Das Verwaltungsgericht (VG) Wiesbaden erklärt in seinem Urteil die Nutzung des Einwilligungstools Cookiebot für rechtswidrig und wirft in seiner Entscheidung interessante Rechtsfragen auf. Lesen Sie in diesem Beitrag mehr zum Eilverfahren.
Der Inhalt im Überblick
Was ist passiert?
Im Eilverfahren vor dem VG Wiesbaden (Beschl. v. 1.12.2021 – 6 L 738/21.WI) monierte der Antragsteller, ein regelmäßiger Nutzer des Onlinekatalogs der Hochschulbibliothek auf der Website der Antragsgegnerin, dass der Einwilligungsmanager Cookiebot des dänischen Anbieters Cybot, personenbezogene Daten wie seine IP-Adresse auf einen Server des in den USA ansässigen Cloud-Unternehmens Akamai Technologies Inc. („Akamai“) rechtswidrig übermittle.
Die Hochschule hatte keinen Auftragsverarbeitungsvertrag mit Cybot geschlossen, da Cybot der Auffassung war, dass sie kein Auftragsverarbeiter sind, da eine Verarbeitung personenbezogener Daten nicht stattfinde.
Datenübermittlung in ein sog. Drittland
Nach dem „Schrems-II-Urteil“ des Europäischen Gerichtshofs (EuGH) vom 16.07.2020 steht die Datenübermittlung in die USA auf wackligen Beinen. Das Urteil kippte das sog. „Privacy Shield“ auf dem die Datenübermittlung in die USA mit zertifizierten Unternehmen gestützt werden konnte. Die USA sind damit seitdem ein sog. „unsicheres Drittland“, da kein Angemessenheitsbeschluss nach Art. 45 DSGVO für die Übertragung von personenbezogenen Daten besteht.
Neben der Rechtsgrundlage für die grundsätzliche Verarbeitung der Daten müssen zusätzlich, für die Übermittlung in ein Drittland, die Anforderungen der Art. 45 ff. DSGVO erfüllt werden. In dem Urteil des EuGHs wurde insbesondere angeführt, dass eine Datenübermittlung auf sog. Garantien nach Art. 46 DSGVO, wie Standardvertragsklauseln, gestützt werden können. Es muss dann jedoch geprüft werden, ob ein gleichwertiges Datenschutzniveau besteht und ob ggf. noch weitere Maßnahmen zu treffen sind.
Der Europäische Datenschutzausschuss („EDSA“) hat hierzu ein Papier herausgegeben. Im Papier werden typische Szenarien („Use Cases“) und Hinweise gegeben, wie solche Maßnahmen aussehen können. Hier können Sie das Papier der EDSA aufrufen.
Entscheidung des VG Wiesbaden
Die Entscheidung hatte schon nach der Pressemitteilung große Wellen geschlagen. Diese wurden auch nicht durch die kurz danach veröffentlichten Entscheidungsgründe geglättet. Sollte die Entscheidung in der Praxis Fuß fassen, so hätte dies für viele Dienste (wie z.B. Fonts, Captchas, CDNs, Cookie-Bannern und vielen anderen) weitreichende Folgen. Doch was hat das VG Wiesbaden eigentlich entschieden?
Das Verwaltungsgericht urteilte, dass Cookiebot ungekürzte IP-Adressen und damit personenbezogene Daten verarbeitetet hat. Cybot nutzt das Content Delivery Network („CDN“, ist kurzgesagt ein Verbund von Servern, der es ermöglicht auf Daten schneller zuzugreifen und verhindert so eine Überlastung des eigentlichen Servers) von Akamai dessen Server in den USA liegt. Es kommt hierbei zu einer Drittlandübermittlung gemäß Art. 44 ff. DSGVO. Das Gericht hat sich in den Entscheidungsgründen selbst nicht mit Standardvertragsklauseln befasst, sondern stützt seine Entscheidung darauf, dass keine Rechtshilfeabkommen nach Art. 48 DSGVO vorliege, womit nur noch eine Einwilligung nach Art. 49 Abs. 1 S. 1 lit. a DSGVO in Frage käme. Eine Einwilligung läge hier nicht vor.
Hinsichtlich der Datenverarbeitung sei die Hochschule datenschutzrechtlich Verantwortliche gem. Art. 4 Nr.7 DSGVO, da sie sich dafür oder dagegen entscheiden kann, dass der Dienst auf ihrer Webseite eingesetzt wird und damit eine Datenverarbeitung möglicherweise auch zu den von Cybot bzw. Akamai festgelegten Zwecken stattfindet.
