Urteil : Voraussetzungen einer freiwilligen Einwilligung und Anforderungen an eine Übermittlung von IP-Adressen in die USA : aus der RDV 4/2023 Seite 263 bis 264
(LG Köln, Urteil vom 12. Januar 2023 – 33 O 376/22 –)
- Datenschutzhinweisen, die sich im Rahmen der Informationspflichten nach Artt. 13 und 14 DS‑GVO halten, kommt kein eigener Regelungsgehalt zu, weshalb sie nicht als Allgemeine Geschäftsbedingungen zu qualifizieren sind und damit keiner AGB-Kontrolle unterliegen (Antrag 1.b.).
- Eine freiwillige Einwilligung setzt voraus, dass der Verbraucher bei der Abgabe der Einwilligung eine echte Wahlmöglichkeit hat und nicht durch die Ausgestaltung des Cookie-Banners einseitig in Richtung einer Einwilligung gelenkt wird. Eine „der Einwilligungserklärung in Form, Funktion und Farbgebung gleichwertige, gleichrangige und gleich einfach zu bedienende Ablehnungsoption“ ist erforderlich es hingegen nicht (Antrag 1.c.). 3. Eine Übermittlung von IP-Adressen in die USA kann weder auf einen Angemessenheitsbeschluss der Kommission noch auf etwaige Standarddatenschutzklauseln gestützt werden. Eine mögliche Einwilligung in die Übermittlung personenbezogener Daten in die USA nach Art. 49 Abs. 1 S. 1 lit. a DS‑GVO setzt zudem eine besondere Informiertheit des Einwilligenden voraus. An sie sind höhere Anforderungen als an sonstige Einwilligungen zu stellen. (Antrag 1.d.).
(Nicht amtliche Leitsätze)
Aus den Gründen:
Zu Antrag 1.b.:
Die Klausel unterliegt […] nicht der AGB-Kontrolle, sodass § 1 UKlaG nicht anwendbar ist. […]
Eine ausdrückliche Regelung hinsichtlich des Verhältnisses von Datenschutzrecht und AGB-Recht findet sich weder im Unions- noch im nationalen Recht (von Lewinski/Herrmann, PinG 2017, 165 (171)).
Gemäß § 305 Abs. 1 S. 1 BGB sind Allgemeine Geschäftsbedingungen alle für eine Vielzahl von Verträgen vorformulierten Vertragsbedingungen, die eine Vertragspartei (Verwender) der anderen Vertragspartei bei Abschluss eines Vertrags stellt.
Bei den Informationspflichten handelt es sich aber um für die Parteien der Datenverarbeitung (Verantwortliche und betroffene Person) nicht-dispositives Recht (Paal/Hennemann, in: Paal/Pauly, DS-GVO/BDSG, 3. Aufl. 2021, DS-GVO Art. 13 Rn. 7). Es handelt sich bei den Datenschutzhinweisen um Informationen, die der Verantwortliche zwingend bereitzustellen hat, ohne dass es auf seinen Willen ankäme. Aus diesem Grund kann ein Rechtsbindungswille hinsichtlich des Inhalts der Datenschutzhinweise regelmäßig fernliegen. Spiegelbildlich dürften betroffene Personen – zu Recht – regelmäßig nicht davon ausgehen, dass Verantwortliche ihnen mittels der Datenschutzhinweise einen Vertrag antragen. Eine Bindungswirkung von Datenschutzhinweisen scheitert dann bereits an der Hürde der §§ 133, 157 BGB.
Soweit sich Datenschutzhinweise i.R.d. Informationspflichten nach Artt. 13 und 14 DS-GVO halten, unterliegen sie nicht der AGB-rechtlichen Klauselkontrolle, da ihnen insoweit kein eigener Regelungsgehalt zukommt (OLG Hamburg, MMR 2015, 740m.Anm. Hansen/Struwe; KG, MMR 2020, 239m.Anm. Heldt, Ls. N01; Hacker, ZfPW 2019, 148 (184); Moos, in: Moos/Schefzig/Arning, Praxishdb. DS-GVO, 2. Aufl., Kap. 2 Rn. 27; Wendehorst/Graf v. Westphalen, NJW 2016, 3745 (3748)). […]
Zu Antrag 1.c.:
Nach Art. 4 Nr. 11 der VO (EU) 2016/679 ist eine Einwilligung jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist. Das setzt voraus, dass der Verbraucher bei der Abgabe der Einwilligung eine echte Wahlmöglichkeit hat und nicht durch die Ausgestaltung des Cookie-Banners einseitig in Richtung einer Einwilligung gelenkt wird.
