Analytics-Urteil aus Köln: Was es bedeutet, was Seitenbetreiber tun müssen

Beim Aufruf der Homepage der Telekom    flossen personenbezogene Daten an Google in die USA. Denn das Telko-Unternehmen hatte den Analyse- und Marketingdienst Google Ad Services   eingebunden. Das geht nun nicht mehr, urteilt das Landgericht Köln. Geklagt hatte die Verbraucherzentrale NRW (AZ 33 O 376/22).

Die Richter befanden, dass die Praxis gegen die "Schrems II"-Entscheidung des Europäischen Gerichtshofs verstößt. Darin hatte der EuGH befunden, dass der Datenschutz in den USA nicht europäischen Standards genügt. Die Telekom hatte sich damit helfen wollen, dass sie einen Vertrag mit Google abschließt, der europäische Standards nach DSGVO-Regelung garantieren sollte. "Doch ein solcher Vertrag ist nicht ausreichend - wegen der vielen nachrichtendienstlichen Gesetze in den USA, die Behörden außerordentlichen Datenzugriff einräumen", sagt Datenschutz-Aktivist Christian Bennefeld . "Das ist auch die Argumentation der deutschen Aufsichtsbehörden, der nun endlich ein deutsches Gericht folgt."

Eine Überprüfung des Datenverkehrs der Telekom habe ergeben, dass für die Nutzung des Anzeigenservices "Google Ads" Daten wie die IP-Adresse, Informationen über den genutzten Browser und das verwendete Engerät in die USA übermittelt wurden, schreibt die Verbraucherzentrale NRW   .

Die Telekom hätte ausreichende Maßnahmen treffen müssen, um den Schutz der Nutzerdaten zu sichern. Sie argumentierte hier mit der im Cookie-Banner eingeholten Zustimmung zum Datentransfer, sagt Bennefeld: "Gibt es eine Einwilligung des Nutzers, das ist in Punkt 6.1a der DSGVO geregelt, ist der Datentransfer in Ordnung. Die Gestaltung der Einwilligung wird in Artikel 7 geregelt. Doch: Beides gilt nur in Europa, nicht beim Transfer in ein Drittland."

Alles, was den Seitenbesuchern der Telekom angeboten wurde war eine einfache Zustimmung im Cookie-Banner über den Button "Alle akzeptieren". Nicht genug, so das Urteil: Der Seitenbetreiber kann keine freiwillige Einwilligung unterstellen, wenn die alternativen Schaltflächen mit "Einstellungen ändern" beschriftet sind und/oder im Fließtext versteckt sind, etwa als "Nur notwendige Cookies akzeptieren" oder ähnlich.

Zu wenig, sagt Bennefeld: "Da braucht man eine transparente Information des Nutzers über den Transfer seiner Daten in ein Dritland ohne adäquates Schutzniveau und die Zustimmung dazu. Doch das pauschal abzuholen (49.1. DSGVO) im Rahmen einer Cookie-Zustimmung ist nicht okay."

Laut Bennefeld haben Seitenbetreiber eigentlich nur vier valide Optionen.

1. Der Datentransfer findet mit Verschlüsselung statt. Ist vielleicht bei einem Datenspeicher-Dienst wie Dropbox möglich, bei dem die andere Seite die Daten nicht auslesen muss, bei einer Analytics-Lösung muss der Analyse-Anbieter ja darauf zugreifen und die Daten decodieren können - geht also nicht.
   
2. Warten auf ein Abkommen: Gehen Daten in ein Drittland außerhalb der EU, müssen zwischen den beiden Staatengebilden sogenannte Angemessenheitsbeschlüsse bestehen, die das gleiche Datzenschutzniveau sicherstellen (Safe Harbour war eines, wurde aber mittels der Schrems I-Entscheidung des EuGH kassiert, dann kam Privacy-Shield, es fiel bei Schrems II). Die USA hat nun keinen Angemessenheitsbeschluss mehr mit der EU. Präsident Joe Biden hat ein 'Data Privacy Network' angekündigt, dass diese Lage beheben soll, das steht aber noch aus.
   
3. Explizite und transparente Nutzer-Einwilligung: Bennefeld empfiehlt klare Informationen. Das kann ein längerer Text sein mit einer zusätzlichen Checkbox, die klar sagt: Daten fließen ins Ausland. "Dort muss gesagt werden, in welche Länder die Daten gehen, welches Schutzabkommen dort gilt, welche Daten genau betroffen sind und was das Land damit macht - das muss der Nutzer extra validieren und bestätigen können."
   
4. Als Analytics-Tool eine EU-Lösung verwenden, die den hiesigen Standards genügt.
   

Das Urteil ist noch nicht rechtskräftig, sonst könnte es schon Abmahnungen regnen. Sobald dies aber der Fall ist, wird die bisher gängige Praxis der Datenübermittlung vieler Unternehmen untersagt, ebenso die (bewusst) irreführende oder umständliche Gestaltung von Cookie-Bannern (Nudging).