Das VG Wiesbaden hat im Rahmen eines Eilverfahrens entschieden, dass die Hochschule RheinMain auf ihrer Webseite keinen Cookie-Dienst nutzen darf, der die vollständige IP-Adresse der Endnutzer an Server eines Unternehmens übermittelt, dessen Unternehmenszentrale sich in den USA befindet.
Sachverhalt
Gegenstand des Eilverfahrens vor dem VG Wiesbaden bildete das Begehren des Antragstellers, es der Hochschule RheinMain zu untersagen, auf ihrer Webseite einen Cookie-Dienst einzubinden. Dieser Dienst ermöglicht es, die Einwilligung der Nutzer einer Webseite in die Cookie-Verwendung einzuholen. Der Dienst überwacht die eingesetzten Cookies und blockiert solche Cookies, für die eine Zustimmung nicht erteilt wurde.
Der Anbieter des Dienstes griff seinerseits auf die Dienste des in den USA ansässigen Unternehmens Akamai Technologies Inc. zurück, indem der Anbieter Serverkapazitäten von Akamai verwendete. Der Anbieter verwendete Content Delivery Network von Akamai, um das Cookiebot-Einwilligungsskript abzurufen, welches auf einem Akamai-Server lag.
Entscheidung
Das VG Wiesbaden hat dem Antrag mit Beschluss vom 01.12.2021 stattgegeben und der Hochschule im Wege der einstweiligen Anordnung untersagt, diesen Cookie-Dienst auf ihrer Website zum Zweck des Einholens von Einwilligungen in der Weise einzubinden, dass personenbezogene oder -beziehbare Daten des Antragstellers (einschließlich dessen IP-Adresse) an Server übermittelt werden, die von einem externen Unternehmen betrieben werden.
Die Hochschule sei verpflichtet, die Einbindung des Cookie-Dienstes auf ihrer Webseite zu beenden, da diese mit der rechtswidrigen Übermittlung personenbezogener Daten der Webseitennutzer und damit insbesondere des Antragstellers einhergehe. Es lägen personenbezogene Daten vor. Aus einer Kombination eines den Webseiten-Besucher identifizierenden Keys, der im Browser des Nutzers gespeichert werde, und der übermittelten vollständigen IP-Adresse sei der Endnutzer eindeutig identifizierbar.
Der Cookie-Dienst verarbeite die vollständige IP-Adresse der Endnutzer auf Servern eines Unternehmens, dessen Unternehmenszentrale sich in den USA befinde. Hierdurch entstehe ein Drittland-Bezug, nämlich zu den USA, welcher im Hinblick auf die sog. Schrems II-Entscheidung des Europäischen Gerichtshofs unzulässig sei. Die Nutzer der Webseite der Hochschule würden nicht um ihre Einwilligung für eine Datenübermittlung in die USA gebeten werden. Es fände auch keine Unterrichtung über die mit der Übermittlung verbundenen möglichen Risiken durch den sog. Cloud-Act statt. Eine solche Datenübermittlung sei auch nicht für das Betreiben der Webseite der Hochschule erforderlich.
Gemäß Art. 48 DS-GVO dürfe eine Übermittlung von personenbezogenen Daten auf der Grundlage einer Entscheidung eines ausländischen Gerichts oder einer ausländischen Verwaltungsbehörde im Grundsatz nur erfolgen, wenn sie auf eine in Kraft befindliche internationale Übereinkunft wie etwa ein Rechtshilfeabkommen zwischen dem ersuchenden Drittland und der Europäischen Union oder einem Mitgliedsstaat gestützt werden könne. Da eine solche internationale Übereinkunft zwischen der EU und den USA, die als Rechtsgrundlage für eine Datenübermittlung dienen könnte, nicht existiere, findet Art. 49 DS-GVO Anwendung, wonach eine Datenübermittlung an ein Drittland nur unter einer der in Art. 49 Abs. 1 Satz 1 lit. a) bis f) und Satz 2 DS-GVO genannten Bedingungen zulässig ist. Keine der in Art. 49 Abs. 1 Satz 1 und 2 DS-GVO genannten Bedingungen sei hingegen erfüllt
Anmerkung
Die Entscheidung des VG Wiesbaden zeigt einmal mehr, mit welchen Problemen und Schwierigkeiten Website-Betreiber zu kämpfen haben, die eine rechtskonforme Gestaltung ihres Website-Angebots und Verwendung von Cookies sicherstellen möchten. Bei dem im vorliegenden Fall betroffenen „Cookie-Dienst“ handelte es sich um den durchaus verbreiteten Cookie-Manager bzw. Consent-Manager Cookiebot (https://www.cookiebot.com/de/). Entsprechende Dienste bzw. Tools werden eingesetzt, um durch entsprechende Hinweis und Einwilligungsmechanismen einen rechtskonformen Einsatz technisch nicht notwendiger Cookies zu gewährleisten.
Dass man allerdings auch beim Einsatz solcher Cookie-Tools Fehler machen kann, zeigt die Entscheidung des VG Wiesbaden vergleichsweise deutlich. Die Feststellungen des Gerichts zur Personenbeziehbarkeit von Daten der Website-Nutzer, auf welchen das Cookie-Tool verwendet wurde, überraschen mit Blick auf die Kategorisierung von IP-Adressen als personenbezogene Daten wenig. Den wesentlichen Fehler sah das VG Wiesbaden dann ersichtlich auch vielmehr in dem Umstand begründet, dass relevante Daten infolge der Dienstnutzung in die USA übertragen wurden, ohne dass hierfür eine hinreichende Grundlage bestand.
Für die Nutzer von Tools , welche in die eigenen Website eingebunden werden, macht die Entscheidung deutlich, dass die insoweit betroffenen Datenflüsse sorgfältig hinterfragt werden sollten. Sofern und soweit dabei ein Drittlandstransfer in Rede steht, ist besondere Vorsicht geboten. Ein solcher ist dann rechtskonform abzusichern, z.B. durch Einsatz der unlängst von der Europäischen Kommission neu verabschiedeten Standardvertragsklauseln. Alternativ kommt natürlich auch eine Lösung in Betracht, die der ein oder andere Websitebetreiber zuweilen übersieht – nämlich der Einsatz eines Dienstleisters, der ohne Übermittlung von Daten in Drittländer auskommt.
