LG Köln: Google Ads auf Website der Telekom rechtswidrig, ABER…

Das Landgericht Köln hat in einem aktuellen Urteil der Telekom untersagt, auf ihrer Website den Dienst Google AdServices einzusetzen. Hintergrund war wieder einmal, dass beim Einsatz von Tracking- und Analysetools von Anbietern wie Google oder Facebook personenbezogene Daten an Server in den USA übermittelt und dort verarbeitet werden. Das Gericht führt in der Urteilsbegründung aus, dass die Telekom die strengen Voraussetzungen sogenannter “Drittlandtransfers” im konkreten Fall nicht eingehalten habe. Anders als viele Medien jetzt behaupten, hat das Gericht jedoch nicht den Einsatz von Diensten wie Google Ads generell verboten. Im Gegenteil: Nach unserer Auffassung gibt das Urteil wertvolle Anhaltspunkte, wie US-Dienste weiterhin datenschutzkonform genutzt werden können. 

Das Wichtigste in Kürze

Das Landgericht Köln führt in der Entscheidung (Urt. v. 23.03.2023, Az.: 33 O 376/22) aus, dass die Telekom die Übermittlung von Daten an Google Server in den USA im konkreten Fall nicht auf eine Einwilligung der Website-Besucher*innen im Cookie Consent Banner gemäß Art. 49 Abs. 1 lit. a DSGVO stützen kann. Erfreulich für Website-Betreibende: Dies begründet das Gericht nicht damit, dass die Einwilligung als Rechtfertigung von Drittlandtransfers beim Tracking generell ungeeignet sei (diese strenge und aus unserer Sicht nicht überzeugende Auffassung vertreten die Datenschutz-Aufsichtsbehörden).

Vielmehr stellt das Landgericht darauf ab, dass die Telekom die strengen Voraussetzungen einer solchen Einwilligung schlichtweg nicht erfüllt habe. Dies ist wenig verwunderlich, da die Telekom in ihren Datenschutzhinweisen nicht einmal auf den Einsatz von Google Ads hingewiesen hatte. In den Urteilsgründen wird dargelegt, welche Vorgaben für eine rechtswirksame Einwilligung in einen Drittlandtransfer erfüllt sein müssten.

Hierdurch gibt das Gericht Website-Betreibenden wertvolle Hinweise, wie der Einsatz von Google Analytics, Facebook Pixel und Co. weiterhin zulässig sein kann: Die User*innen müssen vor Abgabe ihres Cookie Consents darüber informiert werden,

• in welche Drittländer und
• an welche Empfänger-Unternehmen Daten übermittelt werden.

Zudem muss auf das deshalb bestehende Risiko hingewiesen werden.

Wer auf seiner Website Trackingtools von US-Anbietern einsetzt, sollte den Einwilligungstext im Cookie Consent Banner sowie die Datenschutzhinweise mit Hinblick auf das Urteil rechtlich prüfen und ggf. überarbeiten.

Die Einzelheiten des Urteils sowie die Vorgaben für die Praxis fassen wir nachstehend zusammen, insbesondere im Abschnitt “Einwilligung in Drittlandtransfers”.

Problemstellung

Beim Einsatz von Trackingdiensten werden personenbezogene Daten von Website-Besucher*innen, beispielsweise deren IP-Adresse und Geräteinformationen, an die Anbieter der Dienste übertragen, welche diese dann zu Werbe- und Analysezwecken nutzen. Im konkreten Fall ging es um Googles Werbenetzwerk Google AdServices, welches von der Google LLC in Kalifornien betrieben wird.

Die Übermittlung von Daten an Unternehmen außerhalb der EU unterliegt nach den Vorschriften der Datenschutz-Grundverordnung (DSGVO) strengen Anforderungen: Neben den allgemeinen Vorgaben (hierzu unten), müssen für solche sog. “Drittlandtransfers” zusätzliche Voraussetzungen erfüllt werden, um sicherzustellen, dass die Daten auch in dem Drittland angemessen geschützt werden.

Letzteres ist beim Einsatz US-amerikanischer Dienste problematisch, seit der Europäische Gerichtshof 2020 in seiner Schrems II-Entscheidung (wir hatten berichtet) das zwischen der EU und den USA geschlossene “Privacy Shield” Abkommen gekippt hat. Hauptgrund war, dass amerikanische Sicherheits- und Geheimdienste weitreichende Zugriffsrechte auf Server von US-Unternehmen haben, beispielsweise zur Terrorabwehr. Hiergegen bot das Privacy Shield Abkommen keinen effektiven Schutz für EU-Bürger*innen.

Standard-Datenschutzklauseln in der Regel unzureichend

Viele US-Unternehmen behelfen sich seitdem mit sogenannten Standard-Datenschutzklauseln, in denen sie sich vertraglich verpflichten, die Daten nach europäischen Standards zu schützen. Da auch solche Klauseln naturgemäß nicht effektiv vor dem Zugriff durch Geheimdienste schützen, müssen die Unternehmen durch “zusätzliche Maßnahmen” (EuGH) wie Verschlüsselung oder Anonymisierung sicherstellen, dass das Risiko minimiert wird.

