LG Berlin II: Datenschutzrechtliche Einwilligung bei Anmeldung eines Google-Kontos nicht DSGVO-konform
LG Belrin II
Urteil vom 25.03.2025
15 O 472/22
Das LG Berlin II hat entschieden, dass die datenschutzrechtliche Einwilligung bei Anmeldung eines Google-Kontos nicht DSGVO-konform ist.
Aus den Entscheidungsgründen:
l. Der Kläger kann von der Beklagten gem. 88 8 Abs. 1, 3 Nr. 3, 3 Abs. 1, 3a UWG 1.V.m. Art. 5 Abs. 1 lit. a, 6 Abs. 1 S. 1 lit. a DS-GVO sowie gem. 8 2 Abs. 1, 2 Nr. 13 UKlaG 1.V.m. Art. 6 Abs. 1 DS-GVO verlangen, dass diese es unterlässt, ım Rahmen der Registrierung für ein Google-Konto keine freiwillige und in informierter Weise abgegebene Einwilligung in die Verarbeitung personenbezogener Daten in Bezug auf Web- & App-Aktivitäten, YouTube-Verlauf und personalisierte Werbung einzuholen, wenn dies geschieht wıe in Anlage K 3 abgebildet.
1. Die Klagebefugnis ergibt sich aus 8 8 Abs. 3 Nr. 3 UWG sowie 8 3 Abs. 1 S. 1 Nr. 1 UKlaG. Art. 80 Abs. 2 DS-GVO steht dem nicht entgegen, insoweit wird auf die Ausführungen unter A. II. verwiesen. Der Kläger ist als qualifizierte Einrichtung im Sinne von $ 4 UKlaG in der Liste des Bundesamtes für Justiz eingetragen.
2. Bei Art. 5 Abs. 1 Ilit. a und Art. 6 Abs. 1 S. 1lit. a DS-GVO handelt es sich um Marktverhaltensregelungen 1.S.d. $ 3a UWG.
Eine Norm regelt das Marktverhalten im Interesse der Mitbewerber, Verbraucher oder sonstigen Marktteilnehmer, wenn sie einen Wettbewerbsbezug in der Form aufweist, dass sie die wettbewerblichen Belange der als Anbieter oder Nachfrager von Waren oder Dienstleistungen in Betracht kommenden Personen schützt. Eine Vorschrift, die dem Schutz von Rechten, Rechtsgütern oder sonstigen Interessen von Marktteilnehmern dient, ist eine Marktverhaltensregelung, wenn das geschützte Interesse gerade durch die Marktteilnahme, also durch den Abschluss von Austauschverträgen und den nachfolgenden Verbrauch oder Gebrauch der erworbenen Ware oder in Anspruch genommenen Dienstleistung berührt wird (BGH, Urt. v. 27.4.2017 - | ZR 215/15, GRUR 2017, 819 Rn. 20, beck-online).
Datenschutzrechtliche Bestimmungen weisen einen wettbewerbsrechtlichen Bezug auf, soweit es um die Zulässigkeit der Erhebung, Verarbeitung oder Nutzung von Daten geht, etwa zu Zwecken der Werbung, der Meinungsforschung, der Erstellung von Nutzerprofilen, des Adresshandels oder sonstiger kommerzieller Zwecke (OLG Stuttgart, Urteil vom 27.02.2020 - 2 U 257/19 - Reifensofortverkauf, Rn. 79 m.w.N.).
Nach diesen Maßstäben handelt es sich bei Art 5 Abs. 1 Iıt. a und Art. 6 Abs. 1 S. 1]lıt. a DS-GVO um Marktverhaltensregelungen. Denn diese Regelungen betreffen die Zulässigkeit der Erhebung von Daten u.a. auch bei der unmittelbaren Teilnahme am Markt, im vorliegenden Fall durch Eröffnung eines Google-Kontos, also bei Eingehung eines Vertrages mit der Beklagten oder der Nutzung des Kontos. Diese wiederum nutzt die Daten u.a. für die Schaltung von Werbung, was die DS-GVO zu regeln sucht (so auch LG Leipzig, Urteil vom 31.5.2023 — 05 O 666/22, MMR 2024, 277 Rn. 87, beck-online; KG, Urteil vom 20.12.2019 - 5 U 9/18 —, Rn. 174, Juris zu Art. 6 Abs. 1 5. 1 lit. a DS-GVO; MüKoUWG/Schaffert, 3. Aufl. 2020, UWG 8 3a Rn. 81, beck-online).
3. Gemäß 8 2 Abs. 1 Satz 1 UKlaG kann im Interesse des Verbraucherschutzes auf Unterlassung und Beseitigung in Anspruch genommen werden, wer in anderer Weise als durch Verwendung oder Empfehlung von Allgemeinen Geschäftsbedingungen Vorschriften zuwiderhandelt, die dem Schutz der Verbraucher dienen (Verbraucherschutzgesetze). Eine Norm dient dem Schutz der Verbraucher, wenn der Verbraucherschutz Ihr eigentlicher Zweck ist. Sie kann auch anderen Zwecken dienen; es genügt aber nicht, wenn der Verbraucherschutz in der Norm nur untergeordnete Bedeutung hat oder eine nur zufällige Nebenwirkung iIst. Die Norm muss Verhaltenspflichten des Unternehmers gegenüber dem Verbraucher begründen (vgl. zum Ganzen BGH, Urteil vom 6. Februar 2020 - | ZR 93/18, NJW 2020, 1737 Juris Rn. 15] - SEPA-Lastschrift, mwN).
Die für den Streitfall maßgeblichen Vorschriften der DSGVO fallen unter den Beispielskatalog des 8 2 Abs. 2 Nr. 13 UKlaG.
4. Die Beklagte hat auch gegen Art. 5 Abs. 1 lit. a und Art. 6 Abs. 1 S. 1]lit. a DS-GVO verstoßen.
Gemäß Art 5 Abs. 1 lit. a DS-GVO müssen personenbezogene Daten u.a. auf rechtmäßige Weise und nachvollziehbar (transparent) verarbeitet werden. Art. 6 Abs. 1 DS-GVO nimmt diesen Grundsatz durch die Anforderung auf, dass eine der dort geregelten Bedingungen erfüllt sein muss. Nach Art 6 Abs. 1 S. 1lıt. a DS-GVO ist die Verarbeitung rechtmäßig, wenn die betroffene Person Ihre Einwilligung für einen oder mehrere bestimmte Zwecke gegeben hat.
Eine „Einwilligung“ der betroffenen Person ist nach Art. 4 Nr. 11 DS-GVO Jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.
a) Es fehlt an einer freiwilligen Einwilligung.
