Recht haben und Recht bekommen ist aber nicht dasselbe – Das zeigt das Urteil des Landgerichts Köln (Az.: 33 O 376/22 v. 23.03.2023) zu einer Klage des Verbraucherzentrale Nordrhein-Westfalen e.V. gegen die Telekom GmbH, die unter der Marke Congstar viel falsch gemacht hat, aber nur wenig verurteilt wurde. Warum das so ist, das erfahren Sie hier.
Der Inhalt im Überblick
Worum ging es?
Es ging um den Onlineauftritt von Congstar, einer Marke der Telekom Deutschland GmbH, die Mobilfunk- und Internettarife anbietet. Diese hatte einerseits einige Passagen in ihrer Datenschutzerklärung, die dem klägerischen Verbrauchschutzverein gar nicht gut gefallen haben und andererseits wurden die User durch sogenanntes „Nudging“ zum Setzen von Cookies bewegt, und es fand ein anschließender Datentransfer zu Analysezwecken in die USA statt. Das fand der Kläger auch nicht gut.
Mit vier Anträgen wandte sich die Verbraucherzentrale Nordrhein-Westfalen gegen den Onlineauftritt der beklagten Tochter der Telekom AG. Doch nur ein Antrag war nach Ansicht des Landgerichts Köln begründet: Demnach darf die Deutsche Telekom keine Daten in die USA übermitteln. Gleichwohl hat es dem Kläger in der Sache größtenteils Recht gegeben.
Schauen wir uns einmal an, welche Klageanträge gestellt wurden und was das Gericht dazu gesagt hat.
Der erste Antrag – Schufa I
Der erste Antrag bezog sich auf die Übermittlung von Positivdaten an die Schufa und eine diesbezüglich verwendete Klausel in den Datenschutzhinweisen. Sogenannte Positivdaten sind Informationen, die keine negativen Zahlungserfahrungen oder sonstiges nicht vertragsgemäßes Verhalten zum Inhalt haben. Der Kläger war der Ansicht, die Übermittlung von Positivdaten sei für die Erfüllung eines Vertrages oder zur Durchführung vorvertraglicher Maßnahmen nicht erforderlich im Sinne des Art. 6 Abs. 1 lit b) DSGVO, und es bestehe kein berechtigtes Interesse dazu nach Art. 6 Abs.1 lit. f) DSGVO. Deswegen komme es auf die Erteilung einer Einwilligung an, die unstreitig nicht vorliege.
Was sagt das Gericht dazu?
Die Datenübermittlung an die Schufa und andere Auskunfteien von Positivdaten ist unzulässig gewesen, da die Voraussetzungen des Art. 6 Abs. 1 lit. f) DSGVO, nicht vorlagen. Heißt: Das berechtigte Interesse der Beklagten war nicht gegeben, da die Interessenabwägung hier zugunsten der betroffenen Personen ausfiel:
„Die Datenübermittlung an Wirtschaftsauskunfteien war nach dem Modell der Beklagten an keine weiteren Voraussetzungen geknüpft und betraf sämtliche Positivdaten über das Vertragsverhältnis. Betroffen war also das informationelle Selbstbestimmungsrecht der Betroffenen, ohne dass die Daten auf ein bestimmtes notwendiges Minimum reduziert wurden und ohne, dass der Betroffene selbst Anlass für die Übermittlung bot.“
Eine pauschale und präventive Übermittlung sämtlicher Daten im Zusammenhang mit dem Vertragsverhältnis sei im Wirtschaftsverkehr ohne Einwilligung weder üblich noch würde sie vernünftiger Weise erwartet.
Jetzt kommt das große Aber: Dies war nur so weit gegeben, soweit sich die Beklagte auf die Bekämpfung von betrügerischem Verhalten berufen hat. Das Gericht führt dazu aus:
„Nichtsdestotrotz ist der Unterlassungsantrag, wie die Beklagte zurecht in der mündlichen Verhandlung beanstandet hat, zu weit gefasst. Ein Antrag darf nicht so formuliert werden, dass er zulässige Handlungen erfassen kann.“
Der Antrag war also so weit gefasst, dass darunter auch Fallgestaltungen fallen können, in denen zukünftig – anders als bisher – ein berechtigtes Interesse besteht. Das hätte der Kläger adäquat formulieren können. Deshalb ging der Klageantrag am Ende nicht durch.
Der zweite Antrag – Schufa II
Der zweite Antrag bezog sich auch auf die Schufa-Auskunft. Hier aber stützt er die Klage auf die interessante Argumentation, dass die Datenschutzerklärung gegen das AGB-Recht verstoße.
