LG Köln entscheidet: Einbindung von Google Diensten auf Webseite der Deutschen Telekom ist rechtswidrig
Die Einbindung von Google Diensten (Tracking-Pixel) auf der Webseite der Deutschen Telekom, die beim Aufruf der Webseite „www.telekom.de“ die IP-Adresse, Informationen über den genutzten Browser und das genutzte Endgerät an Google LLC Server in die USA übermittelt haben, wurde vom Landgericht Köln als rechtswidrig eingestuft. Der Grund dafür ist, dass es bei der Verwendung von Google Analytics zu einem unzulässigen Datentransfer in die USA kommt und dort kein ausreichendes Datenschutzniveau gewährleistet ist. Das Urteil (Az.: 33 O 376/22) stellt somit eine bedeutende Entscheidung im Bereich des Datenschutzes dar und verdeutlicht die Bedeutung einer sorgfältigen Auswahl von Analyse-Tools und der Einhaltung von Datenschutzbestimmungen.
Das Landgericht Köln hat in in diesem Urteil zu Recht festgestellt, dass bei der Verwendung des Google Tracking-Pixels ein unzulässiger Datentransfer an Google LLC in den USA stattfindet und dort kein ausreichendes Datenschutzniveau gewährleistet ist. Die Frage, ob möglicherweise eine Übermittlung an die irische Google Ltd. erfolgt ist, blieb vom Gericht unerörtert. Dies lag daran, dass die Beklagte nicht ausreichend bestritten hatte, dass es zu einem Datentransfer in die USA kommt.
„Die Übermittlung von IP-Adressen an die Google LLC in den USA gilt nach § 138 Abs. 2, 3 ZPO als zugestanden. Der Kläger hat substantiiert zu der Übermittlung vorgetragen.
Das darauffolgende Bestreiten der Beklagten im Schriftsatz vom 02.02.2023 ist hingegen nicht hinreichend substantiiert. Vielmehr erschöpft es sich trotz des Aufgreifens einzelner Punkte im Ergebnis in einem pauschalen Bestreiten bzw. Anzweifeln. Die Substantiierungslast des Bestreitenden hängt davon ab, wie substantiiert der darlegungspflichtige Gegner vorgetragen hat. Je detaillierter das Vorbringen des Darlegungsbelasteten ist, desto höher sind die Substantiierungsanforderungen gem. § 138 Abs. 2 ZPO. (…)
Die Übertragung und Verarbeitung von Daten liegt im Wahrnehmungs- und Organisationsbereich der Beklagten. Der Beklagten wäre es daher möglich gewesen, substantiiert dazu vorzutragen, unter welchen Voraussetzungen welche Daten an die Google LLC übertragen werden und wo diese verarbeitet werden. Daher genügt es insbesondere nicht, lediglich in Zweifel zu ziehen, ob der Standort der IP-Adresse (…) in den USA befindlich ist oder ob der Sitz des Unternehmens unabhängig von dem Standort des Servers der IP-Adresse ist. Ebenso wenig genügt es, den Aussagegehalt der Registrierung der IP-Adresse und der Anlagen K11 und K12 in Frage zu stellen.“
Bei der Verwendung von Google Analytics ist kein ausreichendes Datenschutzniveau gewährleistet. Selbst die Verwendung von Standarddatenschutzklauseln genügen den Anforderungen nicht.
„In den USA ist kein angemessenes Datenschutzniveau gewährleistet (vgl. EuGH Urt. v. 16.7.2020 – C-311/18 – Facebook Ireland u. Schrems, im Folgenden: Schrems II).
Der EuGH hat ausgesprochen, dass der EU-US Angemessenheitsbeschluss („Privacy Shield“) – ohne Aufrechterhaltung seiner Wirkung – ungültig ist. Die gegenständliche Datenübermittlung findet daher keine Deckung in Art. 45 DSGVO.
Auch etwaige Standarddatenschutzklauseln vermögen die Datenübermittlung in die USA nicht zu rechtfertigen, da sie nicht geeignet sind ein der DSGVO entsprechendes Datenschutzniveau zu gewährleisten, insbesondere da solche Verträge nicht vor einem behördlichen Zugriff in den USA schützen.
Die Beklagte trägt vor, dass sie Standarddatenschutzklauseln in der bis zum 27.12.2022 gültigen Version mit ihren Dienstleistern und diese wiederum mit ihren Sub-Dienstleistern abgeschlossen hatte. Obschon der Kläger dies bestreitet, würde der Vortrag der Beklagten selbst bei Wahrunterstellung nicht genügen, um eine Rechtfertigung der Datenübermittlung zu begründen.“
Quelle: LG Köln, Verbraucherzentrale
Presse: Datenübertragung an Google-Server in die USA ist unzulässig
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Ombudsstelle und Hinweisgebersystem für Hinweisgeber:innen (Whistleblower)
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
- Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
- Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO
Dieser Absatz enthält Affiliatelinks/Werbelinks