Seite drucken Entscheidung als PDF runterladen
Die Beklagte wird verurteilt, es bei Meidung eines für jeden Fall der Zuwiderhandlung festzusetzenden Ordnungsgeldes bis 250.000,00 EUR, ersatzweise Ordnungshaft, oder Ordnungshaft bis zu sechs Monaten, wobei die Ordnungshaft an ihrem jeweiligen gesetzlichen Vertreter zu vollziehen ist und insgesamt zwei Jahre nicht übersteigen darf,
im Rahmen geschäftlicher Handlungen gegenüber Verbrauchern zu unterlassen, bei Nutzung der Website www.Z..de, insbesondere beim Einsatz von Cookies und ähnlichen Technologien, zu Analyse- und Marketingzwecke, personenbezogene Daten von Verbrauchern in Drittländer zu übermitteln, sofern weder
(1) ein Angemessenheitsbeschluss nach Art. 45 DSGVO vorliegt, noch
(2) geeignete Garantien nach Art. 46 DSGVO vorgesehen sind, noch
(3) eine Ausnahme nach Art. 49 DSGVO vorliegt,
wenn dies geschieht wie im Schriftsatz vom 14.01.2023 auf Blatt 6 – 8 unter bb) wiedergegeben (Bl. 210 – 212 d.A):
Im Übrigen wird die Klage zurückgewiesen.
Die Kosten des Verfahrens tragen die Beklagte zu 22 % und der Kläger zu 78 %.
Das Urteil ist vorläufig vollstreckbar, hinsichtlich des Unterlassungstenors gegen Sicherheitsleistung in Höhe von N03.500 € und im Übrigen hinsichtlich der Kosten gegen Sicherheitsleistung in Höhe von 110 % des jeweils zu vollstreckenden Betrages.
Tatbestand
2Der Kläger ist ein eingetragener Verein. Zu seinen satzungsgemäßen Aufgaben gehört es, die Rechte der Verbraucher wahrzunehmen und Verstöße gegen das Wettbewerbsrecht, das AGB-Recht und andere dem Schutz der Verbraucher dienende gesetzliche Bestimmungen zu verfolgen. Er ist in die Liste qualifizierter Einrichtungen im Sinne von § 4 UKlaG beim Bundesamt für Justiz (Stand: 26. November 2021) unter der Nummer 69 eingetragen.
3Die Beklagte ist eine Tochtergesellschaft der K. Z. AG. Sie ist für Privatkunden sowie kleine und mittlere Geschäftskunden zuständig und hat ihren Sitz in M.. Nach Zahl der Anschlüsse gehört die Beklagte zu den größten Mobilfunkbetreibern auf dem Markt.
4Die Parteien streiten über die Rechtsmäßigkeit der von der Beklagten in der Vergangenheit verwendeten Datenschutzhinweise und damit korrespondierende Datenübermittlungen und in der Vergangenheit verwendeten Cookie-Bannern.
5Dabei beanstandet der Kläger unter den Anträgen 1.a. und 1.b die Übermittlung von Positivdaten an die I. und die eine diesbezüglich verwendete Klausel in den Datenschutzhinweisen.
6Unter dem Antrag 1.c. beanstandet der Kläger, dass die Beklagte in ihren Cookie-Bannern keine den gesetzlichen Anforderungen genügende Einwilligung einhole.
7Unter dem Antrag 1.d. bemängelt der Kläger die Nichteinhaltung der Vorschriften der VO (EU) 2016/679 (im Folgenden: DSGVO) im Zusammenhang der Drittlandübermittlung von Daten und unter den Anträgen 1.e. und 1.f. dazugehörige Klausel in den Datenschutzhinweisen der Beklagten.
8Die Beklagte erbringt unter der Marke „T.“ Telekommunikationsdienstleistungen. Für die in diesem Zusammenhang erfolgenden Datenverarbeitungen ist die Beklagte ausweislich Ziffer 9 der unter https://www.T..de/fileadmin/ files_T./documents/Datenschutzhinweise/Datenschutzhinweise_T._ allgemein.pdf abrufbaren Allgemeinen Datenschutzhinweise der „T. – eine Marke der Z. K. GmbH“ die datenschutzrechtlich Verantwortliche.
9Ausweislich Ziffer 4 Absatz 4 der Allgemeinen Datenschutzhinweise übermittelt die Beklagte nach eigenen Angaben im Zuge der Anbahnung und/oder Durchführung von Vertragsverhältnissen mit Verbrauchern Positivdaten an Wirtschaftsauskunfteien. Positivdaten sind solche Daten, die keine negativen Zahlungserfahrungen oder sonstiges nicht vertragsgemäßes Verhalten zum Inhalt haben, sondern Informationen über die Beantragung, Durchführung und Beendigung des Vertrags.
10Wörtlich hieß es an o.g. Stelle:
11„[…] An die I. X. AG und an die Y. J. GmbH übermitteln wir außerdem im Rahmen des Vertragsverhältnisses erhobene personenbezogene Daten über die Beantragung, die Durchführung und Beendigung desselben sowie Daten über nicht vertragsgemäßes oder betrügerisches Verhalten. Rechtsgrundlagen für diese Übermittlungen sind Art. 6 Abs. 1 b und f DSGVO. Die I. und Y. J. verarbeiten die erhaltenen Daten und verwenden sie auch zum Zwecke des Scorings, um ihren Vertragspartnern im Europäischen Wirtschaftsraum und in der Schweiz sowie ggf. weiteren Drittländern (sofern zu diesen ein Angemessenheitsbeschluss der Europäischen Kommission besteht) Informationen unter anderem zur Beurteilung der Kreditwürdigkeit von natürlichen Personen zu geben. Unabhängig vom Bonitätsscoring unterstützt die I. ihre Vertragspartner durch Profilbildungen bei der Erkennung auffälliger Sachverhalte (z. B. zum Zwecke der Betrugsprävention im Versandhandel) […] “
12Die Beklagte erbringt u.a. auch unter der Marke „Z.“ Mobilfunkdienste und ist dabei ausweislich der eigenen „Allgemeinen Datenschutzhinweise“ die Verantwortliche für die Datenverarbeitung.
13In Ziffer 4. Abs. 4 des Datenschutzhinweises hieß es wörtlich:
14„[…] An die I. X. AG und an die Y. J. GmbH übermitteln wir außerdem im Rahmen des Vertragsverhältnisses erhobene personenbezogene Daten über die Beantragung, die Durchführung und Beendigung desselben sowie Daten über nicht vertragsgemäßes oder betrügerisches Verhalten. Rechtsgrundlagen für diese Übermittlungen sind Art. 6 Abs.1 b und f DSGVO. Die I. und Y. J. verarbeiten die erhaltenen Daten und verwenden sie auch zum Zwecke des Scorings, um ihren Vertragspartnern im Europäischen Wirtschaftsraum und in der Schweiz sowie ggfs weiteren Drittländern (sofern zu diesen ein Angemessenheitsbeschluss der Europäischen Kommission besteht) Informationen unter anderem zur Beurteilung der Kreditwürdigkeit von natürlichen Personen zu geben. Unabhängig vom Bonitätsscoring unterstützt die I. ihre Vertragspartner durch Profilbildungen bei der Erkennung auffälliger Sachverhalte (z.B. zum Zwecke der Betrugsprävention im Versandhandel). […]“
15Mit Schreiben vom 25.01.2022 forderte der Kläger die Beklagte zur Unterlassung der mit Klageantrag zu 1.a. und 1.b. beanstandeten Handlungen und unter Fristsetzung zum 08.02.2022, welche dann bis zum 08.03.2022 verlängert wurde, zur Abgabe einer entsprechenden Unterlassungserklärung sowie Erstattung eines pauschalierten Aufwendungsersatzes in Höhe von 260,00 EUR auf.
