Search
Close this search box.

Tyskland: Domstol anser att överföring av personuppgifter till Googles servrar i USA med stöd av SCC är olaglig

Landgericht Köln (LG Köln) konstaterar att Telekom Deutschland GmBH:s överföring av personuppgifter till USA i samband med användningen av Google Analytics är olaglig och strider mot dataskyddsförordningen (GDPR).

Av domen framgår att North Rhine-Westphalia Consumer Center väckt talan mot telekommunikationsföretaget Telekom Deutschland. Den rättsliga tvisten gällde flera punkter.

För det första ifrågasatte North Rhine-Westphalia Consumer Center (Consumer Center) lagligheten av att Telekom Deutschland i samband med fullgörandet av avtal om mobilkommunikation lämnat ut finansiella personuppgifter till kreditupplysningsföretag, särskilt SCHUFA Holding AG och CRIF Bürgel. Telekom Deutschland försåg dessa företag med personuppgifter om sina kunder för att kontrollera deras kreditvärdighet och förebygga bedrägerier.

För det andra menade Comsumer Center på att Telekom Deutschlands integritetspolicy inte var förenlig med kraven i dataskyddsförordningen. Dessutom ansåg Comsumer Center att Telekom Deutschland inte på ett giltigt sätt hämtat in samtycke till användningen av cookies på sin webbplats utan förlitade sig på mörka mönster (dark patterns) i cookie-banners, vilket oundvikligen vilseledde användarna.

Slutligen bröt överföringen av kundernas personuppgifter till tredjeländer, inklusive USA, för analys- och marknadsföringsändamål mot dataskyddsförordningen, då personuppgifter som IP-adress och information om webbläsare och enhet som besökaren använde överfördes till Google LLC när kunderna besökte den personuppgiftsansvariges webbplats.

Comsumer Center begärde därför att LG Köln skulle förelägga Telekom Deutschland:

  • Att sluta överföra personuppgifter till kreditupplysningsföretag, särskilt SCHUFA Holding AG och CRIF Bürgel, när de genomför och/eller utför avtal om mobilkommunikation.
  • Att sluta använda företagets integritetspolicy när det gäller befintliga avtal om mobilkommunikation med konsumenter och från att förlita sig på sådana klausuler för eventuella framtida avtal.
  • Att göra utformningen av cookie-bannern förenlig med dataskyddsförordningen, särskilt genom att bädda in ett enkelt alternativ inte bara för att samtycka till cookies, utan också för att vägra dem.
  • Att sluta överföra konsumenters personuppgifter till tredjeländer för analys- och marknadsföringsändamål.

LG Köln ansåg att Comsumer Centers begäran om att Telekom Deutschland skulle åläggas att inte överföra finansiella uppgifter till kreditupplysningsföretag var ogrundad. Enligt domstolen var en sådan begäran om föreläggande alltför omfattande. Det stämmer att utlämnandet i det förflutna var olagligt, eftersom Telekom Deutschlands berättigade intresse av att bekämpa bedrägliga beteenden inte kunde åsidosätta de registrerades grundläggande rättigheter. Ett brett förbud skulle dock oundvikligen påverka framtida behandlingsaktiviteter som faktiskt kan omfattas av Telekom Deutschlands berättigade intresse.

Vidare ansåg LG Köln att integritetspolicyn inte stred mot dataskyddsförordningen. I sin integritetspolicy informerade Telekom Deutschland helt enkelt konsumenterna om överföring av uppgifter till tredje part och länder, utan någon ytterligare rättslig verkan. Dokumentet utgjorde inte ett rättsligt bindande avtal som Telekom Deutschland erbjöd kunderna, vilket Comsumer Center påstått.

LG Köln ansåg också att Consumer Centers krav avseende cookie-banners var ogrundat. Inledningsvis framhöll LG Köln att enligt artikel 4.11 GDPR ska samtycke ges fritt, vara specifikt för ändamålet, informerat och otvetydigt. Samtidigt påpekade domstolen att begäran var för omfattande och inte återspeglade de krav som fastställs i dataskyddsförordningen. Enligt LG Köln var det inte möjligt att beordra Telekom Deutschland att införa en särskild utformning av företagets cookie-banner.

När det gäller överföring av uppgifter till USA höll LG Köln fast vid Consumer Centers åsikt. Domstolen ansåg att överföringen av användarnas personuppgifter till Googles servrar i USA inte var förenlig med artiklarna 44 och följande GDPR. Domstolen hänvisade till EU-domstolens dom i Schrems II-målet, där EU-domstolen ogiltigförklarat EU-kommissionens beslut om adekvat skyddsnivå enligt artikel 45 GDPR. Dessutom framhöll LG Köln att det i det aktuella fallet inte heller varit möjligt att förlita sig på standardavtalsklausuler enligt artikel 46.2 (c) GDPR, eftersom dessa inte kunde garantera en adekvat skyddsnivå. Slutligen uteslöt LG Köln möjligheten att användarnas samtycke via en enkel “acceptera allt”-knapp i cookie-banners ska kunna tolkas som de registrerades uttryckliga samtycke till överföring av deras personuppgifter till tredjeländer. Telekom Deutschland har enligt domstolen inte ens nämt Google som mottagare av personuppgifter vid överföring till USA, varför undantaget enligt artikel 49.1 (a) GDPR inte var tillämpligt på den aktuella behandlingen.

Mot bakgrund av ovanstående ansåg LG Köln att överföringen av uppgifter till Googles servrar i USA var olaglig och beordrade Telekom Deutschland att upphöra med behandlingen.

Mer information

Myndighet: Landgericht Köln (LG Köln)

Land: Tyskland

Lagrum: Art. 4 GDPR, art. 6 GDPR, art. 44 GDPR, art. 45 GDPR, art. 46 GDPR, art. 49 GDPR

Sanktionsavgift: N/A

Mottagare: Telekom Deutschland GmBH

Beslutsnummer: 33 O 376/22

Beslutsdatum: 2023-01-12

Källa: Beslut

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

07 MAR

AI – Introduktion till artificiell intelligens

Kursen ger dig de rättsliga förutsättningarna för utveckling, upphandling och användning av AI.

14 MAR

Cybersäkerhet - Introduktion till NIS2-direktviet

En genomgång av de viktigaste reglerna i NIS2-direktivet och kompletterande svensk lagstiftning.

21 MAR

AI - Introduktion till AI-förordningen

En genomgång av de viktigaste reglerna i den nya AI-förordningen och hur du kan använda AI-system på ett lagenligt sätt.