OLG Köln: Drittlandübermittlung
OLG Köln, Urteil vom 3.11.2023 – 6 U 58/23
ECLI:DE:OLGK:2023:1103.6U58.23.00
Volltext: BB-Online BBL2024-386-1
unter www.betriebs-berater.de
Amtliche Leitsätze
1. Ein Unterlassungsantrag, der losgelöst von der konkreten Verletzungsform auf ein allgemeines Verbot der Übermittlung sogenannter Positivdaten von Mobilfunknutzern an Wirtschaftsauskunfteien gerichtet ist, erweist sich als zu weitgehend, da jedenfalls nicht ausgeschlossen werden kann, dass eine Datenübermittlung aus Gründen der Betrugsprävention bei datenschutzkonformer Ausgestaltung des Prozesses im berechtigten Interesse des Verantwortlichen im Sinne von Art. 6 Abs. 1 Unterabsatz 1 lit. f DSGVO liegen kann.
2. Datenschutzhinweise, die in Erfüllung der sich aus Art. 13 und 14 DSGVO ergebenden Informationspflichten erfolgen und nicht zum Gegenstand einer vorformulierten Einwilligungserklärung gemacht werden, stellen keine Allgemeinen Geschäftsbedingungen dar.
3. Ein auf § 25 TTDSG gestützter und auf die konkrete Verletzungsform bezogener Antrag kann gleichwohl wegen zu weiter Fassung unbegründet sein, wenn dem Anbieter der Telemedien durch Formulierungen im abstrakten Teil des Antrags eine bestimmte Gestaltung des Cookie-Banners bzw. des „Ablehnen“-Buttons aufgegeben wird.
4. Klauseln zu den Themen „Analytische Cookies“ und „Marketing-Cookies“ in den Datenschutzhinweisen, die in die vorformulierte Einwilligungserklärung auf dem Cookie-Banner einbezogen werden, dienen der Einholung der Einwilligung von Besuchern der Webseite zum Setzen bestimmter Cookies und zur Datenverarbeitung und nehmen von daher am Rechtscharakter der vorformulierten Einwilligungserklärung als AGB teil.
5. Klauseln im Cookie-Banner, die eine Drittlandübermittlung von Daten als durch Art. 49 Abs. 1 S. 1 lit. b DSGVO gedeckt darstellen, sind nach § 307 Abs. 2 Nr. 1 BGB unwirksam, wenn der Erlaubnistatbestand der DSGVO nicht einschlägig ist, weil die durch Cookies erhobenen Daten zu Marketing- und Analysezwecken nicht der Vertragserfüllung, sondern eigenen wirtschaftlichen Zwecken des Verantwortlichen dienen sollen.
6. Dynamische IP-Adressen, die ein Anbieter von Online-Diensten speichert und an einen ausländischen Suchmaschinenbetreiber übermittelt, können personenbezogene Daten sein, wenn – zum Beispiel im Falle von Cyber-Angriffen mit Hilfe der Strafverfolgungsbehörden – die betreffende Person anhand der gespeicherten IP-Adressen bestimmt werden kann.
7. Zur Zulässigkeit der Datenübertragung in die USA vor und nach dem unter dem 10.07.2023 gefassten Beschluss der EU-Kommission mit dem Titel „EU US Data Privacy Framework“.
Sachverhalt
I.
Der Kläger, ein in der Form des eingetragenen Vereins handelnder Verbraucherschutzverband, der in die Liste der qualifizierten Einrichtungen im Sinne von § 4 UKlaG beim Bundesamt für Justiz (Stand: 28. August 2023, dort S. 11) eingetragen ist, nimmt das beklagte Telekommunikationsunternehmen, eine Tochter der E., auf Unterlassung in Anspruch, gestützt auf bestimmte Datenübermittlungen an Auskunfteien bzw. an in Drittländern ansässige Unternehmen sowie auf die Gestaltung von dessen Datenschutzhinweisen und des sog. „Cookie-Banners“ auf dessen Webseite.
Dabei beanstandet der Kläger mit den Anträgen zu 1) a) und b) die Übermittlung von sog. Positivdaten insbesondere an die SCHUFA und die CRIF Bürgel GmbH und eine diesbezüglich verwendete Klausel in den Datenschutzhinweisen. Positivdaten sind solche Daten, die keine negativen Zahlungserfahrungen oder sonstiges nicht vertragsgemäßes Verhalten zum Inhalt haben, sondern Informationen über die Beantragung, Durchführung und Beendigung des Vertrags. Die Klausel (Ziff. 4.4. der allgemeinen Datenschutzhinweise der Marke „D.“ der Beklagten) lautet:
„An die SCHUFA Holding AG und an die CRIF Bürgel GmbH übermitteln wir außerdem im Rahmen des Vertragsverhältnisses erhobene personenbezogene Daten über die Beantragung, die Durchführung und Beendigung desselben sowie Daten über nicht vertragsgemäßes oder betrügerisches Verhalten. Rechtsgrundlagen für diese Übermittlungen sind Art. 6 Abs. 1 b und f DSGVO. Die SCHUFA und CRIF Bürgel verarbeiten die erhaltenen Daten und verwenden sie auch zum Zwecke des Scorings, um ihren Vertragspartnern im Europäischen Wirtschaftsraum und in der Schweiz sowie ggf. weiteren Drittländern (sofern zu diesen ein Angemessenheitsbeschluss der Europäischen Kommission besteht) Informationen unter anderem zur Beurteilung der Kreditwürdigkeit von natürlichen Personen zu geben. Unabhängig vom Bonitätsscoring unterstützt die SCHUFA ihre Vertragspartner durch Profilbildungen bei der Erkennung auffälliger Sachverhalte (z. B. zum Zwecke der Betrugsprävention im Versandhandel) […] “
Mit dem Antrag 1) c) wendet sich der Kläger dagegen, dass die Beklagte in ihren Cookie-Bannern eine nach seiner Auffassung nicht den gesetzlichen Anforderungen genügende Einwilligung einhole.
Mit dem Antrag 1) d) bemängelt der Kläger die Nichteinhaltung der Vorschriften der VO (EU) 2016/679 (im Folgenden: DSGVO) im Zusammenhang mit der Drittlandübermittlung von Daten und unter den Anträgen 1) e) und f) dazugehörige Klauseln in den Datenschutzhinweisen der Beklagten.
Der Kläger mahnte die Beklagte unter dem 25.01.2022 (Anlage K2, Bl. 55 f. GA) wegen der Positivdatenübermittlung und unter dem 24.02.2022 (Anlage K5, Bl. 73 ff. GA) wegen der Cookie-Banner-Gestaltung sowie wegen der Übermittlung von Daten in Drittländer ab. Die Beklagte gab keine Unterlassungserklärung ab.
Wegen des näheren Sach- und Streitstandes bis zur Entscheidung in erster Instanz und der erstinstanzlich gestellten Anträge wird gemäß § 540 Abs. 1 S. 1 Nr. 1 ZPO auf das Urteil des Landgerichts Bezug genommen (Bl. 596 ff. GA, berichtigt durch Beschluss vom 05.05.2023, Bl. 684 ff. GA).
Das Landgericht hat der Klage hinsichtlich des Antrags zu 1) d) (Drittlandübermittlung an Google) stattgegeben und sie im Übrigen abgewiesen. Zur Begründung hat es im Wesentlichen ausgeführt:
Der Antrag zu 1) a) sei unbegründet. Zwar sei die angegriffene Datenübermittlung unzulässig gewesen, da die Voraussetzungen des Art. 6 Abs. 1 S. 1 lit. f) DSGVO (Bekämpfung betrügerischen Verhaltens) bei Positivdaten nicht vorlägen. Der Unterlassungsantrag sei aber zu weit gefasst, da er zulässige Handlungen erfassen könne. Der Kläger schließe lediglich Fälle der Einwilligung und der gesetzlichen Verpflichtung, nicht aber des berechtigten Interesses aus. Es sei nicht von vorneherein auszuschließen, dass Fallgestaltungen aufträten, in denen zukünftig – anders als bisher – ein berechtigtes Interesse bestehe. Gleichfalls unbegründet sei der Antrag zu 1) b). Die Klausel unterliege nicht der AGB-Kontrolle, sodass § 1 UKlaG nicht anwendbar sei. Nach dem Vortrag des Klägers sei nicht ersichtlich, dass die beanstandete Klausel bei Vertragsschluss als Allgemeine Geschäftsbedingung aufgenommen worden sei. Vielmehr ergebe sich aus dem klägerischen Vortrag lediglich die Einbeziehung einer solchen Klausel unter Ziff. 4.4. der Datenschutzhinweise. Bei den Informationspflichten handele es sich aber um für die Parteien der Datenverarbeitung (Verantwortliche und betroffene Person) nicht-dispositives Recht. Die Datenschutzhinweise seien Informationen, die der Verantwortliche zwingend bereitzustellen habe, ohne dass es auf seinen Willen ankäme. Ein Rechtsbindungswille hinsichtlich des Inhalts der Datenschutzhinweise liege regelmäßig fern. Spiegelbildlich gingen betroffene Personen – zu Recht – regelmäßig nicht davon aus, dass Verantwortliche ihnen mittels der Datenschutzhinweise einen Vertrag antrügen. Soweit sich Datenschutzhinweise im Rahmen der Informationspflichten nach Art. 13 und 14 DSGVO hielten, unterlägen sie nicht der AGB-rechtlichen Klauselkontrolle, da ihnen insoweit kein eigener Regelungsgehalt zukomme. Dass der Hinweis in den Vertragsschluss in Bezug auf Mobilfunkverträge einbezogen werde und dort den Eindruck der rechtsgeschäftlichen Bindung erwecke, trage der Kläger schon nicht vor. Es bestehe auch kein Unterlassungsanspruch in Bezug auf den Antrag zu 1) c) in der geltend gemachten Form. Zwar habe die ehemalige Gestaltung des Cookie-Banners nicht den Anforderungen des § 25 Abs. 1 TTDSG entsprochen. Der Antrag sei aber zu weit gefasst und enthalte durch die Formulierung „ohne im Cookie-Banner eine der Einwilligungserklärung in Form, Funktion und Farbgebung gleichwertige, gleichrangige und gleich einfach zu bedienende Ablehnungsoption bereitzustellen“ ausdrücklich eine Verpflichtung zu einer bestimmten Form der Bannergestaltung. Letzteres ergebe sich aber weder aus den Vorschriften der DSGVO noch aus den Erwägungsgründen. Der Antrag zu 1) d) sei hinreichend bestimmt, weil die konkrete Verletzungsform durch Bezugnahme auf die Schilderung auf S. 6 bis 8 des Schriftsatzes vom 04.01.2023 (Bl. 210 - 212 GA) angegeben worden sei. In der Sache bestehe ein Anspruch auf Unterlassung der bezeichneten Datenübermittlung in die USA nach § 2 Abs. 2 S. 1 Nr. 11 UKlaG iVm §§ 8, 3 Abs. 1, 3a UWG iVm Art. 44 ff. DSGVO. Die klägerseits vorgetragene Übermittlung von IP-Adressen sowie Browser- und Geräteinformationen an Google LLC als Betreiberin von Google Analyse- und Marketingdiensten mit Sitz in den USA sei als unstreitig zu behandeln und sei nicht von den Rechtfertigungstatbeständen der DSGVO gedeckt. Die Beklagte habe im Schriftsatz vom 02.02.2023 die Übermittlung von IP-Adressen nur pauschal bestritten. Die Übertragung und Verarbeitung von Daten liege im Wahrnehmungs- und Organisationsbereich der Beklagten. Der Beklagten sei es daher möglich gewesen, substantiiert dazu vorzutragen, unter welchen Voraussetzungen welche Daten an die Google LLC übertragen würden und wo diese verarbeitet würden. Es handele sich bei den übermittelten (dynamischen) IP-Adressen auch um personenbezogene Daten, da die Beklagte, soweit es sich bei den Besuchern um ihre Kunden handele, ohne großen Aufwand Internet-Nutzer identifizieren könne, da sie über entsprechende Dateien systematisch Datum, Zeitpunkt, Dauer und die dem Internet-Nutzer zugeteilte dynamische IP-Adresse zusammenführen könne. Gleiches gelte für Google LLC, die als Anbieterin von Online-Mediendiensten ebenso über die Mittel verfüge, Personenprofile zu erstellen und diese auszuwerten. In den USA sei kein angemessenes Datenschutzniveau gewährleistet, weil der EU-US Angemessenheitsbeschluss („Privacy Shield“) nach dem Urteil des EuGH in der Sache „Schrems II“ (Urteil vom 16.07.2020, Rs. C-311/18 – Facebook Ireland u. Schrems) ungültig sei. Auch etwaige Standarddatenschutzklauseln könnten die Datenübermittlung in die USA nicht rechtfertigen, da sie nicht geeignet seien, ein der DSGVO entsprechendes Datenschutzniveau zu gewährleisten, insbesondere da solche Verträge nicht vor einem behördlichen Zugriff in den USA schützten. Auf eine Einwilligung iSd Art. 49 Abs. 1 S. 1 lit. a) DSGVO könne sich die Beklagte nicht berufen. Denn die Website-Besucher seien entgegen den Anforderungen dieser Vorschrift nicht über eine Datenübermittlung an Google LLC unterrichtet worden. In den ehemaligen Datenschutzhinweisen sei lediglich über eine Übermittlung von Daten an Xandr und Heap informiert worden. Es sei an der Beklagten, die Wirksamkeitsvoraussetzungen der Einwilligung darzulegen und zu beweisen. Die Anträge zu 1) e) und f) seien unbegründet, weil die in den Datenschutzhinweisen enthaltenen Klauseln nicht der AGB-Kontrolle unterlägen und daher § 1 UKlaG nicht eingreife. Das Angebot der Website an sich stelle dagegen keine Leistung dar, die die Beklagte Verbrauchern anbiete. Da das Aufrufen der Seite nicht mit einem Vertragsschluss verbunden sei, liege die Annahme, dass die Datenschutzhinweise Vertragsbedingungen enthielten und die Beklagte insoweit einen Rechtsbindungswillen habe, aus Sicht des Verbrauchers fern. Es handele sich bei den Datenschutzhinweisen vielmehr um Informationen, die der Verantwortliche bereitstelle, ohne dass bei dem Verbraucher der Eindruck vermittelt werde, durch die Datenschutzhinweise verpflichtet zu werden.
Gegen dieses Urteil richten sich die Berufungen beider Parteien.
Der Kläger erstrebt die Zuerkennung der Anträge zu 1) a), b), c), e) und f) und macht hierzu im Wesentlichen geltend: Die Formulierung des Klageantrages zu 1) a) befinde sich auf einer Linie mit der Position des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) und sei daher nicht zu weit gefasst. Das von der Beklagten neben der Bonitätsprüfung angeführte „berechtigte Interesse“ der Betrugsprävention könne zwar isoliert betrachtet im Hinblick auf Erwägungsgrund 47 S. 6 DSGVO in Ausnahmefällen auf der ersten von drei Stufen ein „berechtigtes Interesse“ im Sinne des Art. 6 Abs. 1 S. 1 lit. f) DSGVO darstellen. Vorliegend fehle es jedoch vor dem Hintergrund der EuGH-Rechtsprechung zur dreistufigen Interessenabwägung im Rahmen von Art. 6 Abs. 1 S. 1 lit. f) DSGVO sowohl an der Erforderlichkeit der Übermittlung von Positivdaten an Auskunfteien auf zweiter Stufe als auch an einem Überwiegen der berechtigten Interessen der Beklagten gegenüber den Interessen und Grundrechten betroffener Personen. Das Landgericht habe es selbst nicht vermocht, ein in Zukunft in Betracht kommendes Interesse der Beklagten an der Übermittlung dieser Daten zu benennen und habe insoweit auch die Darlegungs- und Beweislast für die Einhaltung datenschutzrechtlicher Vorschriften verkannt. Demgegenüber sei das Landgericht München in seinem Urteil vom 25.04.2023 (Az. 33 O 5976/22, S. 35 bis S. 37, vorgelegt als Anlage K16) zutreffend davon ausgegangen, dass die Übermittlung von Positivdaten an Wirtschaftsauskunfteien durch ein Telekommunikationsunternehmen nicht auf Art. 6 Abs. 1 S. 1 lit. f) DSGVO gestützt werden könne. Das Landgericht München habe auch den Unterlassungsantrag nicht für zu weit befunden. Bei dem Antrag zu 1) b) handele es sich um AGB. Maßgeblich sei, ob ein durchschnittlicher Adressat der betreffenden Erklärung den Eindruck gewinnen müsse, die Erklärung begründe für ihn eine irgendwie geartete Verbindlichkeit. Auch Erklärungen einer Vertragspartei bezüglich der Datenerhebung, -verwendung und -weitergabe, die von deren eigentlichen Geschäftsbedingungen äußerlich getrennt seien, stellten Vertragsbedingungen dar, wenn sie nach dem objektiven Empfängerhorizont nicht als bloße Tatsachenmitteilungen, sondern als verbindliche Regelungen für das bestehende oder sich anbahnende Vertragsverhältnis zu verstehen seien. Die Datenverarbeitung sei nicht durch ein berechtigtes Interesse gem. Art. 6 Abs. 1 S. 1 lit. f) DSGVO gerechtfertigt. Es stelle sich darüber hinaus so dar, als müsse der Verbraucher diese Praxis hinnehmen, ob er wolle oder nicht. Sehe man die Klauseln nicht als AGB an, entstehe eine Schutzlücke bzw. seien die Klauseln einer Rechtmäßigkeitskontrolle entzogen. Jedenfalls die von der Beklagten gewählten Formulierungen in den konkret beanstandeten Klauseln erweckten den Eindruck von Rechtsverbindlichkeit, weshalb es nicht darauf ankomme, ob es sich bei Datenschutzhinweisen im Rahmen von Informationspflichten nach Art. 13 und 14 DSGVO grundsätzlich um Allgemeine Geschäftsbedingungen handele. Der Antrag zu 1) c) sei nicht zu weitgehend. Dass ein Unterlassungsantrag auf die Gestaltung einer Ablehnungsmöglichkeit für die formularmäßige Abfrage einer Einwilligungserklärung Bezug nehme, sei bereits notwendige Zulässigkeitsvoraussetzung für die Bestimmtheit von Unterlassungsanträgen. Aus der Formulierung des Antrags gehe nicht hervor, dass die Beklagte ausdrücklich zu einer bestimmten Form der Bannergestaltung verpflichtet würde. Der Verwender eines Cookie-Banners sei grundsätzlich frei in der Gestaltung desselben bzw. der notwendigen Einwilligungsabfrage. Entscheide er sich jedoch für eine bestimmte Art der Gestaltung, so müssten die auszuwählenden Optionen gleichwertig, gleichrangig und gleich einfach zu bedienen sein. Das betreffe sowohl die Form und Funktion als auch die Farbgebung. In der Sache biete das verwendete Cookie-Banner Nutzern keine freie und echte Wahl und verstoße daher gegen § 25 Abs. 1 S. 2 TTDSG i. V. m. Art. 4 Nr. 11 DSGVO. Die bloße Auswahl zwischen „Akzeptieren“ und „Einstellungen“ sei damit unzulässig, wie sich auch aus einem Gegenschluss aus Art. 7 Abs. 3 S. 4 DSGVO ergebe. Hinsichtlich der Anträge zu 1) e) und f) habe das Landgericht verkannt, dass die Klauseln in den Datenschutzhinweisen der Beklagten bezüglich des Einsatzes von Analyse- und Marketingcookies Allgemeine Geschäftsbedingungen darstellten, die einer Kontrolle nach den §§ 307 ff. BGB zugänglich seien. Sie vermittelten den Eindruck, dass die Beklagte sich das Recht sichere, den Besuch der Website von dem Einsatz von Cookies zu Analyse- und Marketingzwecken abhängig zu machen. Das Aufrufen der Seite sei deshalb mit einem Vertragsschluss verbunden, weil diese als Plattform diene, über die der Vertrag überhaupt erst geschlossen werden könne. Die Webseite bilde insofern die Grundvoraussetzung für den Abschluss des Vertrages und stelle so den Vertragsbezug der betreffenden Klauseln her.