Das Tatbestandsmerkmal „frei“” bzw. „freiwillig“ setzt ganz generell voraus, dass die betroffene Person „eine echte oder freie Wahl hat und somit in der Lage ist, die Einwilligung zu verweigern oder zurückzuziehen, ohne Nachteile zu erleiden“ (BeckOK DatenschutzR/Albers/Veit, 50. Ed. 1.8.2024, DS-GVO Art. 6 Rn. 34, beck-online). Die Einwilligung muss daher aufgeklärt erfolgen. Der Betroffene ist darauf hinzuweisen, dass er seine Einwilligung verweigern kann (BeckOK DatenschutzR/Schild, 50. Ed. 1.11.2024, DS-GVO Art. 4 Rn. 128, beck-online).
Inwiefern diejenigen Einwendungen der Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit, welche über die Einwendungen des Klägers hinausgehen, überhaupt zu prüfen sind, kann dahinstehen. An der Freiwilligkeit fehlt es jedenfalls aufgrund der vom Kläger bemängelten fehlenden Möglichkeit der vollständigen Ablehnung der Einwilligung in die Datenverarbeitung.
aa) Eine unwirksame Einwilligung liegt deshalb vor, da die „Express-Personalisierung“ lediglich die Möglichkeiten „Bestätigen“ und „Zurück“ vorsieht und nicht unmittelbar eine Ablehnung der Einwilligung möglich ist.
Grundsätzlich ist für eine freiwillige Entscheidung eines Nutzer seine Kenntnis von den Alternativen erforderlich. Hierfür muss die Beklagte die entsprechenden Möglichkeiten eröffnen und/oder eindeutig aufklären. Der Kläger und die Datenschutzbeauftragte lassen bei ihren Bewertungen wie die Beklagte zu Recht bemängelt - den ersten Schritt, die Auswahlmöglichkeit über den Personalisierungsweg, unberücksichtigt. Denn wenn dort eindeutig aufgeführt wird, dass der Weg über die „Express Personalisierung“” die unbedingte Einwilligung bedeutet, während diese bei der „Manuellen Personalisierung“ abgelehnt werden kann, so würde dies für eine aufgeklärte Einwilligung ausreichen. Dies ist allerdings nicht der Fall. Denn unter „Express-Personalisierung“ heißt es: „Nutzen Sie diese Personalisierungseinstellungen, um Inhalte und Werbung zu erhalten, die auf Ihre Interessen abgestimmt sind.“ Dieser Beschreibung lässt sich schon nicht eindeutig entnehmen, dass es überhaupt um eine Einwilligung in eine Datenverarbeitung geht. Aber selbst wenn man dies zugunsten der Beklagten annähme, ist aus dem Text nicht ersichtlich, dass der Nutzer bei Wahl der „Express-Personalisierung“ keine Möglichkeit hat, seine Einwilligung nicht zu erteilen. Aus diesem Grund müssen die beiden Personalisierungsschritte doch jeweils einzeln betrachtet werden. Dann reicht aber allein die tatsächliche Möglichkeit, die Einwilligung, nachdem der Vorgang über die „Express-Personalisierung“ abgebrochen wurde und über „Manuelle Personalisierung“ neu begonnen wurde, ım Rahmen der „Manuellen Personalisierung“ verweigern zu können, nicht aus, um den Nutzer ausreichend über die Möglichkeit der Ablehnung seiner Einwilligung zu Informieren. Vielmehr hätte der Nutzer auch im Rahmen der „Express-Personalisierung“ eindeutig darüber aufgeklärt werden müssen, dass er seine Einwilligung insgesamt verweigern kann, beispielsweise über einen weiteren Button „Ablehnen“. Dies wollte die Beklagte aber offenbar nicht, da der Expressweg dergestalt attraktiver für sie ist.
bb) Aber auch der erteilten Einwilligung über die „Manuelle Personalisierung“ fehlt es an einer Freiwilligkeit. Denn die Beklagte nutzt unstreitig trotz einer fehlenden Einwilligung in „personalisierte Werbung“ über die „allgemeine Werbung“ den Standort des Nutzers in Deutschland. Auch dabei handelt es sich um ein personenbezogenes Datum (vgl. Art. 4 Nr. 1 DS-GVO). Soweit die Beklagte sich hinsichtlich der Zulässigkeit auf die Empfehlungen der EDSA stützt, welche eine kontextbezogene oder allgemeine Werbung als „datenschutzfreundliche Alternative zur personalisierten Werbung“ anerkennt, so verkennt sie, dass die EDSA dabei auf den Bereich der Datenminimierung Bezug nimmt, nicht aber auf die Frage, ob eine wirksame freiwillige Einwilligung vorliegt. Um diese annehmen zu können, muss die Beklagte eine Alternative anbieten, mit der sämtliche Datennutzung verweigert werden kann. Soweit die Beklagte für die Nutzung des Standorts ein sonstiges berechtigtes Interesse behauptet, trägt sie noch nicht einmal vor, welches dieses sein soll.
Aufgrund der prinzipiellen Nutzung des von der Beklagten bezeichneten „allgemeinen Standorts“ besteht für den Nutzer tatsächlich keine Möglichkeit, die Nutzung sämtlicher personenbezogener Daten abzulehnen, weshalb es an der Freiwilligkeit der Einwilligung fehlt.
b) Es fehlt an auch an einer informierten Einwilligung zu einem bestimmten Zweck.
aa) Das Erfordernis der Einwilligung In „informierter Weise“ ist als Ausprägung des in Art. 5 Abs. 1 lit. a DS-GVO niedergelegten Transparenzgrundsatzes zu verstehen (BeckOK DatenschutzR/Albers/Veit, 50. Ed. 1.8.2024, DS-GVO Art. 6 Rn. 36, beck-online). Die Informationspflicht bzgl. der Einwillilgung bezieht sich auf bestimmte Elemente, die für die Entscheidungsfindung wesentlich sind, mindestens umfasst sie aber: die Identität des Verantwortlichen, den Zweck Jjedes Verarbeitungsvorgangs, für den die Einwilligung eingeholt wird, die (Art der) Daten, die erhoben und verwendet werden sowie das Bestehen eines Widerrufsrechts (BeckOK DatenschutzR/Albers/Veit, 50. Ed. 1.8.2024, DS-GVO Art. 6 Rn. 36, beck-online). Hinsichtlich der formalen Gestaltung muss eine einfache, klare und allgemeinverständliche Sprache verwendet werden und zudem muss die Einwilligung leicht zugänglich und deutlich von anderen Sachverhalten klar zu unterscheiden sein (BeckOK DatenschutzR/Albers/Veit, 50. Ed. 1.8.2024, DS-GVO Art. 6 Rn. 36, beck-online).
bb) Vorliegend fehlt es an der Transparenz schon deshalb, da die Beklagte weder über die einzelnen Google-Dienste noch Google-Apps, Google-Websites oder Google-Partner aufklärt, für welche die Daten verwendet werden sollen. Die Reichweite der Einwilligung Ist dem Nutzer schon aus diesem Grund völlig unbekannt. Ob darüber hinaus auch die konkrete Art und Weise der Darstellung, einschließlich der verwendeten Sprache, eine informierte Entscheidung entfallen lassen, kann daher dahinstehen.