Dies können US-Unternehmen in der Praxis jedoch kaum gewährleisten. Deshalb hatten in der Vergangenheit bereits zahlreiche europäische Aufsichtsbehörden den Einsatz von Tools wie Google Analytics gestützt auf Standard-Datenschutzklauseln untersagt (wir hatten berichtet). Dem schließt sich nun auch das Landgericht Köln an. Das Gericht wörtlich:

“Wenn sogar der EU-US Angemessenheitsbeschluss [“Privacy Shield”] aufgrund der Rechtslage in den USA für ungültig erklärt wurde, so kann erst recht nicht davon ausgegangen werden, dass vertragliche Bindungen zwischen privaten Rechtssubjekten ein angemessenes Schutzniveau nach Art. 44 DSGVO für die gegenständliche Datenübermittlung in die USA gewährleisten können.”

Einwilligung in Drittlandtransfers

Wir empfehlen unseren Mandant*innen deshalb bereits seit längerem, sich nicht auf Standard-Datenschutzklauseln zu verlassen und stattdessen bereits im Cookies Consent Banner zusätzlich zu der ohnehin erforderlichen Einwilligung in Cookie-Speicherung und Datenverarbeitung auch eine Einwilligung in die Übermittlung von Daten in die USA einzuholen.

Dieser Weg wird vom Landgericht Köln nun im Grundsatz auch anerkannt. Dies ist eine erfreuliche Nachricht für Website-Betreibende. Bisher war nämlich umstritten, ob eine solche Einwilligung bei Tracking-Tools überhaupt grundsätzlich geeignet ist. Die Datenschutz-Aufsichtsbehörden hatten hier bisher den Standpunkt vertreten, dass ein Drittlandtransfer nur dann auf eine Einwilligung gemäß Art. 49 Abs. 1 lit. a DSGVO gestützt werden kann, wenn es sich um “gelegentliche Datenübermittlungen” handele, was bei Tracking nicht der Fall sei. Eine Einschränkung, die aus unserer Sicht jedoch wenig überzeugend ist. Es bleibt abzuwarten, ob und wie sich die Behörden nun zum Urteil des Landgerichts äußern werden.

Klar ist: Eine solche Einwilligung unterliegt strengen Voraussetzungen, die über die allgemeinen Vorgaben für Einwilligungen hinaus gehen. Gemäß Art. 49 Abs. 1 lit. a DSGVO ist der Drittlandtransfer nur zulässig, wenn

“die betroffene Person (…) in die vorgeschlagene Datenübermittlung ausdrücklich eingewilligt (hat), nachdem sie über die für sie bestehenden möglichen Risiken derartiger Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien unterrichtet wurde.”

Nach Auffassung des Landgerichts ergebe sich aus dem Wort “ausdrücklich”, dass hier besonders hohe Maßstäbe anzulegen seien.

“Der Einwilligende muss u.a. darüber informiert worden sein, an welche Drittländer und an welche Empfänger seine Daten übermittelt werden.”

Diese Voraussetzungen wurden von der Telekom nach den Feststellungen des Urteils nicht erfüllt. So enthielt die Datenschutzerklärung der Website nicht einmal den Hinweis, dass Google AdServices eingesetzt werden und hierbei Daten an die Google LLC in den USA übermittelt werden.

“Hier sind die Website-Besucher aber keineswegs über eine Datenübermittlung an Google LLC unterrichtet worden. In den ehemaligen Datenschutzhinweisen wurde lediglich über eine Übermittlung von Daten an Xandr und Heap informiert worden,
was ersichtlich nicht den Empfänger Google LLC erfasst.”

Website-Betreibende sollten das Urteil also zum Anlass nehmen, ihre Cookie Consent Banner sowie die Datenschutzhinweise zu prüfen und erforderlichenfalls zu aktualisieren.

Exkurs: Allgemeine Voraussetzungen für den Einsatz von Cookies und Tracking-Tools

Wer US-amerikanische Drittanbietertools auf der Website einsetzen möchte, muss die vorgenannten Voraussetzung zusätzlich zu den allgemeinen Vorgaben den Einsatz von Cookies und Datenverarbeitungen erfüllen. Hierfür ist gemäß § 25 Abs. 1 TTDSG in aller Regel eine Einwilligung in die Cookie-Speicherung sowie gemäß Art. 6 Abs. 1 lit. a DSGVO in die Datenverarbeitung und -übermittlung an Dritte einzuholen.

In der Praxis werden diese drei Einwilligungen (Cookie-Speicher, Datenverarbeitung, Drittlandtransfer) durch eine zusammengefasste Erklärung im Cookie Consent Banner eingeholt. Bei der Formulierung des Einwilligungstextes ist darauf zu achten, dass alle drei Aspekte abgedeckt werden.

Die Einwilligung unterliegt den Vorgaben der DSGVO. Sie muss insbesondere bewusst, informiert und freiwillig erfolgen. Vor allem letzteres ist problematisch, wenn Website-Betreibende starke Formen von Nudging oder gar Dark Pattern einsetzen. Auch hierzu äußert sich das Landgericht Köln in dem Urteil. Danach ist die Einwilligung über einen hervorgehobenen Button “alle akzeptieren” unwirksam, wenn die Ablehnung nur über einen im Fließtext versteckten Link “ablehnen” oder gar auf einer zweiten Ebene möglich ist.

“Denn während im Falle des Buttons „Alle akzeptieren“ eine Ein-Klick-Lösung in Größe, Farbe und Layout als Blickfang deutlich gestaltet war, war das Weitersurfen „nur mit den notwendigen Cookies“ im Fließtext versteckt und damit in Größe, Form und Gestaltung nicht ausreichend, um als tatsächliche und gleichwertige Wahlmöglichkeit angesehen zu werden.”

Auch diese Vorgaben sollten von Website-Betreibenden bei der Gestaltung des Cookie Consent Banners berücksichtigt werden.