OLG Köln, Urteil vom 3.11.2023 – 6 U 58/23
1. Ein Unterlassungsantrag, der losgelöst von der konkreten Verletzungsform auf ein allgemeines Verbot der Übermittlung sogenannter Positivdaten von Mobilfunknutzern an Wirtschaftsauskunfteien gerichtet ist, erweist sich als zu weitgehend, da jedenfalls nicht ausgeschlossen werden kann, dass eine Datenübermittlung aus Gründen der Betrugsprävention bei datenschutzkonformer Ausgestaltung des Prozesses im berechtigten Interesse des Verantwortlichen im Sinne von Art. 6 Abs. 1 Unterabsatz 1 lit. f DSGVO liegen kann.
2. Datenschutzhinweise, die in Erfüllung der sich aus Art. 13 und 14 DSGVO ergebenden Informationspflichten erfolgen und nicht zum Gegenstand einer vorformulierten Einwilligungserklärung gemacht werden, stellen keine Allgemeinen Geschäftsbedingungen dar.
3. Ein auf § 25 TTDSG gestützter und auf die konkrete Verletzungsform bezogener An-trag kann gleichwohl wegen zu weiter Fassung unbegründet sein, wenn dem Anbieter der Telemedien durch Formulierungen im abstrakten Teil des Antrags eine bestimmte Gestaltung des Cookie-Banners bzw. des „Ablehnen“-Buttons aufgegeben wird.
4. Klauseln zu den Themen „Analytische Cookies“ und „Marketing-Cookies“ in den Datenschutzhinweisen, die in die vorformulierte Einwilligungserklärung auf dem Cookie-Banner einbezogen werden, dienen der Einholung der Einwilligung von Besuchern der Webseite zum Setzen bestimmter Cookies und zur Datenverarbeitung und nehmen von daher am Rechtscharakter der vorformulierten Einwilligungserklärung als AGB teil.
5. Klauseln im Cookie-Banner, die eine Drittlandübermittlung von Daten als durch Art. 49 Abs. 1 S. 1 lit. b DSGVO gedeckt darstellen, sind nach § 307 Abs. 2 Nr. 1 BGB unwirksam, wenn der Erlaubnistatbestand der DSGVO nicht einschlägig ist, weil die durch Cookies erhobenen Daten zu Marketing- und Analysezwecken nicht der Vertragserfüllung, sondern eigenen wirtschaftlichen Zwecken des Verantwortlichen dienen sollen.
6. Dynamische IP-Adressen, die ein Anbieter von Online-Diensten speichert und an ei-nen ausländischen Suchmaschinenbetreiber übermittelt, können personenbezogene Daten sein, wenn – zum Beispiel im Falle von Cyber-Angriffen mit Hilfe der Strafverfolgungsbehörden – die betreffende Person anhand der gespeicherten IP-Adressen be-stimmt werden kann.
7. Zur Zulässigkeit der Datenübertragung in die USA vor und nach dem unter dem 10.07.2023 gefassten Beschluss der EU-Kommission mit dem Titel „EU US Data Privacy Framework“.
(Amtliche Leitsätze)