Soweilt die Beklagte auf den Inhalt ihrer Datenschutzerklärung verweist, welche weitere Informationen über die „Partner“ und „Dienste“ enthielt und dabei u.a. von zwei Millionen Partnerwebsites die Rede ist, reicht auch diese Aufklärung nicht aus. Denn insoweit bleibt die Information viel zu vage, als dass der Nutzer den Umfang der Nutzung seiner Daten erfassen kann und insbesondere wofür sie bei den „Diensten“ und „Partnern“ genutzt werden. Soweit die Beklagte zu der fehlenden Angabe der Google-Dienste anführt, dass diese zu einem übermäßig langen Informationstext für die Nutzer geführt, was der Transparenz nicht genutzt hätte, kann dem nicht gefolgt werden. Zwar soll nach den „Leitlinien des Europäischen Datenschutzausschusses ("EDSA") zur Einwilligung“ keine „lange“ Datenschutzbestimmung verwendet werden, allerdings gehört die Information über sämtliche Google-Dienste (Anlage K1), für welche der Nutzer seine Einwilligung erteilt, schon nach dem Erwägungsgrund 42 der DS-GVO zu den Minimalangaben, die für eine informierte Einwilligung erforderlich sind. Demnach soll die betroffene Person nämlich wissen, in welchem Umfang sie ihre Einwilligung erteilt hat, dazu gehört insbesondere die Kenntnis für welche Zwecke ihre personenbezogenen Daten verarbeitet werden. Die Tatsache, dass die Beklagte über die von ihr zur Verfügung gestellte Einwilligung die Erlaubnis zur Nutzung von Daten für über 70 Google-Dienste einholen will, kann nicht dazu führen, dass es ihr erlaubt sein soll, die Dienste nicht wenigstens über die von Ihr genutzte Form des „layered approach” aufzuführen. Dass die Fülle an Diensten zu einer Unübersichtlichkeit deren Angabe führen würde, deutet vielmehr eindrücklich darauf hin, dass die Beklagte den Umfang der Einwilligung in erheblichem Maße überspannt hat. Sofern die Beklagte weiter ausführt, Nutzer könnten durch die Anzeige ihres „Google-Konto-Avatars“ erkennen, wenn es sich bei dem Jeweils genutzten Dienst um einen Google-Dienst handelt, und im Übrigen das Google-Konto bei den Nutzern unterschiedlich genutzt würde, so dass es zu unterschiedlich umfangreicher Nutzung der Daten kommt, so verhilft auch dieser Vortrag zu keiner abweichenden Beurteilung. Die Tatsache, dass die Nutzer nach der Einwilligung durch einen Avatar erkennen können, wann eine Google-Dienst vorliegt, ist zu spät und für die Frage der wirksamen Einwilligung unbeachtlich. Der Umfang muss den Nutzern bei Erteilung der Einwilligung bekannt sein. Auch die Tatsache, dass Nutzer Dienste in unterschiedlichen Umfang nutzen und damit unterschiedlich viele Daten preisgeben, Ist keine Besonderheit bei den Diensten der Beklagten, sondern die Regel. Dass hieraus hergeleitet werden kann, dass eine Information über den Umfang der Einwilligung nur eingeschränkt erfolgen muss, ist nicht nachvollziehbar.
c) Aus den Erwägungen unter b) fehlt es auch an der Einwilligung in einen bestimmten Zweck.
5. Angesichts der ausdrücklichen Bestimmung des 8 12a UKlaG, dass die zuständige inländische Datenschutzbehörde anzuhö6ren ist, führt die Tatasche, dass es sich bei dieser nicht um die federführende Aufsichtsbehörde 1.S.d. DS-GVO handelt, nicht zu einem Ausschluss des Anspruchs. Die DS-GVO selbst macht in Bezug zu den Rechtsbehelfen nach Art. 77 ff. DS-GVO für natürliche Personen, aber auch für den Kläger keine Vorgaben, dass eine Datenschutzbehörde überhaupt einzubinden wäre. 6. Die Wiederholungsgefahr ist gegeben. Neben der bereits durch den Verstoß indizierten Wiederholungsgefahr setzt ein Unterlassungsanspruch auf Grundlage des $ 2 Abs. 1 Satz 1 UKlaG voraus, dass er Im Interesse des Verbraucherschutzes geltend gemacht wird. Hierfür Ist erforderlich, dass der dem Anspruch zugrundeliegende Verstoß die Kollektivinteressen der Verbraucher berührt. Das ist der Fall, wenn der Verstoß in seinem Gewicht und In seiner Bedeutung über den Einzelfall hinausreicht und eine generelle Klärung geboten erscheinen lässt (vgl. BGH, Urteil vom 6. Februar 2020 - | ZR 93/18, NJW 2020, 1737 Juris Rn. 36] - SEPA-Lastschrift, mwN).
Il. Der Kläger kann von der Beklagten gem. $8 8 Abs. 1, 3 Nr. 2, 3 Abs. 1, 3a UWG. 1I.V.m. Art. 25 Abs. 2 S. 1 DS-GVO sowie gem. 8 2 Abs. 1, 2 Nr. 13 UKlaG 1.V.m. 25 Abs. 2 S. 1 DS-GVO verlangen, dass diese es unterlässt, ım Rahmen der Registrierung die verfügbare Option der Speicherfrist für personenbezogene Daten von 3 Monaten nicht in den vorgegebenen Auswahlmöglichkeiten anzubieten, wenn dies geschieht wie in Anlage K 4 abgebildet.
1. Die Klagebefugnis ergibt sich aus $ 8 Abs. 3 Nr. 3 UWG sowl'!e 8 3 Abs. 1 S. 1 Nr. 1 UKlaG. Art. 80 Abs. 2 DS-GVO steht dem nicht entgegen, insoweit wird auf die Ausführungen unter A. II. Verwiesen.
2. Auch bei Art. 25 Abs. 2 S. 1 DS-GVO handelt es sich um eine Marktverhaltensregelung (Köhler/Feddersen/Köhler/Odörfer, 43. Aufl. 2025, UWG 8 3a Rn. 1./4a, beck-online mit Verweis auf LG Hamburg, Urteil vom 22. Februar 2024 — 327 O 250/22, dort Rn. 62) sowie ein Verbraucherschutzgesetz 1.5.d. $ 2 UklaG.
