Kanzlei Dr. Bahr
Navigation
Kategorie: Onlinerecht

LG Traustein: User hat gegen Social Media-Betreiber keinen Anspruch auf Hosting seiner Daten nur in Europa

Ein Social Media-Nutzer hat keinen Anspruch darauf, dass seine Daten ausschließlich in Europa gespeichert werden, wenn der Betreiber international agiert.

Der User hat gegen einen international agierenden Social Media-Betreiber keinen Anspruch auf Hosting seiner Daten nur in Europa (LG Traunstein, Urt. v. 08.07.2024 – Az.: 9 O 173/24).

Die Klägerin war User bei der Beklagten, einem internationalen Social Media-Betreiber, und machte u.a. folgende Ansprüche auf Unterlassung, Schadensersatz und Auskunft geltend.

Die Ansprüche betrafen zwei Themen-Komplexe:

a) Die anlasslose Überwachung von Chat-Nachrichten und Sammlung von „Off-Daten“ der Klägerin und 

b) Die (angeblich unerlaubte) Datenübermittlung in die USA (insb. an die dortige NSA)
 

Das LG Traunstein wies die Klage im Ergebnis vollständig ab.

1. Anlasslose Überwachung von Chat-Nachrichten und Sammlung von „Off-Daten“:

Das Gericht lehnt die Klage bereits deswegen ab, weil die Klägerin den vorgetragenen Sachverhalt (= Überwachung und Sammlung) nicht ausreichend belegt habe:

"Die Klagepartei hat nicht schlüssig dargelegt, woraus sich ergeben soll, dass die Beklagte die über den ...-Messenger-Dienst ausgetauschten Inhalte systematisch automatisiert überwacht im Sinne eines „crawlings“ der Inhalte. 

Aus der Datenschutzrichtlinie der Beklagten ergibt sich solches jedenfalls nicht. 

Die Beklagte hat vielmehr plausibel dargelegt, dass sie die übertragenen Nachrichten entsprechend der gesetzlichen Vorgaben, insbesondere der ePrivacy-Richtlinie, behandelt und ein zulässiges CSAM (child sexual abuse material)-Scanning zur Identifikation kinderpornographischer Inhalte durchführt. 

Soweit die Klagepartei die Länge und Unübersichtlichkeit der Datenschutzrichtlinie der Beklagten rügt, lässt sich kein Verstoß gegen Art. 13, 14 DSGVO erkennen. Die umfangreichen datenschutzrechtlichen Anforderungen, die von Rechts wegen an die Beklagte gestellt werden, in Verbindung mit der Komplexität der von der Beklagten zur Verfügung gestellten Dienstleistungen lassen keine knappere oder einfachere Darstellung der datenschutzrechtlichen Rahmenbedingungen zu. 

Dass die Beklagte die über den MessengerDienst ausgetauschten Inhalte als solche speic

hert und an den Adressaten übermittelt, ist zur Bereitstellung dieser Dienstleistung unumgänglich, Art. 6 Abs. 1 Buchst. B DSGVO. Für einen Verstoß gegen das Gebot der Datenminimierung (Art. 5 Abs. 1 Buchst. c DSGVO) sieht das Gericht deswegen ebenfalls keine Anhaltspunkte. Das CSAM-Scanning ist von Art. 6 Abs. 1 Buchst. f DSGVO gedeckt. Im Übrigen ist es der Klagepartei – wie jedem „f-Nutzer selbst überlassen, ob sie den MessengerDienst überhaupt verwenden will oder nicht."

Und weiter:

“Auch insoweit ist kein datenschutzrechtlicher Verstoß ersichtlich. Die Verarbeitung von Daten im Zusammenhang mit „Aktivitäten außerhalb der ...-Technologien“ („Off-...-Daten“) ist durch die Einwilligung des Nutzers gedeckt, Art. 6 Abs. 1 Buchst. a und Art. 9 Abs. 2 Buchst. a DSGVO. Nach dem Vortrag der Beklagten, an dessen Richtigkeit das Gericht keine Zweifel hat, holt sie die Einwilligung der Nutzer mittels eines im Schriftsatz vom 04.03.2024 auf S. 11 abgebildeten CookieBanners ein. Die entsprechenden Einstellungen werden durch Hinweise nachvollziehbar beschrieben und können vom Benutzer nachträglich abgeändert werden.”

