LG Köln: Unterlassungsanspruch gegen Deutsche Telekom wegen Datenweitergabe an Google durch Nutzung von Google Analytics ohne ausreichende Einwilligung
LG Köln
Urteil vom 23.03.2023
33 O 376/22
Das LG Köln hat entschieden, dass ein Unterlassungsanspruch gegen die Deutsche Telekom wegen der Datenweitergabe an Google durch Nutzung von Google Analytics ohne ausreichende Einwilligung besteht.
Aus den Entscheidungsgründen:
Die Beklagte hat gegen die Beklagte einen Anspruch auf Unterlassung der bezeichneten Datenübermittlung in die USA nach § 2 Abs. 2 S. 1 Nr. 11 UKlaG iVm §§ 8, 3 Abs. 1, 3a UWG iVm Art. 44 ff. DSGVO.
Die klägerseits vorgetragene Übermittlung von IP-Adressen sowie Browser- und Geräteinformationen an Google LLC als Betreiberin von Google Analyse- und Marketingdiensten mit Sitz in den USA ist als unstreitig zu behandeln und ist nicht von den Rechtfertigungstatbeständen der DSGVO gedeckt.
a. Die Übermittlung von IP-Adressen an die Google LLC in den USA gilt nach § 138 Abs. 2, 3 ZPO als zugestanden. Der Kläger hat substantiiert zu der Übermittlung vorgetragen. Das darauffolgende Bestreiten der Beklagten im Schriftsatz vom 02.02.2023 ist hingegen nicht hinreichend substantiiert. Vielmehr erschöpft es sich trotz des Aufgreifens einzelner Punkte im Ergebnis in einem pauschalen Bestreiten bzw. Anzweifeln.
Die Substantiierungslast des Bestreitenden hängt davon ab, wie substantiiert der darlegungspflichtige Gegner vorgetragen hat. Je detaillierter das Vorbringen des Darlegungsbelasteten ist, desto höher sind die Substantiierungsanforderungen gem. § 138 Abs. 2 ZPO. Substantiiertes Vorbringen kann danach grundsätzlich nicht pauschal bestritten werden. Vorausgesetzt ist dabei, dass der bestreitenden Partei substantiierter Gegenvortrag möglich und zumutbar ist, wovon in der Regel auszugehen ist, wenn die behaupteten Tatsachen in ihrem Wahrnehmungsbereich gelegen haben (BeckOK ZPO/von Selle ZPO § 138 Rn. 18; BGH NJW-RR 2019, 1332 Rn. 23 mwN).
So liegt der Fall hier. Die Übertragung und Verarbeitung von Daten liegt im Wahrnehmungs- und Organisationsbereich der Beklagten. Der Beklagten wäre es daher möglich gewesen, substantiiert dazu vorzutragen, unter welchen Voraussetzungen welche Daten an die Google LLC übertragen werden und wo diese verarbeitet werden. Daher genügt es insbesondere nicht, lediglich in Zweifel zu ziehen, ob der Standort der IP-Adresse „142.250.185.228“ in den USA befindlich ist oder ob der Sitz des Unternehmens unabhängig von dem Standort des Servers der IP-Adresse ist. Ebenso wenig genügt es, den Aussagegehalt der Registrierung der IP-Adresse und der Anlagen K11 und K12 in Frage zu stellen.
b. Die übermittelten IP-Adressen stellen sowohl für die Beklagte als auch Google LLC als Verantwortliche der Datenübermittlung personenbezogene Daten dar.
Dynamische IP-Adressen stellen dann personenbezogene Daten dar, wenn dem Verantwortlichen rechtliche Mittel zur Verfügung stehen, die er vernünftigerweise einsetzen könnte, um mit Hilfe Dritter (zB der zuständigen Behörde und des Internetanbieters) die betroffene Person anhand der gespeicherten IP-Adresse bestimmen zu lassen (BGH ZD 2017, 424 = MMR 2017, 605).
Dies ist sowohl hinsichtlich der Beklagten als auch hinsichtlich Google LLC der Fall. Beiden stehen die rechtlichen Mittel zur Verfügung, über Zusatzinformationen von der IP-Adresse einen Rückschluss auf die natürliche Person zu ziehen.