3. Die Beklagte hat auch gegen Art. 25 Abs. 2 S. 1 DS-GVO verstoßen.
a) Nach Art. 25 Abs. 1 S. 1 DS-GVO hat der Verantwortliche geeignete technische und organisatorische Maßnahmen zu treffen, die sicherstellen, dass durch Voreinstellung nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden.
„Erforderlich“ sind Daten dann, wenn der Verarbeitungszweck sich ohne sie nicht erreichen lässt (Paal/Pauly/Martini, 3. Aufl. 2021, DS-GVO Art. 25 Rn. 45b, beck-online). Nach Erwägungsgrund 39 der DS-GVO soll die Speicherfrist für personenbezogene Daten auf das unbedingt erforderliche Mindestmaß beschränkt bleiben. Für solche Daten, die der Verantwortliche nicht notwendig verarbeiten muss, um die legitimen Zwecke der Verarbeitungserlaubnis erfüllen zu können, ist ihm der Weg der Voreinstellung demgegenüber verschlossen (Paal/Pauly/Martini, 3. Aufl. 2021, DS-GVO Art. 25 Rn. 45b, beck-online).
b) Nach diesen Maßstäben liegt in Bezug auf die „Express-Personalisierung“ eine Verletzung des Art. 25 Abs. 2 S. 1 DSGVO vor, da dort eine Speicherung von mehr als drei Monaten standardmäßig eingestellt ist. Dadurch, dass durch den Nutzer nachträglich unstreitig auch ein Löschen der Daten nach drei Monaten eingestellt werden kann, gibt die Beklagte zu verstehen, dass eine solche Speicherdauer für die von der Beklagten vorgenommene Verarbeitung grundsätzlich ausreicht. Alles, was über eine Speicherung von mehr als drei Monaten hinausgeht, war mithin nicht erforderlich. Gegenteiliges behauptet auch die Beklagte nicht. So führt sie selber aus, dass eine Speicherung von 18 bzw. 36 Monaten eine „optimale Nutzererfahrung“ ermögliche und damit den Zweck der Personalisierung „bestmöglich“ erreichen würde. Bei der Frage der Erforderlichkeit der Datennutzung geht es aber nicht um die bestmögliche Nutzung, sondern um das mindestens Notwendige.
Dass die Speicherdauer im Nachgang der Einwilligung verkürzt werden können, ist hingegen irrelevant. Dass der Anbieter den Nutzern die Möglichkeit eröffnet, Datenschutzeinstellungen des Dienstes jJederzeit selbst zu ändern, genügt nach der Idee des Gesetzgebers dem normativen Auftrag des Art. 25 Abs. 2 DS-GVO nicht (Paal/Pauly/Martini, 3. Aufl. 2021, DS-GVO Art. 25 Rn. 46, beck-online).
c) Schwieriger zu beurteilen ist hingegen die Frage in Bezug auf die „Manuelle Personalisierung“, da dort zwischen drei Varianten der Speicherung gewählt werden konnte und damit eine formelle Voreinstellung nicht gegeben ist. „Voreinstellung“ könnte aber auch derart verstanden werden, dass sie Jede Entscheidungsgestaltung umfasst, die durch Vorgaben des Anbieters eine Verhaltenssteuerung (zulasten Betroffener) erzielt. Darunter könnten auch solche Designmuster fallen, die dem Nutzer zwar kein „angeklicktes Kästchen“ vorgeben, ihn aber dazu nötigen, sich zwischen zwel Alternativen zu entscheiden, die zur Auswahl stehen (s. Paal/Pauly/Martini, 3. Aufl. 2021, DS-GVO Art. 25 Rn. 46a, beck-online). Martini Ist - ohne Verweis auf eine Fundstelle - der Auffassung, dass solche Formen der Verhaltenssteuerung der Gesetzgeber nicht vor Augen hatte, als er Abs. 2 S. 1 erließ. Die Vorschrift beruhe vielmehr auf dem verhaltensökonomischen Default-Gedanken, der an automatisch gesetzte, aber abänderbare Programmvorgaben des Verantwortlichen anknüpft. „Voreinstellung“ setze daher eine vorbereitete Konfiguration voraus (Paal/Pauly/Martini, 3. Aufl. 2021, DS-GVO Art. 25 Rn. 46b, beck-online).
Hintergrund des Art. 25 Abs. 2 S. 1 DS-GVO ist allerdings die Erkenntnis, dass werksseitig vorgegebene Voreinstellungen durch die Nutzer nur selten verändert werden (Baumgartner, ZD 2017, 308, beck-online). Diese Erkenntnis greift Art. 25 Abs. 2 S. 1 DS-GVO auf und verlangt, dass Nutzer keine Änderungen an den Einstellungen vornehmen müssen, um eine möglichst „datensparsame“ Verarbeitung zu erreichen. Vielmehr soll umgekehrt jede Abweichung von den datenminimierenden Voreinstellungen erst durch ein aktives „Eingreifen“ der Nutzer möglich werden (Baumgartner, ZD 2017, 308, beck-online).
Im vorliegenden Fall kann der Nutzer die Länge der Speicherung aktiv auswählen. Dabei wird ihm der Zeitraum von drei Monaten allerdings nicht angeboten, vielmehr wird der Zeitraum von 18 bzw. 36 Monaten voreingestellt. Zwar kann der Nutzer die Speicherung seiner Daten auch gänzlich ablehnen. Allerdings war der Verantwortliche zu dieser Auswahlmöglichkeit schon aufgrund der Freiwilligkeit der Einwilligung (s.o.) verpflichtet, so dass man bei der Beurteilung der Frage der Rechtsmäßigkeit diese Variante unberücksichtigt lassen muss, um die Frage allein bei Betrachtung der beiden verbleibenden Auswahlmöglichkeiten zu beantworten. Soweit die Beklagte anmahnt, dass die Verantwortlichen einen Gestaltungsspielraum hinsichtlich der Ausgestaltung Ihrer Einwilligungserklärung und so auch hinsichtlich der Auswahl der Monate hätten, so trifft dies gerade aufgrund des Grundsatzes der Datenminimierung in dieser Allgemeinheit eben nicht zu. Unter Berücksichtigung des Sinns und Zwecks der Vorschrift ist die angebotene Auswahl der Beklagten nicht zulässig, da eine echte Wahl für eine Datenminimierung, wie sie auch Art. / Abs. 4 DS-GVO vorsieht, nicht besteht. Das Ziel der DS-GVO, einen wirksamen Schutz der Grundfreiheiten und Grundrechte natürlicher Personen und insbesondere ein hohes Schutzniveau für das Recht jeder Person auf Schutz der sie betreffenden personenbezogenen Daten zu gewährleisten, fordert nach Dafürhalten der Kammer eine strenge Betrachtungsweise.
