OLG Köln: Rundumschlag im Datenschutzrecht
Das Oberlandesgericht Köln hat in einer aktuellen Entscheidungen gleich mehrere extrem relevante Themen aus dem Datenschutz- und AGB-Recht näher beleuchtet. Es geht um Cookie-Banner, Datenschutzhinweise als AGB, Drittlandsübermittlungen, IP-Adressen, Google Ads und die Übermittlung von Positivdaten an Auskunfteien. Nicht alles ist jedoch über den Einzelfall hinaus relevant.
Die Entscheidung mit dem Aktenzeichen 6 U 58/23 wurde bereits am 3. November 2023 verkündet, ist bislang aber noch nicht in der Rechtsprechungsdatenbank des Landes NRW abrufbar. Die klagende Verbraucherzentrale stellt allerdings hier eine geschwärzte Fassung zum Download bereit. Hintergrund des Berufungsverfahrens war ein Streit zwischen der Verbraucherschutzzentrale NRW und der Telekom Deutschland GmbH. Letztere betreibt eine Webseite, auf welcher ein Cookie-Banner vorgeschaltet war, das nach Auffassung der Verbraucherzentrale gegen die gesetzlichen Vorgaben aus TTDSG und DSGVO verstößt. Nach einer dort erteilten Einwilligung kam unter anderem der Dienst Google Ads zum Einsatz und zwar in der Form, dass auf der Webseite Anzeigen durch Google geschaltet werden. In der Folge kam es zur Übermittlung von zumindest IP-Adressen der Webseitenbesucher an Google.
Weiterhin wurden sogenannte „Positivdaten“ an verschiedene Auskunfteien übermittelt, soweit Personen einen Mobilfunkvertrag mit der Telekom anfragten oder abschlossen. Bei diesen Positivdaten wird alleine das Anfragen oder Zustandekommen eines solchen Vertrages an Gesellschaften wie die Schufa gemeldet. Im Gegensatz hierzu handelt es sich bei Negativdaten um solche, die Informationen über vertragswidriges Zahlungsverhalten von Schuldnern enthalten.
Die Verbraucherzentrale wollte der Beklagten als Betreiberin der Webseite verbieten lassen, das Cookie-Banner in der dort genutzten Gestaltung zu betreiben und auf Basis der dort eingeholten Einwilligungen personenbezogene Daten in Drittländer zu übermitteln. Weiterhin sollte die Untersagung der Übermittlung von Positivdaten an Auskunfteien untersagt werden.
Damit hatte die Verbraucherzentrale nur teilweise Erfolg. Der Fall ist aber rechtlich außerordentlich spannend und das Urteil enthält auch sonst einige Schmankerl. Insbesondere aber lernen wir, dass man bei der Gestaltung von Datenschutztexten auf Webseiten ein hohes Maß an Sorgfalt an den Tag legen sollte, da einem dies sonst schnell auf die Füße fallen kann. Wir fassen die wichtigsten Erkenntnisse und Schlussfolgerungen für den Datenschutzpraktiker kurz zusammen.
Anforderungen an Cookie-Banner / Anwendbarkeit des AGB-Rechts
Dieser Teil ist – neben den Ausführungen zu den Drittstaatentransfers – für viele Datenschutzexperten und Webseitenbetreiber wohl der mit der größten praktischen Relevanz. Das Gericht trifft zwei wichtige Feststellungen:
- Datenschutzhinweise sind keine Allgemeinen Geschäftsbedingungen und unterliegen damit nicht der AGB-Kontrolle nach den §§ 305 ff. BGB.
- Datenschutzhinweise sind Allgemeine Geschäftsbedingungen, wenn diese mittels Verweis zum Bestandteil einer vorformulierten Einwilligung gemacht werden.
Was auf den ersten Blick verwirrend aussieht, macht bei näherer Betrachtung durchaus Sinn. Dienen Datenschutzhinweise schlicht der Erfüllung der Transparenzpflichten aus Art. 13 DSGVO, sind diese keine AGB. Es ist, so das Gericht, anerkannt, dass die bloße Wiedergabe gesetzlicher Informationspflichten, die nicht auf eine Änderung der Ausgestaltung bestimmter Regelungen abzielt, keine AGB darstellen. Das heißt also, solange den Datenschutzhinweisen keine (vertrags)gestaltende Wirkung zukommt, sondern diese lediglich über eine Art der Datenverarbeitung informieren, können diese keine AGB sein und sind damit nicht der Inhaltskontrolle zugängig. Das bedeutet, dass derartige Hinweise nicht durch Verbraucherschutzverbände im Rahmen von Verbandsklagen moniert werden können, wie eben im vorliegenden Fall.
