Kontrolle Allgemeiner Geschäftsbedingungen bei Cookie-Bannern und Drittstaatentransfer OLG Köln, Urteil vom 03.11.2023 - 6 U 58/23

Ein Verbraucherschutzverband nahm eine Tochter der Deutschen Telekom AG erfolgreich auf Unterlassung in Anspruch. Dieser Anspruch stützte sich auf bestimmte Datenübermittlungen an Auskunfteien und auch an in Drittländern ansässige Unternehmen sowie auf die Gestaltung von dessen Datenschutzhinweisen und des sogenannten „Cookie-Banners“ auf dessen Website. Der Website www.telekom.de war, wie nun mittlerweile jeder Internetseite, ein Cookie-Banner vorgeschaltet. Mit diesem wurde die Einwilligung in die Verwendung von Analyse- und Marketing-Cookies eingeholt. In diesem Banner wurde auch auf die Datenschutzhinweise verwiesen. Das Oberlandesgericht (OLG) Köln stellte in dem zu entscheidenden Fall allerdings fest, dass die über ein Cookie-Banner einbezogenen Datenschutzhinweise zu Analyse- und Marketing-Cookies der Kontrolle Allgemeiner Geschäftsbedingungen unterliegen und die von dem Verbraucherschutzverband beanstandeten Klauseln als unzulässig zu bewerten sind. Denn aus den beanstandeten Klauseln ergebe sich, so das OLG, eine sogenannte unangemessene Benachteiligung der anderen Partei, was wiederum zur Unzulässigkeit dieser Klauseln führt. In den beanstandeten Klauseln wurde zwar eine Rechtsgrundlage für die Übermittlung personenbezogener Daten in Drittländer genannt, allerdings seien diese Datenübermittlungen nicht von der genannten Rechtsgrundlage gedeckt. Das heißt, sie erfolgen in rechtswidriger Weise.

Zudem bestätigte das OLG die Unzulässigkeit der Übermittlung personenbezogener Daten beim Besuch der Website www.telekom.de an Google LLC in die Vereinigten Staaten. Denn beim Aufruf der besagten Website wurden die IP-Adresse, Informationen über den genutzten Browser und das genutzte Endgerät an Server der Google LLC in den USA übermittelt. Die Unzulässigkeit einer solchen Übermittlung wird unter anderem durch den diesjährigen sogenannten Angemessenheitsbeschluss („EU US Data Privacy Framework“) der EU-Kommission begründet. Dieser bildet grundsätzlich zwar eine neue Rechtsgrundlage für den USA-Datentransfer. Doch fehle es vorliegend aufseiten von Google LLC an entsprechenden Rechtsschutzmöglichkeiten für die Betroffenen von Datenverarbeitungen, sodass dieser Angemessenheitsbeschluss keine taugliche Rechtsgrundlage mehr bildet. Zwar könnte auch eine wirksame Einwilligung der Betroffenen eine Rechtsgrundlage für diese Datenverarbeitungen darstellen, doch konnten diese vorliegend nicht wirksam eingeholt werden, da es an einer ausreichend transparenten und auch widerspruchsfreien Information fehle.