16Mit Schreiben vom 08.03.2022 lehnte die Beklagte die Abgabe einer Unterlassungserklärung endgültig ab.
17Beim Aufruf der von der Beklagten betriebenen Webseite www.Z..de wurde Verbrauchern ein Cookie-Banner angezeigt, das wie unten wiedergegebenen Klageantrag zu 1.c. eingeblendet gestaltet war, wobei die zweite Einblendung die zweite Ebene des Banners zeigt, auf die man durch einen Klick auf den Button „Einstellungen ändern“ gelangte. Die jeweiligen Cookiekategorien konnten auf der zweiten Ebene an- oder abgewählt werden.
18In den „Datenschutzhinweisen der Z. K. GmbH („Z.“) für die Nutzung der Internet-Seite“, die über den Link „Datenschutzhinweis“ auf beiden Ebenen des Banners ausgewählt werden konnten, hieß es unter der Überschrift „Wird mein Nutzungsverhalten ausgewertet, z.B. für Werbung oder Tracking?“ auf Seite 3 bei dem Punkt „Analytische Cookies“ wörtlich:
19„Diese Cookies helfen uns, das Nutzungsverhalten besser zu verstehen. Analysecookies ermöglichen die Erhebung von Nutzungs- und Erkennungsmöglichkeiten durch Erst- oder Drittanbieter, in so genannten pseudonymen Nutzungsprofilen. Wir benutzen beispielsweise Analysecookies, um die Zahl der individuellen Besucher einer Webseite oder eines Dienstes zu ermitteln oder um andere Statistiken im Hinblick auf den Betrieb unserer Produkte zu erheben, als auch das Nutzerverhalten auf Basis anonymer und pseudonymer Informationen zu analysieren, wie Besucher mit der Webseite interagieren. Ein unmittelbarer Rückschluss auf eine Person ist dabei nicht möglich. Rechtsgrundlage für diese Cookies ist Art 6 I a) DSGVO bzw. bei Drittstaaten Art. 49 Abs. 1 b DSGVO.“
20Es folgt eine tabellarisch Auflistungen von Cookieanbietern, die u.a. folgenden Eintrag enthält:
21„Auflistung wurde entfernt“
22Weiter heißt es unter der Unterüberschrift „Marketing Cookies/ Retargeting“ unter anderem wörtlich:
23„Diese Cookies und ähnliche Technologien werden eingesetzt, um Ihnen personalisierte und dadurch relevante werbliche Inhalte anzeigen zu können. Marketingcookies werden eingesetzt, um interessante Werbeinhalte anzuzeigen und die Wirksamkeit unserer Kampagnen zu messen. Dies geschieht nicht nur auf Webseiten der Z. K. GmbH, sondern auch auf anderen Werbepartner-Seiten (Drittanbieter). […] Rechtsgrundlage für diese Cookies ist Art 6 1 a) DSGVO bzw. bei Drittstaaten Art. 49 Abs. 1 b DSGVO).“
24Es folgt eine tabellarisch Auflistungen von Cookieanbietern, die u.a. folgenden Eintrag enthält:
25„Auflistung wurde entfernt“
26Schlussendlich heißt es unter der Überschrift „Wo werden meine Daten verarbeitet?“ auf den Seiten N03 und 6 der Datenschutzhinweise wörtlich:
27„Ihre Daten werden in Deutschland und im europäischen Ausland verarbeitet. Findet eine Verarbeitung Ihrer Daten in Ausnahmefällen auch in Ländern außerhalb der Europäischen Union (in sog. Drittstaaten) statt, geschieht dies,
28a) soweit Sie hierin ausdrücklich eingewilligt haben (Art. 49 Abs. 1a DSGVO). (In den meisten Ländern außerhalb der EU entspricht das Datenschutzniveau nicht den EU Standards). Dies betrifft insbesondere umfassende Überwachungs- und Kontrollrechte staatlicher Behörden, z.B. in den USA, die in den Datenschutz der europäischen Bürgerinnen und Bürger unverhältnismäßig eingreifen,
29b) oder soweit es für unsere Leistungserbringung Ihnen gegenüber erforderlich ist (Art. 49 Abs. 1 b DSGVO),
30c) oder soweit es gesetzlich vorgesehen ist (Art. 6 Abs. 1 c DSGVO).
31Darüber hinaus erfolgt eine Verarbeitung Ihrer Daten in Drittstaaten nur, soweit durch bestimmte Maßnahmen sichergestellt ist, dass hierfür ein angemessenes Datenschutzniveau besteht (z.B. Angemessenheitsbeschluss der EU-Kommission oder sog. geeignete Garantien, Art. 44ff. DSGVO).“
32Wegen der weiteren Einzelheiten der Datenschutzhinweise wird auf Anlage K1, Bl. 49 ff. dA Bezug genommen.
33Mit Schreiben vom 24.02.2022 forderte der Kläger die Beklagte ferner auf Unterlassung der mit Klageantrag zu 1.c., 1.d. und 1.e. geschilderten Handlungen und unter Fristsetzung zum 10.03.2022 zur Abgabe einer entsprechenden Unterlassungserklärung sowie Erstattung eines pauschalierten Aufwendungsersatzes in Höhe von 260,00 EUR auf.
34Mit Schreiben vom 16.03.2022 lehnte die Beklagte dies ab.
35Der Kläger ist hinsichtlich des Antrages 1.a. der Ansicht, die Übermittlung von Positivdaten sei für die Erfüllung eines Vertrages oder zur Durchführung vorvertraglicher Maßnahmen nicht erforderlich im Sinne des Art. 6 Abs. 1 lit b) DSGVO, und es bestehe kein berechtigtes Interesse dazu nach Art. 6 Abs.1 lit. f) DSGVO. Deswegen komme es auf die Erteilung einer Einwilligung an, die unstreitig nicht vorliege.
36Hinsichtlich des Antrages 1.b. vertritt der Kläger die Auffassung, dass die Klausel gegen §§ 307 Abs. 1, Abs. 2 Nr.1 i.V.m. Art 6 Abs. 1 S. 1 DSGVO und gegen § 1 UKlaG i. V. m. § 307 Abs. 1 S. 2 BGB verstoße.
