Das VG Wiesbaden untersagt der Hochschule RheinMain vorläufig den Einsatz des Consent Management Tools „Cookiebot“: Die Nutzung des Dienstes, mit dem Einwilligungen in die Cookie-Verwendung abgefragt werden können, führe zu einem unzulässigen Drittstaatentransfer. Die Entscheidung des VG Mainz ist die erste veröffentlichte Gerichtsentscheidung zum Drittstaatentransfer personenbezogener Daten nach dem Schrems II-Urteil des EuGH. Sie hat enorme Sprengkraft.
UPDATE: Der VGH Hessen hat die Entscheidung des VG Wiesbaden aufgehoben. Cookiebot darf vorläufig weiter genutzt werden. Dies hat allerdings keinen datenschutzrechtlichen Hintergrund, sondern einen rein verfahrensrechtlichen. Es fehlte die Eilbedürftigkeit.
UPDATE: Wie problematisch die Nutzung von US-Tools sein kann, zeigt eine weitere Entscheidung: Das LG München hat einem Websitebesucher 100 Euro Schadensersatz zugesprochen, weil für die Nutzung von Google Fonts die IP-Adresse in die USA übermittelt wurde.
Seit der EuGH am 16.07.2020 in Sachen Schrems II geurteilt hat, besteht in Europa eine große Unsicherheit darüber, inwiefern die Nutzung US-amerikanischer Tools noch datenschutzrechtlich zulässig ist. Der EuGH hatte mit dieser Entscheidung das EU-US-Privacy Shield, einen Angemessenheitsbeschluss für den Datentransfer in die USA, für ungültig erklärt und die Standardvertragsklauseln einer besonderen Prüfpflicht unterworfen, die für die USA ohne zusätzliche Maßnahmen kaum zu einem positiven Ergebnis führen konnte. Im Juni 2021 hatten die deutschen Aufsichtsbehörden dann mit einer Schwerpunktprüfung „Drittenstaatentransfer“ begonnen (wir berichteten hierzu in unserem Newsletter vom Juni 2021). Nun folgte am 01.12.2021 die (soweit ersichtlich) erste Gerichtsentscheidung zu der Problematik in Deutschland.
Das Verfahren
Im Zuge eines Eilverfahrens hatte das VG Wiesbaden darüber zu entscheiden, ob die Hochschule RheinMain weiterhin den Dienst Cookiebot einsetzen darf, um die Cookie-Einwilligungen ihrer Website-Nutzer zu verwalten. Geklagt hatte ein Nutzer, der auf der Website der Hochschule regelmäßig Literaturrecherche betreibe. Der Dienst Cookiebot wird zwar von einem dänischen Unternehmen angeboten, dieser nutzt mit dem Content Delivery Network von Akamai allerdings von einem US-Anbieter gehostete Server, um den Dienst bereitzustellen.
Der Cookiebot dient dem Speichern und Verwalten der Entscheidungen von Nutzern über die Verwendung von Cookies. Hat der Nutzer etwa der Erhebung von Marketing-Cookies nicht zugestimmt, merkt sich Cookiebot durch einen auf dem Endgerät des Nutzers abgelegten Consent-Cookie die Entscheidung und berücksichtigt diese beim nächsten Besuch des Nutzers.
Um den Banner des Cookiebot anzuzeigen, wird – technisch notwendigerweise – die vollständige IP-Adresse an den US-Server von Akamai übermittelt. Da die IP-Adresse die eindeutige Identifizierung des Nutzers ermögliche, handele es sich um personenbezogene Daten.
Übermittlung der IP-Adresse
Die IP-Adresse wird mithin als personenbezogenes Datum zur Ausspielung des Cookiebot in die USA, einen Drittstaat im Sinne der DSGVO, übertragen. Schon die Übertragung der ungekürzten IP-Adresse beim erstmaligen Laden eines Dienstes stellt nach Ansicht des VG Wiesbaden eine datenschutzrechtlich beachtliche Verarbeitung dar. Dabei soll es nach Ansicht des Gerichts sogar unerheblich sein, ob die Server von Akamai in der EU oder den USA belegen sind: Allein entscheidend sei, dass der Server-Host als US-amerikanisches Unternehmen dem sog. Cloud-Act unterliege, der ihn dazu verpflichte, US-Behörden auf Anfrage Daten offenzulegen. Der Beschluss des Verwaltungsgerichts zeigt damit auf, wie schnell ein US-Bezug mit Datentransfer i.S.d. Art. 44 DSGVO bestehen kann.
Die Hochschule sei für all dies auch datenschutzrechtlich verantwortlich: Für die Verantwortlichkeit reiche es, dass sich die Hochschule für die Nutzung des Dienstes entschieden hat.