Als Telekommunikationsanbieterin und Websitebetreiberin kann die Beklagte, soweit es sich bei den Besuchern um ihre Kunden handelt, ohne großen Aufwand InternetNutzer identifizieren, denen sie eine IP-Adresse zugewiesen hat, da sie in der Regel in Dateien systematisch Datum, Zeitpunkt, Dauer und die dem Internet-Nutzer zugeteilte dynamische IP-Adresse zusammenführen kann. In Kombination können die eingehenden Informationen dazu benutzt werden, um Profile der natürlichen Personen zu erstellen und sie (sogar ohne Heranziehung Dritter) zu identifizieren (vgl. BeckOK DatenschutzR/Schild DS-GVO Art. 4 Rn. 20).
Gleiches gilt für Google LLC, die als Anbieterin von Online-Mediendiensten ebenso über die Mittel verfügt Personenprofile zu erstellen und diese auszuwerten. Dabei kann gerade die IP-Adresse als personenspezifisches Merkmal dienen (vgl. LG München I, Urteil vom 20.1.2022 – 3 O 17493/20) und etwa in der Kombination mit der Nutzung anderer Onlinedienste zur Identifizierung herangezogen werden (Feldmann, in: Forgó/Helfrich/Schneider, Betrieblicher Datenschutz, 3. Auflage 2019, Kapitel 4. Datenschutzkonformer Einsatz von Suchmaschinen im Unternehmen, Rn. 12).
Ob an die Dienste Heap und Xandr ebenfalls Daten in das Ausland übermittelt worden sind, kann vor diesem Hintergrund dahinstehen.
c. In den USA ist kein angemessenes Datenschutzniveau gewährleistet (vgl. EuGH Urt. v. 16.7.2020 – C-311/18 – Facebook Ireland u. Schrems, im Folgenden: Schrems II).
Der EuGH hat ausgesprochen, dass der EU-US Angemessenheitsbeschluss („Privacy Shield“) – ohne Aufrechterhaltung seiner Wirkung – ungültig ist. Die gegenständliche Datenübermittlung findet daher keine Deckung in Art. 45 DSGVO.
d. Auch etwaige Standarddatenschutzklauseln vermögen die Datenübermittlung in die USA nicht zu rechtfertigen, da sie nicht geeignet sind ein der DSGVO entsprechendes Datenschutzniveau zu gewährleisten, insbesondere da solche Verträge nicht vor einem behördlichen Zugriff in den USA schützen.
Die Beklagte trägt vor, dass sie Standarddatenschutzklauseln in der bis zum 27.12.2022 gültigen Version mit ihren Dienstleistern und diese wiederum mit ihren Sub-Dienstleistern abgeschlossen hatte. Obschon der Kläger dies bestreitet, würde der Vortrag der Beklagten selbst bei Wahrunterstellung nicht genügen, um eine Rechtfertigung der Datenübermittlung zu begründen.
In Schrems II hat der EuGH zwar ausgeführt, dass Standarddatenschutzklauseln als Instrument für den Internationalen Datenverkehr dem Grunde nach nicht zu beanstanden sind, allerdings hat der EuGH auch darauf hingewiesen, dass Standarddatenschutzklauseln ihrer Natur nach ein Vertrag sind und demnach Behörden aus einem Drittstaat nicht binden können:
„Demnach gibt es zwar Situationen, in denen der Empfänger einer solchen Übermittlung in Anbetracht der Rechtslage und der Praxis im betreffenden Drittland den erforderlichen Datenschutz allein auf der Grundlage der Standarddatenschutzklauseln garantieren kann, aber auch Situationen, in denen die in diesen Klauseln enthaltenen Regelungen möglicherweise kein ausreichendes Mittel darstellen, um in der Praxis den effektiven Schutz der in das betreffende Drittland übermittelten personenbezogenen Daten zu gewährleisten. So verhält es sich etwa, wenn das Recht dieses Drittlands dessen Behörden Eingriffe in die Rechte der betroffenen Personen bezüglich dieser Daten erlaubt.“ (Schrems II, Rn. 126).
Der EuGH ist zu dem Ergebnis gekommen, dass der EU-US Angemessenheitsbeschluss aufgrund des einschlägigen Rechts der USA und der Durchführung von behördlichen Überwachungsprogrammen kein angemessenes Schutzniveau für natürliche Personen gewährleistet (Schrems II, Rn. 180 ff).