37Den Antrag 1.c. stützt der Kläger auf § 2 Abs. 1, Abs. 2 S. 1 Nr. 11 b) UKlaG i.V.m. § 25 Abs. 1 S. 1 TTDSG. Er meint, die Beklagte hole keine den Anforderungen des Art. 4 Nr. 11 DSGVO entsprechende Einwilligung ein.
38Aufgrund der optischen Gestaltung würden die Auswahlmöglichkeiten nicht gleichwertig nebeneinanderstehen.
39Der Kläger behauptet, dass die Verlinkung „weiter“ zur Ablehnung von nicht notwendigen Cookies nicht als klickbare Schaltfläche wahrgenommen werde. Der Button „Einstellungen ändern“ trete mit seiner hellgrauen Umrahmung bei weißer Farbe „deutlich hinter dem „Alles akzeptieren“-Button zurück, ebenso wie der Button „Auswahl bestätigen“.
40Im Zusammenhang mit dem Antrag 1.d. behauptet der Kläger, dass er beim Aufruf der Website www.Z..de am 03.01.2023 den Netzwerkverkehr mithilfe eines Internet-Browsers aufgezeichnet habe. Dabei seien beim Aufruf der Website personenbezogene Daten wie die IP-Adresse sowie Browser- und Geräteinformationen aus einer Endeinrichtung eines Website-Besuchers an Google LLC (Adresse: N01 D. Q. B. View, CA N02, USA) als Betreiberin von Google Analyse- und Marketingdiensten („Google Adservices“ mit Sitz in den USA übermittelt worden, was anhand einer Echtzeitanalyse der vom Browser des Klägers ein- und ausgehenden Netzwerkverbindungen zu erkennen sei. Wegen der Einzelheiten dieses Vortrags wird auf Bl. 209 ff. dA Bezug genommen.
41Der Kläger ist der Auffassung, diese behauptete Übermittlung der personenbezogenen Daten betroffener Verbraucher an Server der Google LLC in den USA durch die Beklagte erfolge in ein Drittland ohne angemessenes Schutzniveau i. S. d. Art. 45 DSGVO und ohne geeignete Garantien i. S. d. Art. 46 DSGVO.
42Ferner behauptet der Kläger, dass auch an die Dienste V. und R. Datenübertragungen in das Ausland erfolgt seien.
43Hinsichtlich der Anträge 1.e. und 1.f. meint der Kläger, dass die in den Datenschutzhinweisen verwendeten Klauseln der AGB-Kontrolle unterliegen würden.
44Der Kläger beantragt,
451. die Beklagte zu verurteilen, es bei Meidung eines für jeden Fall der Zuwiderhandlung festzusetzenden Ordnungsgeldes bis 250.000,00 EUR, ersatzweise Ordnungshaft, oder Ordnungshaft bis zu sechs Monaten, wobei die Ordnungshaft an ihrem jeweiligen gesetzlichen Vertreter zu vollziehen ist und insgesamt zwei Jahre nicht übersteigen darf,
46a. im Rahmen geschäftlicher Handlungen gegenüber Verbrauchern zu unterlassen, bei Anbahnung und/oder Durchführung von Mobilfunkverträgen Positivdaten, also personenbezogene Daten, die keine Zahlungserfahrungen oder sonstiges nicht vertragsgemäßes Verhalten zum Inhalt haben, sondern Informationen über die Beauftragung, Durchführung und Beendigung eines Vertrags, an Wirtschaftsauskunfteien, insbesondere namentlich die I. X. AG, W.-straße N03, N04 H. und die Y. J. GmbH, A.-straße N05, N06 E., zu übermitteln, es sei denn, es liegt eine wirksame Einwilligung der betroffenen Verbraucher vor oder die Übermittlung ist zur Erfüllung einer gesetzlichen Verpflichtung erforderlich, der die Z. K. GmbH unterliegt,
47b. zu unterlassen, die nachfolgende (in Anführungszeichen gesetzte) oder eine inhaltsgleiche Klausel in Bezug auf Datenschutzhinweise für Mobilfunkverträge mit Verbrauchern zu verwenden und sich bei bestehenden Verträgen darauf zu berufen: „An die I. X. AG und an die Y. J. GmbH übermitteln wir außerdem im Rahmen des Vertragsverhältnisses erhobene personenbezogene Daten über die Beantragung, die Durchführung und Beendigung desselben sowie Daten über nicht vertragsgemäßes oder betrügerisches Verhalten. Rechtsgrundlagen für diese Übermittlungen sind Art. 6 Abs. 1 b und f DSGVO.“,
48c. zu unterlassen, im Rahmen geschäftlicher Handlungen gegenüber Verbrauchern in Telemedien über Formulare (Cookie-Banner) Verbraucher zur Abgabe einer Einwilligungserklärung aufzufordern, um zu Zwecken der Werbung und/oder Marktforschung Informationen auf dem Endgerät des Nutzers zu speichern oder auf Informationen zuzugreifen, die bereits im Endgerät der Nutzer hinterlegt sind, sofern die Speicherung oder der Endgerätezugriff für den Betrieb des Telemediums nicht unbedingt notwendig ist, ohne im Cookie-Banner eine der Einwilligungserklärung in Form, Funktion und Farbgebung gleichwertige, gleichrangige und gleich einfach zu bedienende Ablehnungsoption bereitzustellen, wenn dies erfolgt wie nachfolgend dargestellt:
49 50 51d. im Rahmen geschäftlicher Handlungen gegenüber Verbrauchern zu unterlassen, bei Nutzung der Website www.Z..de, insbesondere beim Einsatz von Cookies und ähnlichen Technologien zu Analyse- und Marketingzwecke, personenbezogene Daten von Verbrauchern in Drittländer zu übermitteln, sofern weder
52(1) ein Angemessenheitsbeschluss nach Art. 45 DSGVO vorliegt, noch
53(2) geeignete Garantien nach Art. 46 DSGVO vorgesehen sind, noch
54(3) eine Ausnahme nach Art. 49 DSGVO vorliegt,
55wenn dies geschieht wie im Schriftsatz vom 14.01.2023 auf Blatt 6 – 8 unter bb) wiedergegeben (Bl. 210 – 212 d.A):
5657 58 59 60 61 62
e. zu unterlassen, die nachfolgende (in Anführungszeichen gesetzte) oder eine inhaltsgleiche Klausel in Bezug auf Datenschutzhinweise für Verbraucher zu verwenden und sich bei bestehenden Verträgen darauf zu berufen:
63„Analytische Cookies
64Diese Cookies helfen uns, das Nutzungsverhalten besser zu verstehen. Analysecookies ermöglichen die Erhebung von Nutzungs- und Erkennungsmöglichkeiten durch Erst- oder Drittanbieter, in so genannten pseudonymen Nutzungsprofilen. Wir benutzen beispielsweise Analysecookies, um die Zahl der individuellen Besucher einer Webseite oder eines Dienstes zu ermitteln oder um andere Statistiken im Hinblick auf den Betrieb unserer Produkte zu erheben, als auch das Nutzerverhalten auf Basis anonymer und pseudonymer Informationen zu analysieren, wie Besucher mit der Webseite interagieren. […] Rechtsgrundlage für diese Cookies ist […] bei Drittstaaten Art. 49 Abs. 1 b DSGVO.“
65f. zu unterlassen, die nachfolgende (in Anführungszeichen gesetzte) oder eine inhaltsgleiche Klausel in Bezug auf Datenschutzhinweise für Verbraucher zu verwenden und sich bei bestehenden Verträgen darauf zu berufen:
66„Marketing Cookies/ Retargeting Diese Cookies und ähnliche Technologien werden eingesetzt, um Ihnen personalisierte und dadurch relevante werbliche Inhalte anzeigen zu können. Marketingcookies werden eingesetzt, um interessante Werbeinhalte anzuzeigen und die Wirksamkeit unserer Kampagnen zu messen. […] Marketing und Retargeting Cookies helfen uns mögliche relevanten Werbeinhalte für Sie anzuzeigen. […] Rechtsgrundlage für diese Cookies ist […] bei Drittstaaten Art. 49 Abs. 1 b DSGVO.“
672. die Beklagte zu verurteilen, an den Kläger 520,00 EUR nebst Zinsen in Höhe von fünf Prozentpunkten über dem jeweiligen Basiszinssatz seit Rechtshängigkeit zu zahlen.
