Ein Urteil des Landgerichts Köln hat jüngst für Aufsehen gesorgt, da es die Übermittlung von Nutzerdaten im Zusammenhang mit Google Ads verbietet (LG Köln, 23.03.2023 – Az.: 33 O 376/22). Dieses Urteil wurde in den Medien fälschlicherweise oft als „Verbot von Google Ads“ interpretiert. Es ist wichtig zu beachten, dass das Urteil sich hauptsächlich auf Google Analytics und dessen spezielle Verwendung bezieht.

Worum ging es in dem Urteil?

Die Telekom hatte Google Ads geschaltet, also Anzeigen, die beispielsweise in der Google-Suche angezeigt werden können. Um den Erfolg dieser Anzeigen zu überprüfen, hat die Telekom eine Konversionsmessung durchgeführt. Dabei wurde erfasst, ob Personen, die auf die Anzeigen geklickt haben, letztendlich einen Vertrag abgeschlossen haben. Zu diesem Zweck hat die Telekom „Googles Analyse- und Marketingdienste“ genutzt, was sich nur auf Google Analytics beziehen kann.

Was hat das Gericht entschieden?

Das Landgericht Köln entschied, dass die Übermittlung der IP-Adressen unzulässig war. Dabei berief sich das Gericht auf das Urteil des Europäischen Gerichtshofs aus dem Jahr 2020, das feststellte, dass das Datenschutzniveau in den USA aufgrund der Zugriffsmöglichkeiten der US-Geheimdienste und fehlender Abwehrmöglichkeiten der EU-Bürger nicht ausreichend ist (EuGH C-311/18). Das Gericht hielt außerdem die von der EU-Kommission vorgeschlagenen Standardvertragsklauseln für unzureichend und erklärte, dass vertragliche Zusicherungen von Google das fehlende Datenschutzniveau nicht ausgleichen können.

Ist die Nutzung von Google Ads nun unzulässig?

Entgegen einiger Berichte, die darauf hindeuten, dass Google Ads verboten wurden, ist dies nicht der Fall. Das Gericht hat nicht über die Schaltung der Anzeigen entschieden, sondern ausschließlich über die oben genannte Konversionsmessung mittels Google Analytics.

Ist die Nutzung von Google Analytics nun unzulässig?

Das Landgericht Köln hat auch nicht entschieden, dass die Nutzung von Google Analytics grundsätzlich unzulässig ist. Es wurde lediglich festgestellt, dass die Übermittlung einer IP-Adresse in die USA unzulässig ist.

Ist es ausreichend, die IP-Adresse zu kürzen?

Im vorliegenden Fall wurden vollständige IP-Adressen an Google in den USA übermittelt. Obwohl Google die Kürzung der Adressen erlaubt, findet diese Kürzung bisher in den USA statt. Das bedeutet, dass die Kürzung der IP-Adresse laut Urteil keinen wirklichen Unterschied gemacht hätte. Dies gilt zumindest solange, bis Google Analytics 4 eingesetzt wird.

Was ist der Unterschied bei Google Analytics 4?

Ab Juli 2023 wird die bisherige Version von Google Analytics, „Universal Analytics“, durch die neue Version „Google Analytics 4“ ersetzt. Der wesentliche Unterschied besteht darin, dass laut Google die Kürzung der IP-Adressen nun in der EU erfolgt. Das bedeutet, dass nur gekürzte IP-Adressen in die USA übertragen werden. Es besteht jedoch weiterhin das Risiko, dass das Gericht trotz der Kürzung einen Personenbezug feststellt und das Risiko als unzulässig erachtet. Dennoch sinkt das Risiko, dass es überhaupt allgemein zu einem Verfahren kommt.

EU-USA-Transatlantic Data Privacy Framework?

Das Transatlantic Data Privacy Framework (TDPF) soll voraussichtlich im Jahr 2023 in Kraft treten und zielt darauf ab, das Datenschutzniveau zwischen der EU und den USA zu harmonisieren. Der US-Präsident hat bereits per Verordnung eine strengere Kontrolle des staatlichen Zugriffs auf Daten von EU-Bürgern angeordnet. Zudem plant die EU-Kommission einen Beschluss, der festlegt, dass das Datenschutzniveau in den USA angemessen ist, wenn Unternehmen zusätzliche Zusicherungen zur Einhaltung des Datenschutzes geben.

Im Fall vor dem Landgericht Köln bezog sich das Urteil nicht nur auf die Nutzung von Google Analytics, sondern auch auf die Weitergabe von Daten an die SCHUFA und ein fehlerhaftes Cookie-Banner. Der Einsatz von US-Anbietern ist selten der Hauptgrund für Datenschutzverfahren. In der Regel sind es andere Datenschutzfehler, die zu Beanstandungen führen, während auch der US-Datentransfer bemängelt wird.

Die Möglichkeit, eine Zustimmung der Nutzer zur Datenübermittlung in die USA einzuholen, blieb im Urteil offen, da die notwendigen Informationen fehlten.

Fazit

Das Urteil des Landgerichts Köln deutet darauf hin, dass der Einsatz vieler US-Dienste illegal sein könnte. Allerdings zeigt es auch, dass es eine Kombination von Faktoren ist, die zu solchen Entscheidungen führt.

Um das Risiko bei der Verwendung von Google Analytics zu reduzieren, empfiehlt es sich, auf Google Analytics 4 umzusteigen und ein rechtskonformes Cookie-Opt-In-Verfahren zu implementieren. Server-Side-Tracking kann ebenfalls genutzt werden, um die IP-Adressen der Nutzer durch eigene Nutzer-IDs zu ersetzen, bevor sie an Google übermittelt werden.

Es wird empfohlen, die bevorstehende Einführung des Transatlantic Data Privacy Frameworks zu berücksichtigen und bei konkreten Fragen einen Datenschutzexperten oder Rechtsanwalt zu konsultieren.