Land keiner besonderen aufsichtsbehördlichen Genehmigung bedürfen (…).
Auf der Grundlage des neuen Angemessenheitsbeschlusses können personenbezogene Daten aus der EU an solche US-Unternehmen übermittelt werden, die an dem DPF teilnehmen (DPF Rn. 8: „This Decision has the effect that personal data transfers from controllers and processors in the Union to certified organisations in the United States may take place without the need to obtain any further authorisation.“). Eine solche Teilnahme als „certified organisation“, die eine Selbstverpflichtung sowie die Übermittlung verschiedener weiterer Informationen an das USamerikanische Handelsministerium (US Department of Commerce) voraussetzt (vgl. Klein K& R 2023, 553, 554), ist auch für die G. L.festzustellen, wie aus dem Ausdruck der vom Department of Commerce betriebenen Webseite www.dataprivacyframework.gov“ (Anlage B16, dort S. 3, Bl. 1399 eA) hervorgeht, dem der Kläger inhaltlich nicht entgegengetreten ist.”
Abstrakt betrachtet, reicht dem OLG also der Angemessenheitsbeschluss als Rechtsgrundlage für einen Datentransfer aus. Allerdings befanden die Richter, dass es im Fall von Google LLC praxisbezogen jedoch nicht ausreichend Rechtsschutzmöglichkeiten gebe. Das Gericht ist der Ansicht, dass ein „angemessenes Datenschutzniveau (…) im Verhältnis zu den USA nur dann herbeigeführt werden können, wenn sowohl das Fehlen von Rechtsschutzmöglichkeiten des Einzelnen gegen Überwachungsmaßnahmen auf Grundlage der vorgenannten amerikanischen Vorschriften als auch der Datenzugriffsmöglichkeiten allgemein durch zusätzliche Maßnahmen effektiv ausgeschlossen oder auf ein erträgliches Maß zurückgeführt werden können (…).“ Aus den im Verfahren vorgelegten Unterlagen ergebe sich dies jedoch nicht. So war beispielsweise der Hinweis von Google, dass eine Information des Datenexporteurs über entsprechende Anforderungen von US-Behörden zur Offenlegung personenbezogener Daten unter dem Vorbehalt erfolgen kann, soweit dies nach US-Recht zulässig sei. Dies gelte auch für die Benachrichtigung der betroffenen Person.
Außerdem sei ein direkter Zugriff auf personenbezogene Daten nach wie vor nicht ausgeschlossen, weil Google sich auch für diesen Fall nur zu einer nachträglichen Information verpflichten wollte, wenn es von einem solchen Zugriff erfahren würde.
Weiter wurde ausgeführt, dass keine staatliche Stelle in den USA direkten Zugriff auf die Information der Google-Nutzer oder auf Kundendaten habe, doch dies schließt nach Ansicht des Gerichts eben nicht aus, dass US-Behörden auf anderem als dem direkten Wege Zugriff auf die Daten nehmen könnte, sogar ohne dass Google davon erfährt.
Daher kam das Gericht zu dem Schluss:
„Dass G. die Rechtmäßigkeit von Anfragen überprüfen will (…) und gegebenenfalls von ihm als rechtswidrig erkannte Maßnahmen anfechten will (…), vermag die grundsätzlichen vom EuGH festgestellten Defizite im Rechtsschutzsystem der USA betreffend die in Rede stehenden Überwachungsprogramme nicht zu beseitigen, weil diese zusätzlichen Maßnahmen von G. nur innerhalb des durch die aufgeführten Regelungen begründeten Systems der Überwachungsmechanismen wirken können. Dieses System ist aber in sich bereits, wie der EuGH entschieden hat, in den gebotenen Rechtsschutzmöglichkeiten defizitär, was durch ein Engagement von G. grundsätzlich nicht kompensiert werden kann.”
Auch bei Vorliegen eines Angemessenheitsbeschlusses müssen die übrigen allgemeinen Anforderungen an eine zulässige Datenverarbeitung erfüllt sein. Unter anderem ist eine Einwilligung erforderlich, für deren Wirksamkeit die betroffene Person über alle Umstände im Zusammenhang mit der Verarbeitung der Daten in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zukommen lässt, informiert wird.
Daran fehlte es in diesem Fall. Das Gericht befand, dass keine transparente und widerspruchsfreie Information zur Datenverarbeitung erteilt worden sei. Grund dafür seien die Ausführungen im Cookie-Banner und in der Datenschutzerklärung der Beklagten:
Im Cookie-Banner der Beklagten hieß es, sie könne unter Umständen nicht in allen Fällen sicherstellen, dass das europäische Datenschutzniveau eingehalten werde. Im dazugehörigen Datenschutzhinweis der Beklagten fanden sich weitere Hinweise:
Einerseits (…), dass im Falle einer Einwilligung im Sinne von Art. 49 Abs. 1 S. 1 lit. a) DSGVO das Datenschutzniveau in den meisten Ländern außerhalb der EU nicht den EU-Standards entspreche, was insbesondere umfassende Überwachungs- und Kontrollrechte staatlicher Behörden, z.B. in den USA, die in den Datenschutz der europäischen Bürgerinnen und Bürger unverhältnismäßig eingreifen, betreffe. Andererseits führt die Beklagte aber speziell zu Google Ads aus, dass insoweit nach Auskunft von Google keine Übermittlung personenbezogener Daten stattfinde, was zu einer widersprüchlichen Aussage bezüglich der konkreten Datenübertragung führt.
Damit ist nach Ansicht der Richter auch keine informierte Einwilligung möglich.
Das OLG Köln hat die Revision zum BGH zugelassen.
Sie haben Fragen zum Datenschutz oder benötigen einen externen Datenschutzbeauftragten? Dann sind wir gerne für Sie da!