68Die Beklagte beantragt,
69die Klage abzuweisen.
70Hinsichtlich der Anträge 1.a. und 1.b. ist die Beklagte der Auffassung, die Anträge seien unbestimmten und genügen damit nicht den Anforderungen des § 253 Abs. 2 Nr. 2 ZPO. Außerdem sei die Antragstellung rechtsmissbräuchlich. Im Übrigen sei die Übermittlung von sog. Positivdaten von Art. 6 Abs. 1 lit. f) DSGVO gedeckt.
71Die Beklagte ist der Ansicht, der Kläger beschränke sich darauf, allein die Formulierungen in den Datenschutzhinweisen und dem Cookie-Banner als solche anzugreifen. Konkrete Verletzungen von Datenschutzvorschriften lege er nicht dar. Dabei sei außerdem zu berücksichtigen, dass die Beklagte bereits Ende 2021 die Weitergabe sog. Positivdaten eingestellt habe.
72Die Beklagte behauptet, im Zusammenhang des Antrages 1.c., dass der grau umrahmte, weiße Button mit grauer Schrift genauso aufgefallen sei wie der magentafarbene Button mit weißer Schrift. Dem Verbraucher sei verdeutlich worden, dass er zwei unterschiedliche Wahlmöglichkeiten habe.
73Hinsichtlich des Antrages 1.d. behauptet die Beklagte, der deutsche Dienstleister stelle über einen vorgeschalteten Proxy-Server sicher, dass IP-Adressen für Analysen und Auswertungen nicht an „V.“ übermittelt werden und somit keine personenbezogenen Daten von Nutzern in Deutschland in die USA übertragen werden, außer der Auftragsverarbeiter (d. h. die G. GmbH) habe zuvor eine gesonderte Vereinbarung (EU-Standardvertragsklauseln) mit einem Unterauftragsverarbeiter in einem Drittland geschlossen. Hierzu sei die G. GmbH auf Grundlage des mit der Beklagten bestehenden Auftragsverarbeitungsvertrag verpflichtet.
74Die Beklagte meint, eine etwaige Drittlandübermittlung sei aufgrund der Verwendung von Standarddatenschutzklauseln und jedenfalls aufgrund der über das Cookie-Banner erteilten Einwilligung gerechtfertigt.
75Entscheidungsgründe
76Die zulässige Klage ist hinsichtlich des Antrages zu 1.d. begründet. Im Übrigen ist die Klage unbegründet.
77I. Antrag zu 1.a.
78Der Antrag ist zulässig, aber unbegründet.
791. Der Antrag ist zulässig, insbesondere ist er hinreichend bestimmt nach § 253 Abs. 2 Nr. 2 ZPO.
80Ein Unterlassungsantrag – und nach § 313 Abs. 1 Nr. 4 ZPO eine darauf beruhende Verurteilung – darf nicht derart undeutlich gefasst sein, dass der Streitgegenstand und der Umfang der Prüfungs- und Entscheidungsbefugnis des Gerichts (§ 308 I ZPO) nicht erkennbar abgegrenzt sind, sich der Beklagte deshalb nicht erschöpfend verteidigen kann und die Entscheidung darüber, was dem Beklagten verboten ist, letztlich dem Vollstreckungsgericht überlassen bleibt. Eine auslegungsbedürftige Antragsformulierung kann aber dann hinzunehmen sein, wenn eine weitergehende Konkretisierung nicht möglich und die gewählte Antragsformulierung zur Gewährung effektiven Rechtsschutzes erforderlich ist (BGH GRUR 2017, 422 – ARD-Buffet, m. w. Nachw.). Ein auf die Wiederholung des gesetzlichen Verbotstatbestands beschränkter Klageantrag genügt den Anforderungen an die Bestimmtheit grundsätzlich nicht (BGH GRUR 2010, 749 Rn. 21 – Erinnerungswerbung im Internet). Es ist aber nicht grundsätzlich unzulässig, in einem Klageantrag auslegungsbedürftige Begriffe zu verwenden. Die Anforderungen an die Konkretisierung des Streitgegenstands in einem Unterlassungsantrag sind dabei auch abhängig von den Besonderheiten des jeweiligen Sachgebiets (vgl. BGH GRUR 2002, 1088, 1089 - Zugabenbündel).
81Nach diesen Grundsätzen ist der Antrag 1.c. hinreichend bestimmt. Der Antrag wiederholt entgegen dem Vortrag der Beklagten gerade nicht einfach den Gesetzeswortlaut, sondern nennt die konkrete Form der Daten (Positivdaten) in beschreibender Weise: „Positivdaten, also personenbezogene Daten, die keine Zahlungserfahrungen oder sonstiges nicht vertragsgemäßes Verhalten zum Inhalt haben, sondern insbesondere Informationen über die Beauftragung, Durchführung und Beendigung eines Vertrags.“
82Auch den Datenempfänger nennt der Kläger in seinem Antrag konkret als Wirtschaftsauskunftei und nennt beispielshaft zur Verdeutlichung seines Begehrs die I. und die Y. J. GmbH („insbesondere (…)“).
83Soweit der Kläger gesetzeskonforme Datenübermittlungen aus seinem Antrag ausschließt, um nicht der teilweisen Klageabweisung zu unterliegen, ist dies nicht zu beanstanden. Insbesondere ist hierzu die Verwendung unbestimmter Begriffe und die teilweise Wiederholung des Gesetzeswortlautes erforderlich. Die Wiederholung ist auch unschädlich, solange aus dem Antrag im Übrigen – wie hier – eine ausreichende Konkretisierung folgt.
84Die konkrete Bezugnahme auf eine Verletzungsform (etwa auf eine Anlage) ist im hiesigen Fall nicht möglich und zweckdienlich. Denn die Datenübermittlung kann in verschiedenen technischen und tatsächlichen Formen erfolgen und ist aus diesem Grund nicht bildlich darstellbar.