Einwilligungstools
Die Verwendung von Cookie-Bannern bzw. Einwilligungstools kann grds. als technisch erforderlich angesehen werden, da sie dafür sorgen, dass erforderliche Einwilligungen für Cookies und andere Tools, wie z.B. Tracking oder YouTube, eingeholt werden. Die Rechtsgrundlage für die Nutzung des Cookie-Banners ist damit Art. 6 Abs. 1 S. 1 lit. f DSGVO sowie § 25 Abs. 2 Nr. 2 TTDSG.
Eine Einwilligung nach Art. 49 Abs.1 S. 1 lit. a DSGVO für eine Drittlandübermittlung eines technisch erforderlichen Dienstes ist in den meisten Fällen nicht oder nur sehr umständlich umsetzbar. Hier wäre es im Falle eines Cookie-Banners erforderlich vor dem Zugriff eine Einwilligung einzuholen, da eine Einwilligung zum Zeitpunkt der Verarbeitung bereits vorliegen muss. Es wäre also ein Cookie-Banner für den Cookie-Banner nötig.
Dieser Fall kann sinnvoll nur mit Standardvertragsklauseln und einem TIA (Transfer-Impact-Assessment) abgedeckt werden. Eine Einwilligung als Rechtsgrundlage für eine Drittlandübermittlung ist schon technisch wenig sinnvoll. Weiter wird teilweise von Aufsichtsbehörden vertreten, dass sich Drittlandübermittlungen nur im Ausnahmefall auf Art. 49 DSGVO stützen lassen und eine regelmäßige Datenübertragung, wie bei einem Cookie-Banner, gerade nicht zulässig ist.
Cybot und die Auftragsverarbeitung
In der Vergangenheit stand Cybot schon öfter in der Diskussion mit ihrem „Kunstgriff“ kein Auftragsverarbeiter zu sein. Die vollständige IP-Adresse wird unfraglich durch Cybot zwangsläufig verarbeitet und bedarf damit, als personenbezogenes Datum, einer Rechtsgrundlage. Im Rahmen einer Auftragsverarbeitung ist dies der Auftragsverarbeitungsvertrag (AVV) für den Auftragsverarbeiter, nur der Verantwortliche (hier der Webseitenbetreiber) selbst braucht eine Rechtsgrundlage. Liegt kein AVV vor ist die Verarbeitung grds. rechtswidrig und das selbst, wenn man annimmt, dass Cybot die personenbezogenen Daten im Anschluss komplett anonymisiert werden.
Aussicht für die Zukunft
Es ist unwahrscheinlich, dass sich die Rechtsmeinung des VG Wiesbaden durchsetzen wird. Die Antragsgegnerin hat 2 Wochen nach der Veröffentlichung der Entscheidung Zeit, um Beschwerde beim Verwaltungsgerichtshof Kassel einzulegen. Die endgültige Entscheidung über den geltend gemachten Anspruch wird erst im Hauptsacheverfahren getroffen.
Die Meinung des Gerichts, Cookie-Banner nur auf eine ausdrückliche Einwilligung nach Art. 49 Abs. 1 S. 1 lit. a DSGVO zu stützen erscheint abwegig. Dies ist technisch nicht umsetzbar und rechtlich fraglich, wie oben dargestellt. Weitere Entscheidungen in dieser Richtung werden voraussichtlich folgen. Es ist insbesondere wahrscheinlich, dass zukünftig noch genauer geprüft wird welche zusätzlichen Maßnahmen getroffen wurden und ob diese für eine Drittlandübermittlung ausreichend sind.
Es bleibt abzuwarten, welche Entwicklung die neuen Standardvertragsklauseln in Verbindung mit einem TIA bringen und welche konkreten zusätzlichen Maßnahmen für eine Drittlandübermittlung als ausreichend angesehen werden.
Update 28.01: Der VGH Hessen hat das Urteil mittlerweile aufgehoben. Dabei hat man sich nicht so sehr zu den inhaltlichen Ausführungen des Verwaltungsgericht geäußert. Vielmehr ist man der Auffassung, dass das VG Wiesbaden darüber nicht im Eilverfahren hätte entscheiden dürfen, da hinter dem Sachverhalt eine komplexe datenschutzrechtliche Frage steht, über die im Hauptsacheverfahren entschieden werden muss.
Danke für den guten Beitrag. Mir fehlen aber zwei Aspekte:
1. Es wurde auch der Einsatz des Google Tag Managers abgemahnt, weil hier unstreitig vollständige IP-Adressen (=personenbezogene Daten) in die USA ohne Rechtsgrundlage übertragen werden. Die Verwendung des Google Tag Managers hat die Beklagte umgehend eingestellt und es kam im Verfügungsverfahren daher nicht zur Diskussion.
2. Kern der Argumentation des Gerichtes ist der CLOUD Act, bei dem US-Behörden auch auf Daten von US-Unternehmen zugreifen können, die *außerhalb* der USA gespeichert werden. Aus Sicht des Gerichtes entsteht so bereits ein Drittlands Bezug – und es fehlt durch Schrems II bekanntlich an einer Rechtsgrundlage für den Datenexport.
