Beschluss VG Wiesbaden
In einem Eilverfahren hat das Verwaltungsgericht (VG) Wiesbaden, mit Beschluss vom 01.12.2021 entschieden, dass der Consent-Manager „Cookiebot“ gegen die Datenschutzgrundverordnung (DS-GVO) verstoße. Dieser soll unzulässig personenbezogene Daten in ein Drittland, hier USA, übermitteln.
Entscheidungssachverhalt
Cookiebot ist ein vielfach eingesetzter Einwilligungsmanager, welcher beim Endnutzer einer Website die Einwilligung in die Cookie-Verwendung einholt. Diese ist nach höchstrichterlichen Entscheidungen und gem. § 25 TTDSG, für das Setzen aller nicht technisch notwendiger Cookies erforderlich. Anbieter des Dienstes ist ein dänisches Unternehmen Cybot A/S (Cybot). Die Zieldomain consent.cookiebot.com verweist jedoch auf einen Server mit einer IP-Adresse, die auf das in den USA ansässige Cloud-Hosting-Unternehmen Akamai Technologies Inc. registriert ist.
Der Cookiebot war auch bei der Antragsgegnerin, der Hochschule Rhein-Main im Einsatz.
Der Antragsteller forderte, diesen Einsatz zu unterlassen, da bei jedem Seitenaufruf seine ungekürzte IP-Adresse an Server der Akamai Technologies Inc. übermittelt würde. Auch wenn sich der Server möglicherweise in der EU befinde, so habe das US-amerikanische Unternehmen Zugriff darauf, sodass der US-amerikanische Cloud-Act gelte.
Entscheidungsgründe
- Cloud-Act
Nach dem Cloud-Act sind US-Anbieter elektronischer Kommunikations- oder Remote-Computing-Dienste dazu verpflichtet, sämtliche in ihrem Besitz, Gewahrsam oder ihrer Kontrolle („posession, custody or control“) befindlichen Daten offenzulegen, und zwar unabhängig davon, ob die Daten innerhalb oder außerhalb der USA gespeichert sind. Vor diesem Hintergrund sei nach Sicht des Antragstellers, welcher das VG Wiesbaden folgte, das Recht auf rechtmäßige Verarbeitung der personenbezogenen Daten verletzt, Art. 6 Abs. 1 DS-GVO, Art. 7, 8 EU-Grundrechte-Charta (GrCh).
- Datenübermittlung in ein Drittland
Eine ungekürzte IP-Adresse stellt dem EuGH folgend ein persönliches Datum dar. Die Antragsgegnerin führte an, dass an Cybot ausschließlich die anonymisierte IP-Adresse mit den letzten drei Ziffern auf null gesetzt, Datum und Uhrzeit der Zustimmung, Benutzeragent des Browsers der betroffenen Person, die URL, von der die Zustimmung gesendet wurde, ein anonymer, zufälliger und verschlüsselter Key sowie der Einwilligungsstatus der betroffenen Person übermittelt würden. Soweit zur Herstellung einer technisch notwendigen Verbindung zu den Servern eine ungekürzte IP-Adresse an den Server von Akamai-Technologies Inc. übertragen werde, werde diese nicht verarbeitet oder gespeichert. Dieser Ansicht folgte das Gericht nicht. Insbesondere sei auch nur ein einmaliges Erheben und Übermitteln von personenbezogenen Daten eine Verarbeitung i.S.d. Art. 4 Nr. 2 DS-GVO. Indem die verarbeiteten Daten auf Servern von Akamai verarbeitet werden, fände u.a. eine Datenübermittlung in ein Drittland, USA, nach Art. 44 DS-GVO statt.
- Verantwortliche für die Datenerhebung und Datenübermittlung
Für die Erhebung und Übermittlung an Akamai, die unmittelbar durch die Einbindung des Dienstes auf der Webseite der Antragsgegnerin ausgelöst werden, sei ferner die Antragsgegnerin i.S.d. Art. 24, Art. 4 Nr. 7 DS-GVO, verantwortlich. Indem die Antragsgegnerin sich dafür entscheide, den Dienst Cookiebot auf ihrer Webseite einzusetzen, entscheidet sie damit jedenfalls über die Mittel der Datenverarbeitung.
- Keine Zulässigkeit der Datenübermittlung
Eine Zulässigkeit der Übermittlung gem. Art. 48 und 49 DS-GVO hat das Gericht ebenfalls verneint. Darauf, ob die zwischen Akamai und Cookiebot vereinbarten Standardvertragsklauseln (SCC) eine die Zulässigkeit begründende Garantie i.S.d. Art. 46 DS-GVO darstellen ist das VG nicht eingegangen. Die SCC sehen besondere Verpflichtungen für Datenimporteure vor, für den Fall, dass im Empfängerland kein hinreichendes Datenschutzniveau gewährleistet werden kann (z.B. USA). Mit diesen Regelungen werden, die nach der Schrems-II-Entscheidung des EuGH notwendigen vertraglichen Zusatzmaßnahmen implementiert.