852. Der Antrag ist aber unbegründet, da er auch die Datenübermittlung im Falle eines zukünftig möglichen berechtigten Interesses erfasst, also ein Verhalten, welches nach Art. 6 Abs. 1 S. 1 lit. f) DSGVO zulässig wäre.
86Zwar ist die seitens des Klägers vorgeworfene, vergangene Datenübermittlung unzulässig gewesen, da die Voraussetzungen des Art. 6 Abs. 1 S. 1 lit. f) DSGVO, soweit sich die Beklagte auf die Bekämpfung von betrügerischem Verhalten berufen hat, nicht vorlagen. Trotz des grundsätzlich bestehenden legitimen Interesses der Beklagten fällt die gebotene Interessenabwägung hier zulasten der Beklagten aus, da die Interessen der betroffenen Personen überwiegen. Die Datenübermittlung an Wirtschaftsauskunfteien war nach dem Modell der Beklagten an keine weiteren Voraussetzungen geknüpft und betraf sämtliche Positivdaten über das Vertragsverhältnis. Betroffen war also das informationelle Selbstbestimmungsrecht der Betroffenen, ohne dass die Daten auf ein bestimmtes notwendiges Minimum reduziert wurden und ohne dass der Betroffene selbst Anlass für die Übermittlung bot. Mithin war die Übermittlung der Daten für den jeweils Betroffenen unüberschaubar und nicht eingrenzbar. Die der Legitimation von Neukunden dienende Identifizierung hätte die Beklagte zudem auch durch ein eigenes Legitimationsverfahren vornehmen können. Eine pauschale und präventive Übermittlungen sämtlicher Daten im Zusammenhang mit dem Vertragsverhältnis ist im Wirtschaftsverkehr ohne Einwilligung weder üblich noch wird sie vernünftiger Weise erwartet. Zu beachten ist auch, dass die Datenübermittlung von Alltagsvorgängen im Wirtschaftsleben einer Person geeignet ist, dieser zukünftige Vertragsschlüsse erheblich zu erschweren, ohne dass es für sie überschaubar und erkennbar ist, welche Daten zu diesem Zustand geführt haben. Der grundsätzlichen informationellen Selbstbestimmung in Bezug auf persönliche Daten kommt ein so hoher Schutz zu, dass deren Einschränkung lediglich die Ausnahme sein darf. Bei der Gestattung anlassloser Vertragsdatenübermittlung würde jedoch aufgrund eines Pauschalverdachtes das Regel-Ausnahme-Verhältnis umgekehrt. Nach der Argumentation der Beklagten wäre letztlich jede Datenübermittlung zu gestatten, da ein Mehr ein Daten grundsätzlich zu einem Mehr an Sicherheit oder finanzieller Effizienz führen kann. Dies würde den Sinn und Zweck des Art. 6 Abs. 1 lit. f) DSGVO aber verfehlen.
87Nichtsdestotrotz ist der Unterlassungsantrag, wie die Beklagte zurecht in der mündlichen Verhandlung beanstandet hat, zu weit gefasst.
88Ein Antrag darf nicht so formuliert werden darf, dass er zulässige Handlungen erfassen kann (BGH GRUR 1999, 509/511 - Vorratslücken; GRUR 2002, 706 - vossius.de; GRUR 2004, 70 - Preisbrecher; GRUR 2004, 605 - Dauertiefpreise; GRUR 2007, 987 - Änderung der Voreinstellung, dort unter Tz 22).
89Letzteres ist hier aber der Fall. Der Kläger schließt lediglich Fälle der Einwilligung und der gesetzlichen Verpflichtung, nicht aber des berechtigten Interesses, aus. Unter die weite Fassung des Unterlassungsantrags nach dem Antrag 1.a. fallen aber beispielsweise auch Fallgestaltungen, in denen zukünftig – anders als bisher – ein berechtigtes Interesse besteht. Dies ist nicht von vorneherein auszuschließen. Letzteres hat der Kläger auch nicht dargelegt. Dem Kläger war es auch ohne weiteres möglich diese Fälle durch eine zu den weiteren Ausschlüssen äquivalente Formulierung auszuschließen.
90II. Antrag zu 1.b.
91Der zulässige Antrag ist unbegründet.
92Der Kläger hat gegen die Beklagte keinen Anspruch auf Unterlassung der Nutzung der im Antrag 1.b. bezeichneten Klausel, aus §§ 1, 3 Abs. 1 Nr. 1, 4 UKlag iVm §§ 307 Abs. 1, Abs. 2 Nr.1 iVm Art. N03 Abs.1 lit. a), Art 6 Abs. 1 S. 1 DSGVO.
93Zwar ist die anlasslose Datenübermittlung von Positivdaten, sofern sie lediglich auf die allgemeine Betrugsbekämpfung und Identifizierung gestützt wird, nicht rechtmäßig nach der DSGVO (s.o.).
94Die Klausel unterliegt aber nicht der AGB-Kontrolle, sodass § 1 UKlaG nicht anwendbar ist.
95Nach dem Vortrag des Klägers ist nicht ersichtlich, dass die beanstandete Klausel bei Vertragsschluss als Allgemeine Geschäftsbedingung aufgenommen wurde. Vielmehr ergibt sich aus dem klägerischen Vortrag lediglich die Einbeziehung einer solchen Klausel unter Ziff. 4.4. der Datenschutzhinweise.
96Eine ausdrückliche Regelung hinsichtlich des Verhältnisses von Datenschutzrecht und AGB-Recht findet sich weder im Unions- noch im nationalen Recht (von Lewinski/Herrmann, PinG 2017, 165 (171)).
97Gemäß § 305 Abs. 1 Satz 1 BGB sind Allgemeine Geschäftsbedingungen alle für eine Vielzahl von Verträgen vorformulierten Vertragsbedingungen, die eine Vertragspartei (Verwender) der anderen Vertragspartei bei Abschluss eines Vertrags stellt.
98Bei den Informationspflichten handelt es sich aber um für die Parteien der Datenverarbeitung (Verantwortliche und betroffene Person) nicht-dispositives Recht (Paal/Hennemann, in: Paal/Pauly, DS-GVO/BDSG, 3. Aufl. 2021, DS-GVO Art. 13 Rn. 7). Es handelt sich bei den Datenschutzhinweisen um Informationen, die der Verantwortliche zwingend bereitzustellen hat, ohne dass es auf seinen Willen ankäme. Aus diesem Grund kann ein Rechtsbindungswille hinsichtlich des Inhalts der Datenschutzhinweise regelmäßig fernliegen. Spiegelbildlich dürften betroffene Personen – zu Recht – regelmäßig nicht davon ausgehen, dass Verantwortliche ihnen mittels der Datenschutzhinweise einen Vertrag antragen. Eine Bindungswirkung von Datenschutzhinweisen scheitert dann bereits an der Hürde der §§ 133, 157 BGB.