Wenn sogar der EU-US Angemessenheitsbeschluss aufgrund der Rechtslage in den USA für ungültig erklärt wurde, so kann erst recht nicht davon ausgegangen werden, dass vertragliche Bindungen zwischen privaten Rechtssubjekten ein angemessenes Schutzniveau nach Art. 44 DSGVO für die gegenständliche Datenübermittlung in die USA gewährleisten können. Denn diese können schon ihrer Natur nach ausländische Behörden nicht in ihrer Handlungsmacht beschränken.
Dies entspricht auch der Wertung des EuGH:
„Da diese Standarddatenschutzklauseln ihrer Natur nach keine Garantien bieten können, die über die vertragliche Verpflichtung, für die Einhaltung des unionsrechtlich verlangten Schutzniveaus zu sorgen, hinausgehen, kann es je nach der in einem bestimmten Drittland gegebenen Lage erforderlich sein, dass der Verantwortliche zusätzliche Maßnahmen ergreift, um die Einhaltung dieses Schutzniveaus zu gewährleisten.“ (Schrems II, Rn. 133).
Zu solchen – nach den „Empfehlungen 01/2020 zu Maßnahmen zur Ergänzung von Übermittlungstools zur Gewährleistung des unionsrechtlichen Schutzniveaus für personenbezogene Daten“ der EDSA wohl vertraglichen, technischen oder organisatorischen Maßnahmen – hat die Beklagte nicht vorgetragen.
Solche Maßnahmen müssten geeignet sein, die im Rahmen des Schrems II Urteils des EuGH aufgezeigten Rechtsschutzlücken – also die Zugriffs- und Überwachungsmöglichkeiten von US-Nachrichtendiensten – zu schließen. Dies ist hier nicht gegeben.
e. Die Beklagte kann sich auch nicht mit Erfolg auf eine Einwilligung iSd Art. 49 Abs. 1 lit. a) DSGVO berufen.
Eine „ausdrückliche Einwilligung“ iSd Art. 49 Abs. 1 lit. a) DSGVO auf hinreichender Informationserteilung u.a. über den Empfänger der Informationen wurde schon nicht dargelegt.
Nach Art. 4 Nr. 11 DSGVO ist eine Einwilligung eine unmissverständlich abgegebene Willensbekundung in der Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung. Für die nach Art. 49 Abs. 1 lit. a) DSGVO erforderliche Einwilligung ist es schon dem Wortlaut nach darüber hinaus erforderlich, dass die Erklärung „ausdrücklich“ abgegeben wird. Angesichts dieser unterschiedlichen Wortwahl sind an die Einwilligung zu Übermittlungen in Drittländer höhere Anforderungen als an sonstige Einwilligungen zu stellen. Insbesondere setzt Art. 49 Abs. 1 lit. a DSGVO schon dem Wortlaut nach eine besondere Informiertheit voraus.
Der Einwilligende muss u.a. darüber informiert worden sein, an welche Drittländer und an welche Empfänger seine Daten übermittelt werden (BeckOK DatenschutzR/Lange/Filip DS-GVO Art. 49 Rn. 7; Klein/Pieper in: Schwartmann/Jaspers/Thüsing/Kugelmann, DS-GVO/BDSG, Artikel 49 Ausnahmen für bestimmte Fälle Rn. 6).
Hier sind die Website-Besucher aber keineswegs über eine Datenübermittlung an Google LLC unterrichtet worden. In den ehemaligen Datenschutzhinweisen wurde lediglich über eine Übermittlung von Daten an Xandr und Heap informiert worden, was ersichtlich nicht den Empfänger Google LLC erfasst.
Dass die Beklagte zum Zeitpunkt der Datenübertragung an Google LLC am 03.01.2023 geänderte Datenschutzhinweise verwendet hat, die den o.g. Anforderungen genügen, ist weder vorgetragen noch sonst ersichtlich. Es ist aber gemäß Art. 5 Abs. 1, 7 Abs. 1 DSGVO an der Beklagten die Wirksamkeitsvoraussetzungen der Einwilligung darzulegen und zu beweisen (vgl. BeckOK DatenschutzR/Stemmer DS-GVO Art. 7 Rn. 89-91.1; Diekmann, in: Koreng/Lachenmann, Formularhandbuch Datenschutzrecht, 3. Auflage 2021, 4. Einwilligung der betroffenen Personen, Anm. 1.-12.). Dies ist für den relevanten Zeitpunkt am 03.01.2023 nicht erfolgt.