Der Kläger beantragt, unter teilweiser Abänderung der angefochtenen Entscheidung
1. die Beklagte zu verurteilen, es bei Vermeidung eines vom Gericht für den Fall der Zuwiderhandlung festzusetzenden Ordnungsgeldes – ersatzweise Ordnungshaft – oder einer Ordnungshaft bis zu sechs Monaten (Ordnungsgeld im Einzelfall höchstens 250.000,00 EUR, Ordnungshaft insgesamt höchstens zwei Jahre), zu vollziehen an ihren jeweiligen gesetzlichen Vertreter,
zu unterlassen,
a. im Rahmen geschäftlicher Handlungen gegenüber Verbrauchern bei Anbahnung und/oder Durchführung von Mobilfunkverträgen Positivdaten, also personenbezogene Daten, die keine Zahlungserfahrungen oder sonstiges nicht vertragsgemäßes Verhalten zum Inhalt haben, sondern insbesondere Informationen über die Beauftragung, Durchführung und Beendigung eines Vertrags, an Wirtschaftsauskunfteien, insbesondere namentlich die SCHUFA Holding AG, Kormoranweg 5, 65201 Wiesbaden und die CRIF Bürgel GmbH, Leopoldstraße 244, 80807 München, zu übermitteln, es sei denn, es liegt eine wirksame Einwilligung der betroffenen Verbraucher vor oder die Übermittlung ist zur Erfüllung einer gesetzlichen Verpflichtung erforderlich, der die U. unterliegt,
b. die nachfolgende (in Anführungszeichen gesetzte) oder eine inhaltsgleiche Klausel in Bezug auf Datenschutzhinweise für Mobilfunkverträge mit Verbrauchern zu verwenden und sich bei bestehenden Verträgen darauf zu berufen:
„An die SCHUFA Holding AG und an die CRIF Bürgel GmbH übermitteln wir außerdem im Rahmen des Vertragsverhältnisses erhobene personenbezogene Daten über die Beantragung, die Durchführung und Beendigung desselben sowie Daten über nicht vertragsgemäßes oder betrügerisches Verhalten. Rechtsgrundlagen für diese Übermittlungen sind Art. 6 Abs. 1 b und f DSGVO.“,
c. im Rahmen geschäftlicher Handlungen gegenüber Verbrauchern in Telemedien über Formulare (Cookie-Banner) Verbraucher zur Abgabe einer Einwilligungserklärung aufzufordern,
um zu Zwecken der Werbung und/oder Marktforschung Informationen auf dem Endgerät des Nutzers zu speichern oder auf Informationen zuzugreifen, die bereits im Endgerät der Nutzer hinterlegt sind, sofern die Speicherung oder der Endgerätezugriff für den Betrieb des Telemediums nicht unbedingt notwendig ist,
ohne im Cookie-Banner eine der Einwilligungserklärung in Form, Funktion und Farbgebung gleichwertige, gleichrangige und gleich einfach zu bedienende Ablehnungsoption bereitzustellen,
wenn dies erfolgt wie nachfolgend dargestellt:
e. die nachfolgende (in Anführungszeichen gesetzte) oder eine inhaltsgleiche Klausel in Bezug auf Datenschutzhinweise für Verbraucher zu verwenden und sich bei bestehenden Verträgen darauf zu berufen:
„Analytische Cookies Diese Cookies helfen uns, das Nutzungsverhalten besser zu verstehen. Analysecookies ermöglichen die Erhebung von Nutzungs- und Erkennungsmöglichkeiten durch Erst- oder Drittanbieter, in so genannten pseudonymen Nutzungsprofilen. Wir benutzen beispielsweise Analysecookies, um die Zahl der individuellen Besucher einer Webseite oder eines Dienstes zu ermitteln oder um andere Statistiken im Hinblick auf den Betrieb unserer Produkte zu erheben, als auch das Nutzerverhalten auf Basis anonymer und pseudonymer Informationen zu analysieren, wie Besucher mit der Webseite interagieren. […] Rechtsgrundlage für diese Cookies ist […] bei Drittstaaten Art. 49 Abs. 1 b DSGVO.“,
f. die nachfolgende (in Anführungszeichen gesetzte) oder eine inhaltsgleiche Klausel in Bezug auf Datenschutzhinweise für Verbraucher zu verwenden und sich bei bestehenden Verträgen darauf zu berufen:
„Marketing Cookies/ Retargeting Diese Cookies und ähnliche Technologien werden eingesetzt, um Ihnen personalisierte und dadurch relevante werbliche Inhalte anzeigen zu können. Marketingcookies werden eingesetzt, um interessante Werbeinhalte anzuzeigen und die Wirksamkeit unserer Kampagnen zu messen. […] Marketing und Retargeting Cookies helfen uns mögliche relevanten Werbeinhalte für Sie anzuzeigen. […] Rechtsgrundlage für diese Cookies ist […] bei Drittstaaten Art. 49 Abs. 1 b DSGVO.“
2. die Beklagte zu verurteilen, an den Kläger 520,00 € nebst Zinsen in Höhe von fünf Prozentpunkten über dem jeweiligen Basiszinssatz seit dem 19.08.2022 zu zahlen.
Die Beklagte beantragt,
die Berufung zurückzuweisen.
Sie verteidigt das angefochtene Urteil, soweit es zu ihren Gunsten ergangen ist, unter Wiederholung und Vertiefung des erstinstanzlichen Vorbringens.
Zu ihrer eigenen Berufung, mit der sie über die bisherige Klageabweisung hinaus die Abweisung auch des Antrags zu 1) d) erstrebt, macht die Beklagte geltend: Das Landgericht habe den klägerischen Vortrag zur Drittlandübermittlung von personenbezogenen Daten an die Google LLC zu Unrecht berücksichtigt, tatsächlich sei dieser präkludiert. In der Sache sei der Vortrag des Klägers zur Drittlandübermittlung nicht ausreichend, weil er sich darin erschöpfe, dass von „in einer Serveranfrage des Klägers enthaltenen personenbezogene Daten wie die IP Adresse, sowie eindeutige Browser- und Geräteinformationen wie der User Agent“ die Rede sei, ohne die an die Google LLC übermittelten Daten so genau zu benennen, dass die Kammer oder die Beklagte in der Lage wären, die Qualität dieser Daten und die Einordnung als personenbezogene Daten zu prüfen und nachzuvollziehen. Die HAR-Datei, die nur in Auszügen vorliege, sei zur Beweisführung nicht geeignet, weil dieser Standard zwar in allen marktüblichen Browsern verfügbar sei, aber gerade keinen von der IETF (Internet Engineering Task Force) verabschiedeten Internetprotokollstandard nach RFC darstelle. Er sei nicht kryptografisch gesichert und gegen Manipulation geschützt. Etwaige eigene Sachkunde habe die Kammer im Urteil nicht dargelegt. Aus Anlage K11 ergebe sich nicht, dass die IP-Adresse des anfragenden Webseiten-Besuchers übermittelt worden sei. Wenn es sich bei dem Anfragenden um den Kläger selbst handele, falle dieser nicht in den Anwendungsbereich der DSGVO. Die sog. Conversion-ID der Beklagten, die übermittelt worden sei, habe nichts mit dem Website-Besucher zu tun, sondern spezifiziere den Google Ads-Account der Beklagten. Den Standort des Servers in einem Drittland habe der Kläger ebenfalls nicht schlüssig dargetan, weil er nur die Registrierung der IP-Adresse durch die Google LLC mit Sitz in Kalifornien dargelegt habe, woraus nichts über die physische Belegenheit des die Anfrage erhaltenden Servers folge. Insofern sei das Bestreiten der Beklagten ausreichend gewesen. Angesichts des nicht ausreichenden Vortrags bestehe auch keine sekundäre Darlegungslast der Beklagten. Insoweit habe das Landgericht zudem gegen seine Hinweispflicht verstoßen. Bei Erteilung eines Hinweises wäre folgender neuer Vortrag (S. 17 ff. der Berufungsbegründung, Bl. 515 ff. eA) gehalten worden: Die Ausführungen des Klägers zur Identifizierung des Nutzers durch „eindeutige Online-Kennungen wie IP-Adressen und einzigartige Kennungen wie Nutzer-IDs (bei Google Client ID und User ID)“ seien zu pauschal, denn Google biete eine Vielzahl unterschiedlicher Dienste und Funktionen an, die jeweils unterschiedlich technisch umgesetzt würden. Welche dieser Dienste bei einer spezifischen Webseitennutzung ausgelöst würden, hänge von vielen Faktoren ab, unter anderem davon, welche dieser Dienste von dem Webseitenbetreiber bei Google „eingekauft“ worden seien oder welche Einwilligungen der Nutzer erteilt habe. Da nur eine bestimmte „Request-URL“ als konkrete Verletzungsform von dem Kläger angeführt werde, komme es auch nur auf den in dieser URL genutzten Google-Dienst an. Dieser betreffe lediglich die „Remarketing-Funktion“ in Gestalt eines „Google Ads Tag“. Technisch werde dies so realisiert, dass Google einen in der Programmiersprache Javascript verfassten Code bereitstelle, den die Beklagte in ihr System zum Betreiben der Webseite einpflege. Dieser Code wiederum verweise auf einen weiteren, diesmal bei Google gehosteten, Code, der auf dem Endgerät des Nutzers zur Ausführung gebracht werde und dafür sorge, dass die Anfrage mit den erhobenen Informationen durch das Endgerät des Nutzers an Google versandt werde. Die angeführte Request-URL enthalte keine eindeutigen User-Kennungen. Es handele sich nicht um ein sogenanntes „Google Image Pixel“. Aus der vorgelegten HAR-Datei lasse sich anhand der Angabe „1puser-list“ entnehmen, dass der Webseitenbesucher Teil einer Remarketing-Datensegmentliste sei; bei der Zahlenfolge „xxxxxxxxx“ handele es sich um die eindeutige Conversion-ID des spezifischen „Tags“ der Beklagten und folglich nicht um ein personenbezogenes Datum. Hinsichtlich des Standorts des Servers sei die Abfrage bei der ARIN (amerikanische Registrierungsbehörde für Internetadressen) nicht aussagekräftig, weil diese sich nur zum Ort der Registrierung am Sitz von Google in den USA äußern könne. Informationen zum tatsächlichen Standort ergäben sich hieraus nicht. Tatsächlich habe sich der genannte Server in Frankfurt am Main befunden. Dies gehe auch aus einem Schreiben der Google Ireland Ltd. (Anlagen 6a und 6b, Bl. 560 ff. eA) hervor. Dasselbe habe auch eine Recherche der Beklagten ergeben (Screenshot Bl. 519 eA sowie Anlage B8, Bl. 572 eA). Die Datenübermittlung betreffe zudem den Dienst „Google AdServices“. Vertragspartner der Beklagten für diesen Service sei aber nicht die Google LLC, sondern die Google Ireland Ltd. mit Sitz in Dublin, wie aus Anlage B7 (Bl. 564 ff. eA) folge. Mit dieser letzteren Gesellschaft habe die Beklagte die als Anlage B9 (Bl. 573 ff. eA) vorgelegten „Google Ads Controller-Controller Data Protection Terms“ ergänzend vereinbart, die sich auf die hier in Rede stehende Datenübermittlung bezögen. Soweit die Kammer beanstandet habe, dass in den ehemaligen Datenschutzhinweisen der Beklagten lediglich über eine Übermittlung von Daten an Xandr und Heap, nicht aber über eine solche an Google LLC, informiert worden sei, finde sich bereits in den von dem Kläger als Anlage K1 vorgelegten Datenschutzhinweisen der Beklagten ab S. 4 unter der fett gedruckten Überschrift „Google“ ein Hinweis auf die Nutzung der Funktion „Google Ads“ (vormals „Google AdWords“) und darauf, dass es zu einer Datenübermittlung an Google komme. Dabei würden nach Angaben des (getrennt) Verantwortlichen (= Google) keine personenbezogenen Daten von diesem (d. h. Google) bei diesem Vorgang erhoben. Insofern habe das Landgericht den Tatbestandsberichtigungsantrag der Beklagten zu Unrecht zurückgewiesen. Dies ergebe sich auch aus Kap. 3 der am 03.01.2023 maßgeblichen Datenschutzhinweise der Beklagten (Anlage B10, Bl. 581 ff. eA). Die Beklagte stelle insoweit technisch sicher (S. 25 ff. der Berufungsbegründung, Bl. 523 ff. eA), dass die beanstandete Server-Anfrage nur erfolge, wenn der Nutzer zuvor seine Einwilligung erteilt habe. Denn dem Aufruf der Webseite www.u.de sei jedenfalls in den Fällen, in denen der Browser des Nutzers die Ausführung von Javascript-Code nicht komplett blockiere, ein sogenanntes „Cookie-Banner“ (Screenshot in Anlage B11, Bl. 591 ff. eA) vorgeschaltet, das die Webseite darunter überlagere und verhindere, dass diese angeklickt werden könne. Wenn der Nutzer sich dazu entscheide, nur mit den für die Funktionalität der Webseite notwendigen Cookies fortzufahren, bleibe nur der Anteil an Scripten und Cookies aktiv, der für den Webseiten-Betrieb und die Funktionen unbedingt notwendig sei. Es würden insbesondere keine Analyse-, Marketing- oder Drittanbieter-Tracking-Tools nachgeladen, was auch für die streitgegenständliche Request-URL gelte. Dies erfolge nur dann, wenn der Nutzer im Cookie-Banner auf „Alle akzeptieren“ klicke oder sich in der Auswahlebene (2. Ebene des Cookie-Banners auf die er durch Klicken auf den Button „Einstellung ändern“ gelangt) für die Option „Dienste von anderen Unternehmen (eigenverantwortliche Drittanbieter)“ entscheide. Diese bewusste Entscheidung werde grundsätzlich auch in HAR-Dateien, wie sie der Kläger allerdings unvollständig vorgelegt habe, abgebildet (Screenshot S. 27 der Berufungsbegründung, Bl. 525 eA). Insofern indiziere der Umstand, dass der Kläger die Request-URL dokumentieren konnte, bereits eine zuvor erteilte Einwilligung, weil dies technisch zwingend sei. In prozessualer Hinsicht sei der Antrag zu 1) d) trotz Bezugnahme auf die konkrete Verletzungsform zu unbestimmt, weil es sich nicht um die Beschreibung und Darstellung einer objektiven Handlung handele (wie das Einkopieren einer Werbeanzeige oder die Bezugnahme auf eine solche), sondern um eine subjektive Wahrnehmung einer gerade nicht durch die Verletzungsform konkretisierten Handlung. Der Antrag gebe kein Verhalten wieder, welches geschehen wäre und zu untersagen sein könnte, sondern verbinde streitige Wertungen und Mutmaßungen des Klägers mit – für den Vorwurf gerade nicht aussagekräftigen - Auszügen aus einem technischen Sachverhalt (S. 30 der Berufungsbegründung, Bl. 528 eA). Insbesondere fehlten Angaben dazu, welche HTML-Elemente mit dem Antrag gemeint seien, welche Tracking-Pixel und welche personenbezogenen Daten übermittelt worden seien. Zudem erfasse der Antrag auch erlaubtes Verhalten und sei daher zu weit gefasst. Denn ein Verstoß gegen die DSGVO liege nicht vor, weil die dem Kläger zugewiesene IP-Adresse bereits kein personenbezogenes Datum darstelle, weil dieser als eingetragener Verein nicht in den Anwendungsbereich der DSGVO falle. Selbst bei Annahme der Übermittlung einer IP-Adresse reiche die rein hypothetische Möglichkeit zur Identifizierung einer Person nicht aus, um diese als identifizierbar im Sinne von Art. 4 Nr. 1 DSGVO anzusehen. Vielmehr sei bei der Beurteilung der Gefahr einer Identifizierung auf den konkreten Einzelfall abzustellen, was auch aus der einschlägigen BGH-Rechtsprechung folge. Die Kammer habe daher – was unterblieben sei - für die Annahme eines Personenbezugs der IP-Adresse prüfen müssen, ob Google ein Zugriffsrecht habe und dieses auch praktisch umsetzen könne (S. 36 der Berufungsbegründung, Bl. 534 eA). Eine solche Umsetzung sei im Streitfall indes unwahrscheinlich, weil es weder um die Ahndung von Urheberrechtsverletzungen noch um die Abwehr von Cyberangriffen, sondern um Onlinewerbung gehe. Zu einer Übertragung von Daten in die USA sei es nicht gekommen (S. 37 ff. der Berufungsbegründung, Bl. 535 ff. eA), weil das Vertragsverhältnis mit Google Ireland Ltd. so ausgestaltet sei, dass sowohl die Beklagte als auch Google Ireland Ltd. jeweils ein unabhängiger für die Verarbeitung personenbezogener Daten Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO seien (Ziff. 4 der Anlage B7 sowie Abschnitt 6.3 der „Controller-Bedingungen“, Anlage B8). Auf Grund der vertraglichen Zusicherungen der Google Ireland Ltd. gegenüber der Beklagten gehe sie davon aus, dass die Google Ireland Ltd. und die Google LLC auf der Grundlage der neu erlassenen Standardvertragsklauseln („SCC“) aus dem Jahr 2021 entsprechende Standard Datenschutzklauseln gem. Art. 46 Abs. 2 Nr. 3 DSGVO vereinbart hätten und dass die genannten Parteien einen Auftragsverarbeitungsvertrag geschlossen hätten, der die Anforderungen von Art. 28 DSGVO erfülle und Standardvertragsklauseln enthalte. Google Ireland Ltd. habe außerdem zusätzliche Maßnahmen ergriffen, die der Empfehlung des Europäischen Datenschutzausschusses Rechnung trügen, wie aus Anlage B13 (Bl. 604 ff. eA) hervorgehe, sowie eine Datenschutzfolgenabschätzung für den Datentransfer durchgeführt. Käme es zu einer Übertragung von Daten der Google Ireland Ltd. an ihren Auftragsverarbeiter Google LLC in den USA, sei das ein Umstand, der aus datenschutzrechtlicher Hinsicht der Beklagten nicht zuzurechnen sei. Die Beklagte sei für eine solche eventuelle Datenübertragung seitens der Google Ireland Ltd. nicht verantwortlich, weil keine gemeinsame Verantwortlichkeit im Sinne von Art. 26 DSGVO gegeben sei (S. 41 ff. der Berufungsbegründung, Bl. 539 ff. eA). Die Entscheidung „Fashion ID“ des EuGH sei insoweit nicht einschlägig. Hilfsweise liege eine ausdrückliche Einwilligung im Sinne von Art. 49 Abs. 1 S. 1 lit. a) DSGVO vor (S. 44 ff. der Berufungsbegründung, Bl. 542 ff. eA); durch den Datenschutzhinweis im Cookie-Banner habe die Beklagte darüber informiert, dass eine Weitergabe an Drittanbieter, die zum Teil die Daten außerhalb der Europäischen Union verarbeiten, erfolgen könne. Eine eventuelle Datenübermittlung von Google Ireland Ltd. an Google LLC sei in jedem Fall nach Art. 46 Abs. 1 und Abs. 2c DSGVO gerechtfertigt gewesen (S. 48 ff. der Berufungsbegründung, Bl. 546 ff. eA), zumal Google – wie bereits ausgeführt – ausweislich seiner „Google Ads IDTI“ (Anlage B13, Bl. 604 ff. eA) zusätzliche Schutzmaßnahmen ergriffen habe. Die Anforderungen, die der EuGH in der Rs. C-311/18 („Schrems II“) gestellt habe, seien daher erfüllt. Mit nachgelassenem Schriftsatz vom 04.10.2023 (Bl. 1478 ff. eA), auf den wegen der Einzelheiten verwiesen wird, hat die Beklagte ihr Vorbringen vertieft.