Was sagt das Gericht dazu?
Das Gericht meint, dass – wie oben gesehen – ein unzulässiges Verhalten von Congstar vorliegt; hier eine AGB-Kontrolle nicht stattfinden darf:
„Zwar ist die anlasslose Datenübermittlung von Positivdaten, sofern sie lediglich auf die allgemeine Betrugsbekämpfung und Identifizierung gestützt wird, nicht rechtmäßig nach der DSGVO“
Aber:
Es handelt sich bei den Datenschutzhinweisen um Informationen, die der Verantwortliche zwingend bereitzustellen hat, ohne dass es auf seinen Willen ankäme. Aus diesem Grund kann ein Rechtsbindungswille hinsichtlich des Inhalts der Datenschutzhinweise regelmäßig fernliegen. Spiegelbildlich dürften betroffene Personen – zu Recht – regelmäßig nicht davon ausgehen, dass Verantwortliche ihnen mittels der Datenschutzhinweise einen Vertrag antragen. Ergo: Datenschutzhinweise haben in der Regel nichts mit einem Vertrag zu tun.
Soweit sich Datenschutzhinweise i. R. d. Informationspflichten nach Art. 13 und 14 DSGVO halten, unterliegen sie deshalb nicht der AGB-rechtlichen Klauselkontrolle, da ihnen insoweit kein eigener Regelungsgehalt zukommt.
Der dritte Antrag – Nudging
Hier ging es um die Einwilligung bzw. die Freiwilligkeit der Einwilligung. Konkret um das sog. Nudging. Gemäß § 25 TTDSG i. V. m. der DSGVO liegt ein unzulässiges „Anstupsen“ des Users in Richtung einer Einwilligung vor, wenn er durch besondere Farben oder Hervorhebungen oder durch komplizierte Verfahren bei der Ablehnung seiner Einwilligung tatsächlich gar keine freiwillige Einwilligung mehr treffen kann. Congstar hat dies in der Form gemacht, dass der „Einwilligen“-Button farblich stark hervorgehoben wurde und die alternative Wahlmöglichkeit kompliziert gestaltet wurde.
Was sagt das Gericht dazu?
Der dritte Antrag war zwar inhaltlich auch nicht ganz falsch, aber ebenfalls in der dort gestellten Form unbegründet:
„Zwar entsprach die ehemalige Gestaltung des Cookie-Banners nicht den Anforderungen des § 25 Abs. 1 TTDSG. Die Einwilligungserteilung kann nicht als „freiwillig“ im Sinne der DSGVO bewertet werden.“
Der Verbraucher muss bei der Abgabe der Einwilligung eine echte Wahlmöglichkeit haben und darf nicht durch die Ausgestaltung des Cookie-Banners einseitig in Richtung einer Einwilligung gelenkt werden. Eben dies war bei dem Cookie-Banner indessen der Fall. Denn während im Falle des Buttons „Alle akzeptieren“ eine Ein-Klick-Lösung in Größe, Farbe und Layout als Blickfang deutlich gestaltet war, war das Weitersurfen „nur mit den notwendigen Cookies“ im Fließtext versteckt und damit in Größe, Form und Gestaltung nicht ausreichend, um als tatsächliche und gleichwertige Wahlmöglichkeit angesehen zu werden.
Aber: Auch dieser Antrag war zu weit gefasst. Denn er enthielt ausdrücklich eine Verpflichtung zu einer bestimmten Form der Bannergestaltung. Letzteres ergebe sich aber weder aus den Vorschriften der DSGVO noch aus den Erwägungsgründen. Aus den Anforderungen an die Freiwilligkeit der Einwilligung lasse sich eine bestimmte Form der Gestaltung nicht entnehmen. Insbesondere könne der Kläger eine solche bestimmte Form der Ausgestaltung nicht mittels eines Unterlassungsantrages erzwingen.
Der vierte Antrag – Google Ad Services
Der vierte und einzig erfolgreiche Klageantrag bezog sich auf die Übermittlung von Daten an Google in den USA. Beim Aufruf der Website www.telekom.de am 03.01.2023 hat der Kläger den Netzwerkverkehr mithilfe eines Internet-Browsers aufgezeichnet. Dabei sind beim Aufruf der Website personenbezogene Daten wie die IP-Adresse sowie Browser- und Geräteinformationen aus einer Endeinrichtung eines Website-Besuchers an Google LLC (Adresse: 1600 Amphitheatre Parkway Mountain View, CA 94043, USA) als Betreiberin von Google Analyse- und Marketingdiensten („Google Ad Services“ mit Sitz in den USA übermittelt worden, was anhand einer Echtzeitanalyse der vom Browser des Klägers ein- und ausgehenden Netzwerkverbindungen zu erkennen war.