Den Volltext der Entscheidung finden Sie hier:
Urteil vom 23.03.2023
33 O 376/22
Das LG Köln hat entschieden, dass ein Unterlassungsanspruch gegen die Deutsche Telekom wegen der Datenweitergabe an Google durch Nutzung von Google Analytics ohne ausreichende Einwilligung besteht.
Aus den Entscheidungsgründen:
Die Beklagte hat gegen die Beklagte einen Anspruch auf Unterlassung der bezeichneten Datenübermittlung in die USA nach § 2 Abs. 2 S. 1 Nr. 11 UKlaG iVm §§ 8, 3 Abs. 1, 3a UWG iVm Art. 44 ff. DSGVO.
Die klägerseits vorgetragene Übermittlung von IP-Adressen sowie Browser- und Geräteinformationen an Google LLC als Betreiberin von Google Analyse- und Marketingdiensten mit Sitz in den USA ist als unstreitig zu behandeln und ist nicht von den Rechtfertigungstatbeständen der DSGVO gedeckt.
a. Die Übermittlung von IP-Adressen an die Google LLC in den USA gilt nach § 138 Abs. 2, 3 ZPO als zugestanden. Der Kläger hat substantiiert zu der Übermittlung vorgetragen. Das darauffolgende Bestreiten der Beklagten im Schriftsatz vom 02.02.2023 ist hingegen nicht hinreichend substantiiert. Vielmehr erschöpft es sich trotz des Aufgreifens einzelner Punkte im Ergebnis in einem pauschalen Bestreiten bzw. Anzweifeln.
Die Substantiierungslast des Bestreitenden hängt davon ab, wie substantiiert der darlegungspflichtige Gegner vorgetragen hat. Je detaillierter das Vorbringen des Darlegungsbelasteten ist, desto höher sind die Substantiierungsanforderungen gem. § 138 Abs. 2 ZPO. Substantiiertes Vorbringen kann danach grundsätzlich nicht pauschal bestritten werden. Vorausgesetzt ist dabei, dass der bestreitenden Partei substantiierter Gegenvortrag möglich und zumutbar ist, wovon in der Regel auszugehen ist, wenn die behaupteten Tatsachen in ihrem Wahrnehmungsbereich gelegen haben (BeckOK ZPO/von Selle ZPO § 138 Rn. 18; BGH NJW-RR 2019, 1332 Rn. 23 mwN).
So liegt der Fall hier. Die Übertragung und Verarbeitung von Daten liegt im Wahrnehmungs- und Organisationsbereich der Beklagten. Der Beklagten wäre es daher möglich gewesen, substantiiert dazu vorzutragen, unter welchen Voraussetzungen welche Daten an die Google LLC übertragen werden und wo diese verarbeitet werden. Daher genügt es insbesondere nicht, lediglich in Zweifel zu ziehen, ob der Standort der IP-Adresse „142.250.185.228“ in den USA befindlich ist oder ob der Sitz des Unternehmens unabhängig von dem Standort des Servers der IP-Adresse ist. Ebenso wenig genügt es, den Aussagegehalt der Registrierung der IP-Adresse und der Anlagen K11 und K12 in Frage zu stellen.
b. Die übermittelten IP-Adressen stellen sowohl für die Beklagte als auch Google LLC als Verantwortliche der Datenübermittlung personenbezogene Daten dar.
Dynamische IP-Adressen stellen dann personenbezogene Daten dar, wenn dem Verantwortlichen rechtliche Mittel zur Verfügung stehen, die er vernünftigerweise einsetzen könnte, um mit Hilfe Dritter (zB der zuständigen Behörde und des Internetanbieters) die betroffene Person anhand der gespeicherten IP-Adresse bestimmen zu lassen (BGH ZD 2017, 424 = MMR 2017, 605).
Dies ist sowohl hinsichtlich der Beklagten als auch hinsichtlich Google LLC der Fall. Beiden stehen die rechtlichen Mittel zur Verfügung, über Zusatzinformationen von der IP-Adresse einen Rückschluss auf die natürliche Person zu ziehen.