Die Beklagte beantragt, unter teilweiser Abänderung des angefochtenen Urteils,
die Klage abzuweisen.
Der Kläger beantragt,
die Berufung zurückzuweisen.
Er verteidigt das angefochtene Urteil, soweit es zu seinen Gunsten ergangen ist, unter Wiederholung und Vertiefung des erstinstanzlichen Vorbringens.
Aus den Gründen
II.
Die Berufungen der Parteien sind zulässig. Die Berufung des Klägers erzielt in der Sache einen Teilerfolg, während diejenige der Beklagten unbegründet ist.
Berufung des Klägers
Anders als das Landgericht angenommen hat, sind die Anträge des Klägers zu 1) e) und f) begründet, weil es sich bei den angegriffenen Klauseln um (unwirksame) AGB handelt, während es die Anträge zu 1) a), b) und c) mit Recht für unbegründet erachtet hat, weil insoweit keine AGB vorliegen (Antrag zu 1) b)) bzw. die Antragstellung auf einen zu weiten und damit nicht geschuldeten Unterlassungsanspruch zugeschnitten ist. Die Abmahnkosten sind teilweise geschuldet. Im Einzelnen gilt Folgendes (in der Reihenfolge der gestellten Anträge):
1. Antrag zu 1) a) (Übermittlung von Positivdaten an Auskunfteien)
Die Begründung des Landgerichts (LGU S. 19 f., Bl. 614 f. GA), wonach der Unterlassungsantrag materiell zu weit gefasst und daher schon aus diesem Grunde unbegründet ist, weil der Kläger die Ausnahme des „berechtigten Interesses“ an der Nutzung der Positivdaten nicht in den Verbotsantrag aufgenommen hat, trifft zu.
Nach der vom Landgericht zutreffend wiedergegebenen ständigen Rechtsprechung des Bundesgerichtshofs (vgl. neben den vom Landgericht aufgeführten Urteilen auch BGH GRUR 2013, 409, 410 Rn. 21 - Steuerbüro) gilt zur Aufnahme von Ausnahmetatbeständen in den Unterlassungstenor: In einen Unterlassungsantrag brauchen Ausnahmetatbestände nicht aufgenommen zu werden, wenn der Antrag die konkrete Verletzungsform beschreibt. Ist der Antrag dagegen gegen ein von der konkreten Verletzungsform losgelöstes Verhalten gerichtet, müssen Einschränkungen in den Antrag und entsprechend in den diesem stattgebenden Urteilstenor aufgenommen werden, um von einem weit gefassten Verbot etwa erlaubte Verhaltensweisen auszunehmen. Dementsprechend müssen, wenn der Klageantrag nicht auf die konkrete Verletzungsform beschränkt wird, die Umstände, unter denen die Verhaltensweise ausnahmsweise erlaubt ist, so genau umschrieben werden, dass im Vollstreckungsverfahren erkennbar ist, welche konkreten Handlungen von dem Verbot ausgenommen werden.
Um ein solches allgemeines Verbot und (entgegen S. 20 der Berufungsbegründung, Bl. 328 eA) nicht um eine konkrete Verletzungsform geht es auch im Streitfall. Der Verweis des Klägers auf das Urteil des Landgerichts München (Urteil vom 25.04.2023, Az. 33 O 5976/22, S. 35 bis S. 37, vorgelegt als Anlage K16, Bl. 350 ff. eA), verhilft der Berufung bereits deshalb nicht zum Erfolg, weil in jenem Verfahren eine konkrete Verletzungsform streitgegenständlich war (vgl. S. 2 ff. des Urteils, Bl. 351 ff. eA). Insofern ist es auch unbehelflich, wenn der Kläger – unter Berufung auf die Stellungnahmen verschiedener Aufsichtsbehörden - meint, dass die im Streit stehende Klausel die erforderliche dreistufige Interessenabwägung nicht ausreichend vornehme und auch das berechtigte Interesse der Beklagten nicht überwiege. Denn es ist für den Unterlassungstenor bei einem abstrakten Verbot nicht entscheidend, ob die Übermittlung im konkreten Fall von einem berechtigten Interesse gedeckt ist, sondern ob solche Fälle auch in Zukunft denkbar sind. Das kann aber gerade nicht ausgeschlossen werden. Der Kläger erstrebt nämlich ein allgemeines Verbot der Übermittlung von Positivdaten. Insofern ist zwar auch nach Auffassung des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) „eine pauschal vorgesehene Einmeldung von Informationen wie Aufnahme und Beendigung eines Telekommunikationsvertrags verbunden mit Name, Anschrift und Geburtsdatum an eine Auskunftei ohne eine Einwilligung nicht in jedem Fall […] datenschutzrechtlich zulässig“ (S. 2 der Stellungnahme des BfDI vom 21.02.2023, Bl. 553 GA).
Hiernach ist es aber weiter möglich, dass eine andere Ausgestaltung des Umgangs mit Positivdaten einem berechtigten Interesse der Beklagten zur Betrugsprävention, die in Erwägungsgrund 46 der DSVGO ausdrücklich erwähnt ist, entsprechen kann. Auch der BfDI (a.a.O.) hat ausgeführt: „Die Betrugsprävention kann damit ein berechtigtes Interesse im Sinne von Art. 6 Abs. 1 UAbs. 1 lit f DSGVO darstellen. Nach diesem [Erwägungsgrund] darf diese Verarbeitung aber nur im "unbedingt erforderlichen Umfang" erfolgen“. Spräche man indes ein allgemeines Verbot der Einmeldung von Positivdaten an Auskunfteien aus, führte dies dazu, dass eine Übermittlung selbst bei datenschutzkonformer Ausgestaltung dieses Prozesses (also unter Darlegung, in welchen Szenarien und unter Vorschaltung interner Prüfprozesse etc. eine Übermittlung erfolgt) untersagt wäre, was mit dem zitierten Erwägungsgrund der DSGVO ersichtlich nicht in Übereinstimmung zu bringen wäre. Nicht entscheidend ist, ob das Gericht ein solches zulässiges Szenario benennen kann. Es geht vielmehr darum, der Beklagten einen ihr nach der DSGVO eingeräumten Gestaltungsspielraum beim Umgang mit Positivdaten zu belassen, den sie in den bestehenden Grenzen gestalten kann. Die Möglichkeit und Notwendigkeit einer Einzelfallbetrachtung hat auch der BfDI (a.a.O. S. 3, Bl. 554 GA) zutreffend betont.
2. Antrag zu 1) b) (Klausel betreffend Übermittlung Positivdaten an Auskunfteien)
Dem Kläger steht, wie das Landgericht mit Recht angenommen hat, kein Anspruch auf Unterlassung der Verwendung der mit dem Antrag zu 1) b) angegriffenen Klausel, die wie der Antrag zu 1) a) die Übermittlung von Positivdaten an Auskunfteien zum Gegenstand hat, zu. Ein Anspruch aus § 1 UKlaG auf Unterlassung der Verwendung dieser Hinweise besteht nur dann, wenn es sich hierbei um AGB im Sinne von § 305 Abs. 1 BGB handelt. Hieran fehlt es.
Der Begriff der AGB setzt eine Vertragsbedingung, d.h. eine Erklärung des Verwenders voraus, die den Vertragsinhalt regeln soll. Für die Unterscheidung zwischen (verbindlichen) Vertragsbedingungen und (unverbindlichen) Bitten oder Empfehlungen sowie bloßen Hinweisen ohne eigenständigen Regelungsgehalt ist auf den Empfängerhorizont abzustellen. Eine Vertragsbedingung liegt vor, wenn ein allgemeiner Hinweis nach seinem objektiven Wortlaut bei den Empfängern den Eindruck hervorruft, es solle damit der Inhalt eines vertraglichen oder vorvertraglichen Rechtsverhältnisses bestimmt werden (vgl. BGH GRUR 2009, 506, 507 Rn. 11 – Mobiltelefon). Dabei ist - ebenso wie bei der Auslegung des Inhalts von Allgemeinen Geschäftsbedingungen - auf den rechtlich nicht vorgebildeten Durchschnittskunden und die dabei typischerweise gegebenen Verhältnisse abzustellen (vgl. BGH, Urteil vom 09.04.2014, VIII ZR 404/12 Rn. 24 – juris = BGHZ 200, 362 ff.). Maßgebend kann insofern sein, ob die Hinweise Rechte und Pflichten der Beklagten und der Kunden im Allgemeinen festlegen sollen und nur aufgrund einer vertraglichen Vereinbarung und nicht aufgrund einer einseitig von der Beklagten praktizierten unverbindlichen Handhabung begründet werden können. Für das Vorliegen von AGB spricht es insbesondere, wenn mit den Hinweisen erkennbar die Zielsetzung verfolgt wird, ein rechtliches Fundament für die im Einzelnen abzuschließenden Verträge zu schaffen (BGH, Urteil vom 09.04.2014, VIII ZR 404/12 Rn. 27 – juris).
Gemessen an diesen Grundsätzen teilt der Senat die landgerichtliche Bewertung, wonach die Datenschutzhinweise keine AGB sind. Denn insoweit handelte die Beklagte in Erfüllung der sich aus Art. 13 und 14 DSGVO ergebenden Informationspflichten, die – wovon das Landgericht zutreffend ausgegangen ist – nicht-dispositives Recht darstellen (vgl. Paal/Hennemann, in: Paal/Pauly, DSGVO/BDSG, 3. Aufl. 2021, Art. 13 DSGVO Rn. 7). Es ist anerkannt, dass die bloße Wiedergabe gesetzlicher Informationspflichten, die nicht auf eine Änderung oder Ausgestaltung bestimmter Regelungen abzielt, keine AGB darstellt (zu Informationspflichten im Versicherungsrecht BGH NJW 2012, 3647, 3649 Rn. 33; zu Art. 13 DSGVO Wendehorst/Graf von Westphalen NJW 2016, 3745, 3748; vgl. auch OLG Frankfurt GRUR-RR 2015, 361, 365 Rn. 48 ff. – eBook-AGB), was den AGB-Charakter im Streitfall ausschließt. Die Datenschutzhinweise werden auch nicht zum Gegenstand einer Einwilligungserklärung gemacht, was im Einzelfall den AGB-Charakter begründen kann. Bei dem Antrag zu 1) b) bezieht sich der Kläger – im Unterschied zu den Anträgen zu 1 e) und f) - allein auf die jeweiligen Datenschutzhinweise beim Abschluss von Mobilfunkverträgen und nicht auf die Nutzung der Webseite, für die die Datenschutzhinweise in Anlage K1 (Bl. 49 ff GA) gelten, in der die entsprechende Passage nicht enthalten ist. Vortrag dazu, dass die AGB auf die Datenschutzhinweise Bezug nehmen oder bei dem Abschluss von Mobilfunkverträgen die Zustimmung zu den Datenschutzhinweisen verlangt wird, hat der Kläger nicht gehalten.
3. Antrag zu 1) c) (Gestaltung des Cookie-Banners)
Der Antrag zu 1) c) ist wegen der zu weiten Antragsfassung unbegründet, ohne dass es auf die inhaltliche Berechtigung der Einwände gegen die Gestaltung des Cookie-Banners ankommt.
Nach § 25 TTDSG ist jede Speicherung von Informationen in Endeinrichtungen von Endnutzerinnen oder der Zugriff auf bereits darin gespeicherte Informationen nur mit Einwilligung zulässig. Die Einwilligung muss gemäß § 25 Abs. 1 S. 2 TTDSG die Anforderungen der DSGVO erfüllen. In Art. 4 Nr. 11 DSGVO ist die Einwilligung der betroffenen Person definiert als jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist. Art. 7 Abs. 2 S. 1 DSGVO fordert, dass das Ersuchen um Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache so zu erfolgen hat, dass es von den anderen Sachverhalten klar zu unterscheiden ist. Ob aus diesen Vorschriften herzuleiten ist, dass die Möglichkeit zur Ablehnung von Cookies in gleicher Weise wie die Einwilligung in das Setzen von Cookies gestaltet sein muss, ist durch die Rechtsprechung noch keiner abschließenden Klärung zugeführt worden (vgl. Sesing MMR 2021, 544, 547 m.w.N.). Im Streitfall kann die Frage eines solchen Erfordernisses der Gleichwertigkeit offenbleiben.
Denn der Antrag ist in der gestellten Form jedenfalls deshalb unbegründet, weil sein Zusatz „ohne im Cookie-Banner eine der Einwilligungserklärung in Form, Funktion und Farbgebung gleichwertige, gleichrangige und gleich einfach zu bedienende Ablehnungsoption bereitzustellen“ die Beklagte zu einer positiven Handlung verpflichtet, die von der Reichweite des auf § 25 TTDSG gestützten Unterlassungsantrags nicht mehr gedeckt ist. Der Antrag ist zwar durch die Inbezugnahme der konkreten Verletzungsform hinreichend bestimmt, jedoch können solche Anträge aufgrund ihrer zu weiten Fassung gleichwohl inhaltlich unbegründet sein (vgl. Brüning, in: Harte-Bavendamm/Henning-Bodewig, UWG, 5. Auflage 2021, Vorbem. zu § 12 Rn. 88 m.w.N.).
Bei dem Antragsteil „ohne im Cookie-Banner etc.“ handelt es sich zunächst nicht um eine - zwar grundsätzlich in diesen Fällen nicht in den Tenor aufzunehmende, gleichwohl aber unschädliche - Ausnahme, in denen das Verbot nicht eingreift (vgl. hierzu Köhler/Feddersen, in: Köhler/Bornkamm/Feddersen, UWG, 41. Aufl. 2023, § 12 Rn. 1.45). Denn wie das Landgericht mit Recht angenommen hat, kommt dieser Wendung nach dem Willen des Klägers eine weitergehende Bedeutung zu, nachdem der Kläger hieran auch auf Befragen des Landgerichts und in Kenntnis der geäußerten Bedenken festgehalten hat (vgl. S. 23 LGU, Bl. 618 GA) und diese Antragsfassung auch in der Berufung und nach Erörterung in der mündlichen Verhandlung vor dem Senat beibehalten hat. Hieraus folgt, dass der Kläger erstrebt, dass der Beklagten auch eine bestimmte Gestaltung des Cookie-Banners bzw. des „Ablehnungsbuttons“ aufgegeben wird, wie sich gerade aus der Verbindung mit einer konkreten Verletzungsform ergibt. Dies ist indes in der gewählten Form nicht möglich und führt zur Unbegründetheit des Antrags.
