Telekom-Datenübertragung an Google ist unzulässig

Das Landgericht (LG) Köln hat einer Klage der Verbraucherzentrale Nordrhein-Westfalen stattgegeben: Die Deutsche Telekom darf vorübergehend keine personenbezogenen Daten ihrer Nutzer ohne deren ausdrücklicher Zustimmung an Google-Server in den USA übertragen. In der Begründung heißt es, dass ein angemessenes Datenschutzniveau in den USA nicht gewährleistet sei, solange es keine Nachfolgeregelung für das Datenschutzabkommen Privacy Shield oder entsprechende Standardvertragsklauseln gebe. Diese Sichtweise wird von einem Entschließungsantrag des EU-Parlaments gestützt, der weitere Verhandlungen mit den USA einfordert, um ein gleichwertiges Schutzniveau zu schaffen.

Verbraucherzentrale NRW klagt erfolgreich vor LG Köln

Die Verbraucherzentrale Nordrhein-Westfalen hat gegen die Deutsche Telekom geklagt, weil diese beim Aufruf der Telekom-Webseite personenbezogene Daten an Google in den USA übermittelt, um deren Dienst Google Ad Services zu nutzen. Der Google-Dienst liefert der Telekom Analyse- und Marketingdaten. Das zuständige Landgericht Köln hat am 23.3.2023 der Telekom diese Datenübermittlung untersagt ( LG Köln Urteil v. 23.3.2023, 33 O 376/22).

Das LG Köln bezog sich bei seiner Entscheidung auf den EuGH und stellte ausdrücklich fest, dass die Telekom die strengen Vorgaben der Datenschutzgrundverordnung (DSGVO) bei der Datenübermittlung in die USA nicht einhalte. Sie habe keine ausreichenden Maßnahmen vorgenommen, um personenbezogene Daten DSGVO-konform in die USA zu übertragen. Eine einfache Zustimmung im Cookie-Banner über den Button „Alle akzeptieren“ reiche für eine ausdrückliche Einwilligung für die Drittlandübermittlung in die USA nicht aus. Hierfür sei eine weitreichendere Aufklärung der Nutzer nötig. Das Urteil ist noch nicht rechtskräftig.

Datenschutzniveau in den USA ist nicht angemessen

Das LG Köln ist damit eines der ersten Gerichte, das einen Verstoß gegen die Grundsätze der „Schrems II“-Entscheidung des Europäischen Gerichtshofs (EuGH, C-311/18) feststellt, mit dem das bis dahin gültige Datenschutzabkommen Privacy Shield gekippt wurde. Der EuGH kam 2020 zu dem Ergebnis, dass es in den USA kein ausreichendes Datenschutzniveau gibt und daher die Datenübermittlung auf US-amerikanische Server nicht rechtskonform ist. Begründet wurde dies unter anderem damit, dass US-amerikanische Gesetze, die den Zugriff von Sicherheitsbehörden auf personenbezogene Daten regeln, gegen die EU-Grundrechtecharta verstoßen. Der Zugriff auf die personenbezogenen Daten europäischer Bürger werde nicht beschränkt und diese hätten auch keine durchsetzbaren Rechte gegen diese Zugriffe. Die Überprüfung des Datenverkehrs der Telekom durch das LG Köln ergab, dass für die Nutzung von Google Ad Services weiterhin Daten wie die IP-Adresse, Informationen über den genutzten Browser und das verwendete Endgerät in die USA übermittelt wurden.

EU-Parlament fordert Nachfolgelösung für Privacy Shield

Seit dem Schrems-II-Urteil von 2020 verhandeln EU und USA über eine Nachfolgelösung, die den transatlantischen Datenaustausch rechtskonform im Sinne der DSGVO macht. Wann es dazu kommen wird, ist noch nicht abzusehen. Die Maßnahmen, die die USA zwischenzeitlich in Form einer Exekutivanordnung des Präsidenten (Executive Order) getroffen haben (weiterführender Beitrag), reichen dem EU-Parlament nicht weit genug. Um den Druck zu erhöhen, zu einer tragfähigen Lösung zu kommen, hat das EU-Parlament am 05.05.2023 einen Entschließungsantrag verabschiedet. In dieser Resolution fordert das EU-Parlament die EU-Kommission auf, die Verhandlungen mit den „US-amerikanischen Partnern“ fortzusetzen, um „einen Mechanismus“ zu schaffen, der die datenschutzrechtliche Gleichwertigkeit auf beiden Seiten gewährleistet. 

Weitere Beiträge zum Thema:

Drei EuGH-Urteile zu personenbezogenen Daten und Datenschutz-Grundverordnung

EU-Bericht zum Werbe-Tracking legt Praktiken der kommerziellen Überwachung offen