99Soweit sich Datenschutzhinweise i. R. d. Informationspflichten nach Art. 13 und 14 DS-GVO halten, unterliegen sie nicht der AGB-rechtlichen Klauselkontrolle, da ihnen insoweit kein eigener Regelungsgehalt zukommt (OLG Hamburg MMR 2015, 740 m. Anm. Hansen/Struwe; KG MMR 2020, 239 m. Anm. Heldt, Ls. N03; Hacker, ZfPW 2019, 148 (184); Moos, in: Moos/Schefzig/Arning, Praxishdb. DSGVO, 2. Aufl., Kap. 2 Rn. 27; Wendehorst/Graf v. Westphalen, NJW 2016, 3745 (3748)).
100So liegt der Fall aber hier. Die Beklagte informiert den Verbraucher über die Weitergabe von Daten. Ein eigener Regelungsinhalt ist dem nicht zu entnehmen. Insbesondere wird die Erklärung auch nicht mit einer daraus geschöpften Einwilligung vermengt. Dass der Hinweis in den Vertragsschluss in Bezug auf Mobilfunkverträge einbezogen wird und dort den Eindruck der rechtsgeschäftlichen Bindung erweckt, trägt der Kläger schon nicht vor. Hierdurch unterscheidet sich der Fall auch von dem klägerseits in Bezug genommenen Urteil des KG Berlin, Urteil vom 21. März 2019 – 23 U 268/13 –, juris.
101III. Antrag 1.c.
102Der Antrag ist zulässig, aber in der wie hier gestellten Form unbegründet.
103Der Kläger hat gegen die Beklagte keinen Anspruch auf Unterlassung entsprechend dem Antrag 1.c. aus § 2 Abs. 1, Abs. 2 S. 1 Nr. 11 b) UKlaG i.V.m. § 25 Abs. 1 S. 1 TTDSG i.V.m. DSGVO.
104Zwar entsprach die ehemalige Gestaltung des Cookie-Banners nicht den Anforderungen des § 25 Abs. 1 TTDSG. Die Einwilligungserteilung kann nicht als „freiwillig“ im Sinne der DSGVO bewertet werden.
105Nach Art. 4 Nr. 11 der VO (EU) 2016/679 ist eine Einwilligung jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist. Das setzt voraus, dass der Verbraucher bei der Abgabe der Einwilligung eine echte Wahlmöglichkeit hat und nicht durch die Ausgestaltung des Cookie-Banners einseitig in Richtung einer Einwilligung gelenkt wird.
106Eben dies war bei dem streitgegenständlichen Cookie-Banner indessen der Fall. Denn während im Falle des Buttons „Alle akzeptieren“ eine Ein-Klick-Lösung in Größe, Farbe und Layout als Blickfang deutlich gestaltet war, war das Weitersurfen „nur mit den notwendigen Cookies“ im Fließtext versteckt und damit in Größe, Form und Gestaltung nicht ausreichend, um als tatsächliche und gleichwertige Wahlmöglichkeit angesehen zu werden.
107Auch die Wahlmöglichkeit „Einstellungen ändern", führt ebenso wenig zur Wirksamkeit der Einwilligung, da der Button – wie der Landesbeauftragte für Datenschutz und Informationsfreiheit in seiner Stellungnahme vom 27.02.2023 zutreffend umschrieben hat – keine für den Verbraucher erkennbare zu dem Button „Alle akzeptieren“ im Alternativverhältnis stehende Wahlmöglichkeit in Form einer Willenserklärung oder eines Hinweises darauf enthält. So ist in der Formulierung „Einstellungen ändern“ kein unmissverständlicher Hinweis auf eine – wenn auch auf zweiter Ebene – alternative Ablehnungsmöglichkeit der technisch nicht notwendigen Cookies enthalten. Sieht sich der Verbraucher also einer Willenserklärung („Alles akzeptieren“) und daneben einer unspezifischen Konfigurationsmöglichkeit gegenüber, die die mögliche folgende Willenserklärung „Nicht alles akzeptieren/Alles abwählen“ etc.) und damit die Wahlmöglichkeit nicht zu erkennen gibt, wird durch das Klicken des Buttons „Alles akzeptieren“ keine freie Wahl zwischen zwei Willenserklärungen getroffen.
108Der Antrag des Klägers ist indessen zu weit gefasst und enthält durch die Formulierung „ohne im Cookie-Banner eine der Einwilligungserklärung in Form, Funktion und Farbgebung gleichwertige, gleichrangige und gleich einfach zu bedienende Ablehnungsoption bereitzustellen“ ausdrücklich eine Verpflichtung zu einer bestimmten Form der Bannergestaltung. Letzteres ergibt sich aber weder aus den Vorschriften der DSGVO noch aus den Erwägungsgründen.
109Aus den Anforderungen an die Freiwilligkeit der Einwilligung lässt sich eine bestimmte Form der Gestaltung nicht entnehmen. Insbesondere kann der Kläger eine solche bestimmte Form der Ausgestaltung nicht mittels eines Unterlassungsantrages erzwingen. Ein solches Verlangen läuft § 2 Abs. 1 UKlaG zuwider. Der Kläger hat in der mündlichen Verhandlung auf den Vorschlag des Gerichts hin, diesen Passus zu streichen oder einzuschränken, zu erkennen gegeben, dass es ihm gerade darum gehe, dass eine gleichwertige Ablehnungsoption auf der ersten Ebene vorhanden sein müsse. Eine Verpflichtung hierzu ist aber weder dem UKlaG noch dem TTDSG oder der DGSVO zu entnehmen. Vielmehr sind unterschiedliche Gestaltungen denkbar, die den Anforderungen an eine freiwillige Einwilligung genügen.
110IV. Antrag 1.d.
111Der Antrag ist zulässig und begründet.
1121. Jedenfalls in der zuletzt gestellten Form ist der Antrag im Rahmen der Zulässigkeit hinreichend bestimmt, da die konkrete Verletzungsform durch Bezugnahme auf die Schilderung auf Seite 6 bis 8 des Schriftsatzes vom 04.01.2023 (Bl. 210-212 dA) angegeben worden ist.
113Die Beschränkung des Antrages ist auch nach § 264 Nr. 2 ZPO zulässig, da das geänderte Klagebegehren vom bisherigen Begehren als inhaltsgleiches Minus mit umfasst war.
1142. Der Antrag ist begründet.
115Die Beklagte hat gegen die Beklagte einen Anspruch auf Unterlassung der bezeichneten Datenübermittlung in die USA nach § 2 Abs. 2 S. 1 Nr. 11 UKlaG iVm §§ 8, 3 Abs. 1, 3a UWG iVm Art. 44 ff. DSGVO.
116Die klägerseits vorgetragene Übermittlung von IP-Adressen sowie Browser- und Geräteinformationen an Google LLC als Betreiberin von Google Analyse- und Marketingdiensten mit Sitz in den USA ist als unstreitig zu behandeln und ist nicht von den Rechtfertigungstatbeständen der DSGVO gedeckt.