Als Telekommunikationsanbieterin und Websitebetreiberin kann die Beklagte, soweit es sich bei den Besuchern um ihre Kunden handelt, ohne großen Aufwand InternetNutzer identifizieren, denen sie eine IP-Adresse zugewiesen hat, da sie in der Regel in Dateien systematisch Datum, Zeitpunkt, Dauer und die dem Internet-Nutzer zugeteilte dynamische IP-Adresse zusammenführen kann. In Kombination können die eingehenden Informationen dazu benutzt werden, um Profile der natürlichen Personen zu erstellen und sie (sogar ohne Heranziehung Dritter) zu identifizieren (vgl. BeckOK DatenschutzR/Schild DS-GVO Art. 4 Rn. 20).
Gleiches gilt für Google LLC, die als Anbieterin von Online-Mediendiensten ebenso über die Mittel verfügt Personenprofile zu erstellen und diese auszuwerten. Dabei kann gerade die IP-Adresse als personenspezifisches Merkmal dienen (vgl. LG München I, Urteil vom 20.1.2022 – 3 O 17493/20) und etwa in der Kombination mit der Nutzung anderer Onlinedienste zur Identifizierung herangezogen werden (Feldmann, in: Forgó/Helfrich/Schneider, Betrieblicher Datenschutz, 3. Auflage 2019, Kapitel 4. Datenschutzkonformer Einsatz von Suchmaschinen im Unternehmen, Rn. 12).
Ob an die Dienste Heap und Xandr ebenfalls Daten in das Ausland übermittelt worden sind, kann vor diesem Hintergrund dahinstehen.
c. In den USA ist kein angemessenes Datenschutzniveau gewährleistet (vgl. EuGH Urt. v. 16.7.2020 – C-311/18 – Facebook Ireland u. Schrems, im Folgenden: Schrems II).
Der EuGH hat ausgesprochen, dass der EU-US Angemessenheitsbeschluss („Privacy Shield“) – ohne Aufrechterhaltung seiner Wirkung – ungültig ist. Die gegenständliche Datenübermittlung findet daher keine Deckung in Art. 45 DSGVO.
d. Auch etwaige Standarddatenschutzklauseln vermögen die Datenübermittlung in die USA nicht zu rechtfertigen, da sie nicht geeignet sind ein der DSGVO entsprechendes Datenschutzniveau zu gewährleisten, insbesondere da solche Verträge nicht vor einem behördlichen Zugriff in den USA schützen.
Die Beklagte trägt vor, dass sie Standarddatenschutzklauseln in der bis zum 27.12.2022 gültigen Version mit ihren Dienstleistern und diese wiederum mit ihren Sub-Dienstleistern abgeschlossen hatte. Obschon der Kläger dies bestreitet, würde der Vortrag der Beklagten selbst bei Wahrunterstellung nicht genügen, um eine Rechtfertigung der Datenübermittlung zu begründen.
In Schrems II hat der EuGH zwar ausgeführt, dass Standarddatenschutzklauseln als Instrument für den Internationalen Datenverkehr dem Grunde nach nicht zu beanstanden sind, allerdings hat der EuGH auch darauf hingewiesen, dass Standarddatenschutzklauseln ihrer Natur nach ein Vertrag sind und demnach Behörden aus einem Drittstaat nicht binden können:
„Demnach gibt es zwar Situationen, in denen der Empfänger einer solchen Übermittlung in Anbetracht der Rechtslage und der Praxis im betreffenden Drittland den erforderlichen Datenschutz allein auf der Grundlage der Standarddatenschutzklauseln garantieren kann, aber auch Situationen, in denen die in diesen Klauseln enthaltenen Regelungen möglicherweise kein ausreichendes Mittel darstellen, um in der Praxis den effektiven Schutz der in das betreffende Drittland übermittelten personenbezogenen Daten zu gewährleisten. So verhält es sich etwa, wenn das Recht dieses Drittlands dessen Behörden Eingriffe in die Rechte der betroffenen Personen bezüglich dieser Daten erlaubt.“ (Schrems II, Rn. 126).
Der EuGH ist zu dem Ergebnis gekommen, dass der EU-US Angemessenheitsbeschluss aufgrund des einschlägigen Rechts der USA und der Durchführung von behördlichen Überwachungsprogrammen kein angemessenes Schutzniveau für natürliche Personen gewährleistet (Schrems II, Rn. 180 ff).
Wenn sogar der EU-US Angemessenheitsbeschluss aufgrund der Rechtslage in den USA für ungültig erklärt wurde, so kann erst recht nicht davon ausgegangen werden, dass vertragliche Bindungen zwischen privaten Rechtssubjekten ein angemessenes Schutzniveau nach Art. 44 DSGVO für die gegenständliche Datenübermittlung in die USA gewährleisten können. Denn diese können schon ihrer Natur nach ausländische Behörden nicht in ihrer Handlungsmacht beschränken.
Dies entspricht auch der Wertung des EuGH:
„Da diese Standarddatenschutzklauseln ihrer Natur nach keine Garantien bieten können, die über die vertragliche Verpflichtung, für die Einhaltung des unionsrechtlich verlangten Schutzniveaus zu sorgen, hinausgehen, kann es je nach der in einem bestimmten Drittland gegebenen Lage erforderlich sein, dass der Verantwortliche zusätzliche Maßnahmen ergreift, um die Einhaltung dieses Schutzniveaus zu gewährleisten.“ (Schrems II, Rn. 133).
Zu solchen – nach den „Empfehlungen 01/2020 zu Maßnahmen zur Ergänzung von Übermittlungstools zur Gewährleistung des unionsrechtlichen Schutzniveaus für personenbezogene Daten“ der EDSA wohl vertraglichen, technischen oder organisatorischen Maßnahmen – hat die Beklagte nicht vorgetragen.
Solche Maßnahmen müssten geeignet sein, die im Rahmen des Schrems II Urteils des EuGH aufgezeigten Rechtsschutzlücken – also die Zugriffs- und Überwachungsmöglichkeiten von US-Nachrichtendiensten – zu schließen. Dies ist hier nicht gegeben.
e. Die Beklagte kann sich auch nicht mit Erfolg auf eine Einwilligung iSd Art. 49 Abs. 1 lit. a) DSGVO berufen.
Eine „ausdrückliche Einwilligung“ iSd Art. 49 Abs. 1 lit. a) DSGVO auf hinreichender Informationserteilung u.a. über den Empfänger der Informationen wurde schon nicht dargelegt.
Nach Art. 4 Nr. 11 DSGVO ist eine Einwilligung eine unmissverständlich abgegebene Willensbekundung in der Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung. Für die nach Art. 49 Abs. 1 lit. a) DSGVO erforderliche Einwilligung ist es schon dem Wortlaut nach darüber hinaus erforderlich, dass die Erklärung „ausdrücklich“ abgegeben wird. Angesichts dieser unterschiedlichen Wortwahl sind an die Einwilligung zu Übermittlungen in Drittländer höhere Anforderungen als an sonstige Einwilligungen zu stellen. Insbesondere setzt Art. 49 Abs. 1 lit. a DSGVO schon dem Wortlaut nach eine besondere Informiertheit voraus.
Der Einwilligende muss u.a. darüber informiert worden sein, an welche Drittländer und an welche Empfänger seine Daten übermittelt werden (BeckOK DatenschutzR/Lange/Filip DS-GVO Art. 49 Rn. 7; Klein/Pieper in: Schwartmann/Jaspers/Thüsing/Kugelmann, DS-GVO/BDSG, Artikel 49 Ausnahmen für bestimmte Fälle Rn. 6).
Hier sind die Website-Besucher aber keineswegs über eine Datenübermittlung an Google LLC unterrichtet worden. In den ehemaligen Datenschutzhinweisen wurde lediglich über eine Übermittlung von Daten an Xandr und Heap informiert worden, was ersichtlich nicht den Empfänger Google LLC erfasst.
Dass die Beklagte zum Zeitpunkt der Datenübertragung an Google LLC am 03.01.2023 geänderte Datenschutzhinweise verwendet hat, die den o.g. Anforderungen genügen, ist weder vorgetragen noch sonst ersichtlich. Es ist aber gemäß Art. 5 Abs. 1, 7 Abs. 1 DSGVO an der Beklagten die Wirksamkeitsvoraussetzungen der Einwilligung darzulegen und zu beweisen (vgl. BeckOK DatenschutzR/Stemmer DS-GVO Art. 7 Rn. 89-91.1; Diekmann, in: Koreng/Lachenmann, Formularhandbuch Datenschutzrecht, 3. Auflage 2021, 4. Einwilligung der betroffenen Personen, Anm. 1.-12.). Dies ist für den relevanten Zeitpunkt am 03.01.2023 nicht erfolgt.
Den Volltext der Entscheidung finden Sie hier: