SBS Firmengruppe Logos

| Datenschutzrecht, IT-Recht

AGB-Kontrolle für Cookie-Banner & Datenübermittlung in die USA


Das Oberlandesgericht Köln (OLG Köln) entschied am 03. November 2023 im Berufungsverfahren (Aktenzeichen: 6 U 58/23) über den Datenschutz von Website-Besuchern. Kläger war zunächst die Verbraucherzentrale Nordrhein-Westfalen e.V., ein Verbraucherschutzverband, Beklagte war die Telekom Deutschland GmbH, die Tochtergesellschaft der Deutsche Telekom AG. Beide Parteien gingen anschließend in die Berufung.

Datenschutzhinweise in Cookie-Bannern als kontrollfähige AGB 

Entgegen erstinstanzlicher Entscheidung des Landgerichts Köln hat das OLG Köln Telekom Deutschland die weitere Verwendung sowie das Berufen auf die Datenschutzhinweis-Klauseln in Cookie-Bannern zu Analyse- und Marketing-Cookies verboten.

Über Cookie-Banner holte sich Telekom Deutschland die Einwilligungserklärung der Website-Besucher zum Setzen von Cookies sowie zur Datenverarbeitung inklusive der Datenübermittlung an Drittanbieter ein. Die Nutzung des Cookie-Banners zum Einholen von vorformulierten Einwilligungen macht die Datenschutzhinweise insoweit zu kontrollfähigen Allgemeinen Geschäftsbedingungen (AGB). Die Annahme von AGB rechtfertigt sich gerade in Anbetracht des Erwägungsgrundes 42 Satz 3 zur DSGVO zu vorformulierten Einwilligungen. Die Einwilligungserklärung, die nur mit einem Mausklick akzeptiert wird, ist im Falle des tatsächlichen Akzeptierens nach den §§ 305 ff. BGB kontrollfähig.

Datentransfer als Gegenleistung für die Website-Nutzung?

Der Zusatz „Bezahlen mit Daten“ lässt die AGB-Prüfung nicht nach § 307 Absatz 3 Satz 1  BGB entfallen. Für die Annahme, dass die Einwilligung zur Datenverarbeitung eine Gegenleistung zur Nutzung der Telekom-Website darstelle, mangelt es an einer eindeutigen Bezeichnung der Datenverarbeitung als die Hauptleistung. Mithin liegt keine Preisverereinbarung vor. Der Annahme von AGB steht dies also nicht entgegen.

AGB-Klauseln sind unzulässig

In der konkreten AGB-Prüfung haben sich die Klauseln der Telekom Deutschland als unzulässig erwiesen. 

Die Klauseln beinhalteten einen Verweis auf die DSGVO und stellten den Datentransfer in Drittländer als darüber gerechtfertigt dar. Der Beklagte behauptete also mittelbar, dass der Datentransfer in Drittländer für die Vertragserfüllung bzw. für die Durchführung von vorvertraglichen Maßnahmen erforderlich sei. Allerdings dienen die zu setzenden Cookies lediglich dem Zweck der Analyse sowie dem Zweck des Marketings; es geht also um das wirtschaftliche Eigeninteresse der Telekom Deutschland. Eine Rechtfertigung über die genannte DSGVO-Vorschrift war demzufolge nicht gegeben, sodass auch das Transparenzgebot im Rahmen der AGB-Kontrolle verletzt wurde. Die fälschliche Behauptung der Einschlägigkeit von Erlaubnis-Tatbeständen stellt eine unangemessene Benachteiligung für Verbraucher dar. Daher wurden diese Datenschutzhinweise sowie das Berufen darauf insoweit für unzulässig erklärt.

Datenübermittlungen ins EU-Ausland (Drittländer)

Beim Besuchen der Website www.telekom.de übermittelte Telekom Deutschland - wenn auch mittelbar - Daten wie IP-Adressen, Browser- und Geräteinformationen an Google LLC, ein Unternehmen registriert in den USA. 

Personenbezogene Daten

Über IP-Adressen ist zurückzuverfolgen, welche Internetseiten zu welchem Zeitpunkt besucht wurden. Website-Betreibern und auch Google-Unternehmen stehen zudem die Mittel zu, über zuständige Behörden sowie Internetzugangsanbietern den genauen Anschlussinhaber zu identifizieren. Es handelt sich bei IP-Adressen folglich um personenbezogene Daten.

Art. 45 DSGVO - neuer Angemessenheitsbeschluss ohne konkrete rechtliche Auswirkung

Dieser Datentransfer war jedoch nicht von der europaweit gültigen DSGVO gerechtfertigt. Eine Erlaubnis nach Art. 45 DSGVO lag nicht vor. In den Staaten war bis vor kurzem ein entsprechendes Datenschutzniveau nämlich nicht gewährleistet, zumal der EU-US Angemessenheitsbeschluss („Privacy Shield“) vom EuGH als ungültig erklärt wurde. 