117a. Die Übermittlung von IP-Adressen an die Google LLC in den USA gilt nach § 138 Abs. 2, 3 ZPO als zugestanden. Der Kläger hat substantiiert zu der Übermittlung vorgetragen. Das darauffolgende Bestreiten der Beklagten im Schriftsatz vom 02.02.2023 ist hingegen nicht hinreichend substantiiert. Vielmehr erschöpft es sich trotz des Aufgreifens einzelner Punkte im Ergebnis in einem pauschalen Bestreiten bzw. Anzweifeln.
118Die Substantiierungslast des Bestreitenden hängt davon ab, wie substantiiert der darlegungspflichtige Gegner vorgetragen hat. Je detaillierter das Vorbringen des Darlegungsbelasteten ist, desto höher sind die Substantiierungsanforderungen gem. § 138 Abs. 2 ZPO. Substantiiertes Vorbringen kann danach grundsätzlich nicht pauschal bestritten werden. Vorausgesetzt ist dabei, dass der bestreitenden Partei substantiierter Gegenvortrag möglich und zumutbar ist, wovon in der Regel auszugehen ist, wenn die behaupteten Tatsachen in ihrem Wahrnehmungsbereich gelegen haben (BeckOK ZPO/von Selle ZPO § 138 Rn. 18; BGH NJW-RR 2019, 1332 Rn. 23 mwN).
119So liegt der Fall hier. Die Übertragung und Verarbeitung von Daten liegt im Wahrnehmungs- und Organisationsbereich der Beklagten. Der Beklagten wäre es daher möglich gewesen, substantiiert dazu vorzutragen, unter welchen Voraussetzungen welche Daten an die Google LLC übertragen werden und wo diese verarbeitet werden. Daher genügt es insbesondere nicht, lediglich in Zweifel zu ziehen, ob der Standort der IP-Adresse „N07“ in den USA befindlich ist oder ob der Sitz des Unternehmens unabhängig von dem Standort des Servers der IP-Adresse ist. Ebenso wenig genügt es, den Aussagegehalt der Registrierung der IP-Adresse und der Anlagen K11 und K12 in Frage zu stellen.
120b. Die übermittelten IP-Adressen stellen sowohl für die Beklagte als auch Google LLC als Verantwortliche der Datenübermittlung personenbezogene Daten dar.
121Dynamische IP-Adressen stellen dann personenbezogene Daten dar, wenn dem Verantwortlichen rechtliche Mittel zur Verfügung stehen, die er vernünftigerweise einsetzen könnte, um mit Hilfe Dritter (zB der zuständigen Behörde und des Internetanbieters) die betroffene Person anhand der gespeicherten IP-Adresse bestimmen zu lassen (BGH ZD 2017, 424 = MMR 2017, 605).
122Dies ist sowohl hinsichtlich der Beklagten als auch hinsichtlich Google LLC der Fall. Beiden stehen die rechtlichen Mittel zur Verfügung, über Zusatzinformationen von der IP-Adresse einen Rückschluss auf die natürliche Person zu ziehen.
123Als Telekommunikationsanbieterin und Websitebetreiberin kann die Beklagte, soweit es sich bei den Besuchern um ihre Kunden handelt, ohne großen Aufwand Internet-Nutzer identifizieren, denen sie eine IP-Adresse zugewiesen hat, da sie in der Regel in Dateien systematisch Datum, Zeitpunkt, Dauer und die dem Internet-Nutzer zugeteilte dynamische IP-Adresse zusammenführen kann. In Kombination können die eingehenden Informationen dazu benutzt werden, um Profile der natürlichen Personen zu erstellen und sie (sogar ohne Heranziehung Dritter) zu identifizieren (vgl. BeckOK DatenschutzR/Schild DS-GVO Art. 4 Rn. 20).
124Gleiches gilt für Google LLC, die als Anbieterin von Online-Mediendiensten ebenso über die Mittel verfügt Personenprofile zu erstellen und diese auszuwerten. Dabei kann gerade die IP-Adresse als personenspezifisches Merkmal dienen (vgl. LG E. I, Urteil vom 20.1.2022 – 3 O 17493/20) und etwa in der Kombination mit der Nutzung anderer Onlinedienste zur Identifizierung herangezogen werden (Feldmann, in: Forgó/Helfrich/Schneider, Betrieblicher Datenschutz, 3. Auflage 2019, Kapitel 4. Datenschutzkonformer Einsatz von Suchmaschinen im Unternehmen, Rn. 12).
125Ob an die Dienste V. und R. ebenfalls Daten in das Ausland übermittelt worden sind, kann vor diesem Hintergrund dahinstehen.
126c. In den USA ist kein angemessenes Datenschutzniveau gewährleistet (vgl. EuGH Urt. v. 16.7.2020 – C-311/18 – Facebook Ireland u. Schrems, im Folgenden: Schrems II).
127Der EuGH hat ausgesprochen, dass der EU-US Angemessenheitsbeschluss („Privacy Shield“) – ohne Aufrechterhaltung seiner Wirkung – ungültig ist. Die gegenständliche Datenübermittlung findet daher keine Deckung in Art. 45 DSGVO.
128d. Auch etwaige Standarddatenschutzklauseln vermögen die Datenübermittlung in die USA nicht zu rechtfertigen, da sie nicht geeignet sind ein der DSGVO entsprechendes Datenschutzniveau zu gewährleisten, insbesondere da solche Verträge nicht vor einem behördlichen Zugriff in den USA schützen.
129Die Beklagte trägt vor, dass sie Standarddatenschutzklauseln in der bis zum 27.12.2022 gültigen Version mit ihren Dienstleistern und diese wiederum mit ihren Sub-Dienstleistern abgeschlossen hatte. Obschon der Kläger dies bestreitet, würde der Vortrag der Beklagten selbst bei Wahrunterstellung nicht genügen, um eine Rechtfertigung der Datenübermittlung zu begründen.
130In Schrems II hat der EuGH zwar ausgeführt, dass Standarddatenschutzklauseln als Instrument für den Internationalen Datenverkehr dem Grunde nach nicht zu beanstanden sind, allerdings hat der EuGH auch darauf hingewiesen, dass Standarddatenschutzklauseln ihrer Natur nach ein Vertrag sind und demnach Behörden aus einem Drittstaat nicht binden können:
131„Demnach gibt es zwar Situationen, in denen der Empfänger einer solchen Übermittlung in Anbetracht der Rechtslage und der Praxis im betreffenden Drittland den erforderlichen Datenschutz allein auf der Grundlage der Standarddatenschutzklauseln garantieren kann, aber auch Situationen, in denen die in diesen Klauseln enthaltenen Regelungen möglicherweise kein ausreichendes Mittel darstellen, um in der Praxis den effektiven Schutz der in das betreffende Drittland übermittelten personenbezogenen Daten zu gewährleisten. So verhält es sich etwa, wenn das Recht dieses Drittlands dessen Behörden Eingriffe in die Rechte der betroffenen Personen bezüglich dieser Daten erlaubt.“
132(Schrems II, Rn. 126).