Es trifft zu, dass der Verletzer bei einer Handlung, die einen fortdauernden Störungszustand geschaffen hat, aufgrund eines die Handlung verbietenden Unterlassungstitels mangels abweichender Anhaltspunkte regelmäßig außer zur Unterlassung derartiger Handlungen auch zur Vornahme möglicher und zumutbarer Handlungen zur Beseitigung des Störungszustands verpflichtet ist (BGH GRUR 2018, 292, 293 Rn. 19 – Produkte zur Wundversorgung). Die Fassung des Unterlassungsantrags, insbesondere die Aufnahme von Zusätzen zu Unterlassung, darf jedoch den Verletzer nicht unzumutbar in eigenen Wahlmöglichkeiten beschränken (Schaub, in: Teplitzky, Wettbewerbsrechtliche Ansprüche und Verfahren, 12. Aufl. 2019, Kap. 1 Rn. 9). Denn auch wenn Unterlassung und Beseitigung häufig nicht trennscharf voneinander abzugrenzen sind, muss es grundsätzlich dem Verletzer überlassen bleiben, welche Form der Vermeidung weiterer Verletzungen er wählt (Goldmann, in: Harte-Bavendamm/Henning-Bodewig, a.a.O., § 8 Rn. 6 m.w.N.). Anders kann dies nur sein, wenn die gewählte Einschränkung die einzig denkbare oder die am wenigsten einschneidende Form der Vermeidung weiterer Verletzungen darstellt (Schwippert, in: Teplitzky, a.a.O., Kap. 51 Rn. 28).
Gemessen hieran sind die von dem Kläger erwünschten Vorgaben für die Gestaltung des Cookie-Banners zu detailliert, um annehmen zu können, dass es sich hierbei um den einzig denkbaren oder den am wenigsten einschneidenden Weg handelt, der aus dem Verbot herausführt. Denn selbst wenn sich Art. 7 Abs. 3 S. 4 DSGVO entnehmen ließe, dass ein Gleichlauf zwischen Einwilligung und Ablehnung geboten ist, besagt dies nichts über die konkrete Ausgestaltung, insbesondere nicht über Schriftgrößen, Farben und grafische Gestaltungsmittel. Infolge des klägerischen Antrags wäre die Beklagte jedoch durch Inbezugnahme der konkreten Verletzungsform auf eine bestimmte Farbgebung und Formen verwiesen. Das geht ersichtlich zu weit. Angesichts des eindeutigen Festhaltens des Klägers an dem gestellten Antrag kommt es auch nicht in Betracht, nur die konkrete Verletzungsform – unterstellt, diese sei unzulässig – zu verbieten, ohne gleichzeitig das beantragte Gebot auszusprechen. Denn dies würde dem Begehren des Klägers widersprechen. Soweit der Bundesgerichtshof in der Entscheidung „vossius.de“ angenommen hat, dass eine bestimmte Einschränkung in den Klageantrag aufzunehmen sei, betraf dies einen Fall eines abstrakt begehrten Verbots und nicht eine – wie im Streitfall – angegriffene konkrete Verletzungsform (BGH GRUR 2002, 706, 708 – vossius.de).
4. Anträge zu 1) e) und f) (Datenschutzhinweis zu Analyse- und Marketing-Cookies)
Entgegen der Auffassung des Landgerichts stehen dem Kläger die geltend gemachten Unterlassungsansprüche hinsichtlich der Anträge zu 1) e) und f) betreffend die Verwendung der Klauseln zu den Themen „Analytische Cookies“ und „Marketing-Cookies“ in den Datenschutzhinweisen zu, weil insoweit AGB vorliegen und eine unangemessene Benachteiligung der Verbraucher anzunehmen ist.
a) Anders als im Falle des Antrags zu 1) b) (siehe oben unter 2.) ist bei den mit den Anträgen 1) e) und f) angegriffenen Klauseln von kontrollfähigen AGB auszugehen, weil die Beklagte sie in die vorformulierte Einwilligungserklärung auf ihrem Cookie-Banner einbezogen hat.
Denn die im Datenschutzhinweis enthaltenen beanstandeten Klauseln werden im Cookie-Banner der Beklagten (Anlage K8, Bl. 192 GA) in Bezug genommen, das erscheint, sobald deren Webseite aufgerufen wird und der Nutzung der Webseite vorgeschaltet ist. Dieses Cookie-Banner dient der Einholung der Einwilligung von Besuchern der Webseite zum Setzen bestimmter Cookies und der Datenverarbeitung („Mit einem Klick auf „Alle akzeptieren“ akzeptieren Sie die Verarbeitung Ihrer Daten […] sowie die Weitergabe von Daten an Drittanbieter“, Bl. 192 GA). Indem der Datenschutzhinweis zum Gegenstand dieser Einwilligung gemacht wird, hat er an dem Rechtscharakter der vorformulierten Einwilligungserklärung als AGB teil.
Entgegen der in der mündlichen Verhandlung und im Schriftsatz vom 04.10.2023 (dort S. 17 f., Bl. 1494 f. eA) geäußerten Auffassung der Beklagten ist diese Einbeziehung in das Cookie-Banner auch Streitgegenstand der Unterlassungsanträge zu 1) e) und f) und daher in die Beurteilung einzubeziehen. Dies ergibt sich zwar nicht unmittelbar aus deren Wortlaut, wohl aber aus der Klagebegründung bzw. dem vorprozessualen Schriftverkehr, die insoweit ebenfalls zur Auslegung herangezogen werden können (vgl. BGH GRUR 2006, 960, 961 Rn. 15 – Anschriftenliste m.w.N.). Denn in dem Schreiben vom 24.02.2022, mit dem der Kläger die den Anträgen zu 1) e) und f) zugrunde liegenden Rechtsverstöße abgemahnt hat, hat er mehrfach deutlich gemacht, dass er die Einbeziehung der Datenschutzhinweise zum Zeitpunkt des Aufrufs der Webseite bzw. des Einsatzes der Cookies beanstandet (S. 13 der Anlage K5, Bl. 85 GA), dies gerade unter dem Aspekt, dass auf die mit der Drittlandübermittlung von Daten verbundenen Risiken im Cookie-Banner nicht unmittelbar, sondern nur in den verlinkten Datenschutzhinweisen hingewiesen werde (S. 14 der Anlage K5, Bl. 85 GA; vgl. auch S. 15, Bl. 87 GA). Dies ist auch in der Klageschrift (dort S. 39, Bl. 43 GA, worauf auf S. 40, Bl. 44 GA für die Anträge zu 1) e) und f) nochmals verwiesen wird) so geltend gemacht worden. Die Beklagte hat sich im Übrigen – wenn auch beim Antrag zu 1) d) - selbst (S. 19 der Klageerwiderung, Bl. 145 GA) darauf berufen, dass sie die Datenschutzhinweise zum Gegenstand der mit dem Cookie-Banner zu erteilenden Einwilligung gemacht habe. Zutreffend hat das Landgericht daher im Tatbestand der angefochtenen Entscheidung festgestellt, dass die Datenschutzhinweise über einen entsprechenden Link auf beiden Ebenen des Cookie-Banners eingebunden waren (LGU S. 7, Bl. 602 GA).
Erwägungsgrund 42 S. 3 zur DSGVO spricht ausdrücklich davon, dass solche Einwilligungserklärungen dem Anwendungsbereich der RL 93/13/EWG, also der „Richtlinie über missbräuchliche Klauseln in Verbraucherverträgen“ (ABl. EG L 95 vom 21.04.1993, S. 29), auf denen die §§ 305 ff. BGB beruhen, unterfallen. Bereits unter Geltung des BDSG hat der Bundesgerichtshof deshalb angenommen, dass eine vorformulierte Einwilligung in die Speicherung und Nutzung von Daten als AGB anzusehen ist, weil die §§ 305 ff. BGB mit Rücksicht auf ihren Schutzzweck auch auf eine vom Verwender vorformulierte einseitige Erklärung des anderen Teils anzuwenden seien, die im Zusammenhang mit dem Vertragsverhältnis stehe (BGH NJW 2008, 3055 Rn. 18 – Payback; ebenso BGH NJW 2010, 864, 865 Rn. 15 – Happy Digits; vom I. Zivilsenat des BGH bestätigt, BGH NJW 2020, 2540, 2543 Rn. 26 – Cookie-Einwilligung II). Daher unterliegt auch der Datenschutzhinweis, obwohl er isoliert betrachtet keine AGB darstellt, der AGB-Kontrolle, da „die Bestimmungen der Datenschutzerklärung zugleich Grundlage für die vorformulierte und vom anderen Teil nur noch per Klick zu bestätigende Einwilligungserklärung darstellen“, wie es in der Literatur prägnant formuliert wird (vgl. Wendehorst/Graf von Westphalen NJW 2016, 3745, 3748). Denn insoweit geht der Datenschutzhinweis über die Erteilung von Hinweisen hinaus und wird zum Gegenstand der Einwilligungserklärung gemacht, die ihrerseits jedenfalls kontrollfähig ist. Diese Verbindung rechtfertigt es – im Sinne der zitierten Entscheidungen des Bundesgerichtshofs – von einem vergleichbaren Schutzbedürfnis des Verbrauchers auszugehen, das die Anwendung der §§ 305 ff. BGB erfordert (vgl. in diese Richtung auch LG Berlin, Urteil vom 16.01.2018, 16 O 341/15, BeckRS 2018, 1060 Rn. 67 f.; bestätigt durch KG MMR 2020, 239 – betreffend Facebook-Nutzungsbedingungen).
Dass den Besuchern der Webseite auch die Möglichkeit angeboten wird, diese Cookies „abzuwählen“, ändert nichts daran, dass sie jedenfalls im Falle eines Klicks auf „Alle akzeptieren“ Teil einer solchen Einwilligung werden, wodurch die AGB-Kontrolle ausgelöst wird. Die Frage, inwieweit beim „schlichten“ Besuch einer Webseite wie derjenigen der Beklagten bereits ein Vertrag über digitale Dienstleistungen im Sinne von §§ 327 ff. BGB geschlossen wird (vgl. BT-Drs. 19/27653 S. 40 einerseits, Kett-Straub NJW 2021, 3217, 3218 Rn. 10; Schmitz/Buschuew MMR 2022, 171, 174 m.w.N. andererseits) und auch aus diesem Grund ein Bezug der angegriffenen Klauseln zu einem Vertragsschluss anzunehmen ist, kann daher offenbleiben.
b) Die angegriffenen Klauseln sind kontrollfähig und in der Sache unzulässig.
aa) Ein Ausschluss der AGB-Kontrolle deswegen, weil es sich bei den Datenschutzhinweisen unter dem Gesichtspunkt „Bezahlen mit Daten“ um die Bestimmung der Hauptleistung handeln könnte, die grundsätzlich nach § 307 Abs. 3 S. 1 BGB keiner Inhaltskontrolle unterworfen ist, weil sie nicht von Rechtsvorschriften abweicht (dazu Grüneberg, in: Grüneberg, BGB, 82. Aufl. 2023, § 307 Rn. 46), ist nicht anzunehmen. Denn selbst wenn eine solche Deutung der „Datenhingabe“ durch den Verbraucher als Preis für die Nutzung der Webseite der Beklagten angesehen werden könnte, fehlt es in den Datenschutzhinweisen der Beklagten an einer solchen klaren Definition der Datenübermittlung als Hauptleistung; nur dann könnte die vorgenannte Einschränkung der Kontrolle am Maßstab der §§ 305 ff. BGB jedoch gerechtfertigt sein (vgl. Wendehorst/Graf von Westphalen NJW 2016, 3745, 3748 f.). Dieses Ergebnis einer weiter bestehenden Kontrollmöglichkeit ist auch deshalb gerechtfertigt, weil im Falle der Unwirksamkeit der Klausel eine rechtliche Regelung besteht, nämlich dass die Datenübermittlung nicht nach Art. 6 DSGVO gerechtfertigt und damit nicht rechtmäßig ist. Insofern verhält es sich anders als bei einer konkreten Preisvereinbarung. Der Verbraucher wird bei einer Webseite der Beklagten, auf der er gegen Entgelt Mobilfunktarife abschließen kann, auch regelmäßig nicht annehmen, dass die Preisgabe seiner Daten als Teil der Hauptleistung anzusehen ist, nachdem er auch die Wahl hat, bestimmte Technologien durch Änderung der Voreinstellungen nicht zu nutzen und die Webseite dennoch zu besuchen und dort Verträge abzuschließen (vgl. Hacker ZfPW 2019, 148, 164).
bb) In der Sache erweisen sich die Klauseln als unzulässig, weshalb der Unterlassungsanspruch besteht. Der Kläger beanstandet an den Klauseln zum einen, dass diese eine Drittlandübermittlung von Daten als durch Art. 49 Abs. 1 S. 1 lit. b) DSGVO gedeckt darstellen, obwohl dies nicht der Fall sei und zum anderen, dass diese gegen das Transparenzgebot des § 307 Abs. 1 S. 2 BGB verstießen (vgl. S. 41 f. der Klageschrift, Bl. 45 f. GA, auf die der Kläger in der Berufungsbegründung verweist, Bl. 348, letzter Absatz eA). Bereits der erste Aspekt ist durchgreifend.
Zu den gesetzlichen Regelungen im Sinne von § 307 Abs. 2 Nr. 1 BGB zählen auch die Vorschriften der DSGVO, insbesondere die Regelungen über die Rechtmäßigkeit der Datenverarbeitung in den Fällen des Art. 6 Abs. 1 DSGVO (vgl. KG DB 2019, 1018, 1020). Daher liegt eine unangemessene Benachteiligung in Gestalt der Abweichung von den wesentlichen Grundgedanken einer gesetzlichen Regelung (§ 307 Abs. 1, Abs. 2 Nr. 1 BGB) u.a. vor, wenn die Einschlägigkeit eines Erlaubnistatbestandes der DSGVO in AGB zu Unrecht behauptet wird (vgl. KG ZD 2020, 310, 311 Rn. 66 zu der Datenschutzerklärung von Google).
Im Streitfall beruft sich die Beklagte für die Berechtigung der Übermittlung personenbezogener Daten in Drittländer pauschal auf Art. 49 Abs. 1 lit. b) DSGVO. Nach dieser Vorschrift ist eine Übermittlung personenbezogener Daten an ein Drittland, für das weder ein Angemessenheitsbeschluss nach Art. 45 Abs. 3 DSGVO noch geeignete Garantien nach Art. 46 DSGVO vorliegen, nur zulässig, wenn sie für die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen oder zur Durchführung von vorvertraglichen Maßnahmen auf Antrag der betroffenen Person erforderlich ist.
Bei den im Streit stehenden Klauseln handelt es sich indes um Cookies, die Marketingzwecken (Klausel bei Antrag zu 1) e)) bzw. Analysezwecken (Klausel bei Antrag zu 1) f)) und damit eigenen wirtschaftlichen Zwecken der Beklagten (namentlich die Optimierung ihrer Umsätze auf der Webseite und der Feststellung von Verbesserungsmöglichkeiten bzw. des Nutzerverhaltens und besonders beliebter Interaktionen auf der Seite) zu dienen bestimmt sind. Die Verfolgung derartiger Zwecke ist nicht zur Vertragserfüllung notwendig (vgl. Pauly, in: Paal/Pauly, DSGVO, a.a.O., Art. 49 Rn. 13; Zerdick, in: Ehmann/Selmayr, Datenschutz-Grundverordnung, 2. Auflage 2018, Art. 49 Rn. 10), weil sie lediglich den Interessen der übermittelnden oder empfangenden Stelle dient (Schröder, in: Kühling/Buchner, DS-GVO, 3. Aufl. 2020, Art. 49 Rn. 19). Hiergegen hat sich auch die Beklagte nicht gewandt und lediglich Ausführungen zum Transparenzgebot gemacht (S. 23 der Klageerwiderung, Bl. 149 GA), auf das es aber nicht mehr ankommt.
Dass es sich bei der Nennung von Art. 49 Abs. 1 lit. b) DSGVO um ein bloßes Versehen gehandelt haben soll und tatsächlich Art. 49 Abs. 1 S. 1 lit. a) DSGVO (Einwilligung) gemeint gewesen sei, wie die Beklagte geltend macht (S. 22 der Klageerwiderung, Bl. 148 GA), ist unerheblich, weil es für den Unterlassungsanspruch auf ein Verschulden nicht ankommt.
5. Antrag zu 2) (Abmahnkosten)
Der Kläger kann Abmahnkosten in Höhe von 260,00 € nebst Rechtshängigkeitszinsen ab dem 19.08.2022 lediglich für die zweite Abmahnung vom 24.02.2022 (Anlage K5, Bl. 73 ff. GA) geltend machen. Die Beklagte ist dem Anspruch der Höhe nach nicht mit Substanz entgegengetreten. Ihr weiter erhobener Einwand einer missbräuchlichen Mehrfachabmahnung desselben Sachverhalts kann auf sich beruhen, nachdem dem Kläger bereits aus anderen Gründen nur für eine der ausgesprochenen Abmahnungen eine Kostenpauschale zuzusprechen ist.
Die Berufung des Klägers ist auch in diesem Umfang zulässig, obwohl der Kläger den Antrag auf Zuerkennung auch der Abmahnkosten erst in der mündlichen Verhandlung vor dem Senat gestellt hat. Der Berufungsführer kann das Rechtsmittel selbst nach Ablauf der Begründungsfrist bis zum Schluss der Berufungsverhandlung erweitern, soweit die fristgerecht vorgetragenen Berufungsgründe die Antragserweiterung decken (BGH NJW 2001, 146). So verhält es sich im Streitfall. Insbesondere waren die Ausführungen in der Berufungsbegründung des Klägers unter den gegebenen Umständen noch ausreichend.
