Kurzbeitrag : OLG Köln: Rechtswidrige Übermittlung der IP-Adresse in die USA : aus der RDV 1/2024, Seite 29-32

Weil letztere keine Unterlassungserklärung abgab, landete der Fall schließlich vor dem Landgericht Köln. Mit Urteil vom 23.03.2023^[1] entschied dieses, dass die Telekom die Datenübermittlung in die USA unterlassen muss, da zum Zeitpunkt der Datenübermittlung weder ein Angemessenheitsbeschluss vorlag noch die Datenübermittlung auf Grundlage der Standardvertragsklauseln oder einer Ausnahme gemäß Art. 49 DS-GVO gerechtfertigt war. Gegen diese Entscheidung legte die Telekom Berufung ein, allerdings erfolglos. Das OLG Köln bestätigte in 2. Instanz mit Urteil vom 03.11.2023^[2] im Wesentlichen die Auffassung des Landgerichts. Bei der IP-Adresse handle es sich um ein personenbezogenes Datum und die Voraussetzungen des Kapitel V der DS-GVO seien nicht erfüllt.

II. IP-Adresse als personenbezogenes Datum

Seit der Breyer-Entscheidung des EuGH^[3] haben sich Literatur^[4] und jüngst insbesondere die Rechtsprechung des EuGH^[5] sowie des EuG^[6] mit der Pseudonymisierung von personenbezogenen Daten und der Konturierung des Begriffs des relativen Personenbezugs befasst. Angesichts der differenzierten Betrachtung kann nicht ohne eingehende Prüfung davon ausgegangen werden, dass es sich bei IP-Adressen stets um personenbezogene Daten handelt. Das OLG Köln geht indes auch in Kenntnis dieser Rechtsprechung von einem Personenbezug der übermittelten IP-Adressen aus:

„Wie der Bundesgerichtshof bereits entschieden hat, stellen dynamische IP-Adressen, die ein Anbieter von Online-Diensten wie die Beklagte speichert, Einzelangaben über sachliche Verhältnisse dar, da die Daten Aufschluss darüber geben, dass zu bestimmten Zeitpunkten bestimmte Seiten bzw. Dateien über das Internet abgerufen wurden. Sie können daher personenbezogene Daten sein (BGH NJW 2017, 2416, 2417 Rn. 18). Diese Einordnung, die der Bundesgerichtshof zu § 3 Abs. 1 BDSG a.F. vorgenommen hat, entspricht dem europäischen Recht, da sie auf einer Vorabentscheidung des EuGH zur damals geltenden Datenschutzrichtlinie beruht (EuGH, Urteil vom 19.10.2016, Rs. C-582/14, Breyer/Deutschland, NJW 2016, 3579), deren Erwägungen auf die DS-GVO übertragen werden können (vgl. Klar/Kühling, in: Kühling/ Buchner, DS-GVO, 3. Aufl. 2020, Art. 4 Nr. 1 Rn. 26). Dass die IPAdresse, wie die Beklagte im Schriftsatz vom 04.10.2023 geltend macht (dort S. 5, Bl. 1482 eA), lediglich auf den Anschlussinhaber verweist, ist insofern unschädlich. Dabei ergibt sich der Personenbezug der IP-Adresse im Streitfall, anders als das Landgericht angenommen hat, noch nicht daraus, dass die Beklagte als Anbieter von Internet-Zugängen über Möglichkeiten zur Aufschlüsselung, welchem Anschlussinhaber zu welchem Zeitpunkt welche IP-Adresse zugewiesen war, verfügt. Denn zwar ist es anerkannt, dass eine dynamisch vergebene IP-Adresse jedenfalls für den Access-Provider (die Beklagte agiert insofern in einer Doppelrolle als Zugangsanbieter und „bloßer“ Anbieterin der Webseite) ein personenbezogenes Datum deshalb darstellt, weil dieser den Nutzer ohne Weiteres anhand der bei sich selbst vorhandenen Daten identifizieren kann (vgl. EuGH GRUR 2012, 265, 268 Rn. 51 – Scarlet/SABAM). Allerdings kann sich die Annahme des Landgerichts, dass deshalb im Sinne des klägerischen Antrags von personenbezogenen Daten auszugehen ist, von vornherein nur auf Kunden der Beklagten erstrecken, wie im Urteil auch festgehalten ist (S. 24 LGU, Bl. 619 GA). Jedoch ist im Streitfall weder vorgetragen noch anderweitig feststellbar, dass auch im konkret in Bezug genommenen Fall der Datenübermittlung, den der Kläger zum Antragsgegenstand gemacht hat, ein über die Beklagte bereitgestellter Internetanschluss verwendet wurde. Hierauf kommt es indes nicht entscheidend an, weil sich die Wertung des Landgerichts im Ergebnis als richtig darstellt. Denn in der bereits zitierten Entscheidung hat der Bundesgerichtshof auch ausgeführt, dass eine dynamische IP-Adresse, die beim Zugriff einer Person auf eine Internetseite, die dieser Anbieter allgemein zugänglich macht, gespeichert wird, auch für einen „reinen“ Webseitenbetreiber bzw. Anbieter von Online-Mediendiensten ein personenbezogenes Datum im Sinne der genannten Bestimmung darstellt. Denn der Betreiber der Webseite verfüge über rechtliche Mittel, die vernünftigerweise eingesetzt werden können, um mithilfe Dritter, und zwar der zuständigen Behörde und des Internetzugangsanbieters, die betreffende Person anhand der gespeicherten IP-Adressen bestimmen zu lassen. Dies ergebe sich daraus, dass diese Betreiber sich insbesondere im Fall von Cyberattacken an die zuständige Behörde wenden könnten, damit diese die nötigen Schritte unternehme, um die fraglichen Informationen vom Internetzugangsanbieter zu erlangen und die Strafverfolgung einzuleiten (BGH NJW 2017, 2416, 2417 Rn. 25).“