133Der EuGH ist zu dem Ergebnis gekommen, dass der EU-US Angemessenheitsbeschluss aufgrund des einschlägigen Rechts der USA und der Durchführung von behördlichen Überwachungsprogrammen kein angemessenes Schutzniveau für natürliche Personen gewährleistet (Schrems II, Rn. 180 ff).
134Wenn sogar der EU-US Angemessenheitsbeschluss aufgrund der Rechtslage in den USA für ungültig erklärt wurde, so kann erst recht nicht davon ausgegangen werden, dass vertragliche Bindungen zwischen privaten Rechtssubjekten ein angemessenes Schutzniveau nach Art. 44 DSGVO für die gegenständliche Datenübermittlung in die USA gewährleisten können. Denn diese können schon ihrer Natur nach ausländische Behörden nicht in ihrer Handlungsmacht beschränken.
135Dies entspricht auch der Wertung des EuGH:
136„Da diese Standarddatenschutzklauseln ihrer Natur nach keine Garantien bieten können, die über die vertragliche Verpflichtung, für die Einhaltung des unionsrechtlich verlangten Schutzniveaus zu sorgen, hinausgehen, kann es je nach der in einem bestimmten Drittland gegebenen Lage erforderlich sein, dass der Verantwortliche zusätzliche Maßnahmen ergreift, um die Einhaltung dieses Schutzniveaus zu gewährleisten.“
137(Schrems II, Rn. 133).
138Zu solchen – nach den „Empfehlungen 01/2020 zu Maßnahmen zur Ergänzung von Übermittlungstools zur Gewährleistung des unionsrechtlichen Schutzniveaus für personenbezogene Daten“ der EDSA wohl vertraglichen, technischen oder organisatorischen Maßnahmen – hat die Beklagte nicht vorgetragen.
139Solche Maßnahmen müssten geeignet sein, die im Rahmen des Schrems II Urteils des EuGH aufgezeigten Rechtsschutzlücken – also die Zugriffs- und Überwachungsmöglichkeiten von US-Nachrichtendiensten – zu schließen. Dies ist hier nicht gegeben.
140e. Die Beklagte kann sich auch nicht mit Erfolg auf eine Einwilligung iSd Art. 49 Abs. 1 lit. a) DSGVO berufen.
141Eine „ausdrückliche Einwilligung“ iSd Art. 49 Abs. 1 lit. a) DSGVO auf hinreichender Informationserteilung u.a. über den Empfänger der Informationen wurde schon nicht dargelegt.
142Nach Art. 4 Nr. 11 DSGVO ist eine Einwilligung eine unmissverständlich abgegebene Willensbekundung in der Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung. Für die nach Art. 49 Abs. 1 lit. a) DSGVO erforderliche Einwilligung ist es schon dem Wortlaut nach darüber hinaus erforderlich, dass die Erklärung „ausdrücklich“ abgegeben wird. Angesichts dieser unterschiedlichen Wortwahl sind an die Einwilligung zu Übermittlungen in Drittländer höhere Anforderungen als an sonstige Einwilligungen zu stellen. Insbesondere setzt Art. 49 Abs. 1 lit. a DSGVO schon dem Wortlaut nach eine besondere Informiertheit voraus.
143Der Einwilligende muss u.a. darüber informiert worden sein, an welche Drittländer und an welche Empfänger seine Daten übermittelt werden (BeckOK DatenschutzR/Lange/Filip DS-GVO Art. 49 Rn. 7; Klein/Pieper in: Schwartmann/Jaspers/Thüsing/Kugelmann, DS-GVO/BDSG, Artikel 49 Ausnahmen für bestimmte Fälle Rn. 6).
144Hier sind die Website-Besucher aber keineswegs über eine Datenübermittlung an Google LLC unterrichtet worden. In den ehemaligen Datenschutzhinweisen wurde lediglich über eine Übermittlung von Daten an R. und V. informiert worden, was ersichtlich nicht den Empfänger Google LLC erfasst.
145Dass die Beklagte zum Zeitpunkt der Datenübertragung an Google LLC am 03.01.2023 geänderte Datenschutzhinweise verwendet hat, die den o.g. Anforderungen genügen, ist weder vorgetragen noch sonst ersichtlich.
146Es ist aber gemäß Art. N03 Abs. 1, 7 Abs. 1 DSGVO an der Beklagten die Wirksamkeitsvoraussetzungen der Einwilligung darzulegen und zu beweisen (vgl. BeckOK DatenschutzR/Stemmer DS-GVO Art. 7 Rn. 89-91.1; Diekmann, in: Koreng/Lachenmann, Formularhandbuch Datenschutzrecht, 3. Auflage 2021, 4. Einwilligung der betroffenen Personen, Anm. 1.-12.). Dies ist für den relevanten Zeitpunkt am 03.01.2023 nicht erfolgt.
147V. Anträge 1.e. und 1.f.
148Der Kläger hat gegen die Beklagte keinen Anspruch auf Unterlassung der Nutzung der in den Anträgen 1.e. und 1.f. bezeichneten Klausel aus §§ 1, 3 Abs. 1 Nr. 1, 4 UKlag iVm §§ 307 Abs. 1, Abs. 2 Nr.1 iVm Art. 44 ff. DSGVO.
149Die in den Datenschutzhinweisen enthaltenen Klauseln unterliegen nicht der AGB-Kontrolle, sodass § 1 UKlaG nicht anwendbar ist (s.o. unter Ziff. II). Dabei ist auch zu berücksichtigen, dass die Beklagte auf ihrer Website lediglich über ihre Dienstleistungen und Produkte informiert. Das Angebot der Website an sich stellt dagegen keine Leistung dar, die die Beklagte Verbrauchern anbietet. Da das Aufrufen der Seite nicht mit einem Vertragsschluss verbunden ist, liegt die Annahme, dass die Datenschutzhinweise Vertragsbedingungen enthalten und die Beklagte insoweit einen Rechtsbindungswillen hat, aus Sicht des Verbrauchers fern. Es handelt sich bei den Datenschutzhinweisen vielmehr um Informationen, die der Verantwortliche bereitstellt, ohne dass bei dem Verbraucher der Eindruck vermittelt wird, durch die Datenschutzhinweise verpflichtet zu werden.
150VI. Antrag zu 2
151Der Antrag zu 2 ist unbegründet, hinsichtlich der Anträge zu 1.a. bis c. und 1.e. und f. schon aufgrund der Unbegründetheit jener Anträge.
152Aber auch hinsichtlich der zweiten Abmahnung kann die Kostenpauschale nicht verlangt werden. Denn der nunmehr geltend gemachte konkrete Vorwurf einer Datenübermittlung an die Google LLC lag der damaligen Abmahnung nicht zugrunde.
153VII.
154Die Kostenentscheidung folgt aus § 92 Abs. 1 S. 1 ZPO.
155Die Entscheidung über die vorläufige Vollstreckbarkeit folgt aus § 709 S. 1, 2 ZPO.
156Der Streitwert wird auf 22.500 € festgesetzt, wobei die Anträge zu 1.a., 1.c. und 1.d. je N03.000 € ausmachen, die Anträge zu 1.b., 1.e. und 1.f. je 2.500 €.
157