Anders verhält es sich laut OLG Köln, wenn die Datenschutzhinweise zum Gegenstand einer Einwilligungserklärung gemacht werden. Dies kann, wie im zu entscheidenden Sachverhalt, über einen Verweis im Cookie-Banner oder einer ähnlichen datenschutzrechtlichen Einwilligungserklärungen erfolgen. Dann nämlich soll mit dieser Einwilligung zwischen den Parteien konkret festgelegt werden, wie personenbezogene Daten verarbeitet werden. Es handelt sich damit um mehr als nur eine unverbindliche Information, sondern um die Ausgestaltung eines Rechtsverhältnisses, welches im Rahmen der §§ 307 ff. BGB überprüfbar ist. Damit können Datenschutzhinweise und Cookie-Banner am Maßstab des AGB-Rechts gemessen werden und grundsätzlich von den Zivilgerichten für unwirksam erklärt werden.
Im vorliegenden Fall allerdings hielt das OLG den Antrag der klagenden Verbraucherschutzzentrale für nicht begründet. Diese verlangte im Rahmen der Klage eine konkrete Gestaltung des Cookie-Banners mit gleichwertigen Buttons für Annehmen und Ablehnen der Cookies sowie sehr genauen Vorgaben hinsichtlich Lesbarkeit, Textgrößen, etc. Dies hielt das Gericht für zu weitgehend. Derart spezifische Anforderungen ließen sich weder dem TTDSG noch der DSGVO entnehmen. Die Klägerin drang daher mit dem konkreten Antrag nicht durch. Aber Achtung: Das heißt nicht, dass die Gestaltung eines Cookie-Banners wie von der Webseiten-Betreiberin vorgenommen, zulässig ist! Es besteht zwar ein gewisser Spielraum, aber Gestaltungen, bei denen z. B. der „Ablehnen“-Button auf einer weiteren Ebene versteckt wird, sind unserer Auffassung nach weiterhin nicht zulässig. Wie man es allerdings vollkommen richtig macht, erfahren wir aus dem Urteil nicht.
Drittlandsübermittlungen & Data Privacy Framework
In diesem Teil zeigt sich, wie wichtig eine gut gemachte Einwilligung und Datenschutzhinweise sind. Aber auch, warum das Urteil in diesem Punkt keine große Bedeutung über den Einzelfall hinaus haben wird.
Die Betreiberin der Webseite hatte offenbar bei der Erstellung der Texte für Cookie-Banner und Datenschutzhinweise geschludert. Vielleicht auch nur ungeprüft den Text eines kostenlosen Tools zur Erstellung von Rechtstexten übernommen. Genau wissen wir es nicht. Jedenfalls enthielt die Einwilligungserklärung im Cookie-Banner, bzw. die Datenschutzhinweise auf der Webseite eine Information dazu, dass personenbezogene Daten auch in Drittländer außerhalb der EU übermittelt werden können. In diesem Zusammenhang wurde die Vorschrift des Art. 49 Abs. 1 lit. b) DSGVO genannt. Dieser besagt, dass die Übermittlung personenbezogener Daten in ein Drittland ausnahmsweise erlaubt sein kann, wenn dies für die Erfüllung eines Vertrages mit der betroffenen Person und dem Verantwortlichen oder zur Durchführung von vorvertraglichen Maßnahmen erforderlich ist. Das ist für das Setzen von Cookies und Verarbeiten der dadurch gewonnenen Daten offensichtlich nicht der Fall. Die Beklagte gab hier zu Protokoll, dass es sich um ein Versehen gehandelt habe und eigentlich art. 49 Abs. 1 lit. a) DSGVO gemeint gewesen wäre, also eine Einwilligung zu einer solchen Übermittlung eingeholt werde. Dies ließ das Gericht allerdings nicht gelten.
Auch die tatsächlich über das Cookie-Banner eingeholte Einwilligung reichte dem Gericht für den Transfer in die USA nicht aus. Dies lag daran, dass sich offenbar in den Datenschutzhinweisen, auf welche die Einwilligung Bezug genommen hat, widersprüchliche Angaben fanden. So wurde dort erläutert, dass es gar keine Transfers an Google in die USA geben würde. Aufgrund dieses Widerspruchs hielt das Gericht die gesamte diesbezügliche Einwilligung für unwirksam. An dieser Stelle macht der Senat auch Ausführungen zum neuen Data Privacy Framework („DPF“). Teilweise wurde hier schon berichtet, dass Datenübermittlungen an Empfänger in den USA nach Ansicht des OLG nicht möglich seien. Das ist so nicht richtig. Vielmehr stellte das Gericht nur fest, dass die eingeholte Einwilligung zur Datenverarbeitung aus den zuvor genannten Gründen bereits auf der ersten Stufe (darf ich personenbezogene Daten überhaupt zu bestimmten Zwecken verarbeiten gemäß Art. 6 Abs. 1 S. 1 lit. a) DSGVO) unwirksam ist. Damit kommt es auf das gar nicht mehr an. Insoweit ist die Sorge unberechtigt, dass das DPF jetzt schon nichts mehr wert ist. Jedenfalls nicht auf Basis der Entscheidung des OLG Köln.