Nach § 520 Abs. 3 S. 2 Nr. 2 ZPO muss die Berufungsbegründung die Umstände bezeichnen, aus denen sich nach Ansicht des Berufungsklägers die Rechtsverletzung und deren Erheblichkeit für die angefochtene Entscheidung ergibt. Dazu gehört eine aus sich heraus verständliche Angabe, welche bestimmten Punkte des angefochtenen Urteils der Berufungskläger bekämpft und welche tatsächlichen oder rechtlichen Gründe er ihnen im Einzelnen entgegensetzt. Besondere formale Anforderungen bestehen zwar nicht; auch ist es für die Zulässigkeit der Berufung ohne Bedeutung, ob die Ausführungen in sich schlüssig oder rechtlich haltbar sind. Die Berufungsbegründung muss aber auf den konkreten Streitfall zugeschnitten sein. Es reicht nicht aus, die Auffassung des Erstgerichts mit formularmäßigen Sätzen oder allgemeinen Redewendungen zu rügen oder lediglich auf das Vorbringen erster Instanz zu verweisen. Dabei ist aber stets zu beachten, dass formelle Anforderungen an die Einlegung eines Rechtsmittels im Zivilprozess nicht weitergehen dürfen, als es durch ihren Zweck geboten ist. Das gilt auch für die Prüfung der Anforderungen an die Zulässigkeit der Berufung gemäß § 522 Abs. 1 ZPO (BGH NJW 2020, 3728 Rn. 7 m.w.N., st. Rspr.).
Da es sich bei den Kosten der Abmahnung vom 24.02.2022 jedenfalls betreffend die in der Berufung zuzusprechenden Anträgen zu 1) e) und f) um reine Annexansprüche handelt, weil das Landgericht die Klageabweisung insoweit nur auf den fehlenden Erfolg des Unterlassungsanspruchs gestützt hat (LGU S. 28, Bl. 623 GA), reichte es gemessen an diesen Maßstäben aus, dass der Kläger in seiner Berufungsbegründung klargestellt hat, dass er auch die Abweisung des Antrags zu 2) angreifen wollte (S. 7, Bl. 315 eA; S. 12, Bl. 320 eA) und konkrete Ausführungen (nur) zu den Anträgen zu 1) e) und f) gemacht hat.
Mit der Abmahnung vom 24.02.2022 (Anlage K5, Bl. 73 ff. GA) hat der Kläger auch die Gestaltung des Datenschutzhinweises (Anträge zu 1) e) und f)) in der Sache berechtigt beanstandet, wie oben ausgeführt. Ein Teilerfolg der Abmahnung reicht im Falle von Verbandsabmahnungen aus, um den Anspruch auf die volle Pauschale auszulösen (vgl. Bornkamm/Feddersen, in: Köhler/Bornkamm/Feddersen, a.a.O., § 13 Rn. 133), so dass es auf die Begründung des Landgerichts, wonach der nunmehr geltend gemachte konkrete Vorwurf einer Datenübermittlung an die Google LLC (Gegenstand des Antrags 1) d)) der damaligen Abmahnung nicht zugrunde gelegen habe (LGU S. 28, Bl. 623 GA) und den Umstand, dass der Kläger sich mit diesem Begründungselement in seiner Berufungsbegründung nicht auseinandergesetzt hat, nicht mehr ankommt.
Die Kosten für die erste Abmahnung, mit der der Kläger die Beklagte unter dem 25.01.2022 (Anlage K2, Bl. 55 f. GA) wegen der Positivdatenübermittlung abgemahnt hat, sind bereits deshalb nicht zuzusprechen, weil sich der Antrag zu 1) b) auch in der Berufung als erfolglos erweist.
Berufung der Beklagten
Die Berufung der Beklagten bleibt in der Sache ohne Erfolg. Das Landgericht hat mit Recht angenommen, dass dem Kläger ein Unterlassungsanspruch in Bezug auf den Antrag zu 1) d) zusteht, mit dem der Kläger eine Übermittlung personenbezogener Daten in die USA, in concreto an die Google LLC, beanstandet. Der Antrag ist hinreichend bestimmt (dazu 1.). Der neue Vortrag der Beklagten, den sie in der Berufungsbegründung gehalten hat, ist insofern zu berücksichtigen (dazu 2.). Dass eine Übermittlung personenbezogener Daten stattgefunden hat, ist im angefochtenen Urteil zutreffend angenommen worden (dazu 3.). Auch ist die datenschutzrechtliche Verantwortlichkeit der Beklagten für diese Übertragung gegeben (dazu 4.). Die Übertragung war sowohl zum Zeitpunkt ihrer Feststellung durch den Kläger als auch unter Berücksichtigung des Inkrafttretens des neuen Angemessenheitsbeschlusses der Europäischen Union betreffend die Datenübertragung in die USA am 10.07.2023 (Data Privacy Framework) nicht durch die Vorgaben der DSGVO gedeckt (dazu 5.).
1. Der Klageantrag zu 1) d) ist den Erfordernissen des § 253 Abs. 2 Nr. 2 ZPO entsprechend hinreichend bestimmt.
Nach der genannten Vorschrift darf ein Unterlassungsantrag und nach § 313 Abs. 1 Nr. 4 ZPO eine darauf beruhende Verurteilung nicht derart undeutlich gefasst sein, dass der Streitgegenstand und der Umfang der Prüfungs- und Entscheidungsbefugnis des Gerichts nicht mehr klar umrissen sind, der Beklagte sich deshalb nicht erschöpfend verteidigen kann und im Ergebnis dem Vollstreckungsgericht die Entscheidung darüber überlassen bleibt, was dem Beklagten verboten ist. Welche Anforderungen an die Konkretisierung des Streitgegenstands in einem Unterlassungsantrag zu stellen sind, ist dabei auch von den Besonderheiten des anzuwendenden materiellen Rechts und von den Umständen des Einzelfalls abhängig. Es lässt sich nicht stets vermeiden, dass das Vollstreckungsgericht bei der Beurteilung der Frage, ob ein Verstoß gegen ein ausgesprochenes Verbot vorliegt, in gewissem Umfang auch Wertungen vornehmen muss. Die Anforderungen an die Bestimmtheit des Klageantrags sind danach in Abwägung des zu schützenden Interesses des Beklagten an Rechtsklarheit und Rechtssicherheit hinsichtlich der Entscheidungswirkungen mit dem ebenfalls schutzwürdigen Interesse des Klägers an einem wirksamen Rechtsschutz festzulegen (st. Rspr., vgl. BGH GRUR 2005, 604, 605 – Fördermittelberatung).
Gemessen hieran ist der Antrag zu 1) d), wie das Landgericht zutreffend angenommen hat, hinreichend bestimmt, weil er das verbotene Verhalten jedenfalls durch Einbeziehung der konkreten Verletzungsform in Gestalt der Darstellung im Schriftsatz vom 04.01.2023 klar umreißt. Gewisse Verallgemeinerungen müssen insofern hingenommen werden, wenn eine weitergehende Konkretisierung nicht möglich und die gewählte Antragsformulierung zur Gewährung effektiven Rechtsschutzes erforderlich ist (BGH GRUR 2019, 627 Rn. 16 - Deutschland-Kombi). Solche Verallgemeinerungen wie sie im Antrag zu 1) d) enthalten sind („insbesondere beim Einsatz von Cookies und ähnlichen Technologien zu Analyse- und Marketingzwecke“, „aufgrund der von der Google zur Verfügung gestellten HTML-Elemente, insbesondere Image-Pixel“), stehen jedoch der hinreichenden Bestimmtheit im Streitfall nicht entgegen, nachdem die Klagebegründung sowie entsprechende Erläuterungen bei der Auslegung herangezogen werden können und dem Kläger mangels Einsicht in den Quellcode der Webseite der Beklagten keine präzisere Angabe zu den im Einzelnen verwendeten Technologien möglich ist (zu einer ähnlichen Fallgestaltung LG München, Urteil vom 29.11.2022, 33 O 14776/19, S. 183, vorgelegt als Anlage K9, Bl. 406 GA). Aus den Ausführungen des Klägers wird deutlich, dass er die – letztlich von der Beklagten auch eingeräumte – Funktionsweise von deren Webseite beanstandet, wonach bei deren Aufruf und Bestätigung der Einwilligung im Cookie-Banner Programmcode von einem Server, der der Google LLC zuzuordnen ist, nachgeladen wird und es hierbei zu einer Drittlandübermittlung von näher bezeichneten personenbezogenen Daten, nämlich jedenfalls der IP-Adresse sowie Browser- und Geräteinformationen (S. 6 des Schriftsatzes vom 04.01.2023, Bl. 210 GA), desjenigen kommt, der die Webseite nutzt. Die Beklagte hat, indem sie (S. 19 der Berufungsbegründung, Bl. 517 eA) sachliche Einwendungen gegen die im Schriftsatz vom 04.01.2023 dargestellte Verletzungshandlung in Gestalt des durch eine HAR-Datei dokumentierten Netzwerkverkehrs erhoben hat, auch zu erkennen gegeben, dass ihr der Umfang des verbotenen Verhaltens vor Augen steht.
2. Soweit die Beklagte in der Berufungsbegründung weiteren Vortrag dazu gehalten hat, welche Daten von der mit dem Antrag zu 1) d) in Bezug genommenen Übermittlung betroffen waren und dass diese lediglich an die in der EU ansässige Google Ireland Ltd., mit der die Beklagte entsprechende Vereinbarungen getroffen habe, übermittelt worden seien (S. 17 ff. der Berufungsbegründung, Bl. 515 ff. eA), ist dieser Vortrag in der Berufungsinstanz zu berücksichtigen. Denn bereits im nachgelassenen Schriftsatz vom 02.02.2023, in dem die Beklagte erstmals Stellung zu der mit Schriftsatz des Klägers vom 04.01.2023 konkret beanstandeten Datenübermittlung an Google nehmen konnte, hat sie – wenn auch ohne nähere Details und im Wesentlichen im Sinne eines Bestreitens - vorgetragen, dass es zu keiner Übertragung personenbezogener Daten an die Google LLC gekommen sei (S. 7 ff. des Schriftsatzes vom 02.02.2023, Bl. 545 ff. GA). Insofern stellt sich der nunmehrige Vortrag, an wen die Übermittlung konkret erfolgt ist, als noch zulässige Konkretisierung des erstinstanzlichen Vortrags dar, die im Berufungsverfahren zu berücksichtigen ist. Vorbringen ist dann nicht neu im Sinne des Novenausschlusses von § 531 Abs. 2 ZPO, wenn ein bereits schlüssiges Vorbringen aus erster Instanz im Berufungsverfahren durch weitere Tatsachenbehauptungen konkretisiert, verdeutlicht oder erläutert wird. Das gilt nicht nur für schlüssiges Vorbringen der darlegungs- und beweisbelasteten Partei, sondern ebenso für erhebliches Vorbringen des Gegners (vgl. BGH NJW 2019, 2080, 2081 Rn. 20 m.w.N.). Gemessen hieran war es erheblich, dass die Beklagte den Datentransfer in die USA pauschal in Abrede gestellt hat und ist es als eine bloße Präzisierung anzusehen, wenn sie nunmehr vorträgt, an wen diese konkret erfolgen soll.
3. Die Beklagte beanstandet an dem landgerichtlichen Urteil ohne Erfolg die Annahme, dass es sich bei den übermittelten Daten um personenbezogene Daten handele (dazu a)) und dass diese in ein Drittland übermittelt werden (dazu b)).
a) Das Landgericht hat angenommen, dass die übermittelte IP-Adresse sowohl für die Beklagte als auch Google LLC bzw. Google Ireland Ltd. als Verantwortliche der Datenübermittlung personenbezogene Daten darstellte (LGU S. 24, Bl. 619 GA). Dies trifft zu.
aa) Soweit die Beklagte hiergegen einwendet, der klägerische Vortrag im Schriftsatz vom 04.01.2023, mit dem erstmals die konkrete Verletzungsform eingeführt worden ist, sei präkludiert und vom Landgericht zu Unrecht zugelassen worden, kann sie damit im Berufungsverfahren nicht durchdringen. Denn auch – unterstellt – fehlerhaft entgegen § 296 ZPO in 1. Instanz zugelassener Vortrag ist im Berufungsverfahren zu berücksichtigen. § 531 Abs. 1 ZPO findet insoweit keine Anwendung (Heßler, in: Zöller, ZPO, 34. Aufl. 2022, § 531 Rn. 7).
bb) Dass die IP-Adresse nicht explizit in der Aufzeichnung des Netzwerkverkehrs in der HAR-Datei (Anlage K11, Bl. 427 ff. GA) vermerkt ist, steht der Annahme einer Übertragung einer IP-Adresse nicht entgegen. Denn wie der Kläger zu Recht ausführt – und dem Senat aus seiner regelmäßigen Befassung mit Sachverhalten, die technische Fragen des Internets betreffen, bekannt ist – stellt die Übermittlung der IP-Adresse von anfragendem Server zu angefragtem Server eine notwendige Vorbedingung der Kommunikation/Datenübertragung untereinander dar, weil IP-Adressen – gleich, ob dynamisch wie hier oder statisch - der eindeutigen Kennzeichnung einzelner Endgeräte im WWW dienen (vgl. S. 8 der Berufungserwiderung des Klägers, Bl. 932 eA). Die Beklagte hat diesen Umstand deshalb im nachgelassenen Schriftsatz vom 04.10.2023 (dort S. 4, Bl. 1481 eA) zutreffend unstreitig gestellt.
cc) Widersprüchlich und daher unbeachtlich ist es, wenn die Beklagte die Darstellung der sich vollziehenden Anfragen beim Aufruf der Webseite www.u.de mittels der sog. HAR-Datei (HTTP-Archive) durch den Kläger in Zweifel zieht. Konkrete Einwände gegen die Richtigkeit der in der Darstellung des Netzwerkverkehrs (Anlage K11, Bl. 427 ff. GA) enthaltenen Anfragen bringt die Beklagte nicht vor, sondern stützt sich auf allgemeine Vorbehalte, die indes nicht durchgreifen. Insbesondere ist es nicht erforderlich, dass der HAR-Standard eine eingebaute Verschlüsselung oder Vorkehrungen gegen Manipulationen beinhaltet oder durch das IETF-Gremium als Standard verabschiedet worden ist. Nach eigenem Vortrag der Beklagten handelt es sich nämlich um eine in sämtlichen gängigen Browsern implementierte Möglichkeit, den Netzwerkverkehr, der beim Aufruf einer Webseite ausgelöst wird, mitzuschneiden (vgl. S. 7 der Berufungsbegründung, Bl. 505 eA). Die von der Beklagten selbst (a.a.O.) als theoretisch bezeichnete Möglichkeit, eine fiktive Datei zu erzeugen bzw. eine vorhandene Datei zu manipulieren, weil es sich lediglich um eine einfache Textdatei in einer bestimmten Struktur (JSON-Format) handelt, rechtfertigt schon deshalb keine Zweifel an der vorgelegten Aufzeichnung, weil es sich um Daten handelt, die die Webseite der Beklagten selbst betreffen und sie daher unschwer in der Lage wäre, die Richtigkeit qualifiziert und nicht lediglich pauschal zu bestreiten. Dass ihr dies grundsätzlich möglich war, ergibt sich schon aus ihren Ausführungen zu den einzelnen Bestandteilen der Request-URL in der HAR-Datei (S. 19 der Berufungsbegründung, Bl. 517 eA). Dies gilt umso mehr, als die Beklagte sich für ihre Beweisführung hinsichtlich der erteilten Einwilligung zur Datenübermittlung ihrerseits auf eine HAR-Datei bezieht (vgl. die Screenshots S. 27 der Berufungsbegründung der Beklagten, Bl. 525 eA).
dd) Es ist auch von einem Personenbezug der übermittelten IP-Adresse auszugehen.
(1) Nicht durchgreifend ist es insofern, wenn die Beklagte meint, die IP-Adresse des Klägers sei bereits deswegen nicht als personenbezogenes Datum anzusehen, weil es sich bei dem Kläger um eine juristische Person handelt. Dies ist zwar im Ausgangspunkt zutreffend (vgl. Ernst, in: Paal/Pauly, DSGVO/BDSG, a.a.O., Art. 4 DSGVO Rn. 5 m.w.N.). Der Kläger leitet seine Aktivlegitimation jedoch aus § 2 Abs. 2 S. 1 Nr. 11 UKlaG bzw. aus Art. 80 Abs. 2 DSGVO her und muss dafür nur aufzeigen, dass es um Daten geht, die identifizierte oder identifizierbare Personen betreffen, was der Fall sein kann, ohne dass es auf die konkrete Verletzung von Rechten einzelner Personen ankommt (vgl. Frenzel, in: Paal/Pauly, DSGVO/BDSG, a.a.O., Art. 80 DSGVO Rn. 12). So liegt der Fall hier, weil die stattgefundene Übermittlung unzweifelhaft auch von individuellen Personen ausgelöst werden bzw. diese betreffen könnte, zumal der Kläger vorgetragen hat, dass sein Prozessbevollmächtigter – unzweifelhaft eine natürliche Person - die entsprechende Eingabe getätigt hat (vgl. S. 6 der Berufungserwiderung, Bl. 930 eA). In anderem Zusammenhang hat dies auch die Beklagte zutreffend ausgeführt (S. 11 des Schriftsatzes vom 10.01.2023, Bl. 483 GA: „der Kläger – der insoweit „stellvertretend“ für betroffene Personen i. S.d. Art. 80 Abs. 2 DSGVO agiert“). Deshalb überzeugt es auch nicht, wenn die Beklagte meint, ein Bezug zu einer natürlichen Person scheide aus, weil nicht vorgetragen sei, dass die übertragene IP-Adresse einer solchen natürlichen Person zugeordnet sei (S. 6 des Schriftsatzes vom 04.10.2023, Bl. 1483 eA).
(2) Auch die übrigen Voraussetzungen für einen Personenbezug der übermittelten IP-Adresse liegen vor.
