Beschluss VG Wiesbaden

(TL) In einem Eilverfahren hat das Verwaltungsgericht (VG) Wiesbaden, mit Beschluss vom 01.12.2021 entschieden, dass der Consent-Manager „Cookiebot“ gegen die Datenschutzgrundverordnung (DS-GVO) verstoße. Dieser soll unzulässig personenbezogene Daten in ein Drittland, hier USA, übermitteln.

Entscheidungssachverhalt

Cookiebot ist ein vielfach eingesetzter Einwilligungsmanager, welcher beim Endnutzer einer Website die Einwilligung in die Cookie-Verwendung einholt. Diese ist nach höchstrichterlichen Entscheidungen und gem. § 25 TTDSG, für das Setzen aller nicht technisch notwendiger Cookies erforderlich. Anbieter des Dienstes ist ein dänisches Unternehmen Cybot A/S (Cybot). Die Zieldomain consent.cookiebot.com verweist jedoch auf einen Server mit einer IP-Adresse, die auf das in den USA ansässige Cloud-Hosting-Unternehmen Akamai Technologies Inc. registriert ist.

Der Cookiebot war auch bei der Antragsgegnerin, der Hochschule Rhein-Main im Einsatz.

Der Antragsteller forderte, diesen Einsatz zu unterlassen, da bei jedem Seitenaufruf seine ungekürzte IP-Adresse an Server der Akamai Technologies Inc. übermittelt würde. Auch wenn sich der Server möglicherweise in der EU befinde, so habe das US-amerikanische Unternehmen Zugriff darauf, sodass der US-amerikanische Cloud-Act gelte.

Entscheidungsgründe

  • Cloud-Act

Nach dem Cloud-Act sind US-Anbieter elektronischer Kommunikations- oder Remote-Computing-Dienste dazu verpflichtet, sämtliche in ihrem Besitz, Gewahrsam oder ihrer Kontrolle („posession, custody or control“) befindlichen Daten offenzulegen, und zwar unabhängig davon, ob die Daten innerhalb oder außerhalb der USA gespeichert sind. Vor diesem Hintergrund sei nach Sicht des Antragstellers, welcher das VG Wiesbaden folgte, das Recht auf rechtmäßige Verarbeitung der personenbezogenen Daten verletzt, Art. 6 Abs. 1 DS-GVO, Art. 7, 8 EU-Grundrechte-Charta (GrCh).

  • Datenübermittlung in ein Drittland

Eine ungekürzte IP-Adresse stellt dem EuGH folgend ein persönliches Datum dar. Die Antragsgegnerin führte an, dass an Cybot ausschließlich die anonymisierte IP-Adresse mit den letzten drei Ziffern auf null gesetzt, Datum und Uhrzeit der Zustimmung, Benutzeragent des Browsers der betroffenen Person, die URL, von der die Zustimmung gesendet wurde, ein anonymer, zufälliger und verschlüsselter Key sowie der Einwilligungsstatus der betroffenen Person übermittelt würden. Soweit zur Herstellung einer technisch notwendigen Verbindung zu den Servern eine ungekürzte IP-Adresse an den Server von Akamai-Technologies Inc. übertragen werde, werde diese nicht verarbeitet oder gespeichert. Dieser Ansicht folgte das Gericht nicht. Insbesondere sei auch nur ein einmaliges Erheben und Übermitteln von personenbezogenen Daten eine Verarbeitung i.S.d. Art. 4 Nr. 2 DS-GVO. Indem die verarbeiteten Daten auf Servern von Akamai verarbeitet werden, fände u.a. eine Datenübermittlung in ein Drittland, USA, nach Art. 44 DS-GVO statt.

  • Verantwortliche für die Datenerhebung und Datenübermittlung

Für die Erhebung und Übermittlung an Akamai, die unmittelbar durch die Einbindung des Dienstes auf der Webseite der Antragsgegnerin ausgelöst werden, sei ferner die Antragsgegnerin i.S.d. Art. 24, Art. 4 Nr. 7 DS-GVO, verantwortlich. Indem die Antragsgegnerin sich dafür entscheide, den Dienst Cookiebot auf ihrer Webseite einzusetzen, entscheidet sie damit jedenfalls über die Mittel der Datenverarbeitung.

  • Keine Zulässigkeit der Datenübermittlung

Eine Zulässigkeit der Übermittlung gem. Art. 48 und 49 DS-GVO hat das Gericht ebenfalls verneint. Darauf, ob die zwischen Akamai und Cookiebot vereinbarten Standardvertragsklauseln (SCC) eine die Zulässigkeit begründende Garantie i.S.d. Art. 46 DS-GVO darstellen ist das VG nicht eingegangen. Die SCC sehen besondere Verpflichtungen für Datenimporteure vor, für den Fall, dass im Empfängerland kein hinreichendes Datenschutzniveau gewährleistet werden kann (z.B. USA). Mit diesen Regelungen werden, die nach der Schrems-II-Entscheidung des EuGH notwendigen vertraglichen Zusatzmaßnahmen implementiert.

Mögliche Auswirkungen für die Zukunft

Sollte der Beschluss im Hauptverfahren bestätigt und in der Folge rechtskräftig werden, könnten damit auch weitere Cookietools mit Drittlandsbezug angegriffen und ihre Nutzung für unzulässig erklärt werden.

Eine Stellungnahme des betroffenen Anbieters liegt bislang nicht vor.

Im Hinblick darauf, dass das Urteil des VG Wiesbaden im Fall der Rechtskrafterlangung jedoch zu erheblichen Nachteilen – dies jedenfalls auf dem deutschen Markt – führen wird, ist davon auszugehen, dass der Anbieter Berufung eingelegt wird, sich aber zumindest um eine Anpassung des Dienstes bemühen dürfte

Bis zur Entscheidung jedoch, herrscht keine klare Rechtslage in Bezug auf den Cookiebot und vergleichbare Dienste, bei welchen eine Verarbeitung mit Bezug zu den USA stattfindet.

Eine rechtssichere Möglichkeit bietet eine Umstellung auf selbst gehostete Consent-Management-Tools, welche keine (Cloud-) Server mit Bezug zu Anbietern im Drittland nutzen, sondern ausschließlich Server in europäischen Datencentern von europäischen Firmen einsetzen. Zu nennen seien beispielhaft:

  • Der CCM19 Cookie Consent Manager (www.ccm19.de) mit Hosting in Deutschland, welcher sowohl als Software-as-a-Service eingebunden, aber auch auf dem eigenen Server betrieben werden kann (Stand: 10.12.2021)
  • Der Consent Management Provider (www.consentmanager.de) mit ausschließlichem Hosting innerhalb der EU (Stand 09.12.2021)
  • Borlabs Cookies (de.borlabs.io) als Erweiterung für das Content-Management-System “Wordpress” zur Installation auf dem eigenen Server

Der größte Unterschied zwischen den aufgezeigten Beispiellösungen ist, dass die Lösung über „CCM19” sowie den “Consent Management Provider” auch ohne eigene Server für mehr Rechtssicherheit sorgen kann, wohingegen die Lösung von Borlabs den Betrieb auf dem eigenen Server voraussetzt und damit regelmäßiger Wartung durch Updates bedarf.

Unsere Empfehlung

Unternehmen mit eigenem Webserver könnten bei entsprechenden Ressourcen das Consent-Management selbst betreiben, sollten aber gerade beim Einsatz von Cloud-Server darauf achten, diese nicht von US-Anbietern im direkten Auftragsverhältnis oder Unterauftragsverhältnis zu beziehen. In allen anderen Fällen empfiehlt sich die Nutzung entsprechender Dienste von Drittanbietern (siehe oben), die mit den eigenen Webseiten kompatibel sind.

Sofern Einwilligungen für mehrere Domains gleichzeitig eingeholt werden sollen, empfiehlt sich eine domainübergreifende Lösung, wie Sie beispielsweise von CCM19 angeboten wird.

Wenn weiterhin Consent-Manager genutzt werden sollen oder müssen, die einen Bezug zu den USA aufweisen, so sollten die vertraglichen Vereinbarungen mit den entsprechenden Anbietern überprüft werden und insbesondere ein dokumentiertes Transfer Impact Assessment (TIA) durchgeführt werden, um eine Zulässigkeit der Datenübermittlung gem. Art. 46 I DS-GVO nachweisen zu können.

Eine Anbieterübersicht der DS-GVO konformen Cookie Consent Tools finden Sie in hier.