Eben dies war bei dem streitgegenständlichen CookieBanner indessen der Fall. Denn während im Falle des Buttons „Alle akzeptieren“ eine Ein-Klick-Lösung in Größe, Farbe und Layout als Blickfang deutlich gestaltet war, war das Weitersurfen „nur mit den notwendigen Cookies“ im Fließtext versteckt und damit in Größe, Form und Gestaltung nicht ausreichend, um als tatsächliche und gleichwertige Wahlmöglichkeit angesehen zu werden.
Auch die Wahlmöglichkeit „Einstellungen ändern“, führt ebenso wenig zur Wirksamkeit der Einwilligung, da der Button – wie der Landesbeauftragte für Datenschutz und Informationsfreiheit in seiner Stellungnahme vom 27.02.2023 zutreffend umschrieben hat – keine für den Verbraucher erkennbare zu dem Button „Alle akzeptieren“ im Alternativverhältnis stehende Wahlmöglichkeit in Form einer Willenserklärung oder eines Hinweises darauf enthält. So ist in der Formulierung „Einstellungen ändern“ kein unmissverständlicher Hinweis auf eine – wenn auch auf zweiter Ebene – alternative Ablehnungsmöglichkeit der technisch nicht notwendigen Cookies enthalten. Sieht sich der Verbraucher also einer Willenserklärung („Alles akzeptieren“) und daneben einer unspezifischen Konfigurationsmöglichkeit gegenüber, die die mögliche folgende Willenserklärung „Nicht alles akzeptieren/Alles abwählen“ etc.) und damit die Wahlmöglichkeit nicht zu erkennen gibt, wird durch das Klicken des Buttons „Alles akzeptieren“ keine freie Wahl zwischen zwei Willenserklärungen getroffen.
Der Antrag des Klägers ist indessen zu weit gefasst und enthält durch die Formulierung „ohne im Cookie-Banner eine der Einwilligungserklärung in Form, Funktion und Farbgebung gleichwertige, gleichrangige und gleich einfach zu bedienende Ablehnungsoption bereitzustellen“ ausdrücklich eine Verpflichtung zu einer bestimmten Form der Bannergestaltung. Letzteres ergibt sich aber weder aus den Vorschriften der DS-GVO noch aus den Erwägungsgründen. […]
Zu Antrag 1.d.:
Die klägerseits vorgetragene Übermittlung von IP-Adressen sowie Browser- und Geräteinformationen an Google LLC als Betreiberin von Google Analyse- und Marketingdiensten mit Sitz in den USA ist als unstreitig zu behandeln und ist nicht von den Rechtfertigungstatbeständen der DS-GVO gedeckt. […]
Die übermittelten IP-Adressen stellen sowohl für die Beklagte als auch Google LLC als Verantwortliche der Datenübermittlung personenbezogene Daten dar.
Dynamische IP-Adressen stellen dann personenbezogene Daten dar, wenn dem Verantwortlichen rechtliche Mittel zur Verfügung stehen, die er vernünftigerweise einsetzen könnte, um mit Hilfe Dritter (z.B. der zuständigen Behörde und des Internetanbieters) die betroffene Person anhand der gespeicherten IP-Adresse bestimmen zu lassen (BGH ZD 2017, 424 = MMR 2017, 605)
Dies ist sowohl hinsichtlich der Beklagten als auch hinsichtlich Google LLC der Fall. Beiden stehen die rechtlichen Mittel zur Verfügung, über Zusatzinformationen von der IP-Adresse einen Rückschluss auf die natürliche Person zu ziehen.
Als Telekommunikationsanbieterin und Websitebetreiberin kann die Beklagte, soweit es sich bei den Besuchern um ihre Kunden handelt, ohne großen Aufwand Internet-Nutzer identifizieren, denen sie eine IP-Adresse zugewiesen hat, da sie in der Regel in Dateien systematisch Datum, Zeitpunkt, Dauer und die dem Internet-Nutzer zugeteilte dynamische IP-Adresse zusammenführen kann. In Kombination können die eingehenden Informationen dazu benutzt werden, um Profile der natürlichen Personen zu erstellen und sie (sogar ohne Heranziehung Dritter) zu identifizieren (vgl. BeckOK DatenschutzR/Schild DS-GVO Art. 4 Rn. 20).