Das OLG Köln kommt unter Verweis auf die Entscheidungen des EuGH^[7] aus 2016 und des BGH^[8] aus 2017 zu dem Ergebnis, dass es sich bei der IP-Adresse um ein personenbezogenes Datum handelt. Doch über diese Annahme kann man trefflich streiten, denn schon die Ausführungen in den zitierten Entscheidungen aus Luxemburg und Karlsruhe können durchaus auch anders verstanden werden.^[9]

Der EuGH geht in seiner Breyer-Entscheidung von einem relativen Verständnis des Personenbezugs aus. Aus Sicht des Gerichts muss für die verantwortliche Stelle die Identifizierung „praktisch durchführbar“ sein.^[10] Dies ist nicht der Fall, wenn sie einen „unverhältnismäßigen Aufwand an Zeit, Kosten und Arbeitskräften erfordern würde, sodass das Risiko einer Identifizierung de facto vernachlässigbar“ sei.^[11]

Es kann bezweifelt werden, ob der Website-Betreiber, hier die Telekom, den Nutzer mit verhältnismäßigem Aufwand identifizieren kann. Bei der in Rede stehenden IP-Adresse handelt es sich um eine sog. öffentliche IP-Adresse. Anhand der öffentlichen IP-Adresse kann zwar grundsätzlich der Anschlussinhaber ermittelt werden. Dieser ist aber nicht zwingend identisch mit dem Nutzer, der auch die Webseite aufgerufen hat. Befindet sich ein Gerät innerhalb eines privaten Netzwerkes, z.B. Heim-WLAN oder WLAN in einem Café, so wird ihm innerhalb dieses Netzwerkes eine private IP-Adresse zugewiesen. Der WLAN-Router „leitet“ die Anfragen des Nutzers nur weiter und verwendet hierbei eine öffentliche IP-Adresse.

Vertritt man die Auffassung, dass es sich bei der IP-Adresse nicht um ein personenbezogenes Datum handelt und stehen dem Verantwortlichen auch keine weiteren Nutzerdaten zur Verfügung, die eine Identifizierung ermöglichen, ist der Anwendungsbereich DS-GVO nicht eröffnet. Ein Verstoß gegen die Vorschriften des Kapitel V der DS-GVO scheidet daher von vornherein aus.