Was sagt das Gericht dazu?
Die übermittelten IP-Adressen stellen sowohl für die Beklagte Telekom als auch Google LLC als Verantwortliche der Datenübermittlung personenbezogene Daten dar.
Dynamische IP-Adressen stellen dann personenbezogene Daten dar, wenn dem Verantwortlichen rechtliche Mittel zur Verfügung stehen, die er vernünftigerweise einsetzen könnte, um mit Hilfe Dritter (z.B. der zuständigen Behörde und des Internetanbieters) die betroffene Person anhand der gespeicherten IP-Adresse bestimmen zu lassen. Dies ist sowohl hinsichtlich der Beklagten als auch hinsichtlich Google LLC der Fall. Als Telekommunikationsanbieterin und Websitebetreiberin kann die Beklagte, soweit es sich bei den Besuchern um ihre Kunden handelt, ohne großen Aufwand Internet-Nutzer identifizieren, denen sie eine IP-Adresse zugewiesen hat, da sie in der Regel in Dateien systematisch Datum, Zeitpunkt, Dauer und die dem Internet-Nutzer zugeteilte dynamische IP-Adresse zusammenführen kann. In Kombination können die eingehenden Informationen dazu benutzt werden, um Profile der natürlichen Personen zu erstellen und sie (sogar ohne Heranziehung Dritter) zu identifizieren.
Kein angemessenes Schutzniveau
In den USA ist kein angemessenes Datenschutzniveau gewährleistet (siehe Schrems-II-Urteil des EuGH). Der EuGH hat ausgesprochen, dass der EU-US Angemessenheitsbeschluss („Privacy Shield“) – ohne Aufrechterhaltung seiner Wirkung – ungültig ist. Die gegenständliche Datenübermittlung findet daher keine Deckung in Art. 45 DSGVO. Wenn sogar der EU-US Angemessenheitsbeschluss aufgrund der Rechtslage in den USA für ungültig erklärt wurde, so kann erst recht nicht davon ausgegangen werden, dass vertragliche Bindungen zwischen privaten Rechtssubjekten ein angemessenes Schutzniveau nach Art. 44 DSGVO für die gegenständliche Datenübermittlung in die USA gewährleisten können. Denn diese können schon ihrer Natur nach ausländische Behörden nicht in ihrer Handlungsmacht beschränken.
Dies entspricht auch der Wertung des EuGH:
„Da diese Standarddatenschutzklauseln ihrer Natur nach keine Garantien bieten können, die über die vertragliche Verpflichtung, für die Einhaltung des unionsrechtlich verlangten Schutzniveaus zu sorgen, hinausgehen, kann es je nach der in einem bestimmten Drittland gegebenen Lage erforderlich sein, dass der Verantwortliche zusätzliche Maßnahmen ergreift, um die Einhaltung dieses Schutzniveaus zu gewährleisten.“
(Schrems II, Rn. 133).
Tenor
Die Telekom hat es demnach zu unterlassen, im Rahmen geschäftlicher Handlungen gegenüber Verbrauchern, bei Nutzung der Website www.telekom.de, insbesondere beim Einsatz von Cookies und ähnlichen Technologien, zu Analyse- und Marketingzwecke, personenbezogene Daten von Verbrauchern in Drittländer zu übermitteln, sofern weder
(1) ein Angemessenheitsbeschluss nach Art. 45 DSGVO vorliegt, noch
(2) geeignete Garantien nach Art. 46 DSGVO vorgesehen sind, noch
(3) eine Ausnahme nach Art. 49 DSGVO vorliegt
Ein wegweisendes Urteil
Auch wenn viele der Anträge in der konkreten Sache keinen Erfolg hatten, ist der Rechtspruch in vielen Punkten interessant und erwähnenswert. Die bisherige Rechtsprechung zur Schufa und anderen Auskunfteien wurde aufgegriffen und konkretisiert. Ebenso verhält es sich hinsichtlich der Freiwilligkeit der Einwilligung und nicht zuletzt der (Un-) Wirksamkeit von SCCs im Falle von Datentransfers in die USA. Für den interessierten Rechtsanwender spiegelt das Urteil exakte prozessuale Arbeit wider, die aber auch die Fallstricke Prozessrechts zu Lichte trägt. Wie sagt man so schön: Guter Rat ist teuer, schlechter Rat ist noch teurer.
