IT-Recht aktuell

LG Köln: Einbindung von Google Analytics auf Internetseite der Deutschen Telekom GmbH war rechtswidrig

Mit Urteil vom 12. Januar 2023, Az. 33 O 376/22, hat das Landgericht Köln entschieden, dass die Einbindung von Google Analytics im Internetauftritt der Dt. Telekom GmbH, einer Tochtergesellschaft der Deutschen Telekom AG, zum Zeitpunkt des Klageverfahrens rechtswidrig war. Dies, obwohl die Beklagte ein Cookie-Banner nutzte, in deren Rahmen Sie auf die Verwendung von Analyse- und Marketing-Cookies hinwies. Das Einwilligungsbanner war so gestaltet, dass der Button „Alle akzeptieren“ als Blickfang deutlich gestaltet, das Weitersurfen mit „nur mit den notwendigen Cookies“ jedoch im Fließtext versteckt war. Die Nutzung von Google Analytics war dem Einwilligungstext allerdings nicht zu entnehmen.

Geklagt hatte die Verbraucherzentrale NRW e. V. mit dem Antrag, u. a. zu unterlassen, bei Nutzung der Internetseite unter der URL www.telekom.de, insbesondere beim Einsatz von Cookies, personenbezogene Daten von Verbrauchern ohne entsprechende DSGVO-Rechtsgrundlage in Drittländer zu übermitteln. Die Klägerin trug vor, dass beim Aufruf der Internetseite die IP-Adresse über ein sog. Tracking-Pixel an Server der Google LLC gesendet wurde und dies nicht von der DSGVO gedeckt gewesen sei. Anhand der verwendeten Tracking-Pixel sei Google in der Lage, das Endgerät der betroffenen Person wiederzuerkennen und das Nutzerverhalten zu Analyse- und Werbezwecken auszuwerten. Mithilfe einer Abfrage bei der US-amerikanischen Regstrierungsbehörde für Internetadressen (ARIN) hätte die IP-Adresse des anfragenden Servers eindeutig einem Server der Google LLC mit Sitz in Kalifornien, USA zugeordnet werden können.

Das Gericht kam zu dem Ergebnis, dass die unstreitige Übermittlung der IP-Adressen an die Google LLC in die USA nicht von den Rechtfertigungsgründen der DSGVO gedeckt gewesen sei. So sei auch der Abschluss von Standardvertragsklauseln nicht geeignet, die Datenübermittlung in die USA zu rechtfertigen, da sie nicht geeignet seien ein der DSGVO entsprechendes Datenschutzniveau zu gewährleisten. Das LG Köln verweist auf die Auffassung des EuGH, der im Rahmen seiner Schremps II – Entscheidung darauf hingewiesen hatte, dass Standarddatenschutzklauseln ihrer Natur nach ein Vertrag seien und demnach Behörden aus einem Drittstaat wie die NSA nicht binden könnten.

Das Landgericht kam ferner zu dem Ergebnis, dass auch die Einwilligung über das Cookiebanner nicht geeignet gewesen sei, die Datenübermittlung zu rechtfertigen, da der Google Dienst keine Erwähung fand.

Fazit:

Noch immer gestaltet sich die Datenübermittlung in Drittländer als äußerst kritisch. Unternehmen, die ihre Datenübermittlung allein auf Standvertragsklauseln der EU stützen, handelt insoweit rechtswidrig und müssen mit Konsequenzen rechnen.

 

Quelle: https://www.verbraucherzentrale.nrw/sites/default/files/2023-05/lg_koln_vom_23-03-2023_33_o_376_22_geschwaerzt.pdf

« Alle Artikel anzeigen