Deutsche Webseiten-Betreiber dürfen ohne gesonderte Einwilligung der Nutzer keine Cookie-Dienste verwenden, deren Datenverarbeitung in den USA stattfindet. So entschied das VG Wiesbaden in einem Eilverfahren und untersagte der Hochschule RheinMain damit die Nutzung des Dienstes „Cookiebot“. Dieser Dienst verarbeitet Daten von Nutzern auf Servern, die in den USA liegen. Nach Ansicht des Gerichts verstößt die Hochschule damit gegen Datenschutzrecht.

Dieses Bild hat ein leeres Alt-Attribut. Der Dateiname ist cookies-4803408_1920-646x400.jpg

In dem Eilverfahren ging es um die Webseite der Hochschule RheinMain, die unter dem Link www.hs-rm.de abrufbar ist und darauf den Cookie-Dienst Cookiebot verwendet. Cookiebot bittet Besucher der Webseite um ihre Einwilligung in die Speicherung von Cookies auf ihrem Endgerät.

Ein Besucher der RheinMain-Webseite, der regelmäßig den Fach-Katalog der Online-Bibliothek der Hochschule nutzt, wurde auf den Cookie-Dienst aufmerksam und stellte einen Unterlassungsantrag vor dem Verwaltungsgericht (VG) Wiesbaden. Als Begründung führte er an, dass der Cookie-Dienst die Daten der Webseitenbesucher, wie ihre IP-Adressen, an einen Server in den USA übermittle. Somit erlange ein US-Konzern Zugriff auf personenbezogene Daten von Endnutzern. Ein solcher Drittlands-Bezug sei aus Sicht des Antragstellers seit der sogenannten Schrems II-Entscheidung des Europäischen Gerichtshofs (EuGH) nicht zulässig und daher zu unterbinden. Der Antrag richtete sich daher darauf, der Hochschule die Nutzung dieses Cookie-Dienstes zu verbieten.

Das VG Wiesbaden, welches in dieser Sache zu entscheiden hatte, stimmte dem Antragsteller zu (Beschl. v. 01.12.2021, Az. 6 L 738/21).

Schrems II-Entscheidung verbietet Drittlandsbezug

Genauso wie der Antragsteller befand das Gericht, dass der Cookie-Dienst nicht mit den Grundsätzen des EuGH aus der Schrems II-Entscheidung zu vereinbaren sei. Darin urteilte der EuGH nämlich, dass die Verarbeitung von Daten in sogenannten Drittstaaten – also nicht EU-Ländern – in vielen Fällen unzulässig ist. Immer dann, wenn das Datenschutzrecht des Drittstaates hinter dem Standard des europäischen Datenschutzrechts zurückbleibt, verletzt die Datenübermittlung europäisches Datenschutzrecht. Sobald Daten also an den Server weitergegeben werden, der in dem Drittstaat mit dem geringeren Datenschutzniveau liegt, ist von einer unzulässigen Datenverarbeitung ausgehen. Auch die USA weisen ein solches geringeres Datenschutzniveau auf.

Da der Cookie-Dienst Cookiebot die Daten der Webseitenbesucher an seine Unternehmenszentrale in den USA sendet, liegt nach Ansicht des VG Wiesbaden eine unzulässige Datenverarbeitung vor.

Soforthilfe vom Anwalt

Sie brauchen rechtliche Beratung? Rufen Sie uns an für eine kostenlose Ersteinschätzung oder nutzen Sie unser Kontaktformular.

Wir sind bekannt aus

Keine zulässigen Standardvertragsklauseln genutzt

Datenverarbeitungen in Drittstaaten sind allerdings nicht per se unzulässig. Nämlich dann nicht, wenn sie auf Grundlage sogenannter Standardvertragsklauseln geschehen. Solche sind von der Europäischen Kommission festgelegte Vertragsmuster, die zwischen den Datenexporteuren aus Europa und den Datenimporteuren aus Drittstaaten vereinbart werden können. Mit ihnen werden die europäischen Datenschutzstandards vertraglich fixiert, sodass die Datensicherheit, die in der EU besteht, auch in dem Drittstaat gewährleistet ist.

Im Falle der Hochschule RheinMain wäre die Nutzung des Cookiebots damit zulässig gewesen, wenn die Hochschule entsprechende Standartvertragsklauseln vereinbart hätte. In dem Eilverfahren trug sie allerdings nichts in dieser Hinsicht vor. Auch das Gericht ging in seiner Begründung an keiner Stelle auf Standardvertragsklauseln ein. Es ist daher davon auszugehen, dass die Hochschule solche nicht abgeschlossen hatte.

Keine gesonderte Einwilligung eingeholt

Zwar führte das Gericht nichts hinsichtlich fehlender Standartvertragsklauseln aus, bemängelte aber, dass die Hochschule die Datenübertragung auf kein Rechtshilfeabkommen gemäß Art. 48 DSGVO stützen könne. Da ein solches mit den USA nämlich nicht existiere, sei die Datenverarbeitung nur mit einer Einwilligung der Nutzer gemäß Art. 49 DSGVO zulässig. Mit dieser Einwilligung werden Nutzer über Risiken der Datenübermittlung aufgeklärt und müssen dieser aktiv zustimmen.