Gleiches gilt für Google LLC, die als Anbieterin von OnlineMediendiensten ebenso über die Mittel verfügt, Personenprofile zu erstellen und diese auszuwerten. Dabei kann gerade die IP-Adresse als personenspezifisches Merkmal dienen (vgl. LG W. I, Urt. v. 20.01.2022 – 3 O 17493/20) und etwa in der Kombination mit der Nutzung anderer Onlinedienste zur Identifizierung herangezogen werden (Feldmann, in: Forgó/ Helfrich/Schneider, Betrieblicher Datenschutz, 3. Auflage 2019, Kapitel 4. Datenschutzkonformer Einsatz von Suchmaschinen im Unternehmen, Rn. 12). […]
In den USA ist kein angemessenes Datenschutzniveau gewährleistet (vgl. EuGH Urt. v. 16.07.2020 – C-311/18 – Facebook Ireland u. Schrems, im Folgenden: Schrems II).
Der EuGH hat ausgesprochen, dass der EU-US Angemessenheitsbeschluss („Privacy Shield“) – ohne Aufrechterhaltung seiner Wirkung – ungültig ist. Die gegenständliche Datenübermittlung findet daher keine Deckung in Art. 45 DS-GVO.
Auch etwaige Standarddatenschutzklauseln vermögen die Datenübermittlung in die USA nicht zu rechtfertigen, da sie nicht geeignet sind ein der DS-GVO entsprechendes Datenschutzniveau zu gewährleisten, insbesondere da solche Verträge nicht vor einem behördlichen Zugriff in den USA schützen. […]
In Schrems II hat der EuGH zwar ausgeführt, dass Standarddatenschutzklauseln als Instrument für den Internationalen Datenverkehr dem Grunde nach nicht zu beanstanden sind, allerdings hat der EuGH auch darauf hingewiesen, dass Standarddatenschutzklauseln ihrer Natur nach ein Vertrag sind und demnach Behörden aus einem Drittstaat nicht binden können: […]
Wenn sogar der EU-US Angemessenheitsbeschluss aufgrund der Rechtslage in den USA für ungültig erklärt wurde, so kann erst recht nicht davon ausgegangen werden, dass vertragliche Bindungen zwischen privaten Rechtssubjekten ein angemessenes Schutzniveau nach Art. 44 DS-GVO für die gegenständliche Datenübermittlung in die USA gewährleisten können. Denn diese können schon ihrer Natur nach ausländische Behörden nicht in ihrer Handlungsmacht beschränken. […]
Dies entspricht auch der Wertung des EuGH:
„Da diese Standarddatenschutzklauseln ihrer Natur nach keine Garantien bieten können, die über die vertragliche Verpflichtung, für die Einhaltung des unionsrechtlich verlangten Schutzniveaus zu sorgen, hinausgehen, kann es je nach der in einem bestimmten Drittland gegebenen Lage erforderlich sein, dass der Verantwortliche zusätzliche Maßnahmen ergreift, um die Einhaltung dieses Schutzniveaus zu gewährleisten.“
Solche Maßnahmen müssten geeignet sein, die im Rahmen des Schrems II Urteils des EuGH aufgezeigten Rechtsschutzlücken – also die Zugriffs- und Überwachungsmöglichkeiten von US-Nachrichtendiensten – zu schließen. Dies ist hier nicht gegeben
Die Beklagte kann sich auch nicht mit Erfolg auf eine Einwilligung i.S.d. Art. 49 Abs. 1 lit. a) DS-GVO berufen. […]
Nach Art. 4 Nr. 11 DS-GVO ist eine Einwilligung eine unmissverständlich abgegebene Willensbekundung in der Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung. Für die nach Art. 49 Abs. 1 lit. a) DS-GVO erforderliche Einwilligung ist es schon dem Wortlaut nach darüber hinaus erforderlich, dass die Erklärung „ausdrücklich“ abgegeben wird. Angesichts dieser unterschiedlichen Wortwahl sind an die Einwilligung zu Übermittlungen in Drittländer höhere Anforderungen als an sonstige Einwilligungen zu stellen. Insbesondere setzt Art. 49 Abs. 1 lit. a DS-GVO schon dem Wortlaut nach eine besondere Informiertheit voraus.
Der Einwilligende muss u.a. darüber informiert worden sein, an welche Drittländer und an welche Empfänger seine Daten übermittelt werden (BeckOK DatenschutzR/Lange/ Filip DS-GVO Art. 49 Rn. 7; Klein/Pieper, in: Schwartmann/ Jaspers/Thüsing/Kugelmann, DS-GVO/BDSG, Art. 49 Ausnahmen für bestimmte Fälle Rn. 6).
Hier sind die Website-Besucher aber keineswegs über eine Datenübermittlung an Google LLC unterrichtet worden. In den ehemaligen Datenschutzhinweisen wurde lediglich über eine Übermittlung von Daten an Xandr und Heap informiert, was ersichtlich nicht den Empfänger Google LLC erfasst.