Den Volltext der Entscheidung finden Sie hier:
Urteil vom 25.03.2025
15 O 472/22
Das LG Berlin II hat entschieden, dass die datenschutzrechtliche Einwilligung bei Anmeldung eines Google-Kontos nicht DSGVO-konform ist.
Aus den Entscheidungsgründen:
l. Der Kläger kann von der Beklagten gem. 88 8 Abs. 1, 3 Nr. 3, 3 Abs. 1, 3a UWG 1.V.m. Art. 5 Abs. 1 lit. a, 6 Abs. 1 S. 1 lit. a DS-GVO sowie gem. 8 2 Abs. 1, 2 Nr. 13 UKlaG 1.V.m. Art. 6 Abs. 1 DS-GVO verlangen, dass diese es unterlässt, ım Rahmen der Registrierung für ein Google-Konto keine freiwillige und in informierter Weise abgegebene Einwilligung in die Verarbeitung personenbezogener Daten in Bezug auf Web- & App-Aktivitäten, YouTube-Verlauf und personalisierte Werbung einzuholen, wenn dies geschieht wıe in Anlage K 3 abgebildet.
1. Die Klagebefugnis ergibt sich aus 8 8 Abs. 3 Nr. 3 UWG sowie 8 3 Abs. 1 S. 1 Nr. 1 UKlaG. Art. 80 Abs. 2 DS-GVO steht dem nicht entgegen, insoweit wird auf die Ausführungen unter A. II. verwiesen. Der Kläger ist als qualifizierte Einrichtung im Sinne von $ 4 UKlaG in der Liste des Bundesamtes für Justiz eingetragen.
2. Bei Art. 5 Abs. 1 Ilit. a und Art. 6 Abs. 1 S. 1lit. a DS-GVO handelt es sich um Marktverhaltensregelungen 1.S.d. $ 3a UWG.
Eine Norm regelt das Marktverhalten im Interesse der Mitbewerber, Verbraucher oder sonstigen Marktteilnehmer, wenn sie einen Wettbewerbsbezug in der Form aufweist, dass sie die wettbewerblichen Belange der als Anbieter oder Nachfrager von Waren oder Dienstleistungen in Betracht kommenden Personen schützt. Eine Vorschrift, die dem Schutz von Rechten, Rechtsgütern oder sonstigen Interessen von Marktteilnehmern dient, ist eine Marktverhaltensregelung, wenn das geschützte Interesse gerade durch die Marktteilnahme, also durch den Abschluss von Austauschverträgen und den nachfolgenden Verbrauch oder Gebrauch der erworbenen Ware oder in Anspruch genommenen Dienstleistung berührt wird (BGH, Urt. v. 27.4.2017 - | ZR 215/15, GRUR 2017, 819 Rn. 20, beck-online).
Datenschutzrechtliche Bestimmungen weisen einen wettbewerbsrechtlichen Bezug auf, soweit es um die Zulässigkeit der Erhebung, Verarbeitung oder Nutzung von Daten geht, etwa zu Zwecken der Werbung, der Meinungsforschung, der Erstellung von Nutzerprofilen, des Adresshandels oder sonstiger kommerzieller Zwecke (OLG Stuttgart, Urteil vom 27.02.2020 - 2 U 257/19 - Reifensofortverkauf, Rn. 79 m.w.N.).
Nach diesen Maßstäben handelt es sich bei Art 5 Abs. 1 Iıt. a und Art. 6 Abs. 1 S. 1]lıt. a DS-GVO um Marktverhaltensregelungen. Denn diese Regelungen betreffen die Zulässigkeit der Erhebung von Daten u.a. auch bei der unmittelbaren Teilnahme am Markt, im vorliegenden Fall durch Eröffnung eines Google-Kontos, also bei Eingehung eines Vertrages mit der Beklagten oder der Nutzung des Kontos. Diese wiederum nutzt die Daten u.a. für die Schaltung von Werbung, was die DS-GVO zu regeln sucht (so auch LG Leipzig, Urteil vom 31.5.2023 — 05 O 666/22, MMR 2024, 277 Rn. 87, beck-online; KG, Urteil vom 20.12.2019 - 5 U 9/18 —, Rn. 174, Juris zu Art. 6 Abs. 1 5. 1 lit. a DS-GVO; MüKoUWG/Schaffert, 3. Aufl. 2020, UWG 8 3a Rn. 81, beck-online).
3. Gemäß 8 2 Abs. 1 Satz 1 UKlaG kann im Interesse des Verbraucherschutzes auf Unterlassung und Beseitigung in Anspruch genommen werden, wer in anderer Weise als durch Verwendung oder Empfehlung von Allgemeinen Geschäftsbedingungen Vorschriften zuwiderhandelt, die dem Schutz der Verbraucher dienen (Verbraucherschutzgesetze). Eine Norm dient dem Schutz der Verbraucher, wenn der Verbraucherschutz Ihr eigentlicher Zweck ist. Sie kann auch anderen Zwecken dienen; es genügt aber nicht, wenn der Verbraucherschutz in der Norm nur untergeordnete Bedeutung hat oder eine nur zufällige Nebenwirkung iIst. Die Norm muss Verhaltenspflichten des Unternehmers gegenüber dem Verbraucher begründen (vgl. zum Ganzen BGH, Urteil vom 6. Februar 2020 - | ZR 93/18, NJW 2020, 1737 Juris Rn. 15] - SEPA-Lastschrift, mwN).
Die für den Streitfall maßgeblichen Vorschriften der DSGVO fallen unter den Beispielskatalog des 8 2 Abs. 2 Nr. 13 UKlaG.
4. Die Beklagte hat auch gegen Art. 5 Abs. 1 lit. a und Art. 6 Abs. 1 S. 1]lit. a DS-GVO verstoßen.
Gemäß Art 5 Abs. 1 lit. a DS-GVO müssen personenbezogene Daten u.a. auf rechtmäßige Weise und nachvollziehbar (transparent) verarbeitet werden. Art. 6 Abs. 1 DS-GVO nimmt diesen Grundsatz durch die Anforderung auf, dass eine der dort geregelten Bedingungen erfüllt sein muss. Nach Art 6 Abs. 1 S. 1lıt. a DS-GVO ist die Verarbeitung rechtmäßig, wenn die betroffene Person Ihre Einwilligung für einen oder mehrere bestimmte Zwecke gegeben hat.
Eine „Einwilligung“ der betroffenen Person ist nach Art. 4 Nr. 11 DS-GVO Jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.
a) Es fehlt an einer freiwilligen Einwilligung.