Der in der Zwischenzeit am 10.07.2023 gefasste Beschluss der EU-Kommission („EU-US Data Privacy Framework“) stellt zwar ein wirksames neues Angemessenheitsbeschluss dar. Vorausgesetzt, dass die US-Unternehmen an diesem Datenschutzabkommen teilnehmen, können auf Grundlage dessen personenbezogene Daten nun von der EU ohne etwaige behördliche Genehmigungen an die USA transferiert werden. Google LLC gehört zu  solchen „certified organisation“. Dennoch müssten aber noch die übrigen allgemeinen Anforderungen für eine Datenübermittlung gegeben sein. Es mangelte hierfür aber an einer wirksamen Einwilligung nach Art. 6, 7 DSGVO, da betroffenen Personen alle Informationen im Zusammenhang mit der Datenverarbeitung verständlich und leicht zugänglich gemacht werden müssten. Insbesondere die Art der Daten, die Identität des für die Verarbeitung Verantwortlichen, die Dauer und Modalitäten der Verarbeitung sowie die damit verfolgten Zwecke müssten bekannt sein. Die Konsequenzen der abgegebenen Einwilligungserklärung müssen den Personen leicht verständlich sein. 

Insbesondere der Datentransfer an das auch verantwortliche US-Unternehmen Google LLC wurde in den Datenschutzhinweisen als Verantwortlicher nicht kenntlich gemacht. Die eingeholte Einwilligung in diesem Rahmen war hiermit schon unwirksam. Es hat sich schließlich - nach dem neuen wirksamen Angemessenheitsbeschluss - keine geänderte rechtliche Bewertung in dieser Hinsicht im Berufungsverfahren ergeben.

Art. 46 DSGVO - keine geeigneten Garantien

Für eine Rechtfertigung gemäß Art. 46 DSGVO mangelte es ferner an geeigneten Garantien, da insbesondere der Schutz vor behördlichem Zugriff der USA auf die personenbezogenen Daten trotz Standardvertragsklauseln zwischen Google Ireland Ltd. und Google LLC nicht gewährleistet war. Ausnahme-Tatbestände aus Art. 49 DSGVO lagen schließlich auch nicht vor.

Art. 49 DSGVO - keine Einwilligung und kein zwingendes berechtigtes Interesse

Ohne einschlägigen Angemessenheitsbeschluss und ohne geeignete Garantien kommt eine Einwilligung nach Art. 49 DSGVO zwar in Betracht. Der Verbraucher wird aber nicht widerspruchsfrei über die Risiken aufgeklärt, die ohne Angemessenheitsbeschluss und geeigneter Garantien möglicherweise bestehen. Bei Fehlen einer solchen gebotenen Risikoaufklärung kann keine wirksame Einwilligung im Sinne dieser Vorschrift angenommen werden. Eine Einwilligung nur durch das Anklicken von „Alles akzeptieren“ bezüglich der Datenschutzhinweise reicht allein nicht aus. Der Erlaubnis-Tatbestand der Einwilligung ist mithin auch nicht erfüllt. 

Ein zwingendes berechtigtes Interesse der Telekom Deutschland ist auch nicht anzunehmen, da dies auf einmalige Fälle sowie begrenzten Kreis von betroffenen Personen Anwendung findet. Bei routinemäßigem Datentransfer scheidet dieser Tatbestand aus.

Der Umstand, dass die unmittelbare Übermittlung der Daten in die USA durch Google Ireland Ltd. erfolgt, ist unerheblich. Zwar übermittelt tatsächlich Google Ireland Ltd. als ein EU-Unternehmen die Daten an ihre US-Muttergesellschaft Google LLC. Allerdings bediente sich Telekom Deutschland der Google Werbeplattform und beeinflusste damit aus eigenem Interesse die Verarbeitung von personenbezogenen Daten, indem sie zunächst die Daten an Google Ireland Ltd übermittelte. Dass der unmittelbare Transfer in die Staaten als Dittland über Google Ireland Ltd. ermöglicht wird, löst lediglich die gemeinsame datenschutzrechtliche Verantwortlichkeit aller drei Unternehmen aus, ohne die Verantwortlichkeit der Telekom Deutschland auszuschließen.


SBS Legal - Kanzlei für Datenschutz-, IT- und Unternehmensrecht

Derzeit sind Cookies nahezu überall im Netz anzufinden. Seit Anbeginn des Internet-Zeitalters hat kaum noch einer einen Überblick über die Verarbeitung seiner Daten. Während Unternehmen insbesondere zu Werbezwecken viel davon profitieren, befinden sich Internetnutzer immer mehr im intsransparenten digitalen Raum.

Sind Sie Nutzer von Internet und befürchten durch die möglichen unwirksamen Klauseln sowie durch die Intransparenz im Rahmen von Cookies Beeinträchtigungen in ihrer informationellen Selbstbestimmung? Oder sind Sie Unternehmer und möchten über Cookies effizient aber rechtmäßig profitieren?  

Als Kanzlei für Datenschutzrecht, IT-Recht und Unternehmensrecht haben wir das umfassende Fachwissen, um Sie im Zusammenhang mit Cookies und dem Datenschutz zu beraten.

Unsere praxiserfahrenem Anwälte mit entsprechender spezieller Expertise stehen Ihnen gerne zur Verfügung.

Unsere Beratung zeichnet sich durch Kompetenz und Zielorientiertheit aus. Kontaktieren Sie uns gern telefonisch – wir freuen uns, in Ihrem Interesse zu agieren.

Der Erstkontakt zu SBS LEGAL ist immer kostenlos.

SBS Direktkontakt

telefonisch unter (+49) 040 / 7344086-0 oder
per E-Mail unter mail@sbs-legal.de oder
per unten angebotenem SBS Direktkontakt.

Ich habe die Datenschutz-Richtlinien gelesen und stimmen diesen hiermit zu.

Zurück zur Blog-Übersicht