Sachverhalt
OLG Köln, Urteil vom 3.11.2023, Az 6 U 58/23
Streitgegenstand waren in der Vergangenheit verwende Datenschutzhinweise im Cookie-Banner. U.a. ging es konkret darum, dass bei Websiteaufrufen personenbezogene Daten (IP-Adresse, Browser- und Geräteinformationen) an ein Unternehmen mit Sitz in den USA übermittelt wurden.
Darin wurde von der Klägerin u.a. eine rechtswidrige Datenübermittlung gesehen, sodass sie vor dem OLG Köln einen auf Wiederholungsgefahr gestützten Unterlassungsanspruch aus § Abs. 1 S.1 UKlaG geltend machte. Damit dieser Anspruch entstehen konnte, musste die Datenübermittlung zum Zeitpunkt der Vornahme und im Zeitpunkt der gerichtlichen Entscheidung rechtwidrig sein.
Ein Schritt zurück - Allgemeine Anforderungen an die Datenverarbeitung
Bevor der Artikel sich der Drittlandthematik widmet, lohn sich ein Blick auf die sonstigen Anforderungen, die an eine Datenverarbeitung gestellt sind. Allen voran die Rechtsgrundlage für die Verarbeitung personenbezogener Daten. Diese ergibt sich aus dem Art. 6 Abs. 1 DS-GVO. Im ersten Schritt muss eine gültige Rechtsgrundlage vorliegen und erst im zweiten Schritt kann über eine Möglichkeit einer Drittlandübermittlung und die dafür einzuhaltenden Vorschriften nachgedacht werden.
Im konkreten Fall sah das OLG Köln an ebendieser Stelle ein entscheidendes Problem. Die eingeholte Einwilligung in die Datenverarbeitung wurde auf die Einwilligung nach Art. 6 Abs. 1 lit. a) DS-GVO gestützt. Dazu führt das OLG aus:
“Eine Einwilligung im Sinne der letzteren Vorschrift erfordert, dass der für die Verarbeitung Verantwortliche der betroffenen Person eine Information über alle Umstände im Zusammenhang mit der Verarbeitung der Daten in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zukommen lässt, da dieser Person insbesondere die Art der zu verarbeitenden Daten, die Identität des für die Verarbeitung Verantwortlichen, die Dauer und die Modalitäten dieser Verarbeitung sowie die Zwecke, die damit verfolgt werden, bekannt sein müssen. Solche Informationen müssen diese Person in die Lage versetzen, die Konsequenzen einer etwaigen von ihr erteilten Einwilligung leicht zu bestimmen, und gewährleisten, dass die Einwilligung in voller Kenntnis der Sachlage erteilt wird.”
Die benannten Erfordernisse lagen nicht vor, sodass die Datenverarbeitung bereits aus diesem Grund nicht rechtmäßig war. Die Drittlandübermittlung ist insgesamt nicht wegen der Tatsache, dass es sich um eine Drittlandübermittlung in die USA handelte, rechtswidrig, sondern wegen der fehlenden Rechtsgrundlage nach Art. 6 Abs. 1 DS-GVO.
Vor Angemessenheitsbeschluss
Das Gericht stellte weiter klar, dass für eine Datenübermittlung in ein Drittland die besonderen Anforderungen aus Art. 44 ff. DS-GVO erfüllt sein müssen.
Demnach kommen für eine DS-GVO-konforme Datenübermittlung in ein Drittland folgende Möglichkeiten in Betracht.
- Angemessenheitsbeschluss der EU-Kommission nach Art. 45 DS-GVO
- Vorliegen geeigneter Garantien Art. 46 DS-GVO insbesondere Standardvertragsklauseln
- Ausnahmen für bestimmte Fälle Art. 49 DS-GVO
Datenübermittlung auf Grundlage eines Angemessenheitsbeschlusses
Zum Zeitpunkt der Datenübermittlung konnte sich die Beklagte nicht auf einen Angemessenheitsbeschluss berufen, da der Europäische Gerichtshof (EuGH) zuvor den bis dahin gültigen Angemessenheitsbeschluss zwischen der EU und den USA in seinem Urteil "Schrems II" für nichtig erklärt hatte.