III. Datenübermittlung in die USA

Nach Auffassung des OLG Köln ist damit der Anwendungsbereich eröffnet. Konsequenterweise war daher zu prüfen, ob die Voraussetzungen für eine zulässige Datenübermittlung in die USA vorliegen. Hierzu führt das OLG Köln aus:

„Die Datenübermittlung war auch unzulässig, da sie nicht von einem Erlaubnistatbestand der DS-GVO gedeckt war. Für den von dem Kläger auf Wiederholungsgefahr gestützten Unterlassungsanspruch gemäß § 2 Abs. 1 S. 1 UKlaG muss die beanstandete Handlung sowohl im Zeitpunkt ihrer Vornahme als auch im Zeitpunkt der gerichtlichen Entscheidung rechtswidrig sein (vgl. nur BGH GRUR 2018, 622, 623 Rn. 11 – Verkürzter Versorgungsweg m.w.N.). Zum Zeitpunkt der Abmahnung bzw. der konkreten Verletzungsform fehlte es zunächst an einer entsprechenden Grundlage, nachdem der EuGH den zuvor geltenden Beschluss, der auf dem „Privacy Shield“ basierte (eine Übereinkunft der USA mit der EU betreffend die Gewährleistung eines bestimmten Datenschutzniveaus), in seinem Urteil „Schrems II“ (Urteil vom 16.07.2020, Rs. C-311/18 – Facebook Ireland u. Schrems, NJW 2020, 2613) für nichtig erklärt hatte, so dass sich Unternehmen wie die Beklagte hierauf allein nicht mehr berufen konnten (hierzu Klein K&R 2023, 553). Der unter dem 10.07.2023 gefasste Beschluss der EU-Kommision mit dem Titel „EU US Data Privacy Framework“ (im Folgenden: DPF, (C(2023) 4745 final, derzeit nur auf Englisch verfügbar, vorgelegt als Anlage B15, Bl. 1258 ff. eA) stellt nunmehr in den USA ein angemessenes Datenschutzniveau fest und entfaltet unmittelbare Wirkung, so dass Datenübermittlungen in das betreffende Land keiner besonderen aufsichtsbehördlichen Genehmigung bedürfen (vgl. Juarez, in: BeckOK DatenschutzR, 44. Ed. 01.05.2023, Art. 45 DS-GVO Rn. 1). […]

Die Datenübertragung an die Google LLC und damit in die USA war vor Geltung des DPF nicht durch Erlaubnistatbestände der DS-GVO gedeckt. Denn die Übermittlung war weder nach Art. 46 Abs. 1 DS-GVO aufgrund geeigneter Garantien für ein angemessenes Datenschutzniveau in den USA als Drittland (dazu aa)) noch aufgrund einer Einwilligung nach Art. 49 Abs. 1 S. 1 lit. a) DS-GVO (dazu bb)) zulässig. […]

Nach Art.  46 Abs.  1 DS-GVO dürfen personenbezogene Daten an ein Drittland nur übermittelt werden, sofern der Verantwortliche geeignete Garantien vorgesehen hatte und sofern den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen. Für die geeigneten Garantien werden in Art.  46 Abs.  2 DS-GVO verschiedene Beispiele, unter anderem die sog. Standardvertragsklauseln (Art. 46 Abs. 2 lit. c) DS-GVO, dort als Standarddatenschutzklauseln bezeichnet), benannt.

Insofern reicht es jedoch nicht aus, dass die Beklagte sich auf Standardvertragsklauseln im Verhältnis zwischen Google und Google Ireland Ltd. (nunmehr vorgelegt als Anlagen B18 und B19, Bl. 1496 ff., 1518 ff. eA) sowie auf zusätzliche Maßnahmen, die von Google in den sogenannten „Google Ads IDTI“ (Anlage B13, Bl. 604 ff. eA) ausgeführt werden, stützt. Denn der EuGH hat in seiner Entscheidung „Schrems II“ (Urteil vom 16.07.2020, Rs. C-311/18 = NJW 2020, 2613) zunächst klargestellt, dass die Verwendung von Standardvertragsklauseln zwar im Verhältnis der Vertragsparteien relevant sei, aber keinen Schutz vor Maßnahmen der Behörden von Drittstaaten biete, weil diese durch die vertragliche Vereinbarung nicht gebunden seien. Deshalb gebe es Situationen, in denen die in den Klauseln enthaltenen Regelungen kein ausreichendes Mittel darstellten, um den effektiven Schutz von in das betreffende Drittland übermittelten personenbezogenen Daten zu gewährleisten (a.a.O. Rn. 125 f.). Für die USA als Drittland sei zu berücksichtigen, dass die amerikanischen Behörden auf die aus der Union in die Vereinigten Staaten übermittelten personenbezogenen Daten zugreifen und sie verwenden könnten, was sowohl im Rahmen der auf Section 702 des FISA (Foreign Intelligence Surveillance Act) gestützten Überwachungsprogramme PRISM und UPSTREAM als auch auf der Grundlage der Executive Order 12333 geschehen könne (a.a.O. Rn. 165). Diese Überwachungsprogramme genügten jedoch den im Unionsrecht nach dem Grundsatz der Verhältnismäßigkeit bestehenden Mindestanforderungen nicht, so dass nicht angenommen werden könne, dass die auf diese Vorschriften gestützten Überwachungsprogramme auf das zwingend erforderliche Maß beschränkt seien (zusammenfassend Rn. 184).“