Das Tatbestandsmerkmal „frei“” bzw. „freiwillig“ setzt ganz generell voraus, dass die betroffene Person „eine echte oder freie Wahl hat und somit in der Lage ist, die Einwilligung zu verweigern oder zurückzuziehen, ohne Nachteile zu erleiden“ (BeckOK DatenschutzR/Albers/Veit, 50. Ed. 1.8.2024, DS-GVO Art. 6 Rn. 34, beck-online). Die Einwilligung muss daher aufgeklärt erfolgen. Der Betroffene ist darauf hinzuweisen, dass er seine Einwilligung verweigern kann (BeckOK DatenschutzR/Schild, 50. Ed. 1.11.2024, DS-GVO Art. 4 Rn. 128, beck-online).
Inwiefern diejenigen Einwendungen der Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit, welche über die Einwendungen des Klägers hinausgehen, überhaupt zu prüfen sind, kann dahinstehen. An der Freiwilligkeit fehlt es jedenfalls aufgrund der vom Kläger bemängelten fehlenden Möglichkeit der vollständigen Ablehnung der Einwilligung in die Datenverarbeitung.
aa) Eine unwirksame Einwilligung liegt deshalb vor, da die „Express-Personalisierung“ lediglich die Möglichkeiten „Bestätigen“ und „Zurück“ vorsieht und nicht unmittelbar eine Ablehnung der Einwilligung möglich ist.
Grundsätzlich ist für eine freiwillige Entscheidung eines Nutzer seine Kenntnis von den Alternativen erforderlich. Hierfür muss die Beklagte die entsprechenden Möglichkeiten eröffnen und/oder eindeutig aufklären. Der Kläger und die Datenschutzbeauftragte lassen bei ihren Bewertungen wie die Beklagte zu Recht bemängelt - den ersten Schritt, die Auswahlmöglichkeit über den Personalisierungsweg, unberücksichtigt. Denn wenn dort eindeutig aufgeführt wird, dass der Weg über die „Express Personalisierung“” die unbedingte Einwilligung bedeutet, während diese bei der „Manuellen Personalisierung“ abgelehnt werden kann, so würde dies für eine aufgeklärte Einwilligung ausreichen. Dies ist allerdings nicht der Fall. Denn unter „Express-Personalisierung“ heißt es: „Nutzen Sie diese Personalisierungseinstellungen, um Inhalte und Werbung zu erhalten, die auf Ihre Interessen abgestimmt sind.“ Dieser Beschreibung lässt sich schon nicht eindeutig entnehmen, dass es überhaupt um eine Einwilligung in eine Datenverarbeitung geht. Aber selbst wenn man dies zugunsten der Beklagten annähme, ist aus dem Text nicht ersichtlich, dass der Nutzer bei Wahl der „Express-Personalisierung“ keine Möglichkeit hat, seine Einwilligung nicht zu erteilen. Aus diesem Grund müssen die beiden Personalisierungsschritte doch jeweils einzeln betrachtet werden. Dann reicht aber allein die tatsächliche Möglichkeit, die Einwilligung, nachdem der Vorgang über die „Express-Personalisierung“ abgebrochen wurde und über „Manuelle Personalisierung“ neu begonnen wurde, ım Rahmen der „Manuellen Personalisierung“ verweigern zu können, nicht aus, um den Nutzer ausreichend über die Möglichkeit der Ablehnung seiner Einwilligung zu Informieren. Vielmehr hätte der Nutzer auch im Rahmen der „Express-Personalisierung“ eindeutig darüber aufgeklärt werden müssen, dass er seine Einwilligung insgesamt verweigern kann, beispielsweise über einen weiteren Button „Ablehnen“. Dies wollte die Beklagte aber offenbar nicht, da der Expressweg dergestalt attraktiver für sie ist.
bb) Aber auch der erteilten Einwilligung über die „Manuelle Personalisierung“ fehlt es an einer Freiwilligkeit. Denn die Beklagte nutzt unstreitig trotz einer fehlenden Einwilligung in „personalisierte Werbung“ über die „allgemeine Werbung“ den Standort des Nutzers in Deutschland. Auch dabei handelt es sich um ein personenbezogenes Datum (vgl. Art. 4 Nr. 1 DS-GVO). Soweit die Beklagte sich hinsichtlich der Zulässigkeit auf die Empfehlungen der EDSA stützt, welche eine kontextbezogene oder allgemeine Werbung als „datenschutzfreundliche Alternative zur personalisierten Werbung“ anerkennt, so verkennt sie, dass die EDSA dabei auf den Bereich der Datenminimierung Bezug nimmt, nicht aber auf die Frage, ob eine wirksame freiwillige Einwilligung vorliegt. Um diese annehmen zu können, muss die Beklagte eine Alternative anbieten, mit der sämtliche Datennutzung verweigert werden kann. Soweit die Beklagte für die Nutzung des Standorts ein sonstiges berechtigtes Interesse behauptet, trägt sie noch nicht einmal vor, welches dieses sein soll.
Aufgrund der prinzipiellen Nutzung des von der Beklagten bezeichneten „allgemeinen Standorts“ besteht für den Nutzer tatsächlich keine Möglichkeit, die Nutzung sämtlicher personenbezogener Daten abzulehnen, weshalb es an der Freiwilligkeit der Einwilligung fehlt.
b) Es fehlt an auch an einer informierten Einwilligung zu einem bestimmten Zweck.
aa) Das Erfordernis der Einwilligung In „informierter Weise“ ist als Ausprägung des in Art. 5 Abs. 1 lit. a DS-GVO niedergelegten Transparenzgrundsatzes zu verstehen (BeckOK DatenschutzR/Albers/Veit, 50. Ed. 1.8.2024, DS-GVO Art. 6 Rn. 36, beck-online). Die Informationspflicht bzgl. der Einwillilgung bezieht sich auf bestimmte Elemente, die für die Entscheidungsfindung wesentlich sind, mindestens umfasst sie aber: die Identität des Verantwortlichen, den Zweck Jjedes Verarbeitungsvorgangs, für den die Einwilligung eingeholt wird, die (Art der) Daten, die erhoben und verwendet werden sowie das Bestehen eines Widerrufsrechts (BeckOK DatenschutzR/Albers/Veit, 50. Ed. 1.8.2024, DS-GVO Art. 6 Rn. 36, beck-online). Hinsichtlich der formalen Gestaltung muss eine einfache, klare und allgemeinverständliche Sprache verwendet werden und zudem muss die Einwilligung leicht zugänglich und deutlich von anderen Sachverhalten klar zu unterscheiden sein (BeckOK DatenschutzR/Albers/Veit, 50. Ed. 1.8.2024, DS-GVO Art. 6 Rn. 36, beck-online).
bb) Vorliegend fehlt es an der Transparenz schon deshalb, da die Beklagte weder über die einzelnen Google-Dienste noch Google-Apps, Google-Websites oder Google-Partner aufklärt, für welche die Daten verwendet werden sollen. Die Reichweite der Einwilligung Ist dem Nutzer schon aus diesem Grund völlig unbekannt. Ob darüber hinaus auch die konkrete Art und Weise der Darstellung, einschließlich der verwendeten Sprache, eine informierte Entscheidung entfallen lassen, kann daher dahinstehen.