Keine geeigneten Garantien
Auf der Website der Hochschule wird weder eine Einwilligung für eine Drittstaatenübertragung eingeholt, noch über die Risiken des US-Cloud Acts aufgeklärt. Die Übertragung der Cookie-Entscheidung des Nutzers in die USA sei auch nicht erforderlich für den Betrieb der Website. Weder Art. 48, noch Art. 49 DSGVO erlaubt den Datentransfer hier.
Ob die zwischen dem Anbieter des Cookiebot und Akamai abgeschlossenen Standardvertragsklauseln geeignete Garantien darstellen könnten, wird nicht erörtert.
Die Entscheidung
Aus diesen Gründen hat das Gericht der Hochschule auferlegt, den Cookiebot-Dienst von ihrer Website zu entfernen. Der Beschluss ist noch nicht rechtskräftig, da noch eine Beschwerde zum Hessischen Verwaltungsgerichtshof in Kassel möglich ist. Zudem steht die Entscheidung unter dem Vorbehalt des Hauptsacheverfahrens, welches innerhalb von 4 Wochen einzuleiten ist.
Kritik
Die Entscheidung des VG Wiesbaden hat enorme Sprengkraft für die Praxis: Setzte sich die Ansicht des Gerichts durch, könnten etliche Online-Tools nicht mehr genutzt werden. Viele Angebote fußen auf den Angeboten von US-Unternehmen, die IP-Adresse wird stets benötigt, um die Angebote dem Nutzer überhaupt technisch anzeigen zu können.
Ob in der Beschwerdeinstanz oder jedenfalls dem Hauptsacheverfahren die Entscheidung des VG Wiesbaden bestätigt wird, ist indes überaus fraglich. Insbesondere versäumt es das Gericht, zu prüfen, ob die Standardvertragsklauseln hier geeignete Garantien liefern könnten. Die neuen Standardvertragsklauseln vom 04.06.2021 sehen ausdrücklich eine Risikobetrachtung vor: Maßgeblich ist nicht nur, ob nationale Rechtsvorschriften Behördenzugriffe ermöglichen, die mit dem EU-Standard nicht vereinbar ist – dies wäre für die USA nach der EuGH-Entscheidung in Sachen Schrems II zu bejahen. Entscheidend ist darüber hinaus, ob nach den praktischen Erfahrungen auch tatsächlich mit derartigen Zugriffen zu rechnen ist. Dies haben die US-Behörden für den Fall der IP-Adresse bereits verneint: An diesen Informationen bestehe kein Interesse.
Die Entscheidung des VG Wiesbaden dürfte damit in der Praxis nicht dazu führen, dass unverzüglich jegliche US-Bezüge im vorbenannten Sinn zu beenden sind. Sie verdeutlicht aber erneut, wie groß die bestehende Rechtsunsicherheit ist und wie wichtig die Durchführung von Transfer Impact Assessments, also der umfassenden Risikobewertung von Drittstaatentransfers, ist. Dies ist auch dann notwendig, wenn ein eingesetzter EU-Dienstleister wie hier seinerseits als Unterauftragsverarbeiter auf US-Unternehmen zurückgreift. Typische Anwendungsfälle hierfür sind auf die Angebote von Akamai, Amazon, Microsoft oder Google aufbauende Tools.
Wie es weiterging: Google Fonts und Cookiebot
Der VGH Hessen hat die Entscheidung des VG Wiesbaden revidiert: Der Cookiebot darf vorläufig weiter im Einsatz bleiben, erst das Hauptsacheverfahren wird hier mehr Klarheit schaffen (Beschl. v. 17.01.2021 – 10 B 2486/21). Zu den datenschutzrechtlich brisanten Themen hat sich das Gericht indes nicht geäußert. Die Entscheidung des VG Wiesbaden wurde aufgehoben, weil es am Anordnungsgrund, also der Eilbedürftigkeit fehlte.
Die Übermittlung der IP-Adresse an einen Diensteanbieter war auch in einer anderen Entscheidung der springende Punkt: Das LG München sprach einem Websitebesucher einen Schadensersatzanspruch i.H.v. 100 Euro gegen den Betreiber der Seite zu, weil dieser Google Fonts eingesetzt hatte und für die Darstellung der entsprechenden Schriftarten eine Verbindung zu Google aufgebaut wurde. Für die damit einhergehende Übermittlung der IP-Adresse der Websitebesucher sah das Gericht keine Erlaubnisgrundlage: Überwiegende berechtigte Interessen bestünden schon deshalb nicht, weil der Websitebetreiber die Google Fonts-Library auch lokal hätte einbinden können (Urt. v. 20.01.2022 – 3 O 17493/20). Die Sprengkraft dieser Entscheidung ist enorm, sie könnte Grundlage für Masseverfahren werden, da ein entsprechender Schadensersatzanspruch dann jedem Websitebesucher zustände.