Vor dem Inkrafttreten des Angemessenheitsbeschlusses im Juli 2023 hatte das OLG Köln das Vorgehen der Telekom als klar datenschutzwidrig bewertet. Die Begründung dafür war, dass es seit dem Schrems II-Urteil des EuGH keine Rechtsgrundlage mehr gab, mittels der ein Datentransfer in die USA überhaupt zulässig sein könnte. Nach dem Inkrafttreten des Angemessenheitsbeschlusses, erkannte das OLG Köln an, dass die EU-Kommission für die USA mit dem Anerkennen des „EU-US Data Privacy Framework“ (abgekürzt DPF) ein „angemessenes Datenschutzniveau festgestellt habe, das unmittelbare Wirkung entfalte, so dass Datenübermittlungen in das betreffende Land keiner besonderen aufsichtsbehördlichen Genehmigung bedürfen“. Auf der Grundlage des Angemessenheitsbeschlusses können aus Sicht des OLG Köln personenbezogene Daten aus der EU an solche US-Unternehmen übertragen werden, die im DPF gelistet sind. Dies trifft grundsätzlich in der Theorie auch auf Google zu. Allerdings führten die Richter des OLG Köln an, dass dies in der Praxis aufgrund fehlender Rechtsbehelfsmöglichkeiten für die EU-Bürger, nicht ohne weiteres angenommen werden kann.
Da aus Sicht des OLG Köln noch immer das Konfliktfeld in Bezug auf die Überwachungsmechanismen der US-Regierung besteht, müssen weitere zusätzliche Maßnahmen getroffen werden, um die Daten der EU-Bürger ausreichend zu schützen. Da dies im vorliegenden Fall nicht gegeben war, hat das OLG Köln den Datentransfer der Telekom an Google als rechtswidrig eingestuft. Auch Google selbst kann den Zugriff auf die Daten nicht ausschließen und schreibt in den Datenschutzhinweisen lediglich von einer „nachträglichen Information des Betroffenen im Fall eines Datenzugriffs“. Weiterhin scheidet aus Sicht des OLG auch die Einwilligung als mögliche Rechtsgrundlage aus, da diese im Fall von Google (z.B. aufgrund von widersprüchlichen oder unzureichenden Angaben in den Datenschutzhinweisen) nicht transparent erfolgen kann. Darüber hinaus gab es im vorliegenden Fall ebenfalls Streitigkeit über die technische und optische Gestaltung des Cookiemanagers, der aus Sicht der Klägerin die Webseitenbesucher zum Anklicken der „Alle akzeptieren“-Schaltfläche nötige. Ein solcher Cookiemanager kann auch aus Sicht des OLG Köln den Anforderungen an eine gültige Einwilligung nicht gerecht werden.
Natürlich hat das Urteil des OLG Köln wieder neues Öl in die ewige Diskussion um die Zulässigkeit von US-Datentransfers gegossen. Wir sind daher gespannt, welche Entwicklungen das Jahr 2024 hier mit sich bringen wird und halten Sie natürlich auf dem Laufenden.
Quellenangaben:
– Urteil vom 03.11.2023 – Az.: 6 U 58/23 (OLG Köln), abgerufen am 27.12.2023 unter: https://www.verbraucherzentrale.nrw/sites/default/files/2023-12/olg-koln_urteil-vom-03.11.2023_6_u_58_23_geschwarzt.pdf– Artikel „OLG Köln: US-Datentransfer an Google LLC auch nach neuem Angemessenheitsbeschluss der EU-Kommission datenschutzwidrig“, abgerufen am 27.12.2023 unter: https://www.dr-bahr.com/news/us-datentransfer-an-google-llc-auch-nach-neuem-angemessenheitsbeschluss-der-eu-kommission-datenschutzwidrig.html