Datenübermittlung auf Grundlage geeigneter Garantien
Außerdem konnte das Gericht keine geeigneten Garantien gemäß Art. 46 DS-GVO feststellen. Diese Vorschrift besagt, dass eine Datenübermittlung an ein Drittland zulässig ist, wenn Verantwortliche oder Auftragsverarbeiter geeignete Garantien vorsehen und den betroffenen Personen durchsetzbare Rechte sowie wirksame Rechtsbehelfe zur Verfügung stehen. Die Erfüllung dieser Voraussetzungen wurde durch die in Section 702 des Foreign Intelligence Surveillance Act (FISA) und der Executive Order 12333 vorhandenen Überwachungssysteme, die amerikanischen Behörden zur Verfügung stehen, beeinträchtigt. Diese Systeme ermöglichen den Behörden den Zugriff auf und die Verwendung von personenbezogenen Daten, die aus der EU in die USA übermittelt werden.
Um ein angemessenes Datenschutzniveau bzw. geeignete Garantien gemäß Art. 46 Abs. 1 DS-GVO sicherzustellen, ist es erforderlich, dass einzelnen Personen Rechtschutzmöglichkeiten gegenüber den Überwachungsbefugnissen zur Verfügung stehen und dass die Datenzugriffsmöglichkeiten durch zusätzliche Maßnahmen entweder vollständig ausgeschlossen oder zumindest auf ein akzeptables Maß reduziert werden können.
Standardvertragsklauseln
Das Gericht erklärte, dass sich die Beklagte nicht auf die Standardvertragsklauseln zwischen Datenexporteur und Datenimporteur sowie auf zusätzliche Maßnahmen berufen konnte. Die Verwendung von Standardvertragsklauseln seien ausschließlich im Verhältnis der Vertragsparteien relevant. Ein Schutz vor Maßnahmen Drittstaatlicher-Behörden konnte somit nicht gewährleistet werden. Insbesondere im Falle von Datenübermittlungen in die USA sei diese Methode uneffektiv gewesen.
Zusätzlich ergriffene Maßnahmen
Das Gericht konnte im Rahmen der Sichtung entsprechender Dokumente keine zusätzlich ergriffenen Maßnahmen erkennen, die den Anforderungen der DS-GVO genügten. In diesen verpflichtete sich der Datenimporteur zunächst lediglich, den Datenexporteur über Anforderungen von US-Behörden zur Offenlegung von personenbezogenen daten zu informieren. Gleichzeitig betonte er jedoch, dass eine solche Anforderung nach US-Recht zulässig sei.
Des Weiteren sind im Dokument Ausführungen enthalten gewesen, wonach keine staatliche Stelle in den USA direkten Zugriff auf entsprechende Daten habe. Nach Ansicht des Gerichts sei damit jedoch nicht ausgeschlossen, dass US-Behörden auf anderem Wege an diese Informationen gelangen.
Nach Angemessenheitsbeschluss
Bis zur Entscheidung des Gerichts wurde durch das Inkrafttreten des EU-US Data Privacy Framework (DPF) ein neuer Angemessenheitsbeschluss zwischen der EU und den USA vereinbart. Dadurch wurden Datenübermittlungen an US-Unternehmen, die gem. DPF zertifiziert sind, als zulässig erklärt.
Das Gericht stellte klar, dass der neue Angemessenheitsbeschluss Geltung hat und eine Drittlandübermittlung legitimieren kann. Das Gericht ging auch darauf ein, dass das konkrete US-Unternehmen unter dem DPF zertifiziert sei, sodass auch dies der Rechtmäßigkeit grds. nicht entgegenstünde.
Die vorhandene Zertifizierung des Datenimporteur ändere jedoch nichts an der Rechtswidrigkeit der Datenübermittlung. Die Ursache dafür, dass die Datenübermittlung für rechtswidrig erklärt wurde, lag nämlich daran, dass die übrigen (allgemeinen) Anforderungen an eine zulässige Datenverarbeitung nicht erfüllt waren. Heißt Anforderungen nach Art. 6 Abs. 1 DS-GVO wurden nicht erfüllt.
Praxishinweis
Die Entscheidung des OLG Köln betont, dass unabhängig von den Anforderungen an eine Drittlandübermittlung (Kapitel V DS-GVO) die allgemeinen Anforderungen für eine rechtmäßige Datenverarbeitung nach Art. 6 DS-GVO im ersten Schritt vorliegen müssen. Liegt ein Erlaubnistatbestand nach Art. 6 Abs. 1 DS-GVO nicht vor, kann auch ein Angemessenheitsbeschluss an der widerrechtlichen Datenverarbeitung nichts ändern.