LG Köln: Google Analytics nicht legal

Klage der Verbraucherzentrale NRW vor dem Landgericht Köln erfolgreich

• Der Telekom Deutschland GmbH wird untersagt, bei Nutzung der Website „www.telekom.de“ personenbezogene Daten zu Analyse- und Marketingzwecken in die USA zu übermitteln.
• Konkret geht es um die IP-Adresse, Informationen über den genutzten Browser und das verwendete Endgerät.

Bei Aufruf der Webseite „www.telekom.de“ übermittelte die TelekomDeutschland GmbH personenbezogene Daten an Google LLC in die USA, um deren Analyse- und Marketingdienste Google Ad Services zu nutzen.

Dies untersagt nun das Landgericht Köln in einem von der Verbraucherzentrale NRW erstrittenen Urteil (33 O 376/22). „Unternehmen müssen sicherstellen, dass unsere Datenschutzstandards auch über Landesgrenzen hinweg eingehalten werden. Erfüllen sie die besonderen Anforderungen daran nicht, dürfen wertvolle Verbraucherdaten nicht übermittelt werden“, merkt Wolfgang Schuldzinski, Vorstand der Verbraucherzentrale NRW, an.

Als eines der ersten Gerichte stellt das LG Köln einen Verstoß gegen die Grundsätze der „Schrems II“-Entscheidung des Europäischen Gerichtshofs (EuGH) fest. Dieser kam 2020 zu dem Ergebnis, dass die USA kein ausreichendes Datenschutzniveau aufweisen und daher an die Datenübermittlung besonders hohe Hürden gesetzt sind. Das Landgericht Köln bezog sich auf den EuGH und entschied, dass die Telekom die strengen Vorgaben der Datenschutz-Grundverordnung (DSGVO) bei derstrengem Datenübermittlung in die USA nicht einhalte. Sie habe keine ausreichenden Maßnahmen vorgenommen, um personenbezogene Daten
DSGVO-konform in die USA zu übertragen. Eine einfache Zustimmung im Cookie-Banner über den Button „Alle akzeptieren“ reiche für eine ausdrückliche Einwilligung für die Drittlandübermittlung in die USA nicht aus. Hierfür sei eine weitreichendere Aufklärung der Verbraucher:innen nötig.

Das Urteil ist noch nicht rechtskräftig.

In der „Schrems II“-Entscheidung (C-311/18) stellt der EuGH fest, dass US-amerikanische Gesetze, die den Zugriff von Sicherheitsbehörden auf personenbezogene Daten regeln, gegen die EU-Grundrechtecharta verstossen. Zum einen werde der Zugriff auf die personenbezogenen Daten von Nicht-Amerikaner:innen nicht beschränkt.

Zum anderen werden Nicht-Amerikaner:innen keine durchsetzbaren Rechte gegen diese Zugriffe gewährt. Die DSGVO setzt in diesen Fällen einen hohen Massstab an die rechtskonforme Übermittlung personenbezogener Daten von EU-Bürger:innen und die bis dahin gängige Praxis der Unternehmen wurde mit dem Urteil faktisch untersagt.

Die Überprüfung des Datenverkehrs der Telekom ergab allerdings, dass für die Nutzung des Anzeigenservices „Google Ads“ weiterhin Daten wie die IP-Adresse, Informationen über den genutzten Browser und das verwendete Endgerät in die USA übermittelt wurden.

Seit der Einführung der DSGVO ist der Datenschutz im Online-Bereich ein hochaktuelles Thema. Immer mehr Nutzer blockieren unterschiedliche Tracking-Technologien, was die Erfassung und Analyse von Daten erschwert. Eine Lösung hierfür bietet das serverseitige Tracking, das es Website-Betreibern ermöglicht, Daten wieder umfassender und präziser zu erfassen.

Beim serverseitigen Tracking werden die Daten zwar nach wie vor vom Client (Nutzer) erhoben, jedoch anschließend auf einen separaten Server übertragen. Dort erfolgt eine Anonymisierung, Verarbeitung und Weiterleitung an Tracking-Systeme. Das bedeutet, dass die Identität des Nutzers niemals preisgegeben wird und die Daten wesentlich schwerer zu blockieren sind. Das serverseitige Tracking stellt somit eine datenschutzfreundlichere und präzisere Methode der Datenerfassung dar.