Auch nach dem jüngsten Angemessenheitsbeschluss der EU-Kommission ist ein US-Datentransfer an Google LLC datenschutzwidrig, da es an den erforderlichen Rechtsschutzmöglichkeiten fehlt (OLG Köln, Urt. v. 03.11.2023 - Az.: 6 U 58/23).
Beklagte war die Deutsche Telekom, die in der Vergangenheit bei einem Webseiten-Aufruf personenbezogene Daten an die Google LLC aus den USA übertragen hatte, vgl. dazu unsere Kanzlei-News v. 11.05.2023.
Nun hatte sich das OLG Köln im Rahmen des Berufungsverfahrens mit dem Sachverhalt zu beschäftigen und nutzte auch gleich die Gelegenheit, sich zur Wirksamkeit des EU-Angemessenheitsbeschluss zu äußern. Die EU-Kommission hatte vor kurzem einen entsprechenden Angemessenheitsbeschluss für den Datenverkehr mit den USA beschlossen, vgl. unsere Kanzlei-News v. 11.07.2023.
1. Vor dem Angemessenheitsbeschluss der EU-Kommission vom 11.07.2023:
Vor dem Inkrafttreten des Angemessenheitsbeschlusses für den US-Datentransfer durch die Europäische Kommission bewertete das OLG Köln das Handeln als klar datenschutzwidrig:
“Zum Zeitpunkt der Abmahnung bzw. der konkreten Verletzungsform fehlte es zunächst an einer entsprechenden Grundlage, nachdem der EuGH den zuvor geltenden Beschluss, der auf dem „Privacy Shield“ basierte (eine Übereinkunft der USA mit der EU betreffend die Gewährleistung eines bestimmten Datenschutzniveaus), in seinem Urteil „Schrems II“ (Urteil vom 16.07.2020, Rs. C-311/18 – F... I. u. Schrems, NJW 2020, 2613) für nichtig erklärt hatte, so dass sich Unternehmen wie die Beklagte hierauf allein nicht mehr berufen konnten (…).”
2. Nach dem Angemessenheitsbeschluss der EU-Kommission vom 11.07.2023:
Dann äußert sich das OLG Köln zur aktuellen Rechtslage, also nach Inkrafttreten des Angemessenheitsbeschlusses.
Rein abstrakt sehen die Richter dies als ausreichende Rechtsgrundlage an:
"Der unter dem 10.07.2023 gefasste Beschluss der EU-Kommision mit dem Titel „EU US Data Privacy Framework“ (im Folgenden: DPF, (…) stellt nunmehr in den USA ein angemessenes Datenschutzniveau fest und entfaltet unmittelbare Wirkung, so dass Datenübermittlungen in das betreffende Land keiner besonderen aufsichtsbehördlichen Genehmigung bedürfen (…).
Auf der Grundlage des neuen Angemessenheitsbeschlusses können personenbezogene Daten aus der EU an solche US-Unternehmen übermittelt werden, die an dem DPF teilnehmen (DPF Rn. 8: „This Decision has the effect that personal data transfers from controllers and processors in the Union to certified organisations in the United States may take place without the need to obtain any further authorisation.“). Eine solche Teilnahme als „certified organisation“, die eine Selbstverpflichtung sowie die Übermittlung verschiedener weiterer Informationen an das USamerikanische Handelsministerium (US Department of Commerce) voraussetzt (vgl. Klein K& R 2023, 553, 554), ist auch für die G. L.festzustellen, wie aus dem Ausdruck der vom Department of Commerce betriebenen Webseite www.dataprivacyframework.gov“ (Anlage B16, dort S. 3, Bl. 1399 eA) hervorgeht, dem der Kläger inhaltlich nicht entgegengetreten ist."
Ein USA-Datentransfer ist somit nach dieser neuen Rechtsgrundlage theoretisch möglich.
In der Praxis scheitere es bei Google LLC jedoch daran, dass es keine ausreichenden Rechtsschutzmöglichkeiten gebe, so die Richter:
"Aus diesen Ausführungen des Europäischen Gerichtshofs ist zu schließen, dass ein angemessenes Datenschutzniveau (…) im Verhältnis zu den USA nur dann herbeigeführt werden können, wenn sowohl das Fehlen von Rechtsschutzmöglichkeiten des Einzelnen gegen Überwachungsmaßnahmen auf Grundlage der vorgenannten amerikanischen Vorschriften als auch der Datenzugriffsmöglichkeiten allgemein durch zusätzliche Maßnahmen effektiv ausgeschlossen oder auf ein erträgliches Maß zurückgeführt werden können (…).
Dies wird durch die vorgelegten Unterlagen nicht erreicht. G. verpflichtet sich zwar in seinen „G. Ads IDTI“ (…), den Datenexporteur (hier also die Beklagte) über entsprechende Anforderungen von US-Behörden zur Offenlegung personenbezogener Daten zu informieren, stellt dies aber bereits unter den Vorbehalt, dass dies nach US-Recht zulässig ist (…). Entsprechendes gilt für die Benachrichtigung der betroffenen Person.
Auch ist ein direkter Zugriff auf personenbezogene Daten nach wie vor nicht ausgeschlossen, wie sich ebenfalls aus diesem Dokument ergibt, weil G. sich auch für diesen Fall (nur) zu einer nachträglichen Information verpflichtet, wenn es von einem solchen Zugriff erfährt.
Zwar wird dies später insofern relativiert (…), als G. der Auffassung ist, dass keine staatliche Stelle in den USA direkten Zugriff auf die Information der G.-Nutzer oder auf Kundendaten habe.
Dies schließt es aber gerade nicht aus, dass US-Behörden auf anderem Wege an diese Informationen gelangen, ohne dass G. hiervon zwingend erfährt.
Dass G. die Rechtmäßigkeit von Anfragen überprüfen will (…) und gegebenenfalls von ihm als rechtswidrig erkannte Maßnahmen anfechten will (…), vermag die grundsätzlichen vom EuGH festgestellten Defizite im Rechtsschutzsystem der USA betreffend die in Rede stehenden Überwachungsprogramme nicht zu beseitigen, weil diese zusätzlichen Maßnahmen von G. nur innerhalb des durch die aufgeführten Regelungen begründeten Systems der Überwachungsmechanismen wirken können. Dieses System ist aber in sich bereits, wie der EuGH entschieden hat, in den gebotenen Rechtsschutzmöglichkeiten defizitär, was durch ein Engagement von G. grundsätzlich nicht kompensiert werden kann."
Auch die Einwilligung als Rechtsgrundlage scheide aus, weil es an einer ausreichend transparenten und vor allem widerspruchsfreien Information fehle:
"Auch auf eine Einwilligung der von der Datenübertragung betroffenen Personen kann sich die Beklagte nicht stützen. Zwar ist eine Einwilligung grundsätzlich möglich, wenn – wie im Streitfall – weder Angemessenheitsbeschluss (Art. 45 DSGVO) noch geeignete Garantien (Art. 46 DSGVO) für das betroffene Drittland gegeben sind, vgl. Art. 49 Abs. 1 S. 1 DSGVO.
Es kann offenbleiben, ob eine solche Einwilligung schon deshalb ausscheidet, weil die beabsichtigte Datenübertragung nicht nur gelegentlich, sondern routinemäßig stattfinden soll, wie die DSK (Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder) in ihrer „Orientierungshilfe der Aufsichtsbehörden für Anbieter:innen von Telemedien ab dem 1. Dezember 2021“ (…) angenommen hat (…).
Denn jedenfalls wäre eine etwaige Einwilligung, die nach Auffassung der Beklagten dadurch erfolgt, dass auf ihrem Cookie-Banner zwingend die Schaltfläche „Alles akzeptieren“ angeklickt werden muss, bevor die streitgegenständliche Übertragung erfolgt (…), unwirksam.
Die Vorschrift des Art. 49 Abs. 1 S. 1 lit. a) DSGVO setzt nämlich voraus, dass der Einwilligende über die bestehenden möglichen Risiken ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien unterrichtet wurde. Hieran fehlt es, und zwar auch dann, wenn man die gegenüber dem ursprünglichen Cookie-Banner (…) leicht erweiterte Gestaltung (…) zugrunde legt. Dort heißt es in Bezug auf Drittlandtransfers von personenbezogenen Daten: „[Die Beklagte] kann unter Umständen nicht in allen Fällen sicherstellen, dass das europäische Datenschutzniveau eingehalten wird“ (diese Passage fehlte zuvor) und verweist wegen Details auf den Datenschutzhinweis (insoweit unverändert gegenüber Anlage K1, Bl. 49 ff. GA).
In diesem findet sich zwar einerseits der Hinweis (…), dass im Falle einer Einwilligung im Sinne von Art. 49 Abs. 1 S. 1 lit. a) DSGVO das Datenschutzniveau in den meisten Ländern außerhalb der EU nicht den EU-Standards entspreche, was insbesondere umfassende Überwachungs- und Kontrollrechte staatlicher Behörden, z.B. in den USA, die in den Datenschutz der europäischen Bürgerinnen und Bürger unverhältnismäßig eingreifen, betreffe. Andererseits ist aber spezifisch für G. Ads ausgeführt, dass insoweit nach Auskunft von G. keine Übermittlung personenbezogener Daten stattfinde (…).
Bereits diese widersprüchliche Aussage in Bezug auf die konkrete Datenübertragung steht dem Ziel einer informierten Einwilligung entgegen, weil der angesprochene Verkehr davon ausgehen wird, dass er in die Nutzung u.a. von Marketing-Cookies einwilligen könne, ohne Risiko zu laufen, dass seine hierbei erhobenen Daten in ein Drittland transferiert werden. Dies ist bereits nach Art. 49 Abs. 1 S. 1 lit. a) DSGVO unzulässig, weil hierdurch die nach der Vorschrift gebotene Risikoaufklärung konterkariert wird, weshalb es auf eine Prüfung am Maßstab des § 307 Abs. 1 S. 2 BGB (Transparenzgebot) nicht mehr ankommt.
Insofern kann auch offenbleiben, ob die von der Beklagten erteilten Informationen für sich genommen ausreichend wären oder ob noch spezifischere Ausführungen erforderlich gewesen wären, wie der Kläger (…) meint."
Das OLG Köln hat die Revision zum BGH zugelassen.
Anmerkung von RA Dr. Bahr:
Der Dauerbrenner USA-Datentransfer erhält mit dem Urteil des OLG Köln neuen Zündstoff.
Die europäische Wirtschaft konnte nach dem Angemessenheitsbeschluss der EU-Kommission nur wenige Monate aufatmen. Nun steht die Frage nach der Zulässigkeit des Datentransfers erneut wieder auf der Tagesordnung.