Insofern sei problematisch, dass die Nutzer der Webseite der Hochschule nicht um ihre Einwilligung für eine Übermittlung ihrer Daten in die USA gebeten wurden. Auch eine Unterrichtung über die Risiken einer solchen Übermittlung habe nicht stattgefunden. Die Webseite der Hochschule sei daher nicht mit den Grundsätzen des europäischen Datenschutzrechts zu vereinbaren.

Denkt man den Gedanken des Gerichts konsequent weiter, wäre indes ein Cookie-Banner für den Cookie-Banner erforderlich. Die Nutzer müssen zunächst einwilligen, dass das folgende Cookie-Banner Daten in den USA verarbeitet, um mit diesem dann in die reguläre Datenverarbeitung einzuwilligen. Dies würde für Internetanbieter einen höheren und umständlicheren Aufwand bedeuten. Ob das Gericht diese umständliche Lösung tatsächlich für erforderlich hält oder aber auf die Nutzung von Standartvertragsklauseln verweisen würde, geht aus der Entscheidung des VG Wiesbaden nicht hervor. Würde das Gericht allerdings die Ansicht vertreten, dass Standartvertragsklauseln nicht ausreichen, um europäisches Datenschutzrecht einzuhalten, würde dies viele weitere Grundsatzfragen hervorrufen.

Hochschule ist verantwortliche Stelle

Auch wenn nicht die Hochschule selbst, sondern der Cookie-Dienst die Daten der Webseitenbesucher in die USA übermittelt, ist nach Ansicht des Gerichts dennoch die Hochschule für den Umgang mit den Daten verantwortlich. Schließlich entscheide sie über die Art und Weise der Datenverarbeitung, indem sie den Cookie-Dienst nutze und auf ihrer Webseite einbinde. Das Gericht vertritt insofern die Auffassung, dass die Hochschule mittelbar über den Zweck der Verarbeitung entscheide, da sie bewusst den Cookie-Dienst nutze. Insofern stehe ihr auch nicht die Exkulpationsmöglichkeit zu, sie sei für die nachfolgenden Vorgänge der Datenverarbeitung nicht mehr verantwortlich.

Soforthilfe vom Anwalt

Sie brauchen rechtliche Beratung? Rufen Sie uns an für eine kostenlose Ersteinschätzung oder nutzen Sie unser Kontaktformular.

Personenbezogene Daten sind betroffen

Das VG Wiesbaden führte außerdem aus, dass es sich bei den von dem Cookie-Dienst übermittelten Daten durchaus um personenbezogene und damit schützenswerte Daten handele. Die Kombination aus den Keys, welche die Webseitenbesucher verwenden, um sich anzumelden mit der vollständig übermittelten IP-Adressen führe dazu, dass die Nutzer eindeutig zu identifizieren seien. Insofern handele es sich um personenbezogene Daten, die dem Datenschutzrecht unterliegen.

Diese Entscheidung weitet den Schutz von personenbezogenen Daten auf Webseiten-Plugins aus, wodurch der Datenschutz im Hinblick auf die Verarbeitung in Drittstatten einmal mehr verschärft wird. Die Entscheidung dürfte daher insbesondere für die großen Webseitenbetreiber, die ihren Sitz oftmals in Drittstaaten haben, relevant werden.

Entscheidung noch nicht endgültig

Da die Sache im Rahmen eines Eilverfahrens entschieden wurde, besteht durchaus die Möglichkeit, dass das Gericht sich im Hauptsacheverfahren anders entscheidet. Insbesondere im Hinblick auf die Nutzung von Standartvertragsklauseln dürfte dies interessant werden. Sollte das Gericht nämlich den Standpunkt vertreten, dass die Nutzung des Cookiebots auch dann unzulässig sei, wenn entsprechende Standartvertragsklauseln abgeschlossen wurden, würde dies einen gravierenden Einschnitt für viele große Internetplattformen bedeuten. Allerdings ist zweifelhaft, ob sich diese Rechtsansicht durchsetzen könnte.

Die Antragsgegnerin hat die Möglichkeit, Beschwerde gegen den Beschluss einzulegen. Das letzte Wort ist in dieser Sache somit bestimmt noch nicht gesprochen.

Webseitenbetreibern ist dennoch zu raten, sich abzusichern. Im besten Fall, indem Cookie-Dienste aus der Europäischen Union verwendet werden. Wer mit Datenverarbeitungen in Drittstaaten nichts zu tun hat, hat nichts zu befürchten. Ansonsten sollte immerhin sichergestellt sein, dass zulässige und gültige Standartvertragsklauseln vereinbart wurden, die das Niveau des europäischen Datenschutzrechts sichern.

lpo