Wie der Bundesgerichtshof bereits entschieden hat, stellen dynamische IP-Adressen, die ein Anbieter von Online-Diensten wie die Beklagte speichert, Einzelangaben über sachliche Verhältnisse dar, da die Daten Aufschluss darüber geben, dass zu bestimmten Zeitpunkten bestimmte Seiten bzw. Dateien über das Internet abgerufen wurden. Sie können daher personenbezogene Daten sein (BGH NJW 2017, 2416, 2417 Rn. 18). Diese Einordnung, die der Bundesgerichtshof zu § 3 Abs. 1 BDSG a.F. vorgenommen hat, entspricht dem europäischen Recht, da sie auf einer Vorabentscheidung des EuGH zur damals geltenden Datenschutzrichtlinie beruht (EuGH, Urteil vom 19.10.2016, Rs. C-582/14, Breyer/Deutschland, NJW 2016, 3579), deren Erwägungen auf die DSGVO übertragen werden können (vgl. Klar/Kühling, in: Kühling/Buchner, DSGVO, 3. Aufl. 2020, Art. 4 Nr. 1 Rn. 26). Dass die IP-Adresse, wie die Beklagte im Schriftsatz vom 04.10.2023 geltend macht (dort S. 5, Bl. 1482 eA), lediglich auf den Anschlussinhaber verweist, ist insofern unschädlich.
Dabei ergibt sich der Personenbezug der IP-Adresse im Streitfall, anders als das Landgericht angenommen hat, noch nicht daraus, dass die Beklagte als Anbieter von Internet-Zugängen über Möglichkeiten zur Aufschlüsselung, welchem Anschlussinhaber zu welchem Zeitpunkt welche IP-Adresse zugewiesen war, verfügt. Denn zwar ist es anerkannt, dass eine dynamisch vergebene IP-Adresse jedenfalls für den Access-Provider (die Beklagte agiert insofern in einer Doppelrolle als Zugangsanbieter und „bloßer“ Anbieterin der Webseite) ein personenbezogenes Datum deshalb darstellt, weil dieser den Nutzer ohne weiteres anhand der bei sich selbst vorhandenen Daten identifizieren kann (vgl. EuGH GRUR 2012, 265, 268 Rn. 51 – Scarlet / SABAM). Allerdings kann sich die Annahme des Landgerichts, dass deshalb im Sinne des klägerischen Antrags von personenbezogenen Daten auszugehen ist, von vornherein nur auf Kunden der Beklagten erstrecken, wie im Urteil auch festgehalten ist (S. 24 LGU, Bl. 619 GA). Jedoch ist im Streitfall weder vorgetragen noch anderweitig feststellbar, dass auch im konkret in Bezug genommenen Fall der Datenübermittlung, den der Kläger zum Antragsgegenstand gemacht hat, ein über die Beklagte bereitgestellter Internetanschluss verwendet wurde.
Hierauf kommt es indes nicht entscheidend an, weil sich die Wertung des Landgerichts im Ergebnis als richtig darstellt. Denn in der bereits zitierten Entscheidung hat der Bundesgerichtshof auch ausgeführt, dass eine dynamische IP-Adresse, die beim Zugriff einer Person auf eine Internetseite, die dieser Anbieter allgemein zugänglich macht, gespeichert wird, auch für einen „reinen“ Webseitenbetreiber bzw. Anbieter von Online-Mediendiensten ein personenbezogenes Datum im Sinne der genannten Bestimmung darstellt. Denn der Betreiber der Webseite verfüge über rechtliche Mittel, die vernünftigerweise eingesetzt werden können, um mithilfe Dritter, und zwar der zuständigen Behörde und des Internetzugangsanbieters, die betreffende Person anhand der gespeicherten IP-Adressen bestimmen zu lassen. Dies ergebe sich daraus, dass diese Betreiber sich insbesondere im Fall von Cyberattacken an die zuständige Behörde wenden könnten, damit diese die nötigen Schritte unternehme, um die fraglichen Informationen vom Internetzugangsanbieter zu erlangen und die Strafverfolgung einzuleiten (BGH NJW 2017, 2416, 2417 Rn. 25). Hieraus folgt zugleich, dass es entgegen der Auffassung der Beklagten der Annahme eines personenbezogenen Datums in Bezug auf die IP-Adresse nicht entgegensteht, dass diese Adresse – selbstverständlich – nicht unmittelbar auf die vor dem Endgerät befindliche Person, sondern vielmehr auf den Anschlussinhaber verweist. Denn allein hierdurch wird die Zuordnungsmöglichkeit zu einer Person nicht in Frage gestellt, wie sich bereits aus der vorstehenden Entscheidung des Bundesgerichtshofs ergibt, der dieselbe Fallgestaltung zugrunde lag.
Gemessen hieran ist eine solche mögliche Zusammenführung sowohl im Fall der Webseite der Beklagten als auch für Google (sowohl LLC als auch Ireland Ltd.) möglich, wenn sie feststellen würden, dass von der gespeicherten IP-Adresse aus etwaige Cyber-Attacken ausgingen. Es kann daher offenbleiben, für welche der datenverarbeitenden Stellen ein solcher Personenbezug vorliegen muss, weil sowohl die Beklagte als auch Google LLC bzw. Google Ireland Ltd. als Verletzte entsprechende Anzeigen an die Strafverfolgungsbehörden richten könnten.
Soweit die Beklagte meint, dass es darauf ankomme, ob eine solche Anfrage durch die Strafverfolgungsbehörden im konkreten Einzelfall wahrscheinlich sei (S. 35 der Berufungsbegründung, Bl. 533 eA) und ausführt, dass dies vorliegend nicht der Fall sei, weil es „nur“ um Werbung gehe (S. 37 der Berufungsbegründung, Bl. 535 eA), lässt sich eine solche Einschränkung (die zudem auch zu erheblicher Rechtsunsicherheit führen würde) weder der angeführten BGH-Entscheidung noch der zugrundeliegenden EuGH-Entscheidung entnehmen. Denn in diesen Fällen ging es ebenfalls um den Zugriff auf allgemein zugängliche Internetportale, die von der Bundesrepublik Deutschland bzw. von Einrichtungen des Bundes betrieben wurden und auf denen diese aktuelle Informationen bereitstellten. Es ist insoweit nicht erkennbar, dass Bundesgerichtshof oder EuGH hierin ein Spezifikum des entschiedenen Falls gesehen haben, das bei kommerziellen Webseiten nicht eingreifen würde.
Soweit die Beklagte sich auf das Urteil des EuG vom 26.04.2023 in der Rs. T-557/20 (= ZD 2023, 399) stützt, um ihre Auffassung zu belegen, handelt es sich nicht um einen vergleichbaren Sachverhalt, weil dort das Verhältnis zwischen einem Abwicklungsausschuss für eine Bank einerseits und einer Wirtschaftsprüfungsgesellschaft andererseits in Rede stand und sich die Frage stellte, ob in deren „Innenverhältnis“ eine Möglichkeit bestand, dass die Wirtschaftsprüfungsgesellschaft von dem Abwicklungsausschuss bestimmte Zusatzinformationen verlangen konnte, die eine Zuordnung von bei der Wirtschaftsprüfungsgesellschaft vorhandenen Daten zu konkreten Personen ermöglichten (vgl. EuG, a.a.O., Rn. 99 ff.). Im Streitfall ergibt sich die Identifizierbarkeit indes bereits aus den im nationalen Recht verankerten Befugnissen der Ermittlungsbehörden, die auf das bei den Providern vorhandene Datenmaterial zugreifen können. Eine uneingeschränkte Bejahung eines „relativen“ Ansatzes (also einer Einzelfallprüfung, ob die theoretisch vorhandene Möglichkeit der Identifizierung sich auch realisieren wird bzw. ob dies wahrscheinlich ist), lässt sich aus der Entscheidung indes nicht herleiten. Gerade mit Blick auf das Schutzbedürfnis für personenbezogene Daten wäre eine solche relative Auslegung, die zudem zu einer auch für die verarbeitenden Stellen unzuträglichen Rechtsunsicherheit führte, nicht zu befürworten (daher nicht überzeugend Baumgartner, Anmerkung zu der EuG-Entscheidung in der Rs. T-557/20, ZD 2023, 403 f.).
b) Ohne Erfolg wendet sich die Beklagte auch dagegen, dass eine Übermittlung dieser personenbezogenen Daten, nämlich der mit der IP-Adresse zugleich übermittelten weiteren Informationen zu verwendetem Browser und zum genutzten Gerät (vgl. im Einzelnen S. 7 des Schriftsatzes des Klägers vom 04.01.2023, Bl. 211 GA), in die USA stattgefunden hat.
Insbesondere ist es entgegen der Auffassung der Berufung der Beklagten (S. 20 ff. der Berufungsbegründung, Bl. 518 ff. eA) unerheblich, dass sich der Server, an den die Übermittlung der vorgenannten Daten erfolgt ist, physisch in Frankfurt befinden mag und die Auskunft der amerikanischen Registrierungsbehörde ARIN für eine Übermittlung in die USA für sich genommen nicht aussagekräftig ist, weil der ARIN der physische Standort des Servers nicht bekannt sein kann, nachdem diese sich lediglich mit der Registrierung befasst. Denn die Beklagte hat, wie das Landgericht zutreffend angenommen hat, die Übermittlung in die USA nicht ausreichend bestritten. Auch unter Berücksichtigung des mit der Berufungsbegründung gehaltenen Vortrags bestätigt die Beklagte im Ergebnis eine solche Übertragung. Denn hieraus ergibt sich, dass es sich bei diesem Server um einen Teil des von der Google LLC betriebenen globalen Server-Netzwerks handelt. Denn dieser stellt ausweislich des Schreibens der Google Ireland Ltd. vom 14.06.2023 (Anlagen B6a und B6b, Bl. 560 ff. eA) einen sogenannten „Google point of presence“ in Deutschland dar. Zur Rolle dieser „Points of Presence“ (im Folgenden: POP) zitiert die Beklagte (S. 22 der Berufungsbegründung, Bl. 520 GA) selbst ein Dokument von Google, in dem ausgeführt ist, dass derartige Edge POPs („Edge Point of Presence“) Teil eines „vermaschten“ (meshed) globalen Netzwerks sind, das diese Edge POPs mit den Datenzentren der Google LLC verbindet. Die rein begrifflichen Einwände der Beklagten (S. 4 des Schriftsatzes vom 04.10.2023, Bl. 1481 eA) ändern hieran nichts. Hieraus ergibt sich ohne weiteres, dass auch Google LLC zumindest technisch eine Zugriffsmöglichkeit auf die Daten hat, die damit ihrerseits den Ermittlungsbefugnissen der US-amerikanischen Sicherheitsbehörden unterfallen, weil es sich bei Google LLC um ein amerikanisches Unternehmen handelt (vgl. zur Irrelevanz der Belegenheit des Servers Pauly, in: Paal/Pauly, DSGVO/BDSG, a.a.O., Art. 44 Rn. 5). Insofern trägt die Beklagte gerade nicht vor, inwieweit Daten, die möglicherweise in einem ersten Schritt zwar „nur“ in die Verfügungsgewalt von Google Ireland Ltd. übergehen, auch vor Google LLC geschützt sind, auf das die IP-Adresse des Servers registriert ist und mit deren Datenzentren der Server verbunden ist. Die mit dem Schriftsatz vom 04.10.2023 vorgelegten Standardvertragsklauseln (Anlage B18 und B19, Bl. 1496 ff., 1518 ff. eA) zwischen Google LLC und Google Ireland Ltd. reichten, wie noch auszuführen ist, insoweit nicht aus.
Insofern liegt, anders als die Beklagte unter Hinweis auf die vergaberechtliche Entscheidung des Oberlandesgerichts Karlsruhe vom 07.09.2022 (15 Verg 8/22, ZD 2022, 690) meint (S. 3 des Schriftsatzes vom 04.10.2023, Bl. 1480 eA), nicht ein unzulässiger Schluss von der reinen Eigenschaft der Google Ireland Ltd. als Tochtergesellschaft der Google LLC auf eine Datenübermittlung in die USA vor. Vielmehr beruht diese Feststellung auf einer Anwendung der zivilprozessualen Darlegungsregeln unter Berücksichtigung des wechselseitigen Vortrags. Dass der Kläger die vorstehenden Umstände nicht selbst vorgetragen hat, sondern lediglich aus der Übermittlung der IP-Adresse an einen auf Google LLC registrierten Server abgestellt hat, ist unschädlich, weil es sich hierbei bereits um grundsätzlich schlüssigen Vortrag handelt und somit prozessual allein entscheidend ist, ob die Beklagte dem erheblich entgegengetreten ist, woran es aus den dargestellten Gründen fehlt. Diese Einordnung wird durch die Aussagen in den eigenen Datenschutzhinweisen der Beklagten (S. 4 der Anlage K1, Bl. 52 GA) bestätigt, wonach die „Google AdWords Funktion der Google Inc.“ benutzt wird. An dieser Stelle ist mithin nicht von der Google Ireland Ltd., mit der die Beklagte bestimmte Abreden zur Datenübermittlung vorträgt, sondern vielmehr von deren amerikanischer Mutter Google LLC (vormals Inc.) die Rede, was ebenfalls indiziell auf eine Übertragung von Daten in die USA hindeutet. Die Ausführungen der Beklagten dazu, wie sie das „Google Ads“-Programm nutzt (S. 18 der Berufungsbegründung, Bl. 516 eA), deuten in dieselbe Richtung. Denn danach bindet die Beklagte auf ihrer eigenen Webseite einen von Google bereitgestellten Javascript-Code ein, der wiederum auf weiteren Programmcode verweist und diesen nachlädt sowie auf dem Rechner des Nutzers zur Ausführung bringt. Just dieser nachgeladene Programmcode wird indes bei „Google“ gehostet (befindet sich also auf deren Servern), wobei aus der allgemeinen Bezeichnung „Google“ in den Ausführungen der Beklagten, die sonst stets sprachlich genau zwischen Google Ireland Ltd. und Google LLC trennt, bereits hervorgeht, dass es sich um das amerikanische Unternehmen handelt, wofür auch spricht, dass der angefragte Server auf Google LLC registriert ist und zu dessen Netzwerk gehört. In den von der Beklagten selbst vorgelegten Informationen von Google zu seinen grenzüberschreitenden Transfers von personenbezogenen Daten unter Geltung der Standardvertragsklauseln („Google Ads IDTI, Anlage B13, Bl. 604 ff. eA), auf die sich die Beklagte im Schriftsatz vom 04.10.2023 (dort S. 4, Bl. 1481 eA) erneut berufen hat, findet sich insoweit der Satz: „This data [gemeint sind Kundendaten im Sinne von personenbezogenen Daten] may be stored in any Google facility across its global network, and may be moved and replicated seamlessly between data centers and across borders to protect the integrity of the data and maximize efficiency and security for customers and users“ (Bl. 608 eA). Hieraus geht hervor, dass Google sich das Recht vorbehält, die auf deren Server übertragenen Daten in weitestmöglichem Umfang auf seine über verschiedenste Jurisdiktionen verteilten Rechenzentren zu verteilen bzw. diese zu duplizieren, was mit den obigen Ausführungen betreffend die Rolle des in Frankfurt belegenen Servers als Edge POP korrespondiert und die klägerische Annahme einer Übertragung der Daten (mindestens) in die USA stützt.
4. Dabei kann die Beklagte sich nicht damit entlasten, dass für eine etwaige Übertragung von Daten in die USA nicht sie selbst, sondern nach den getroffenen Vereinbarungen alleine die Google Ireland Ltd. verantwortlich sei (S. 41 ff. der Berufungsbegründung, Bl. 539 ff. eA).
Denn die Beklagte ist im Streitfall als mit Google Ireland Ltd. gemeinsam Verantwortliche im Sinne von Art. 26 DSGVO anzusehen und trägt daher auch Mitverantwortung für die erfolgte Übertragung personenbezogener Daten in die USA. Art. 26 DSGVO enthält zwar selbst nicht die Kriterien dafür, wann eine gemeinsame Verantwortlichkeit vorliegt, sondern setzt für seine Anwendbarkeit nur voraus, dass zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung festlegen. Das Ziel der Vorschrift liegt darin, durch eine weite Definition des Begriffs des Verantwortlichen einen wirksamen und umfassenden Schutz der betroffenen Personen zu gewährleisten (vgl. EuGH, Urteil vom 05.06.2018, Rs. C-210/16 Rn. 28 - Wirtschaftsakademie Schleswig-Holstein GmbH = EuZW 2018, 534, 535).
In der Entscheidung „Fashion ID“ hat der EuGH sodann ausgeführt, dass jede natürliche oder juristische Person, die aus Eigeninteresse auf die Verarbeitung personenbezogener Daten Einfluss nimmt und damit an der Entscheidung über die Zwecke und Mittel dieser Verarbeitung mitwirkt, als für die Verarbeitung Verantwortlicher anzusehen ist (vgl. EuGH, Urteil vom 29.07.2019, Rs. C-40/17 Rn. 68 = BeckRS 2019, 15831). Diese Definition trifft sowohl auf die Beklagte als auch auf Google Ireland Ltd. bzw. Google LLC zu. Denn wie die Beklagte selbst vorträgt, erfolgt die Übertragung der personenbezogenen Daten deshalb, weil sie sich der Funktionalität des „Google Ads“-Programms bedienen will, mit der sie unter anderem die Effizienz ihrer Verkäufe auf der eigenen Webseite messen und die Ausspielung von Werbung ermöglichen kann (vgl. S. 1 der Nutzungsbedingungen für Werbeprogramme der Google Ireland Ltd., Bl. 564 eA: „Das Programm ist eine Werbeplattform, auf welcher der Kunde Google und seine verbundenen Unternehmen damit beauftragt, mithilfe automatischer Hilfsmittel die Formatierung von Werbung vorzunehmen“). Damit nimmt sie aus Eigeninteresse Einfluss auf die personenbezogenen Daten, indem sie durch die Einbindung des entsprechenden Codes auf ihrer Webseite den Abruf des bei Google LLC gehosteten weiteren Codes und die Übermittlung von personenbezogenen Daten dorthin ermöglicht. Spiegelbildlich wirkt auch Google Ireland Ltd., mit der die Beklagte eine entsprechende vertragliche Vereinbarung getroffen hat, insofern verantwortlich an der Datenverarbeitung mit, als die an ihre Muttergesellschaft in den USA übertragenen Daten ihr Aufschluss darüber geben, welche Webseite aufgerufen wurde und welche Käufe ggf. getätigt wurden bzw. bis zu welchem Stadium diese gediehen waren. Gerade das ist Gegenstand der sogenannten „Conversion ID“, die in der konkreten Verletzungsform als Passage „1puser-list/1001948399“ in der Request-URL enthalten war und die die Beklagte nach ihrem eigenen Vortrag zum Re-Marketing bzw. Retargeting, also zur Ermittlung von Kunden, die möglicherweise noch einmal etwas von ihr kaufen wollen, nutzt (vgl. S. 19 f. der Berufungsbegründung, Bl. 517 eA sowie S. 4 der Datenschutzhinweise, Anlage K1, Bl. 52 GA).