Soweilt die Beklagte auf den Inhalt ihrer Datenschutzerklärung verweist, welche weitere Informationen über die „Partner“ und „Dienste“ enthielt und dabei u.a. von zwei Millionen Partnerwebsites die Rede ist, reicht auch diese Aufklärung nicht aus. Denn insoweit bleibt die Information viel zu vage, als dass der Nutzer den Umfang der Nutzung seiner Daten erfassen kann und insbesondere wofür sie bei den „Diensten“ und „Partnern“ genutzt werden. Soweit die Beklagte zu der fehlenden Angabe der Google-Dienste anführt, dass diese zu einem übermäßig langen Informationstext für die Nutzer geführt, was der Transparenz nicht genutzt hätte, kann dem nicht gefolgt werden. Zwar soll nach den „Leitlinien des Europäischen Datenschutzausschusses ("EDSA") zur Einwilligung“ keine „lange“ Datenschutzbestimmung verwendet werden, allerdings gehört die Information über sämtliche Google-Dienste (Anlage K1), für welche der Nutzer seine Einwilligung erteilt, schon nach dem Erwägungsgrund 42 der DS-GVO zu den Minimalangaben, die für eine informierte Einwilligung erforderlich sind. Demnach soll die betroffene Person nämlich wissen, in welchem Umfang sie ihre Einwilligung erteilt hat, dazu gehört insbesondere die Kenntnis für welche Zwecke ihre personenbezogenen Daten verarbeitet werden. Die Tatsache, dass die Beklagte über die von ihr zur Verfügung gestellte Einwilligung die Erlaubnis zur Nutzung von Daten für über 70 Google-Dienste einholen will, kann nicht dazu führen, dass es ihr erlaubt sein soll, die Dienste nicht wenigstens über die von Ihr genutzte Form des „layered approach” aufzuführen. Dass die Fülle an Diensten zu einer Unübersichtlichkeit deren Angabe führen würde, deutet vielmehr eindrücklich darauf hin, dass die Beklagte den Umfang der Einwilligung in erheblichem Maße überspannt hat. Sofern die Beklagte weiter ausführt, Nutzer könnten durch die Anzeige ihres „Google-Konto-Avatars“ erkennen, wenn es sich bei dem Jeweils genutzten Dienst um einen Google-Dienst handelt, und im Übrigen das Google-Konto bei den Nutzern unterschiedlich genutzt würde, so dass es zu unterschiedlich umfangreicher Nutzung der Daten kommt, so verhilft auch dieser Vortrag zu keiner abweichenden Beurteilung. Die Tatsache, dass die Nutzer nach der Einwilligung durch einen Avatar erkennen können, wann eine Google-Dienst vorliegt, ist zu spät und für die Frage der wirksamen Einwilligung unbeachtlich. Der Umfang muss den Nutzern bei Erteilung der Einwilligung bekannt sein. Auch die Tatsache, dass Nutzer Dienste in unterschiedlichen Umfang nutzen und damit unterschiedlich viele Daten preisgeben, Ist keine Besonderheit bei den Diensten der Beklagten, sondern die Regel. Dass hieraus hergeleitet werden kann, dass eine Information über den Umfang der Einwilligung nur eingeschränkt erfolgen muss, ist nicht nachvollziehbar.
c) Aus den Erwägungen unter b) fehlt es auch an der Einwilligung in einen bestimmten Zweck.
5. Angesichts der ausdrücklichen Bestimmung des 8 12a UKlaG, dass die zuständige inländische Datenschutzbehörde anzuhö6ren ist, führt die Tatasche, dass es sich bei dieser nicht um die federführende Aufsichtsbehörde 1.S.d. DS-GVO handelt, nicht zu einem Ausschluss des Anspruchs. Die DS-GVO selbst macht in Bezug zu den Rechtsbehelfen nach Art. 77 ff. DS-GVO für natürliche Personen, aber auch für den Kläger keine Vorgaben, dass eine Datenschutzbehörde überhaupt einzubinden wäre. 6. Die Wiederholungsgefahr ist gegeben. Neben der bereits durch den Verstoß indizierten Wiederholungsgefahr setzt ein Unterlassungsanspruch auf Grundlage des $ 2 Abs. 1 Satz 1 UKlaG voraus, dass er Im Interesse des Verbraucherschutzes geltend gemacht wird. Hierfür Ist erforderlich, dass der dem Anspruch zugrundeliegende Verstoß die Kollektivinteressen der Verbraucher berührt. Das ist der Fall, wenn der Verstoß in seinem Gewicht und In seiner Bedeutung über den Einzelfall hinausreicht und eine generelle Klärung geboten erscheinen lässt (vgl. BGH, Urteil vom 6. Februar 2020 - | ZR 93/18, NJW 2020, 1737 Juris Rn. 36] - SEPA-Lastschrift, mwN).
Il. Der Kläger kann von der Beklagten gem. $8 8 Abs. 1, 3 Nr. 2, 3 Abs. 1, 3a UWG. 1I.V.m. Art. 25 Abs. 2 S. 1 DS-GVO sowie gem. 8 2 Abs. 1, 2 Nr. 13 UKlaG 1.V.m. 25 Abs. 2 S. 1 DS-GVO verlangen, dass diese es unterlässt, ım Rahmen der Registrierung die verfügbare Option der Speicherfrist für personenbezogene Daten von 3 Monaten nicht in den vorgegebenen Auswahlmöglichkeiten anzubieten, wenn dies geschieht wie in Anlage K 4 abgebildet.
1. Die Klagebefugnis ergibt sich aus $ 8 Abs. 3 Nr. 3 UWG sowl'!e 8 3 Abs. 1 S. 1 Nr. 1 UKlaG. Art. 80 Abs. 2 DS-GVO steht dem nicht entgegen, insoweit wird auf die Ausführungen unter A. II. Verwiesen.
2. Auch bei Art. 25 Abs. 2 S. 1 DS-GVO handelt es sich um eine Marktverhaltensregelung (Köhler/Feddersen/Köhler/Odörfer, 43. Aufl. 2025, UWG 8 3a Rn. 1./4a, beck-online mit Verweis auf LG Hamburg, Urteil vom 22. Februar 2024 — 327 O 250/22, dort Rn. 62) sowie ein Verbraucherschutzgesetz 1.5.d. $ 2 UklaG.