Das OLG Köln prüft die Rechtslage sowohl zum Zeitpunkt der beanstandeten Handlung als auch zum Zeitpunkt der gerichtlichen Entscheidung. Für die beanstandete Handlung stellt das OLG entsprechend dem klägerischen Antrag auf den 03.01.2023 ab. Zu diesem Zeitpunkt lag noch kein neuer EU-US Angemessenheitsbeschluss vor, denn das Data Privacy Framework ist erst am 10.07.2023 in Kraft getreten.^[12] Folgerichtig prüft das OLG daher, ob die Datenübermittlung auf die Standardvertragsklauseln (SCC) gestützt werden können. Das Gericht kommt zum Ergebnis, dass die zwischen der Google LLC und Google Irland Ltd. vereinbarten ergänzenden Maßnahmen nicht ausreichend sind, um die unverhältnismäßigen Überwachungsmaßnahmen sowie die fehlenden Rechtsschutzmöglichkeiten der EU-Bürger zu kompensieren.

Unklar bleibt jedoch, welche konkreten zusätzlichen Maßnahmen im SCC vom Gericht geprüft wurden. Jedenfalls wäre eine intensive Auseinandersetzung erforderlich gewesen, weshalb insbesondere die technischen Maßnahmen im SCC nicht ausreichend sein sollten. Die irische Datenschutzaufsichtsbehörde hat hingegen im Fall von „Meta“ intensiv die vertraglichen, organisatorischen und technischen Maßnahmen, die im SCC ergänzt wurden, geprüft. Dabei kam die irische Aufsichtsbehörde zu dem Ergebnis, dass vor allem die Verschlüsselung von übermittelten Daten im Hinblick auf Section 702 FISA, UPSTEAM oder die Executive Order 12333 eine angemessene Schutzmaßnahme darstellen kann.^[13]

Auch die zwischenzeitlich eingetretene Rechtsänderung in den USA blieb vom OLG Köln unberücksichtigt. Wenn das Gericht für den Zeitpunkt der beanstandeten Maßnahme u.a. auf den 03.01.2023 abstellt, so hätte die vom US-Präsidenten Biden am 07.10.2022 unterzeichnete Executive Order 14086 berücksichtigt werden müssen.^[14]

Hierzu führt die EU-Kommission aus, dass die Garantien, die die Kommission mit der US-Regierung im Bereich der nationalen Sicherheit vereinbart hat, für sämtliche Datenübermittlungen in die USA gelten und nicht nur im Hinblick auf eine Angemessenheitsentscheidung.^[15] Das bedeutet, dass auch bei der Prüfung der SCC sowie der ergänzenden Maßnahmen die Executive Order 14086 zugrunde gelegt werden muss.

IV. Übermittlung an Google?

Überraschend ist, dass sowohl das LG als auch das OLG Köln ohne nähere Begründung davon ausgehen, dass eine Datenübermittlung im Sinne des Kapitel V der DS-GVO vorliegt. Selbstverständlich ist diese Annahme keinesfalls, denn selbst für die Datenschutzaufsichtsbehörden war jahrelang unklar, wie der Begriff der Übermittlung im Sinne des Art.  44 S.  1 DS-GVO zu verstehen ist. Eine Definition des Begriffs „Übermittlung“ enthält die DS-GVO in Art. 4 nicht. Zu einer einheitlichen Auffassung konnten sich die Datenschutzaufsichtsbehörden erst im Februar 2023 durchringen.^[16] Nach Auffassung des europäischen Datenschutzausschusses liegt keine Übermittlung vor, wenn Daten direkt von der betroffenen Person gegenüber dem Empfänger offengelegt werden.^[17] Dies ist bspw. der Fall, wenn ein Verantwortlicher in einem Drittland die Daten eines Websitebesuchers, der sich innerhalb der EU befindet, direkt erhebt.^[18]

Daraus folgt, dass der Website-Betreiber, hier die Telekom, durch die Einbindung von Google Ads eine Direkterhebung durch Google veranlasst. Beim Client-seitigen Tracking führt das dazu, dass das Endgerät des Nutzers nicht nur mit dem Webserver der Telekom kommuniziert, sondern auch mit Google-Servern. Die Screenshots und die HAR-Datei, die die Verbraucherzentrale NRW als Nachweis für die „Übermittlung“ vorgelegt hat, belegen demnach gerade das Gegenteil. Denn in technischer Hinsicht findet keine Übermittlung, sondern eine Direkterhebung statt. Demnach scheidet auch aus diesen Gründen ein Verstoß gegen Kapitel V der DS-GVO aus.

V. Ausblick

In dem Verfahren Verbraucherzentrale NRW gegen Telekom ist das letzte Wort noch nicht gesprochen. Die Telekom hat angekündigt, gegen die Entscheidung des OLG Köln Revision einzulegen. Der BGH wird daher entscheiden müssen, ob die Telekom in unzulässiger Weise personenbezogene Daten in die USA übermittelt hat. Für eine Überraschung in diesem Verfahren könnte letztendlich auch der EuGH sorgen, denn der Fall hält einige Vorlagefragen bereit.

* Prof. Dr. Rolf Schwartmann ist Mitherausgeber von Recht der Datenverarbeitung (RDV) sowie Vorsitzender der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD).

Kristin Benedikt ist Richterin am Verwaltungsgericht Regensburg

_{[1] LG Köln, Urt. v. 23.03.2023 – 33 O 376/22.}

_{[2] OLG Köln, Urteil vom 03.11.2023 – 6 U 58/23.}

_{[3] EuGH, Urteil vom 19.10.2016 – C-582/14.}

_{[4] Vgl. Schwartmann/Mühlenbeck Art.  4 Rn. 79 ff in HK-DS-GVO/BDSG (2. A.), Mühlenbeck, Anonyme und pseudonyme Daten, 2023, Stiftung Datenschutz (Hrsg.). Anonymisierung und Pseudonymisierung von Daten, Leitfaden und Grundregeln, 2023 m.w.N.}

_{[5] EuGH, Urteil vom 09.11.2023 – C-319/22.}

_{[6] EuG, Urteil vom 26.04.2023 – T-557/20.}

_{[7] EuGH, Urteil vom 19.10.2016 – C-582/14.}

_{[8] BGH, Urteil vom 16.05.2017 – VI ZR 135/13.}

_{[9] Vgl. EuG, Urteil vom 26.04.2023 – T-557/20 = ZD 2023, 399 m. Anm. Baumgartner}

_{[10] Schwartmann/Mühlenbeck Art. 4 Rn. 94 m.W.n. in HK-DS-GVO/BDSG (2. A.).}

_{[11] EuGH, Urteil vom 19.10.2016 – C-582/14, Rn. 46.}

_{[12] Commission Implementing Decision EU 2023/1795 of 10 July 2023 pursuant to Regulation (EU) 2016/679 of the European Parliament and of the Council on the adequate level of protection of personal data under the EU-US Data Privacy Framework (notified under document C(2023)4745)}

_{[13] Irische Aufsichtsbehörde, Entscheidung vom 12.05.2023, Rn. 7.195.}

_{[14] Executive Order On Enhancing Safeguards For United States Signals Intelligence Activities, 07.12.2022.}

_{[15] EU-Kommission, Fragen und Antworten: EU-US-Datenschutzrahmen, 07.10. 2022.}

_{[16] Leitlinien 5/2021 über das Zusammenspiel zwischen der Anwendung des Artikels 3 und der Bestimmungen über internationale Übermittlungen nach Kapitel V DS-GVO, Version 2.0, angenommen am 14.02.2023.}

_{[17] Leitlinien 5/2021 über das Zusammenspiel zwischen der Anwendung des Artikels 3 und der Bestimmungen über internationale Übermittlungen nach Kapitel V DS-GVO, Version 2.0, angenommen am 14.02.2023, Rn. 18.}

_{[18] Leitlinien 5/2021 über das Zusammenspiel zwischen der Anwendung des Artikels 3 und der Bestimmungen über internationale Übermittlungen nach Kapitel V DS-GVO, Version 2.0}