Mögliche Auswirkungen für die Zukunft
Sollte der Beschluss im Hauptverfahren bestätigt und in der Folge rechtskräftig werden, könnten damit auch weitere Cookietools mit Drittlandsbezug angegriffen und ihre Nutzung für unzulässig erklärt werden.
Eine Stellungnahme des betroffenen Anbieters liegt bislang nicht vor.
Im Hinblick darauf, dass das Urteil des VG Wiesbaden im Fall der Rechtskrafterlangung jedoch zu erheblichen Nachteilen – dies jedenfalls auf dem deutschen Markt – führen wird, ist davon auszugehen, dass der Anbieter Berufung eingelegt wird, sich aber zumindest um eine Anpassung des Dienstes bemühen dürfte
Bis zur Entscheidung jedoch, herrscht keine klare Rechtslage in Bezug auf den Cookiebot und vergleichbare Dienste, bei welchen eine Verarbeitung mit Bezug zu den USA stattfindet.
Eine rechtssichere Möglichkeit bietet eine Umstellung auf selbst gehostete Consent-Management-Tools, welche keine (Cloud-) Server mit Bezug zu Anbietern im Drittland nutzen, sondern ausschließlich Server in europäischen Datencentern von europäischen Firmen einsetzen. Zu nennen seien beispielhaft:
- Der CCM19 Cookie Consent Manager (www.ccm19.de) mit Hosting in Deutschland, welcher sowohl als Software-as-a-Service eingebunden, aber auch auf dem eigenen Server betrieben werden kann (Stand: 10.12.2021)
- Der Consent Management Provider (www.consentmanager.de) mit ausschließlichem Hosting innerhalb der EU (Stand 09.12.2021)
- Borlabs Cookies (de.borlabs.io) als Erweiterung für das Content-Management-System “Wordpress” zur Installation auf dem eigenen Server
Der größte Unterschied zwischen den aufgezeigten Beispiellösungen ist, dass die Lösung über „CCM19” sowie den “Consent Management Provider” auch ohne eigene Server für mehr Rechtssicherheit sorgen kann, wohingegen die Lösung von Borlabs den Betrieb auf dem eigenen Server voraussetzt und damit regelmäßiger Wartung durch Updates bedarf.
Unsere Empfehlung
Unternehmen mit eigenem Webserver könnten bei entsprechenden Ressourcen das Consent-Management selbst betreiben, sollten aber gerade beim Einsatz von Cloud-Server darauf achten, diese nicht von US-Anbietern im direkten Auftragsverhältnis oder Unterauftragsverhältnis zu beziehen. In allen anderen Fällen empfiehlt sich die Nutzung entsprechender Dienste von Drittanbietern (siehe oben), die mit den eigenen Webseiten kompatibel sind.
Sofern Einwilligungen für mehrere Domains gleichzeitig eingeholt werden sollen, empfiehlt sich eine domainübergreifende Lösung, wie Sie beispielsweise von CCM19 angeboten wird.
Wenn weiterhin Consent-Manager genutzt werden sollen oder müssen, die einen Bezug zu den USA aufweisen, so sollten die vertraglichen Vereinbarungen mit den entsprechenden Anbietern überprüft werden und insbesondere ein dokumentiertes Transfer Impact Assessment (TIA) durchgeführt werden, um eine Zulässigkeit der Datenübermittlung gem. Art. 46 I DS-GVO nachweisen zu können.
Update vom 09.02.2022
Zu ergänzen ist insoweit, dass der im Artikel behandelte Beschluss in Folge einer Beschwerde beim hessischen Verwaltungsgerichtshof aufgehoben wurde (Hessischer Verwaltungsgerichtshof: 10 B 2486/21 vom 17.01.2022). Die Aufhebung bezieht sich auf den zuvor erteilten einstweiligen Rechtsschutz des Antragsstellers. Entsprechend dem Verwaltungsgerichtshof habe der Antragsteller den Anordnungsgrund im Sinne von § 123 Abs. 3 VwGO i.V.m. § 920 Abs. 2 ZPO nicht glaubhaft machen können. Insbesondere liege in seinem Fall keine Gefahr im Verzug durch eine spätere Hauptsacheverhandlung. Ihm stehe es frei, die Website der Antragsgegnerin nicht weiter aufzurufen, da er keine Studiums- oder Berufs- bezogene Beziehung zu der Hochschule unterhalte und deshalb nicht auf die Verfügbarkeit der Hochschulwebsite angewiesen sei. Eine Entscheidung im Hauptsacheverfahren, die jedoch ähnlich begründet sein könnte wie im zuvor erlassenen Beschluss ist nicht ausgeschlossen und steht weiterhin aus.
Eine Anbieterübersicht der DS-GVO konformen Cookie Consent Tools finden Sie in hier.