3. Die Beklagte hat auch gegen Art. 25 Abs. 2 S. 1 DS-GVO verstoßen.
a) Nach Art. 25 Abs. 1 S. 1 DS-GVO hat der Verantwortliche geeignete technische und organisatorische Maßnahmen zu treffen, die sicherstellen, dass durch Voreinstellung nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden.
„Erforderlich“ sind Daten dann, wenn der Verarbeitungszweck sich ohne sie nicht erreichen lässt (Paal/Pauly/Martini, 3. Aufl. 2021, DS-GVO Art. 25 Rn. 45b, beck-online). Nach Erwägungsgrund 39 der DS-GVO soll die Speicherfrist für personenbezogene Daten auf das unbedingt erforderliche Mindestmaß beschränkt bleiben. Für solche Daten, die der Verantwortliche nicht notwendig verarbeiten muss, um die legitimen Zwecke der Verarbeitungserlaubnis erfüllen zu können, ist ihm der Weg der Voreinstellung demgegenüber verschlossen (Paal/Pauly/Martini, 3. Aufl. 2021, DS-GVO Art. 25 Rn. 45b, beck-online).
b) Nach diesen Maßstäben liegt in Bezug auf die „Express-Personalisierung“ eine Verletzung des Art. 25 Abs. 2 S. 1 DSGVO vor, da dort eine Speicherung von mehr als drei Monaten standardmäßig eingestellt ist. Dadurch, dass durch den Nutzer nachträglich unstreitig auch ein Löschen der Daten nach drei Monaten eingestellt werden kann, gibt die Beklagte zu verstehen, dass eine solche Speicherdauer für die von der Beklagten vorgenommene Verarbeitung grundsätzlich ausreicht. Alles, was über eine Speicherung von mehr als drei Monaten hinausgeht, war mithin nicht erforderlich. Gegenteiliges behauptet auch die Beklagte nicht. So führt sie selber aus, dass eine Speicherung von 18 bzw. 36 Monaten eine „optimale Nutzererfahrung“ ermögliche und damit den Zweck der Personalisierung „bestmöglich“ erreichen würde. Bei der Frage der Erforderlichkeit der Datennutzung geht es aber nicht um die bestmögliche Nutzung, sondern um das mindestens Notwendige.
Dass die Speicherdauer im Nachgang der Einwilligung verkürzt werden können, ist hingegen irrelevant. Dass der Anbieter den Nutzern die Möglichkeit eröffnet, Datenschutzeinstellungen des Dienstes jJederzeit selbst zu ändern, genügt nach der Idee des Gesetzgebers dem normativen Auftrag des Art. 25 Abs. 2 DS-GVO nicht (Paal/Pauly/Martini, 3. Aufl. 2021, DS-GVO Art. 25 Rn. 46, beck-online).
c) Schwieriger zu beurteilen ist hingegen die Frage in Bezug auf die „Manuelle Personalisierung“, da dort zwischen drei Varianten der Speicherung gewählt werden konnte und damit eine formelle Voreinstellung nicht gegeben ist. „Voreinstellung“ könnte aber auch derart verstanden werden, dass sie Jede Entscheidungsgestaltung umfasst, die durch Vorgaben des Anbieters eine Verhaltenssteuerung (zulasten Betroffener) erzielt. Darunter könnten auch solche Designmuster fallen, die dem Nutzer zwar kein „angeklicktes Kästchen“ vorgeben, ihn aber dazu nötigen, sich zwischen zwel Alternativen zu entscheiden, die zur Auswahl stehen (s. Paal/Pauly/Martini, 3. Aufl. 2021, DS-GVO Art. 25 Rn. 46a, beck-online). Martini Ist - ohne Verweis auf eine Fundstelle - der Auffassung, dass solche Formen der Verhaltenssteuerung der Gesetzgeber nicht vor Augen hatte, als er Abs. 2 S. 1 erließ. Die Vorschrift beruhe vielmehr auf dem verhaltensökonomischen Default-Gedanken, der an automatisch gesetzte, aber abänderbare Programmvorgaben des Verantwortlichen anknüpft. „Voreinstellung“ setze daher eine vorbereitete Konfiguration voraus (Paal/Pauly/Martini, 3. Aufl. 2021, DS-GVO Art. 25 Rn. 46b, beck-online).
Hintergrund des Art. 25 Abs. 2 S. 1 DS-GVO ist allerdings die Erkenntnis, dass werksseitig vorgegebene Voreinstellungen durch die Nutzer nur selten verändert werden (Baumgartner, ZD 2017, 308, beck-online). Diese Erkenntnis greift Art. 25 Abs. 2 S. 1 DS-GVO auf und verlangt, dass Nutzer keine Änderungen an den Einstellungen vornehmen müssen, um eine möglichst „datensparsame“ Verarbeitung zu erreichen. Vielmehr soll umgekehrt jede Abweichung von den datenminimierenden Voreinstellungen erst durch ein aktives „Eingreifen“ der Nutzer möglich werden (Baumgartner, ZD 2017, 308, beck-online).
Im vorliegenden Fall kann der Nutzer die Länge der Speicherung aktiv auswählen. Dabei wird ihm der Zeitraum von drei Monaten allerdings nicht angeboten, vielmehr wird der Zeitraum von 18 bzw. 36 Monaten voreingestellt. Zwar kann der Nutzer die Speicherung seiner Daten auch gänzlich ablehnen. Allerdings war der Verantwortliche zu dieser Auswahlmöglichkeit schon aufgrund der Freiwilligkeit der Einwilligung (s.o.) verpflichtet, so dass man bei der Beurteilung der Frage der Rechtsmäßigkeit diese Variante unberücksichtigt lassen muss, um die Frage allein bei Betrachtung der beiden verbleibenden Auswahlmöglichkeiten zu beantworten. Soweit die Beklagte anmahnt, dass die Verantwortlichen einen Gestaltungsspielraum hinsichtlich der Ausgestaltung Ihrer Einwilligungserklärung und so auch hinsichtlich der Auswahl der Monate hätten, so trifft dies gerade aufgrund des Grundsatzes der Datenminimierung in dieser Allgemeinheit eben nicht zu. Unter Berücksichtigung des Sinns und Zwecks der Vorschrift ist die angebotene Auswahl der Beklagten nicht zulässig, da eine echte Wahl für eine Datenminimierung, wie sie auch Art. / Abs. 4 DS-GVO vorsieht, nicht besteht. Das Ziel der DS-GVO, einen wirksamen Schutz der Grundfreiheiten und Grundrechte natürlicher Personen und insbesondere ein hohes Schutzniveau für das Recht jeder Person auf Schutz der sie betreffenden personenbezogenen Daten zu gewährleisten, fordert nach Dafürhalten der Kammer eine strenge Betrachtungsweise.
Den Volltext der Entscheidung finden Sie hier: