Google Ireland haftet auch dann für rechtswidrige Suchmaschinen-Ergebnisse, selbst wenn die Ergebnisse ausschließlich durch die Google USA inhaltlich aufbereitet werden. Für eine DSGVO-Haftung genügt es, wenn Google Ireland den Zugang hierzu anbietet (OLG Köln, Urt. v. 04.07.2024 - Az.: 15 U 60/23).
Inhaltlich ging es um rechtswidrige Suchtreffer auf Google. Dabei stellte sich die Frage, ob auch Google Ireland hierfür haftet oder nur Google USA.
Google wehrte sich u.a. mit den Argumenten, dass ausschließlich der USA-Mutterkonzern die Ergebnisse der Suchtreffer aufbereite. Die europäischen Tochterfirmen hätten keinerlei Einfluss. Daher tauche auch nur Google USA in der Datenschutzerklärung auf.
Dies ließ das OLG Köln nicht gelten, sondern bejahte auch eine Verantworlichkeit von Google Ireland:
"Nach der Rechtsprechung des Europäischen Gerichtshofs, von der auch das Landgericht ausgegangen ist, soll durch die weite Definition des Ausdrucks „Verantwortlicher“ ein wirksamer und umfassender Schutz der betroffenen Person gewährleistet werden (…). Die Tätigkeit einer Suchmaschine, die darin besteht, von Dritten ins Internet gestellte oder dort veröffentlichte Informationen zu finden, automatisch zu indexieren, vorübergehend zu speichern und schließlich den Internetnutzern in einer bestimmten Rangfolge zur Verfügung zu stellen, ist, sofern die Informationen personenbezogene Daten enthalten, als Verarbeitung personenbezogener Daten im Sinne von Art. 4 Nummern 1 und 2 DSGVO einzustufen. (…)
Unerheblich ist es, dass die Beklagte nach ihrem Vortrag lediglich den Zugang zu der Suchmaschine anbietet, während die Entscheidungen darüber, wie auf eine Suchanfrage reagiert wird und wie die relevanten Suchergebnisse angezeigt werden, nicht von ihr, sondern der (…) LLC getroffen werden.
Bei seiner abweichenden Würdigung hat das Landgericht ebenso wie die Landgerichte Rostock und Mosbach in ihren von der Beklagten als Anlage BB 1 vorgelegten Entscheidungen (LG Rostock, Urteil vom 24. Mai 2023 - 3 O 95/22; LG Mosbach Urteil im Verfahren 2 O 86/24) nicht berücksichtigt, dass nach der Rechtsprechung des Europäischen Gerichtshofs bereits die Anzeige personenbezogener Daten auf einer Seite mit Suchergebnissen eine Verarbeitung dieser Daten darstellt (vgl. EuGH, Urteil vom 13. Mai 2014 - C-131/12, GRUR 2014, 895 Rn. 57; zu einer Veröffentlichung auch EuGH, Urteil vom 11. Januar 2024 - C-231/22, NJW 2024, 641 Rn. 28).
Indem die Beklagte - wie von ihr selbst vorgetragen - den deutschen Internetnutzern den Zugang zur (…)-Suchmaschine anbietet, stellt sie den Nutzern die von ihrer Muttergesellschaft aufbereiteten Suchergebnisse bereit und führt damit, soweit personenbezogene Daten in Rede stehen (Art. 4 Nr. 1 DSGVO), eine Datenverarbeitung im Sinne von Art. 4 Nr. 2 DSGVO aus (vgl. EuGH, Urteil vom 13. Mai 2014 - C-131/12, GRUR 2014, 895 Rn. 28; LG Heidelberg, Urteil vom 31. März 2023 - 6 S 1/22, juris Rn. 32)."
Ebenso unerheblich sei, was in der Google-Datenschutzerklärung stehe:
"Dass die Beklagte sich die Inhalte der verlinkten Internetseiten zu eigen macht, ist dafür nicht erforderlich, weshalb die entsprechenden Erwägungen des Landgerichts dahinstehen können.
Ebenfalls unerheblich ist es, dass in der auf der Seite (…)veröffentlichten Datenschutzerklärung die (…) LLC als zuständige Datenverantwortliche benannt ist. Denn nach den insoweit zutreffenden Ausführungen des Landgerichts kann die Beklagte sich nicht durch eine Datenschutzerklärung von ihrer aus den tatsächlichen Umständen folgenden Verantwortlichkeit befreien.
Soweit das Kammergericht in einem von der Beklagten vorgelegten Hinweisbeschluss (Beschluss vom 4. Februar 2022 - 10 W 1024/20, Anlage B 5) eine Verantwortlichkeit der Beklagten letztlich allein mit der Erwägung verneint hat, der Bundesgerichtshof (Urteil vom 27. Juli 2020 - VI ZR 405/18, BGHZ 226, 285 Rn. 13) habe ausgeführt, dass im Zusammenhang mit der Tätigkeit der Suchmaschine (…) die (…) LLC Verantwortliche im Sinne des Art. 4 Nr. 7 DSGVO sei, überzeugt dies nicht. Denn eine Verantwortlichkeit der (…) LLC schließt es, wie auch die Vorschrift des § 26 DSGVO zeigt, nicht aus, dass daneben auch die Beklagte Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO ist (vgl. LG München, Urteil vom 22. März 2023 - 26 O 1037/21, MMR 2023, 602 Rn. 29; LG Heidelberg, Urteil vom 31. März 2023 - 6 S 1/22, juris Rn. 32)."