In einem Anfang Mai 2023 verkündeten Urteil hat das Landgericht Köln zu gleich mehreren für die Gestaltung von Websites relevanten datenschutzrechtlichen Themen Stellung genommen. Erstens zur Zulässigkeit der Übermittlung von Daten an die Schufa. Zweitens zu den Anforderungen an die Gestaltung von Cookie-Bannern. Drittens zur Zulässigkeit von Datenübermittelungen in die USA an Google Ad Services.
Dem Urteil lag ein Rechtsstreit zugrunde, in dem die Verbraucherzentrale die Telekom wegen der Gestaltung der Website ihres Angebots unter der Marke Congstar in Anspruch genommen hatte. Die Verbraucherzentrale war im Ergebnis zwar nur im Hinblick auf die unzulässige Datenübermittlung in die USA durch den Einsatz von Google Ad Service Tools erfolgreich. Das Urteil enthält aber auch wichtige Hinweise zu den beiden weiteren Themen. Auch bei diesen Themen ging das Gericht von einem unzulässigen Vorgehen der Telekom aus. Die Unterlassungsanträge der Verbraucherzentrale zu diesen Komplexen waren aber nicht erfolgreich, weil die Anträge nicht sachgerecht formuliert waren.
1. Übermittlung von Daten an die Schufa
In ihre Datenschutzhinweise hatte die Telekom unter anderem die Angabe aufgenommen, dass sie im Rahmen des Vertragsverhältnisses erhobene sogenannte Positivdaten an die Schufa weitergeben würde. Bei Positivdaten handelt es sich um Informationen, die keine negativen Zahlungserfahrungen oder sonstiges nicht vertragsgemäßes Verhalten zum Gegenstand haben, sondern allgemeine Informationen über das Vertragsverhältnis, dessen Umsetzung oder Beendigung betreffen. Die Telekom berief sich in diesem Zusammenhang darauf, dass diese Übermittlung der Bekämpfung betrügerischen Verhaltens dienen sollte.
Das LG stellte allerdings zu Recht klar, dass derart pauschale und präventive Übermittlung von personenbezogenen Daten ohne Einwilligung des Betroffenen weder üblich sei noch vernünftiger Weise erwartet werden könne. Eine solche pauschale Datenübermittlung sei daher auch nicht nach Art. 6 Abs. 1 lit. f) DSGVO durch ein berechtigtes Interesse der Telekom gerechtfertigt. Denn die in diesem Zusammenhang immer notwendige Interessensabwägung zwischen dem Recht auf informationelle Selbstbestimmung der Betroffenen und dem berechtigten Interesse der Telekom falle hier klar zugunsten des Betroffenen aus. Denn es wurden hier pauschal und präventiv uneingeschränkt alle Daten übermittelt, ohne dass der Betroffene selbst irgendeinen Anlass für die Übermittlung geboten hätte.
2. Gestaltung von Cookie-Bannern und „Nudging“
Den Cookie-Banner hatte die Telekom – wie im Übrigen viele andere Betreiber von Websites auch – so gestaltet, dass der Button zur pauschalen Einwilligung in die Verwendung von Cookies farblich und gestalterisch stark hervorgehoben worden war. Der Button für die Ablehnung des Einsatzes von Cookies oder deren Auswahl war demgegenüber versteckt angeordnet und die Auswahlmöglichkeiten für die einzelnen Cookies kompliziert gestaltet. Hierbei handelt es sich um sogenanntes „Nudging“, also das „Anstupsen“ des Kunden, das die notwendige Freiwilligkeit der Entscheidung zum Einsatz von Cookies im Sinne von § 25 Abs. 1 TTDSG in Frage stellen kann.
Das Landgericht Köln hat sich in diesem Zusammenhang klar positioniert und festgestellt, dass das Vorgehen der Telekom unzulässig war. Der Verbraucher muss bei der Abgabe der Einwilligung zur Verwendung von Cookies eine echte Wahlmöglichkeit haben und darf nicht durch die Ausgestaltung des Cookie-Banners einseitig in die Richtung einer Einwilligung gelenkt werden. Voreinstellungen in Cookie-Bannern sind damit ebenso unzulässig wie das gezielte Hinlenken des Kunden zum Akzeptieren aller Cookies durch die farbliche der Buttons oder die sonstige Gestaltung der Website wie das Verstecken des Buttons zum Ablehnen der Cookies.
3. Datenübermittlung in die USA an Google Ad Services
Außerdem hatte die Telekom die Congstar Website so gestaltet, dass schon bei Aufruf der Website personenbezogene Daten wie die IP-Adresse sowie Browser und Geräteinformationen automatisch in die USA an Google Ad Services übermittelt wurden.
Auch hierzu stellte das Landgericht Köln zu Recht fest, dass ein derartiges Vorgehen vor dem Hintergrund der Rechtsprechung des EuGH eindeutig unzulässig ist, da in den USA aktuell kein angemessenes, mit den deutschen und europäischen Standards vergleichbares Datenschutzniveau vorhanden ist.
Erstens sei der EU-US Angemessenheitsbeschluss (Privacy Shield) nach dem Schrems II Urteil des EuGH ungültig. Die Datenübermittlung könne daher nicht durch Art. 45 DSGVO gerechtfertigt werden.
Zweitens sei auch kein angemessenes Schutzniveau nach Art. 44 DSGVO durch vertragliche Bindungen zwischen den Betroffenen sichergestellt. Dies betrifft den Einsatz der sogenannten Standardvertragsklauseln, die aus der Sicht des Landgerichts Köln schon deshalb kein angemessenes Schutzniveau sicherstellen können, weil sie die US-Behörden in keiner Weise binden.
Drittens lag auch keine wirksame Einwilligung der Kunden in die Datenübermittlung vor. Dies auch deshalb, weil nach Art. 49 DSGVO für eine Datenübermittlung ins Ausland deutlich erhöhte Anforderungen an die Informationen gegenüber Verbrauchern zu stellen sind. Diese müssen im Einzelnen darüber informiert werden, welche Daten an welchen Empfänger übermittelt werden. All dies war hier nicht geschehen.
Fazit:
Das Urteil des Landgerichts Köln ist in Bezug auf alle drei Themen wegweisend, weil es die weit verbreitete Praxis bei der Gestaltung von Websites klar und unmissverständlich als rechtswidrig bewertet, gleichzeitig aber auch Wege aufzeigt, wie die Gestaltung rechtskonform erfolgen muss.
Es sollte daher von Betreibern von Website zum Anlass genommen werden, die Gestaltung des eigenen Internetauftritts im Hinblick auf den Umgang mit der Weitergabe von Daten an Dritte, die Gestaltung von Cookie-Bannern und den Einsatz von Analyse-Tools wie Google Ad Services zu überprüfen.
Dr. Michael Heinrich