Die Übermittlung personenbezogener Daten in die USA beim Besuch von Websites ist keine Seltenheit. Das liegt insbesondere an den Analyse- und Marketingtools, deren Anbieter ihre Server dort platzieren. Seit der sogenannten Schrems II-Entscheidung des EuGH 2020 ist diese Übermittlung aus rechtlicher Sicht aber mit Hürden verbunden. Nun gibt es in diesem Thema eine neue Entscheidung: Das Landgericht Köln hat der Telekom Deutschland GmbH untersagt, bei der Nutzung der Website „www.telekom.de“ personenbezogene Daten zu Analyse- und Marketingzwecken in die USA zu übermitteln (Urteil v. 23.03.2023, Az. 33 O 376/22, nicht rechtskräftig). Konkret geht es um die IP-Adresse, Informationen über den genutzten Browser sowie das verwendete Endgerät.
„Unternehmen müssen sicherstellen, dass unsere Datenschutzstandards auch über Ländergrenzen hinweg eingehalten werden. Erfüllen sie die besonderen Anforderungen daran nicht, dürfen wertvolle Verbraucherdaten nicht übermittelt werden“, kommentiert Wolfgang Schuldzinski, Vorstand der Verbraucherzentrale NRW, die Entscheidung des LG Köln.
Google Ad Services: Übermittlung von Daten an Server in den USA
Wie der Verband mitteilt, übermittelte die Telekom Deutschland GmbH beim Aufruf der Website personenbezogene Daten an Google LLC in die USA. Grund dafür war die Nutzung der Analyse- und Marketingdienste von Google Ad Services. Werbetreibende können hierüber interessenbasierte Anzeigen schalten, wofür persönliche Profile angelegt und das Surfverhalten analysiert werden. Dafür greifen entsprechende Dienste zumeist auf personenbezogene Daten der Nutzer zurück.
Ob nun Cookies im Spiel sind oder nicht: Werden solche personenbezogenen Daten in die USA übermittelt, hat das natürlich eine datenschutzrechtliche Dimension – insbesondere, seit der sogenannten Schrems II-Entscheidung des EuGH. Dieser entschied 2020, dass in den USA kein ausreichendes Datenschutzniveau vorliegt, Grund dafür sind etwa weitreichende Befugnisse US-Amerikanscher Sicherheitssbehörden, aber auch fehlende bzw. nicht ausreichende Rechtsbehelfsmechanismen für Nicht-Amerikaner.
LG Köln zu Telekom: Keine wirksame Einwilligung über „Alles Akzeptieren“
Da die DSGVO auch bei der Übermittlung in Drittstaaten aber ein angemessenes Datenschutzniveau fordert, sind die praktischen Hürden hoch. Rechtlich konnten sich diejenigen, die für die Datenverarbeitung verantwortlich sind, bis zu der Entscheidung auf einen sogenannten Angemessenheitsbeschluss stützen, das „Privacy Shield“. Dieser Beschluss wurde aber durch die Entscheidung gekippt, seither fehlt es in der Praxis an Rechtssicherheit. Theoretisch ist es zwar möglich, sich etwa als Website-Betreiber, der entsprechende Dienste nutzt, eine Einwilligung der betroffenen Website-Nutzer einzuholen.
Doch eine einfache Zustimmung im Cookie-Banner bzw. Consent Tools über einen „Alles akzeptieren“-Button reiche für diese Einwilligung nicht aus, heißt es von der Verbraucherzentrale NRW mit Bezug auf die Entscheidung. Hierbei ist insofern relevant, dass für eine Einwilligung zu Übermittlungen in Drittstaaten höhere Anforderungen gelten als für „einfache“ Einwilligungen, beispielsweise eine besondere Informiertheit. Problematisch war in diesem konkreten Fall offenbar zudem, dass bezüglich der Datenübermittlung Google LLC nicht als Empfänger in den Datenschutzhinweisen genannt wurde. Zumindest aber habe die Telekom nichts Entgegenstehendes vorgetragen, heißt es im Urteil.
Zurzeit verhandeln EU und USA über ein Nachfolgemodell für das Privacy Shield, das sogenannte Trans Atlantic Data Privacy Framework (TADPF). Dieses könnte bereits im Laufe dieses Jahres in Kraft treten – was jedoch insbesondere auch davon abhängen dürfte, zu welchen Verbesserungen es auf der Seite der USA kommt.
Das Urteil ist noch nicht rechtskräftig.
Kommentar schreiben