Der Einsatz von Google Analytics ist gerade im E-Commerce weit verbreitet, erhält man doch ohne direkte Kosten wertvolle Einblicke in seinen Kundenstamm, welche Produkte häufig angeklickt werden oder wo Verbesserungspotential auf der Website besteht.

Aus datenschutzrechtlicher Sicht ist der Einsatz leider problematisch, da es zu Datenübermittlungen in die USA kommen kann, die seit dem Wegfall des Privacy Shield-Abkommens zwischen der EU und den USA nur noch schwer zu rechtfertigen sind.

Ein aktuelles Urteil des Landgerichts Köln (Urteil vom 23.03.23 – 33 0 376/22) hat nun den Einsatz von Google Analytics für unzulässig erklärt. Mehr zu den Hintergründen des Urteils und den möglichen Konsequenzen erfahren Sie in unserem Beitrag

Zum Hintergrund

Beklagtes Unternehmen war im vorliegenden Fall die Telekom Deutschland. Diese wurde von der Verbraucherzentrale Nordrhein-Westfalen e.V. wegen verschiedener Datenschutzverstöße abgemahnt. Unter anderem wurde beanstandet, dass beim Besuch der Website der Telekom durch Google Analytics Daten in die USA, ein Drittland ohne angemessenes Schutzniveau und ohne geeignete Garantien, übermittelt werden. Da die Telekom die geforderte Unterlassungserklärung nicht abgab, kam es zum Rechtsstreit.

Das verhandelnde Landgericht Köln gab hier der Verbraucherzentrale Recht, dass der vorliegende Einsatz von Google Analytics durch die Telekom rechtswidrig sei.

Das Gericht sah es dabei als unstreitig an, dass durch Google Analytics personenbezogene Daten wie IP-Adressen und Browser- und Geräteinformationen an die amerikanischen Google-Server übermittelt werden, insbesondere sei dies auch von der Telekom nicht hinreichend widerlegt worden.

Eine Übermittlung personenbezogener Daten in ein Drittland außerhalb der EU, wie hier die USA, ist nach der Datenschutz-Grundverordnung jedoch nur unter engen Voraussetzungen zulässig.

Eine Möglichkeit wäre, dass ein Angemessenheitsbeschluss der EU vorliegt, der ein ausreichendes Datenschutzniveau gewährleistet.
Tatsächlich gab es in der Vergangenheit einen solchen Beschluss im Zusammenhang mit dem US-EU-Datenschutzabkommen Privacy Shield, dieser wurde jedoch durch ein Urteil der EU vom 16.7.2020 für nichtig erklärt.

Eine weitere Alternative ist die Verwendung sogenannter Standarddatenschutzklauseln, auf die derzeit viele US-Dienstleister ihre Datenschutzprozesse stützen.
Dabei handelt es sich um von der EU vorgegebene Vertragsklauseln, die einen ausreichenden Datenschutz gewährleisten sollen.
Das Landgericht Köln sah jedoch keine Möglichkeit, die Übermittlung personenbezogener Daten in die USA auf diese Klauseln zu stützen, da diese nicht vor dem behördlichen Zugriff in den USA schützen können. Dies wäre nur denkbar, wenn der Verantwortliche zusätzliche Maßnahmen zur Gewährleistung des Datenschutzniveaus ergriffen hätte, was die Telekom jedoch nicht vorgetragen hatte.

Schließlich konnte sich die Telekom auch nicht auf die Einholung einer Einwilligung stützen.
Bei der Übermittlung personenbezogener Daten in Drittstaaten muss die Einwilligung ausdrücklich erteilt werden, der Nutzer muss auch besonders darüber informiert werden, in welche Drittstaaten und an welche Empfänger seine Daten übermittelt werden.
Die Telekom hatte jedoch nicht ausreichend informiert, der verwendete Cookie-Banner enthielt hier die Option „Alle akzeptieren“, ohne dass über den Einsatz von Google Analytics informiert wurde.

Daher gab es nach Ansicht des Gerichts keine Rechtsgrundlage für den Einsatz von Google Analytics.

Das Gericht deutete zwar an, dass es auch andere Datenschutzpraktiken der Telekom für tendenziell unzulässig hält. So die Übermittlung personenbezogener Daten an die SCHUFA und das verwendete Cookie-Banner. Dieser wies einen hervorgehobenen Button „Alle akzeptieren“ auf, während die Möglichkeit, „nur notwendige Cookies“ zu akzeptieren, im Fließtext versteckt war.
Aus formaljuristischen Gründen musste das Landgericht hierüber jedoch nicht entscheiden.

Fazit

Das Urteil des Landgerichts Köln zeigt erneut, dass der Einsatz von Google Analytics wie auch anderer US-amerikanischer Dienste aus datenschutzrechtlicher Sicht nach wie vor höchst problematisch ist.
Insbesondere wiesen die Richter darauf hin, dass die von den Anbietern sehr häufig gewählte Verwendung von Standarddatenschutzklauseln allein nicht ausreicht.

Grundsätzlich kann die Übermittlung personenbezogener Daten in die USA auf eine ausdrückliche Einwilligung gestützt werden, allerdings muss in diesem Fall explizit darüber informiert werden, an wen die Daten übermittelt werden und der Nutzer muss darauf hingewiesen werden, dass er sich des unzureichenden Datenschutzniveaus in den USA bewusst sein muss.

Die Entscheidung ist noch nicht rechtskräftig. Darüber hinaus wurde zwischenzeitlich ein neues Datenschutzabkommen zwischen der Europäischen Union und den USA ausgehandelt, das „Trans-Atlantic Data Privacy Framework“, der darauf basierende Angemessenheitsbeschluss der Europäischen Kommission ist vor kurzem ergangen, dadurch können Daten wieder deutlich leichter in die USA übermittelt werden.
Nähere Informationen erhalten Sie in folgenden Beitrag:
https://www.protectedshops.de/infothek/dsgvo/angemessenheitsbeschluss-der-eu-kommission-zu-neuem-datenschutzabkommen-zwischen-eu-und-usa