Die Übermittlung von personenbezogenen Daten in die USA im Online-Bereich ist datenschutzrechtlich nicht zu beanstanden. Dies gilt auch für den Zeitraum vor dem Inkrafttreten des Angemessenheitsbeschlusses der EU-Kommission am 10.07.2023. Zudem darf ein Anbieter DSGVO-Auskunftsanfragen hinsichtlich etwaiger Datenübermittlung an US-Geheimdienste verweigern (LG Bonn, Urt. v. 03.06.2025 - Az.: 13 O 156/24).
Der Kläger war Nutzer eines internationalen sozialen Netzwerks und klagte gegen die Betreiberin, weil seine Daten auch auf Servern in den USA gespeichert wurden. Er verlangte unter anderem Unterlassung und Auskunft, insbesondere über die Datenweitergabe an US-Geheimdienste. Die Betreiberin berief sich auf US-Recht, das ihr die Auskunft über Zugriffe der Geheimdienste verbiete.
Das LG Bonn wies die Klage ab.
1. US-Datenübermittlung rechtmäßig:
Die Übertragung der Daten in die USA sei rechtmäßig, da sie zur Erfüllung des Vertrages über die Nutzung eines internationalen sozialen Netzwerks notwendig sei. Ein weltweiter Zugriff auf Nutzerprofile mache eine internationale Speicherung technisch erforderlich.
Dies gelte auch für den Umstand, dass die Datenübertragung vor dem Angemessenheitsbeschluss der EU vom 10.07.2023 erfolgt sei. Vor diesem Zeitpunkt stelle Art. 49 DSGVO einen ausreichenden Rechtfertigungsgrund dar.
Denn bei einem global genutzten Dienst müsse damit gerechnet werden, dass Nutzer in verschiedenen Ländern miteinander kommunizieren. Wenn etwa ein Nutzer aus den USA das Profil eines deutschen Nutzers aufrufe, müsse das Netzwerk technisch so aufgebaut sein, dass die Daten auch in den USA kurzfristig gespeichert werden könnten.
Das sei nicht nur zweckmäßig, sondern unvermeidlich, damit der Dienst funktioniere. Dabei spiele es keine Rolle, ob der Kläger konkret Freunde in den USA habe.
Entscheidend sei, dass die Plattform grundsätzlich so funktionieren müsse, dass alle Nutzer weltweit auf Inhalte zugreifen können. Die Speicherung sei daher ein technischer Bestandteil des Dienstes und keine willkürliche Entscheidung der Beklagten.
Zudem habe der Kläger mindestens stillschweigend eingewilligt, da allgemein bekannt sei, dass ein großes US-Unternehmen die Beklagte auch in den USA Daten verarbeite. Wer sich bei einem solchen Netzwerk anmelde, müsse realistischerweise damit rechnen.
2. Auskunftsverweigerung über US-Geheimdienste ebenso rechtmäßig:
Die Auskunft über eventuelle Zugriffe durch US-Geheimdienste habe die Beklagte verweigert dürfen, weil das US-Recht dies ausdrücklich verbiete.
Dies stelle die Beklagte vor eine unauflösbare Pflichtenkollision: Einerseits müsste sie nach deutschem und europäischem Datenschutzrecht dem Nutzer mitteilen, ob und welche Behörden auf seine Daten zugegriffen haben. Andererseits sei ihr genau diese Auskunft nach US-amerikanischem Gesetz strikt untersagt.
Die Beklagte könne nicht gleichzeitig zwei einander widersprechende Pflichten erfüllen. In solchen Fällen dürfe ein Unternehmen ausnahmsweise gegen eine der Pflichten verstoßen, ohne sich rechtswidrig zu verhalten.
Diese Ausnahme greife im konkreten Fall, weil die gesetzliche Lage eindeutig sei: Die Beklagte müsse sich dem US-Recht beugen, dem sie als Tochtergesellschaft eines US-Konzerns unterliege.
Zudem müsse jedem Nutzer klar sein, dass ein US-Unternehmen sich auch an US-Gesetze halten müsse. Seit den Enthüllungen von Edward Snowden im Jahr 2013 sei zudem allgemein bekannt, dass US-Geheimdienste umfangreiche Zugriffsrechte auf Daten haben und dies in den USA kaum kontrolliert werde:
"Die Beklagte kann sich aber auf den insbesondere im Strafrecht anerkannten aber auch im Zivilrecht anzuerkennenden allgemeinen Rechtfertigungsgrund des übergesetzlichen Notstands in seiner konkreten Ausgestaltung der unauflösbaren Pflichtenkollision berufen, wobei dieser im Zivilrecht als Rechtfertigungsgrund und nicht (erst) als Entschuldigungsgrund anzuerkennen ist (…).
Hiernach ist auch eine angemessene Lösung im Einzelfall möglich, so dass etwa der soeben angesprochene Unterschied eines Datenzugriffs US-amerikanischer Geheimdienste bei einem US-Unternehmen im Vergleich zu einem Datenzugriff etwa von Russlands FSB berücksichtigt werden kann. Im Ergebnis ist die Beklagte aufgrund der für sie nicht auflösbaren Kollision, einerseits der Pflicht nach deutschem Gesetz, die Auskunft zu erteilen, und der andererseits diametral entgegen gesetzten Pflicht nach US-amerikanischem Recht („Section 702 FISA“), die Auskunft zu verweigern, gerechtfertigt, den Auskunftsanspruch des Klägers insoweit nicht zu erfüllen."
Und weiter:
"Hierbei ist zu berücksichtigen, dass ein Nutzer eines von einem US-Unternehmen betriebenen internationalen sozialen Netzwerks – wie der Kläger – davon ausgehen muss, dass sich dieses US-Unternehmen – wie der Mutterkonzern der Beklagten und damit mittelbar die Beklagte – an US-amerikanische Gesetze halten muss.
Es ist dabei seit vielen Jahren – spätestens durch die Enthüllungen von Edward Snowden im Jahr 2013, Deutschland betreffend insbesondere auch durch die nach deutschem Recht offenkundig rechtswidrige Ausspähung des Smartphones der ehemaligen Bundeskanzlerin Angela Merkel durch amerikanische Geheimdienste – allgemein in Deutschland bekannt, dass in den USA im Vergleich zur EU ein nicht vorhandenes bis nur eingeschränktes Datenschutzrecht betreffend den einzelnen Bürger gilt (…)."