Hier hat jemand einfach wenig Sorgfalt bei der Erstellung von Datenschutzhinweisen walten lassen, was sich dann gerächt hat. Allzu arrogant sollte man auf diesen Fall allerdings nicht blicken. Viele Consent Management Tools, welche automatisiert Cookie-Banner-Texte erstellen, enthalten Datenschutzhinweise für viele der eingesetzten Tools wie Google Ads. Diese werden selten von den Verantwortlichen geprüft und es besteht damit eine große Gefahr, in eine solche Falle zu laufen, wie die Betreiberin der Webseite in unserem Fall. Nutzen Sie daher am Besten ausschließlich Rechtstexte, die Sie selbst oder Ihre Berater geprüft haben. Allgemeine Bedeutung erlangen die Ausführungen des Gerichts an dieser Stelle aber ansonsten nicht.
Google Ads
Interessant sind die Ausführungen dazu, dass das Gericht Google und die Betreiber von Webseiten als Gemeinsame Verantwortliche hinsichtlich des Dienstes Google Ads betrachtet. Dies dürfte für alle Fälle gelten, in den Google mittels geschalteter Anzeigen personenbezogene Daten (ja, auch IP-Adresse, siehe unten) sammeln kann. Also vor allem, wenn ich Conversions ausweisen oder Anzeigen auf meiner eigenen Webseite schalten lasse. Damit ist eine Vereinbarung nach Art. 26 DSGVO erforderlich, welche Google derzeit nicht anbietet. Nutzer dieser Dienste müssen dieses Rechtsrisiko derzeit in Kauf nehmen, oder auf den Dienst verzichten.
Bonus-Track: IP-Adressen als personenbezogenes Datum
Erwähnenswert ist aus unserer Sicht, dass sich das Gericht ebenfalls mit der Eigenschaft von (dynamischen) IP-Adressen als personenbezogene Daten beschäftigt hat. Insoweit stellt das OLG fest, dass ein Webseiten-Betreiber in der Regel über die Mittel verfügt, die „vernünftigerweise eingesetzt werden können, um mithilfe Dritter (…) die betreffende Person anhand der gespeicherten IP-Adressen bestimmen zu lassen.“ Ohne hier zu detailliert auf die rechtliche Diskussion dazu einzugehen, lässt sich feststellen, dass sich hiermit eine Linie in der Rechtsprechung verfestigt. In aller Regel handelt es sich danach bei IP-Adressen um personenbezogene Daten, welche in den Anwendungsbereich der DSGVO fallen und folglich bedarf es immer einer einschlägigen Rechtsgrundlage für deren Verarbeitung. Zum Beispiel einer wirksamen(!) Einwilligung im Cookie-Banner.
Übermittlung von Positivdaten
Bei der Frage der Zulässigkeit der Übermittlung von sogenannten Positivdaten an Auskunfteien hat es sich das Gericht unseres Erachtens sehr leicht gemacht. Nach Ansicht des Senats sind diese jedenfalls nicht grundsätzlich unzulässig, da Fälle denkbar seien, in denen dies der Betrugsprävention dient und damit ein überwiegendes berechtigtes Interesse im Sinne von Art. 6 Abs. 1 S. 1 lit. f) DSGVO besteht. Den Klageantrag, gerichtet auf eine generelle Untersagung solcher Übermittlungen, hielt das Gericht daher für zu weitgehend. Für Verantwortliche bedeutet dies, dass man die Zweckbestimmung solcher Übermittlungen sehr konkret fassen sollte und sich dies auch in den Datenschutzhinweisen wiederfinden muss.
Schlussfolgerungen
Fazit: Ein spannendes Urteil zu vielen umstrittenen Fragen des Datenschutzrechts. Allgemeine Bedeutung werden die Entscheidungen des OLG Köln aber nur in wenigen Punkten haben. Dies betrifft vor allem die Punkte zur Gemeinsamen Verantwortlichkeit bei Google Ads, die Eigenschaft von IP-Adressen als personenbezogenen Daten und die Möglichkeit der AGB-Kontrolle datenschutzrechtlicher Einwilligungen und Datenschutzhinweise.
Die Ausführungen zum Data Privacy Framework und den Drittlandsübermittlungen hingegen haben aus unserer Sicht keinerlei Relevanz über den entschiedenen Fall hinaus.
Mitnehmen sollte man aus dem Urteil allerdings: Datenschutzhinweise und Einwilligungen müssen mit großer Sorgfalt verfasst werden. Vertrauen Sie nicht auf ungeprüfte Texte aus Generator-Tools, ohne diese vorher zu prüfen.
Wollen Sie stets auf dem Laufenden bleiben zu allen Themen rund um Datenschutz & Compliance? Abonnieren Sie doch einfach unseren Newsletter.