2. Datenübermittlung in die USA:

Ein pauschaler Anspruch, dass die eigenen Daten nur in Europa verarbeitet werden, habe die Klägerin nicht, da die Beklagte ein weltweit operierendes Unternehmen sei:

"Eine rechtswidrige Datenübermittlung kann das Gericht nicht erkennen. 

Die Plattform „...“ und der MKonzern stammen aus den USA. „...“ ist als globale Plattform konzipiert. Um dieses weltweite Netzwerk unterhalten zu können, müssen zwangsläufig Daten international ausgetauscht werden. 

Dass in diesem Zusammenhang auch Daten durch die Beklagte in die USA übermittelt werden, liegt folglich nahe. Dieses Erfordernis ist auch unabhängig davon, ob die Klagepartei mit USamerikanischen „...“-Nutzern „befreundet“ ist oder nicht. Denn allein die Suche nach Nutzern in anderen Rechtsgebieten kann nur funktionieren, wenn ein grenzüberschreitender Datenaustausch stattfindet. All dies muss jedem „..."-Nutzer, auch der Klagepartei, hinlänglich bekannt sein. Die Klagepartei hat keinen Anspruch darauf, dass „...“ dergestalt betrieben wird, dass sämtliche Daten in Europa gespeichert und verarbeitet werden im Sinne eines rein europäischen „...“. 

Die unternehmerische Entscheidung des Betreibers der Plattform „...“, Daten in den Vereinigten Staaten von Amerika zu verarbeiten, ist von den Nutzern hinzunehmen, zumal niemand dazu gezwungen wird, die Plattform „...“ zu nutzen."

Die Weitergabe in die USA sei auch datenschutzrechtlich zulässig:

"3. Die Voraussetzungen für die Datenübermittlung in Drittländer nach Kapitel V DSGVO werden von der Beklagten eingehalten.

a) Aktuell erfolgt die Datenübermittlung aufgrund des Angemessenheitsbeschlusses der Kommission vom 10.07.2023. Dieser stellt eine taugliche Grundlage für die Datenübermittlung dar, Art. 45 Abs. 3 DSGVO. Eine weitergehende Überprüfung der Angemessenheit des Schutzniveaus erübrigt sich dadurch.

b) Für den vorangegangenen Zeitraum stellen die von der Kommission erlassenen Standardvertragsklauseln 2010 und 2021 in Verbindung mit Art. 46 Abs. 1, Abs. 2 Buchst. c) DSGVO eine ausreichende Rechtsgrundlage dar. Nach Art. 46 Abs. 1 DSGVO müssen den Betroffenen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen, um ein dem EURecht gleichwertiges Schutzniveau zu gewährleisten. Die Klagepartei rügt insoweit, dass der USamerikanische Rechtsbehelfsmechanismus auf einer Verordnung der Regierung und nicht auf formellem Gesetz beruhe. Auch bei einer Verordnung handelt es sich aber um ein Gesetz im materiellen Sinne. Wieso hierdurch kein gleichwertiger Rechtsschutz zur Verfügung gestellt werden könne, ist nicht zu erkennen.

c) Schließlich ist die Datenübermittlung, wie bereits oben ausgeführt, zur Vertragserfüllung erforderlich und damit auf Grundlage von Art. 49 Abs. 1 S. 1 b DSGVO zulässig.

d) Soweit Datenschutzbehörden abweichende Auffassungen vertreten, sind diese für das Gericht nicht bindend."

Rechts-News durch­suchen

14. Oktober 2024
Die bloße Sorge vor einem möglichen Datenmissbrauch rechtfertigt keinen Schadensersatzanspruch nach der DSGVO.
ganzen Text lesen
14. Oktober 2024
Ein Deezer-Nutzer erhält 350,- EUR Schadensersatz für ein Datenleck, da Deezer gegen DSGVO-Vorschriften verstoßen hat, weil es keinen Vertrag zur…
ganzen Text lesen
07. Oktober 2024
Online-Plattformen (wie z.B. Facebook) dürfen nicht uneingeschränkt personenbezogene Daten zur zielgerichteten Werbung verwenden, auch wenn sensible…
ganzen Text lesen
04. Oktober 2024
Die Datenschutzkonferenz hat ihre Richtlinien zur Übertragung von Kundendaten bei Asset Deals überarbeitet und stiftet damit mehr Verwirrung als…
ganzen Text lesen

Rechts-News durchsuchen