Gegen diese gemeinsame Verantwortlichkeit lässt sich auch nicht einwenden, dass die Beklagte keine Kontrolle darüber habe, zu welchen Zwecken Google Ireland Ltd. die übertragenen Daten nutze. Denn gemeinsame Kontrolle liegt auch vor, wenn die Verantwortlichen zwar unterschiedliche Zwecke verfolgen, die Verfolgung der Zwecke aber gemeinsam erfolgt, also z.B. eine Partei die Daten für den Betrieb eines Rabattsystems benutzt, die andere sie für einen Zahlungsdienst einsetzt (Spoerr, in: BeckOK DatenschutzR, 44. Ed. 01.05.2022, Art. 26 DSGVO Rn. 33; vgl. auch EuGH, Urteil vom 29.07.2019, Rs. C-40/17 Rn. 82 – Fashion ID und dort Rn. 80 zu den Vorteilen für den Empfänger der Daten [dort Facebook]).
So verhält es sich auch im Streitfall, weil die Beklagte die Daten für ihre eigene Webseite und die dort angebotenen Produkte nutzt und Google Ireland Ltd. sie zur Profilbildung und zur zielgruppenspezifischen Ausspielung von Werbung nutzt. Dass die Beklagte auf die Art und Weise der Nutzung der Daten durch Google keinen Einfluss mehr nehmen kann, ist nach dem vorgenannten Urteil jedenfalls in einer Konstellation wie der vorliegenden unerheblich, in der die Beklagte bewusst die Entscheidung getroffen hat, den entsprechenden Code von Google LLC zwecks Nutzung von Google Ads auf ihre Webseite einzubinden und damit die Übermittlung von personenbezogenen Daten der Besucher ihrer Webseite an Google LLC zu ermöglichen (vgl. EuGH a.a.O. Rn. 77 ff.). Soweit die Beklagte auf die zusammenfassende Antwort des EuGH in Rn. 85 des Urteils „Fashion ID“ abstellt, aus der sie schließen möchte, dass jeder an der Datenverarbeitung Beteiligte nur soweit verantwortlich sei, als er selber über die Zwecke und Mittel der Datenverarbeitung entscheide, was im Streitfall zutreffe und sie entlaste, überzeugt dies angesichts der bereits zitierten Passagen des Urteils nicht. Richtig ist zwar, dass die Beklagte mit Google Ireland Ltd. vertragliche Abreden getroffen hat, ausweislich derer sich beide Vertragsparteien als unabhängige Verarbeiter bezeichnen (Ziff. 4 der „Google Ads Controller-Controller Data Protection Terms“, Anlage B9, Bl. 573 ff. eA). Für die Beurteilung kommt es jedoch nicht entscheidend auf solche vertraglichen Zuweisungen, sondern auf die tatsächliche und wirtschaftliche Handhabung an (vgl. Spoerr, in: BeckOK DatenschutzR, a.a.O., Art. 26 Rn. 21), wie sie oben herausgearbeitet worden ist und zu einer gemeinsamen Verantwortlichkeit führt.
5. Die Datenübermittlung war auch unzulässig, da sie nicht von einem Erlaubnistatbestand der DSGVO gedeckt war.
Für den von dem Kläger auf Wiederholungsgefahr gestützten Unterlassungsanspruch gemäß § 2 Abs. 1 S. 1 UKlaG muss die beanstandete Handlung sowohl im Zeitpunkt ihrer Vornahme als auch im Zeitpunkt der gerichtlichen Entscheidung rechtswidrig sein (vgl. nur BGH GRUR 2018, 622, 623 Rn. 11 – Verkürzter Versorgungsweg m.w.N.). Insofern ist zu berücksichtigen, dass nach Erlass des angefochtenen Urteils durch die Europäische Kommission ein neuer sog. Angemessenheitsbeschluss im Sinne von Art. 45 Abs. 3 DSGVO für den Datentransfer zwischen den Vereinigten Staaten und der Europäischen Union gefasst worden ist. Nach der genannten Vorschrift kann die Kommission im Wege eines Durchführungsrechtsakts beschließen, dass ein Drittland ein „angemessenes Schutzniveau“ bietet, das heißt einen Schutz personenbezogener Daten, der dem in der EU gebotenen Schutz der Sache nach gleichwertig ist.
Zum Zeitpunkt der Abmahnung bzw. der konkreten Verletzungsform fehlte es zunächst an einer entsprechenden Grundlage, nachdem der EuGH den zuvor geltenden Beschluss, der auf dem „Privacy Shield“ basierte (eine Übereinkunft der USA mit der EU betreffend die Gewährleistung eines bestimmten Datenschutzniveaus), in seinem Urteil „Schrems II“ (Urteil vom 16.07.2020, Rs. C-311/18 – Facebook Ireland u. Schrems, NJW 2020, 2613) für nichtig erklärt hatte, so dass sich Unternehmen wie die Beklagte hierauf allein nicht mehr berufen konnten (hierzu Klein K&R 2023, 553). Der unter dem 10.07.2023 gefasste Beschluss der EU-Kommision mit dem Titel „EU US Data Privacy Framework“ (im Folgenden: DPF, (C(2023) 4745 final, derzeit nur auf Englisch verfügbar, vorgelegt als Anlage B15, Bl. 1258 ff. eA) stellt nunmehr in den USA ein angemessenes Datenschutzniveau fest und entfaltet unmittelbare Wirkung, so dass Datenübermittlungen in das betreffende Land keiner besonderen aufsichtsbehördlichen Genehmigung bedürfen (vgl. Juarez, in: BeckOK DatenschutzR, 44. Ed. 01.05.2023, Art. 45 DSGVO Rn. 1). Auf der Grundlage des neuen Angemessenheitsbeschlusses können personenbezogene Daten aus der EU an solche US-Unternehmen übermittelt werden, die an dem DPF teilnehmen (DPF Rn. 8: „This Decision has the effect that personal data transfers from controllers and processors in the Union to certified organisations in the United States may take place without the need to obtain any further authorisation.“). Eine solche Teilnahme als „certified organisation“, die eine Selbstverpflichtung sowie die Übermittlung verschiedener weiterer Informationen an das US-amerikanische Handelsministerium (US Department of Commerce) voraussetzt (vgl. Klein K&R 2023, 553, 554), ist auch für die Google LLC festzustellen, wie aus dem Ausdruck der vom Department of Commerce betriebenen Webseite www.dataprivacyframework.gov“ (Anlage B16, dort S. 3, Bl. 1399 eA) hervorgeht, dem der Kläger inhaltlich nicht entgegengetreten ist.
Eine für den Unterlassungsanspruch relevante Änderung ist hierdurch nicht eingetreten, weil sich die Übertragung sowohl vor als auch nach Inkrafttreten des DPF als unzulässig darstellt.
a) Die Datenübertragung an die Google LLC und damit in die USA war vor Geltung des DPF nicht durch Erlaubnistatbestände der DSGVO gedeckt. Denn die Übermittlung war weder nach Art. 46 Abs. 1 DSGVO aufgrund geeigneter Garantien für ein angemessenes Datenschutzniveau in den USA als Drittland (dazu aa)) noch aufgrund einer Einwilligung nach Art. 49 Abs. 1 S. 1 lit. a) DSGVO (dazu bb)) zulässig. Eine Notwendigkeit der Datenübermittlung zur Vertragserfüllung (Art. 49 Abs. 1 S. 1 lit. b DSGVO) scheidet ersichtlich aus, weil – wie aus den obigen Ausführungen betreffend die Klageanträge zu 1) e) und f) hervorgeht – die Verfolgung eigener werblicher Zwecke durch die Beklagte hierfür nicht notwendig ist. Die Heranziehung eines zwingenden berechtigten Interesses der Beklagten (Art. 49 Abs. 1 S. 2 DSGVO) scheitert bereits daran, dass die Übermittlung hiernach nur zulässig ist, wenn sie u.a. nicht wiederholt erfolgt und nur eine begrenzte Zahl von betroffenen Personen betrifft, was im Streitfall ersichtlich nicht gegeben ist.
aa) Nach Art. 46 Abs. 1 DSGVO dürfen personenbezogene Daten an ein Drittland nur übermittelt werden, sofern der Verantwortliche geeignete Garantien vorgesehen hatte und sofern den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen. Für die geeigneten Garantien werden in Art. 46 Abs. 2 DSGVO verschiedene Beispiele, unter anderem die sog. Standardvertragsklauseln (Art. 46 Abs. 2 lit. c) DSGVO, dort als Standarddatenschutzklauseln bezeichnet), benannt.
Insofern reicht es jedoch nicht aus, dass die Beklagte sich auf Standardvertragsklauseln im Verhältnis zwischen Google und Google Ireland Ltd. (nunmehr vorgelegt als Anlagen B18 und B19, Bl. 1496 ff., 1518 ff. eA) sowie auf zusätzliche Maßnahmen, die von Google in den sogenannten „Google Ads IDTI“ (Anlage B13, Bl. 604 ff. eA) ausgeführt werden, stützt. Denn der EuGH hat in seiner Entscheidung „Schrems II“ (Urteil vom 16.07.2020, Rs. C-311/18 = NJW 2020, 2613) zunächst klargestellt, dass die Verwendung von Standardvertragsklauseln zwar im Verhältnis der Vertragsparteien relevant sei, aber keinen Schutz vor Maßnahmen der Behörden von Drittstaaten biete, weil diese durch die vertragliche Vereinbarung nicht gebunden seien. Deshalb gebe es Situationen, in denen die in den Klauseln enthaltenen Regelungen kein ausreichendes Mittel darstellten, um den effektiven Schutz von in das betreffende Drittland übermittelten personenbezogenen Daten zu gewährleisten (a.a.O. Rn. 125 f.). Für die USA als Drittland sei zu berücksichtigen, dass die amerikanischen Behörden auf die aus der Union in die Vereinigten Staaten übermittelten personenbezogenen Daten zugreifen und sie verwenden könnten, was sowohl im Rahmen der auf Section 702 des FISA (Foreign Intelligence Surveillance Act) gestützten Überwachungsprogramme PRISM und UPSTREAM als auch auf der Grundlage der Executive Order 12333 geschehen könne (a.a.O. Rn. 165). Diese Überwachungsprogramme genügten jedoch den im Unionsrecht nach dem Grundsatz der Verhältnismäßigkeit bestehenden Mindestanforderungen nicht, so dass nicht angenommen werden könne, dass die auf diese Vorschriften gestützten Überwachungsprogramme auf das zwingend erforderliche Maß beschränkt seien (zusammenfassend Rn. 184).
Aus diesen Ausführungen des Europäischen Gerichtshofs ist zu schließen, dass ein angemessenes Datenschutzniveau bzw. geeignete Garantien im Sinne von Art. 46 Abs. 1 DSGVO im Verhältnis zu den USA nur dann herbeigeführt werden können, wenn sowohl das Fehlen von Rechtsschutzmöglichkeiten des Einzelnen gegen Überwachungsmaßnahmen auf Grundlage der vorgenannten amerikanischen Vorschriften als auch der Datenzugriffsmöglichkeiten allgemein durch zusätzliche Maßnahmen effektiv ausgeschlossen oder auf ein erträgliches Maß zurückgeführt werden können (Lange/Filip, in: BeckOK DatenschutzR, a.a.O., Art. 46 Rn. 2i f.).
Dies wird durch die vorgelegten Unterlagen nicht erreicht. Google verpflichtet sich zwar in seinen „Google Ads IDTI“ (Anlage B13, Bl. 604 ff. eA), den Datenexporteur (hier also die Beklagte) über entsprechende Anforderungen von US-Behörden zur Offenlegung personenbezogener Daten zu informieren, stellt dies aber bereits unter den Vorbehalt, dass dies nach US-Recht zulässig ist (Übersetzung S. 50 der Berufungsbegründung, Bl. 548 eA). Entsprechendes gilt für die Benachrichtigung der betroffenen Person. Auch ist ein direkter Zugriff auf personenbezogene Daten nach wie vor nicht ausgeschlossen, wie sich ebenfalls aus diesem Dokument ergibt, weil Google sich auch für diesen Fall (nur) zu einer nachträglichen Information verpflichtet, wenn es von einem solchen Zugriff erfährt. Zwar wird dies später insofern relativiert (unterstrichene Passage auf S. 53 der Berufungsbegründung, Bl. 551 eA), als Google der Auffassung ist, dass keine staatliche Stelle in den USA direkten Zugriff auf die Information der Google-Nutzer oder auf Kundendaten habe. Dies schließt es aber gerade nicht aus, dass US-Behörden auf anderem Wege an diese Informationen gelangen, ohne dass Google hiervon zwingend erfährt. Dass Google die Rechtmäßigkeit von Anfragen überprüfen will (S. 51, Bl. 549 eA) und gegebenenfalls von ihm als rechtswidrig erkannte Maßnahmen anfechten will (S. 56 der Berufungsbegründung, Bl. 554 eA), vermag die grundsätzlichen vom EuGH festgestellten Defizite im Rechtsschutzsystem der USA betreffend die in Rede stehenden Überwachungsprogramme nicht zu beseitigen, weil diese zusätzlichen Maßnahmen von Google nur innerhalb des durch die aufgeführten Regelungen begründeten Systems der Überwachungsmechanismen wirken können. Dieses System ist aber in sich bereits, wie der EuGH entschieden hat, in den gebotenen Rechtsschutzmöglichkeiten defizitär, was durch ein Engagement von Google grundsätzlich nicht kompensiert werden kann.
bb) Auch auf eine Einwilligung der von der Datenübertragung betroffenen Personen kann sich die Beklagte nicht stützen. Zwar ist eine Einwilligung grundsätzlich möglich, wenn – wie im Streitfall - weder Angemessenheitsbeschluss (Art. 45 DSGVO) noch geeignete Garantien (Art. 46 DSGVO) für das betroffene Drittland gegeben sind, vgl. Art. 49 Abs. 1 S. 1 DSGVO.
Es kann offenbleiben, ob eine solche Einwilligung schon deshalb ausscheidet, weil die beabsichtigte Datenübertragung nicht nur gelegentlich, sondern routinemäßig stattfinden soll, wie die DSK (Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder) in ihrer „Orientierungshilfe der Aufsichtsbehörden für Anbieter:innen von Telemedien ab dem 1. Dezember 2021“ (Anlage K26, Bl. 1080 ff. eA) angenommen hat, wogegen sich allerdings Erwägungsgrund 111 zur DSGVO ins Feld führen ließe, der eine solche Einschränkung auf gelegentliche Übertragungen nur für die Erlaubnistatbestände in Art. 49 Abs. 1 S. 1 lit. b), c) und e) DSGVO aufführt.
Denn jedenfalls wäre eine etwaige Einwilligung, die nach Auffassung der Beklagten dadurch erfolgt, dass auf ihrem Cookie-Banner zwingend die Schaltfläche „Alles akzeptieren“ angeklickt werden muss, bevor die streitgegenständliche Übertragung erfolgt (vgl. S. 25 f. der Berufungsbegründung, Bl. 523 f. eA), unwirksam. Die Vorschrift des Art. 49 Abs. 1 S. 1 lit. a) DSGVO setzt nämlich voraus, dass der Einwilligende über die bestehenden möglichen Risiken ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien unterrichtet wurde. Hieran fehlt es, und zwar auch dann, wenn man die gegenüber dem ursprünglichen Cookie-Banner (Anlage K8, Bl. 192 GA) leicht erweiterte Gestaltung in Anlage B11 (Bl 591 ff. eA) zugrunde legt. Dort heißt es in Bezug auf Drittlandtransfers von personenbezogenen Daten: „[Die Beklagte] kann unter Umständen nicht in allen Fällen sicherstellen, dass das europäische Datenschutzniveau eingehalten wird“ (diese Passage fehlte zuvor) und verweist wegen Details auf den Datenschutzhinweis (insoweit unverändert gegenüber Anlage K1, Bl. 49 ff. GA). In diesem findet sich zwar einerseits der Hinweis (S. 5 unten, Bl. 53 GA), dass im Falle einer Einwilligung im Sinne von Art. 49 Abs. 1 S. 1 lit. a) DSGVO das Datenschutzniveau in den meisten Ländern außerhalb der EU nicht den EU-Standards entspreche, was insbesondere umfassende Überwachungs- und Kontrollrechte staatlicher Behörden, z.B. in den USA, die in den Datenschutz der europäischen Bürgerinnen und Bürger unverhältnismäßig eingreifen, betreffe. Andererseits ist aber spezifisch für Google Ads ausgeführt, dass insoweit nach Auskunft von Google keine Übermittlung personenbezogener Daten stattfinde (S. 4 der Anlage K1, Bl. 52 GA). Bereits diese widersprüchliche Aussage in Bezug auf die konkrete Datenübertragung steht dem Ziel einer informierten Einwilligung entgegen, weil der angesprochene Verkehr davon ausgehen wird, dass er in die Nutzung u.a. von Marketing-Cookies einwilligen könne, ohne Risiko zu laufen, dass seine hierbei erhobenen Daten in ein Drittland transferiert werden. Dies ist bereits nach Art. 49 Abs. 1 S. 1 lit. a) DSGVO unzulässig, weil hierdurch die nach der Vorschrift gebotene Risikoaufklärung konterkariert wird, weshalb es auf eine Prüfung am Maßstab des § 307 Abs. 1 S. 2 BGB (Transparenzgebot) nicht mehr ankommt. Insofern kann auch offenbleiben, ob die von der Beklagten erteilten Informationen für sich genommen ausreichend wären oder ob noch spezifischere Ausführungen erforderlich gewesen wären, wie der Kläger (S. 16 f. des Schriftsatzes vom 05.12.2022, Bl. 186 f. GA) meint (vgl. auch LG Berlin MMR 2018, 328, 331 Rn. 65 zu einer entsprechenden von Facebook verwendeten Einwilligungserklärung).
b) Das neue DPF lässt den Unterlassungsanspruch des Klägers aus ähnlichen Erwägungen wie zuvor ausgeführt nicht entfallen.
aa) Auch bei Vorliegen eines Angemessenheitsbeschlusses müssen die übrigen – allgemeinen – Anforderungen an eine zulässige Datenverarbeitung erfüllt sein, wozu unter anderem das Erfordernis der in Kapitel II der DSGVO geregelten Einwilligung (Art. 6, 7 DSGVO) gehört (vgl. Pauly, in: Paal/Pauly, DSGVO/BDSG, a.a.O., Art. 44 DSGVO Rn. 2).
Daran fehlt es im Streitfall. Denn ebenso wie im Kontext des Art. 49 Abs. 1 S. 1 lit. a) DSGVO ist die eingeholte Einwilligung, die nunmehr Art. 6 Abs. 1 S. 1 lit. a) DSGVO unterfällt, unwirksam. Eine Einwilligung im Sinne der letzteren Vorschrift erfordert, dass der für die Verarbeitung Verantwortliche der betroffenen Person eine Information über alle Umstände im Zusammenhang mit der Verarbeitung der Daten in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zukommen lässt, da dieser Person insbesondere die Art der zu verarbeitenden Daten, die Identität des für die Verarbeitung Verantwortlichen, die Dauer und die Modalitäten dieser Verarbeitung sowie die Zwecke, die damit verfolgt werden, bekannt sein müssen. Solche Informationen müssen diese Person in die Lage versetzen, die Konsequenzen einer etwaigen von ihr erteilten Einwilligung leicht zu bestimmen, und gewährleisten, dass die Einwilligung in voller Kenntnis der Sachlage erteilt wird (vgl. EuGH, Urteil vom 11.11.2020, Rs. C-61/19 Rn. 40 - Orange România SA/ANSPDCP, = NJW 2021, 841).
Gemessen hieran wird im Datenschutzhinweis, wie oben näher ausgeführt, suggeriert, dass die Verwendung von Google Ads grundsätzlich ohne Übermittlung personenbezogener Daten auskommt. Unabhängig davon, ob diese Übermittlung in ein Drittland mit oder ohne Angemessenheitsbeschluss erfolgt, entspricht es nicht dem Erfordernis einer transparenten und leicht verständlichen Unterrichtung des Nutzers, wenn dieser aufgrund einer entsprechenden Aussage von Google, auf die sich die Beklagte beruft, davon ausgeht, es komme erst gar nicht zu einer Verarbeitung seiner personenbezogenen Daten. Deshalb kann auch dahinstehen, ob – wie der Kläger meint – die Einwilligung im Cookie-Banner auch deshalb unwirksam ist, weil sie keine Eingrenzungen bezüglich der Zwecke der Verarbeitungen oder der Zielländer der Übermittlung enthält (vgl. S. 39 der Klageschrift, Bl. 44 GA).
bb) Der Prüfung der Einwilligung am Maßstab des Art. 6 Abs. 1 S. 1 lit. a) DSGVO nach Inkrafttreten des DPF stehen prozessuale Gründe nicht entgegen. Insbesondere ist die in dieser Vorschrift geregelte Einwilligung auch Streitgegenstand des Unterlassungsantrags.
Der Streitgegenstand (der prozessuale Anspruch) wird durch den Klageantrag bestimmt, in dem sich die vom Kläger in Anspruch genommene Rechtsfolge konkretisiert, und den Lebenssachverhalt (Klagegrund), aus dem der Kläger die begehrte Rechtsfolge herleitet. Bei einem wettbewerbsrechtlichen Unterlassungsantrag besteht die begehrte Rechtsfolge in dem Verbot gerade der bestimmten - als rechtswidrig angegriffenen - Verhaltensweise (Verletzungsform), die der Kläger in seinem Antrag sowie seiner zur Antragsauslegung heranzuziehenden Klagebegründung festgelegt hat. Die so umschriebene Verletzungsform bestimmt und begrenzt damit den Inhalt des Klagebegehrens. Eine Abwandlung der Verletzungsform, auf die sich der Verbotsausspruch nach dem Willen des Klägers beziehen soll, ändert dementsprechend den Streitgegenstand und setzt deshalb einen entsprechenden Antrag des Klägers voraus. Dies gilt ebenso, wenn eine im Antrag umschriebene Verletzungsform durch Einfügung zusätzlicher Merkmale in ihrem Umfang auf Verhaltensweisen eingeschränkt wird, deren Beurteilung die Prüfung weiterer Sachverhaltselemente erfordert, auf die es nach dem bisherigen Antrag nicht angekommen wäre. Ein in dieser Weise eingeschränkter Antrag ist zwar gedanklich, nicht aber prozessual (i.S. des § 264 Nr. 2 ZPO) ein Minus, weil seine Begründung nunmehr von tatsächlichen Voraussetzungen abhängt, die zuvor nicht zum Inhalt des Antrags erhoben worden waren. Das Gericht ist zwar verpflichtet, den vorgetragenen Lebenssachverhalt umfassend rechtlich daraufhin zu überprüfen, ob danach der Klageantrag begründet ist. Es muss dabei aber die Grenzen des vom Kläger bestimmten Streitgegenstands beachten. Das Gericht verstößt deshalb gegen § 308 Abs. 1 ZPO, wenn es dahingehend erkennt, dass der geltend gemachte Anspruch nur unter bestimmten, nicht zum Inhalt des Antrags erhobenen Voraussetzungen bestehe und im Übrigen nicht bestehe. Eine solche Entscheidung spricht nicht lediglich weniger zu als beantragt, sondern an Stelle des Beantragten etwas anderes (vgl. BGH GRUR 2006, 960, 961 Rn. 15 f. - Anschriftenliste)
Gemessen an diesen Grundsätzen beinhaltet die vom Kläger im Schriftsatz vom 04.01.2023 beanstandete konkrete Verletzungsform auch die – auf der zweiten Stufe nach Vorliegen eines Angemessenheitsbeschlusses zu prüfende – von der Beklagten für die Datenübertragung eingeholte Einwilligung, die an Art. 6 Abs. 1 S. 1 lit. a) DSGVO zu messen ist. Denn Gegenstand der konkreten Verletzungsform ist der Besuch der Webseite der Beklagten mit einem Browser, bei dem zuvor vorhandene Cookies oder ähnliche Webseite-Daten gelöscht waren und bei dem daher vor der Ansicht von Inhalten auf der Seite das überlagernde Cookie-Banner angezeigt wurde (vgl. etwa S. 8 des Schriftsatzes der Beklagten vom 02.02.2023, Bl. 546 GA sowie S. 25 f. der Berufungsbegründung, Bl. 523 f. eA). Die in jenem Cookie-Banner unter Hinweis auf die Datenschutzhinweise eingeholte Einwilligung ist insofern auch nach Auffassung der Beklagten Bestandteil des vorgetragenen und vom Kläger beanstandeten Sachverhalts gewesen, wie sie nach Erörterung in der mündlichen Verhandlung im nachgelassenen Schriftsatz vom 04.10.2023 (dort S. 9, erster Punkt der Aufzählung, Bl. 1486 eA) bestätigt hat. Dies ergibt sich bereits aus der Abmahnung vom 24.02.2022. Denn darin hat der Kläger zunächst das vorgeschaltete Cookie-Banner, in dem auf die Datenschutzhinweise der Beklagten Bezug genommen wird, beanstandet und sodann (Anlage K5, dort S. 10 ff., Bl. 82 ff. GA) ausgeführt, dass der in den Datenschutzhinweisen erläuterte Drittlandtransfer personenbezogener Daten, wie er sich zum Zeitpunkt des Aufrufs der Webseite und des Einsatzes der Cookies darstelle, beanstandet werde und auch die Voraussetzungen einer Einwilligung durch das Cookie-Banner bzw. die Datenschutzhinweise (a.a.O. S. 13, Bl. 85 GA und S. 14, Bl. 86 GA) nicht erfüllt seien (vgl. auch S. 38 f. der Klageschrift, Bl. 42 f. GA). In Fällen, in denen sich die Klage gegen die konkrete Verletzungsform richtet, ist in dieser Verletzungsform der Lebenssachverhalt zu sehen, durch den der Streitgegenstand bestimmt wird (BGH GRUR 2013, 401, 403 Rn. 24 - Biomineralwasser). Diese durch die vorgenanten Umstände sowie weiter durch die im Antrag wiedergegebenen Ausführungen im Schriftsatz vom 04.01.2023 (dort S. 5 ff., Bl. 209 ff. GA) ausreichend umrissene konkrete Verletzungsform umfasst alle Rechtsverletzungen, unabhängig davon, ob sich der Kläger explizit hierauf gestützt hat (vgl. Köhler/Feddersen, in: Köhler/Bornkamm/Feddersen, UWG, 41. Aufl. 2023, § 12 Rn. 1.23e und 1.23i). Die Beurteilung des danach identischen Sachverhalts anhand einer anderen Rechtsvorschrift als vom Kläger benannt stellt deshalb – anders als die Beklagte meint - keinen Verstoß gegen § 308 Abs. 1 ZPO dar, nachdem der Kläger durch den Vortrag zum Inhalt des Datenschutzhinweises und die Rüge, dass hierin nicht ausreichend über die mit der Übermittlung personenbezogener Daten in Drittländer verbundenen Risiken aufgeklärt werde, schlüssigen Vortrag zur fehlenden Einwilligung gehalten hat.
Dass im abstrakten Teil des Antrags das Fehlen einer Einwilligung im Sinne von Art. 49 DSGVO angeführt ist, stellt sich insofern als unschädliche Überbestimmung dar. Die im Antrag vorgenommenen Einschränkungen, die sich auf die Art. 45, 46 und 49 DSGVO beziehen, waren ersichtlich lediglich dem Umstand geschuldet, dass der Kläger in der Klageschrift noch ein abstraktes Verbot ohne die Nennung der konkreten Verletzungsform begehrt hatte, weshalb die Hinzufügung der Ausnahmetatbestände dazu diente, dem Einwand eines zu weit gefassten und erlaubtes Verhalten einschließenden Antrags zu begegnen (vgl. hierzu BGH GRUR 2002, 706, 708 – vossius.de). Im Kontext des zuletzt gestellten Antrags, der sich auf eine konkrete Verletzungsform bezieht, zeigt die Nennung der vorgenannten Vorschriften indes lediglich Fälle auf, in denen das (abstrakte) Verbot nicht eingegriffen hätte. Grundsätzlich brauchen aber Ausnahmetatbestände in den Klageantrag bereits nicht aufgenommen zu werden; denn es ist nicht Sache des Klägers, den Beklagten darauf hinzuweisen, was ihm erlaubt ist (BGH GRUR 2010, 749, 751 Rn. 25 – Erinnerungswerbung im Internet). Dass der Kläger, der seinen Unterlassungsanspruch auch nach Inkrafttreten des Angemessenheitsbeschlusses für begründet erachtet hat, hierdurch den begehrten Verbotsumfang allein auf die Prüfung der rechtlich vorgeschalteten Stufe des Vorliegens der Art. 44 ff. DSGVO für die Übermittlung in Drittländer beschränken und die sich anschließende Prüfung der allgemeinen Voraussetzungen jeder Datenübertragung nicht zum Gegenstand der gerichtlichen Überprüfung machen wollte, liegt fern. Jedenfalls in Fällen, in denen – wie im Streitfall – der Verbotsantrag auf die konkrete Verletzungsform bezogen ist, stellt sich mithin die Aufnahme solcher Zusätze als unschädlich und auch nicht als den Streitgegenstand in der von der Beklagte angenommenen Weise einengend dar. Dies gilt im Streitfall auch deshalb, weil die Beklagte in ihren Datenschutzhinweisen (Anlage K1, dort S. 4, Bl. 52 GA) selbst davon ausgeht, dass die Übermittlung von Daten an von ihr so bezeichnete „eigenverantwortliche Dritte“, worunter die Beklagte auch Google Inc. (nunmehr LLC) fasst, der Einwilligung gemäß Art. 6 Abs. 1 S. 1 lit. a) DSGVO unterfällt. Dort heißt es wörtlich (Schreibweise wie im Original):
„Auf unseren Webseiten haben wir Drittanbieter Dienste eingebunden, die ihren Services eigenverantwortlich erbringen. Dabei werden beim Besuch unserer Seiten Daten mittels Cookies oder ähnlicher Technologien erfasst und an den jeweiligen Dritten übermittelt. Zum Teil für U.-eigene Zwecke. Rechtsgrundlage für diese Cookies ist Art 6 1 a) DSGVO.“
III.
Die Kostenentscheidung folgt aus §§ 92 Abs. 1, 97 Abs. 1 ZPO. Die Entscheidung über die vorläufige Vollstreckbarkeit beruht auf §§ 708 Nr. 10, 709 S. 1 und 2, 711 ZPO.
IV.
Die Revision war für die Beklagte zuzulassen, soweit sie – unter Einbeziehung dieses Urteils - zur Unterlassung verurteilt worden ist. Denn die Rechtssache hat insofern grundsätzliche Bedeutung im Sinne von § 543 Abs. 2 S. 1 Nr. 1 ZPO. Grundsatzbedeutung ist nach dem Willen des Gesetzgebers (Entwurf eines Gesetzes zur Reform des Zivilprozesses vom 24.11.2000, BT-Drs. 14/4722, S. 104) insbesondere in Verfahren anzunehmen, in denen die Auslegung typischer Vertragsbestimmungen, Tarife, Formularverträge oder allgemeiner Geschäftsbedingungen erforderlich wird. So verhält es sich auch hier. Sowohl die Anträge zu 1) e) und und f), die der Senat erstmalig zugesprochen hat, als auch der bereits durch das Landgericht zuerkannte Unterlassungsanspruch zum Antrag 1) d) betreffen von der Beklagten verwendete Allgemeine Geschäftsbedingungen. Die Beklagte gehört nach Zahl der Anschlüsse zu den größten Mobilfunkbetreibern auf dem Markt. Eine Zulassung der Revision für den Kläger ist demgegenüber nicht veranlasst. Denn die Entscheidung beruht, soweit sie zu seinem Nachteil ergangen ist, nicht auf der Auslegung der mit den Anträgen zu 1) a), b) und c) angegriffenen Klauseln bzw. Webseite-Gestaltungen, sondern auf prozessualen und materiell-rechtlichen Erwägungen betreffend die Reichweite des Unterlassungsanspruchs und kann sich insofern auf gesicherte Rechtsprechung des Bundesgerichtshofs, die im Einzelfall anzuwenden war, stützen.
Die Streitwertfestsetzung des Landgerichts erscheint dem Senat auch unter Berücksichtigung der in der Klageerwiderung (dort S. 25 ff., Bl. 151 ff. GA) vorgebrachten Argumente für eine höhere Festsetzung als angemessen, weshalb sie auch dieser Entscheidung zugrunde zu legen ist. Zwar hat der Kläger neben dem UKlaG in der Klageschrift in einem Fall auch eine Vorschrift des UWG angeführt, um seinen Unterlassungsantrag 1) a) zu begründen (vgl. S. 20, Bl. 24 GA). Er hat indes bereits in der Einleitung der Klageschrift (vgl. S. 18, Bl. 22 GA) seine Klagebefugnis und im Folgenden auch alle anderen Unterlassungsanträge maßgeblich auf das UKlaG gestützt und so den Schwerpunkt seines Begehrens, der Grundlage der Bemessung des Streitwerts ist, klargemacht. Insofern verbleibt es bei dem vom Bundesgerichtshof in ständiger Rechtsprechung aufgestellten Grundsatz, wonach der Gebührenstreitwert (und auch die Beschwer) sich in Verfahren nach dem UKlaG regelmäßig an dem Interesse der Allgemeinheit an der Beseitigung einer gesetzwidrigen AGB-Bestimmung orientiert, nicht aber an der wirtschaftlichen Bedeutung eines Klauselverbots für das auf Unterlassung in Anspruch genommene Unternehmen. Auf diese Weise sollen Verbraucherschutzverbände bei der Wahrnehmung der ihnen im Allgemeininteresse eingeräumten Befugnis, den Rechtsverkehr von unwirksamen Allgemeinen Geschäftsbedingungen zu befreien, vor unangemessenen Kostenrisiken geschützt werden Ausgehend hiervon wird bei einer gegen die Verwendung von AGB-Bestimmungen gerichteten Verbandsklage regelmäßig ein Streitwert in einer Größenordnung von 2.500 EUR je angegriffener (Teil-)Klausel festgesetzt. Diese Erwägungen gelten nicht nur für die Fälle des Verbots von gesetzwidrigen Allgemeinen Geschäftsbedingungen (§ 1 UKlaG), sondern auch für eine im Hinblick auf eine verbraucherschutzgesetzwidrige Praxis im Sinne von § 2 UKlaG erhobene Verbandsklage (vgl. nur BGH NJW-RR 2022, 782, 783 Rn. 11 f.).
Diesen Grundsätzen trägt die Festsetzung im angefochtenen Urteil, bei der für die Anträge zu 1) a), 1) c) und 1) d) jeweils ein Wert von 5.000 € und diejenigen zu 1) b), 1) e) und 1) f) ein solcher von je 2.500 € angesetzt ist, hinreichend Rechnung. Dabei ist die höhere Bewertung der zuerst genannten Anträge deshalb gerechtfertigt, weil sie mit der Übermittlung personenbezogener Daten (Anträge zu 1) a) und 1) d)) bzw. der Gestaltung eines jeglicher Nutzung der Webseite der Beklagten vorgeschalteten Elements (Antrag zu 1) c)) jeweils noch weitergehende und damit höher zu bewertende Verbraucherinteressen betreffen als die „reinen“ Klauselbeanstandungen, die Gegenstand der übrigen Anträge sind.