Der vermeintliche Rettungsanker, den einige US-Unternehmen durch Verlagerung der Datenspeicherung in die EU werfen, ist damit hinfällig. Das ist aus meiner Sicht der eigentliche Knackpunkt des Urteils, denn dies wird große Wellen in der Internetwirtschaft schlagen. US-Anbieter könnten dann gar nicht mehr im Online-Marketingumfeld eingesetzt werden, da eine Inhaltsverschlüsselung (als zusätzliche Garatie neben Standardvertragsklauseln) hier per se gar nicht möglich ist.
Persönlich finde ich das Urteil eine folgerichtige Entscheidung, denn ein angemessenes Schutzniveau ist durch den CLOUD Act für US-Unternehmen an keinem Speicherort der Erde erreichbar. Wenn die USA ihre MarTech-Anbieter für europäische Anwender noch retten wollen, kommen sie um eine Änderung ihrer Überwachungsgesetze (CLOUD & FISA) nicht herum. Das ist der große Hoffnungsschimmer für uns alle…
Vielen Dank für Ihre Feedback.
1. Die Beteiligten haben zwar zu diesem Punkt vorgetragen, aber das Gericht hat sich nicht damit auseinandergesetzt, da die Beteiligten diesbezüglich das Verfahren übereinstimmend für erledigt erklärt haben.
2. Die Parteien haben zwar zum Punkt der Standardvertragsklauseln vorgetragen, unter Punkt „I.“ (Tatbestand), aber die gerichtliche Entscheidung unter Punkt „II.“ enthält keine Wertungen zu den Standardvertragsklauseln. Dies ist jedoch ein entscheidender Punkt. Hier hätte zum einen geklärt werden müssen in welchem Verhältnis die SCC hätten abgeschlossen werden müssen und zum anderen welche zusätzlichen Maßnahmen ausreichend sind. Der Cloud Act ist dann insbesondere bei einem TIA (Transfer-Impact-Assessment) zu beachten und in die Bewertung, ob zusätzliche Maßnahmen ausreichend sind, mit einzubeziehen. Die Speicherung in der EU kann tatsächlich auch nur ein Argument unter mehreren sein, in Bezug auf zusätzliche Maßnahmen für die Absicherung einer Drittlandübermittlung.
Das Problem ist einfach, dass für Gesetzgebende und Richter:innen das Internet immer noch #Neuland ist und sie einfach nicht verstehen, was eine IP-Adresse ist. Natürlich erfährt der ausliefernde Server die IP-Adresse des anfragenden Endgeräts die IP-Adresse, sonst wüsste er nicht, wohin er ausliefern soll (bevor jetzt jemand mit Proxy und Co. kommt: da auch, nur ist eben noch ein anfragendes Gerät dazwischen).
Es ist absolut legitim zu sagen, dass für eine _weitere_ Verarbeitung (Speicherung, Auswertung, Vermarktung etc.) eine Rechtsgrundlage erforderlich ist. Aber, dass das bloße Gewahr werden durch die Anfrage schon rechtswidrig sein soll, macht einfach das Internet, zu dem eben auch die Unabhängigkeit von nationalstaatlichen Grenzen gehört, kaputt.
Wenn ein Auto durch die Gegend fährt, kann auch jeder das Kennzeichen sehen. Wenn ich an der Ampel stehe, gucke ich mir beim Warten durchaus mehr oder weniger bewusst die Kennzeichen an. Das wäre nach der IP-Adressen-Logik bereits rechtswidrig. Blödsinn? Genau.
Und noch ein Punkt zum viel zitierten Cloud Act: ja, dadurch kommen die US Behörden an die IP-Adresse, auch wenn der Server in der EU steht. Dann haben sie erstmal nur eine IP-Adresse. Diese ist aber eben nur mittelbar personenbezogenen. Weder Telekom, noch Vodafone, noch die übrigen Internetanbieter in Deutschland sind verpflichtet zu der IP-Adresse die Daten, der Person, der der Anschluss gehört, rauszugeben. Und wie man an dem Satz schon liest: selbst das wäre noch nicht zwangsläufig die nutzende Person.
Ich bin auch Datenschützer. Datenschutz ist wichtig und fragil. Wir müssen ihn stärken. Wir müssen ihn auch gegen die Übermacht der US-amerikanischen Konzerne und Behörden stärken. Aber es bringt niemanden, wirklichen niemandem was, wenn wir dadurch das Internet kaputt machen. Im Gegenteil, im Moment verspielen wir immer mehr guten Willen, bei den „normalen“ Nutzer:innen, weil die einfach keinen Bock mehr auf Cookie-Banner und Co. haben. Und an den geben sie dem Datenschutz die Schuld, nicht google, facebook und der CIA.