Cookiebot: Unzulässig aufgrund Datenverarbeitung in den USA
Das Verwaltungsgericht (VG) Wiesbaden erklärt in seinem Urteil die Nutzung des Einwilligungstools Cookiebot für rechtswidrig und wirft in seiner Entscheidung interessante Rechtsfragen auf. Lesen Sie in diesem Beitrag mehr zum Eilverfahren. |
Was ist passiert?
Im Eilverfahren vor dem VG Wiesbaden (Beschl. v. 1.12.2021 – 6 L 738/21.WI) monierte der Antragsteller, ein regelmäßiger Nutzer des Onlinekatalogs der Hochschulbibliothek auf der Website der Antragsgegnerin, dass der Einwilligungsmanager Cookiebot des dänischen Anbieters Cybot, personenbezogene Daten wie seine IP-Adresse auf einen Server des in den USA ansässigen Cloud-Unternehmens Akamai Technologies Inc. („Akamai“) rechtswidrig übermittle. |
Die Hochschule hatte keinen Auftragsverarbeitungsvertrag mit Cybot geschlossen, da Cybot der Auffassung war, dass sie kein Auftragsverarbeiter sind, da eine Verarbeitung personenbezogener Daten nicht stattfinde. |
Datenübermittlung in ein sog. Drittland
Nach dem „Schrems-II-Urteil“ des Europäischen Gerichtshofs (EuGH) vom 16.07.2020 steht die Datenübermittlung in die USA auf wackligen Beinen. Das Urteil kippte das sog. „Privacy Shield“ auf dem die Datenübermittlung in die USA mit zertifizierten Unternehmen gestützt werden konnte. Die USA sind damit seitdem ein sog. „unsicheres Drittland“, da kein Angemessenheitsbeschluss nach Art. 45 DSGVO für die Übertragung von personenbezogenen Daten besteht. |
Neben der Rechtsgrundlage für die grundsätzliche Verarbeitung der Daten müssen zusätzlich, für die Übermittlung in ein Drittland, die Anforderungen der Art. 45 ff. DSGVO erfüllt werden. In dem Urteil des EuGHs wurde insbesondere angeführt, dass eine Datenübermittlung auf sog. Garantien nach Art. 46 DSGVO, wie Standardvertragsklauseln, gestützt werden können. Es muss dann jedoch geprüft werden, ob ein gleichwertiges Datenschutzniveau besteht und ob ggf. noch weitere Maßnahmen zu treffen sind. |
Der Europäische Datenschutzausschuss („EDSA“) hat hierzu ein Papier herausgegeben. Im Papier werden typische Szenarien („Use Cases“) und Hinweise gegeben, wie solche Maßnahmen aussehen können. Hier können Sie das Papier der EDSA aufrufen. |
Entscheidung des VG Wiesbaden
Die Entscheidung hatte schon nach der Pressemitteilung große Wellen geschlagen. Diese wurden auch nicht durch die kurz danach veröffentlichten Entscheidungsgründe geglättet. Sollte die Entscheidung in der Praxis Fuß fassen, so hätte dies für viele Dienste (wie z.B. Fonts, Captchas, CDNs, Cookie-Bannern und vielen anderen) weitreichende Folgen. Doch was hat das VG Wiesbaden eigentlich entschieden? |
Das Verwaltungsgericht urteilte, dass Cookiebot ungekürzte IP-Adressen und damit personenbezogene Daten verarbeitetet hat. Cybot nutzt das Content Delivery Network („CDN“, ist kurzgesagt ein Verbund von Servern, der es ermöglicht auf Daten schneller zuzugreifen und verhindert so eine Überlastung des eigentlichen Servers) von Akamai dessen Server in den USA liegt. Es kommt hierbei zu einer Drittlandübermittlung gemäß Art. 44 ff. DSGVO. Das Gericht hat sich in den Entscheidungsgründen selbst nicht mit Standardvertragsklauseln befasst, sondern stützt seine Entscheidung darauf, dass keine Rechtshilfeabkommen nach Art. 48 DSGVO vorliege, womit nur noch eine Einwilligung nach Art. 49 Abs. 1 S. 1 lit. a DSGVO in Frage käme. Eine Einwilligung läge hier nicht vor. |
Hinsichtlich der Datenverarbeitung sei die Hochschule datenschutzrechtlich Verantwortliche gem. Art. 4 Nr.7 DSGVO, da sie sich dafür oder dagegen entscheiden kann, dass der Dienst auf ihrer Webseite eingesetzt wird und damit eine Datenverarbeitung möglicherweise auch zu den von Cybot bzw. Akamai festgelegten Zwecken stattfindet. |
Einwilligungstools
Die Verwendung von Cookie-Bannern bzw. Einwilligungstools kann grds. als technisch erforderlich angesehen werden, da sie dafür sorgen, dass erforderliche Einwilligungen für Cookies und andere Tools, wie z.B. Tracking oder YouTube, eingeholt werden. Die Rechtsgrundlage für die Nutzung des Cookie-Banners ist damit Art. 6 Abs. 1 S. 1 lit. f DSGVO sowie § 25 Abs. 2 Nr. 2 TTDSG. |
Eine Einwilligung nach Art. 49 Abs.1 S. 1 lit. a DSGVO für eine Drittlandübermittlung eines technisch erforderlichen Dienstes ist in den meisten Fällen nicht oder nur sehr umständlich umsetzbar. Hier wäre es im Falle eines Cookie-Banners erforderlich vor dem Zugriff eine Einwilligung einzuholen, da eine Einwilligung zum Zeitpunkt der Verarbeitung bereits vorliegen muss. Es wäre also ein Cookie-Banner für den Cookie-Banner nötig. |
Dieser Fall kann sinnvoll nur mit Standardvertragsklauseln und einem TIA (Transfer-Impact-Assessment) abgedeckt werden. Eine Einwilligung als Rechtsgrundlage für eine Drittlandübermittlung ist schon technisch wenig sinnvoll. Weiter wird teilweise von Aufsichtsbehörden vertreten, dass sich Drittlandübermittlungen nur im Ausnahmefall auf Art. 49 DSGVO stützen lassen und eine regelmäßige Datenübertragung, wie bei einem Cookie-Banner, gerade nicht zulässig ist. |
Cybot und die Auftragsverarbeitung
In der Vergangenheit stand Cybot schon öfter in der Diskussion mit ihrem „Kunstgriff“ kein Auftragsverarbeiter zu sein. Die vollständige IP-Adresse wird unfraglich durch Cybot zwangsläufig verarbeitet und bedarf damit, als personenbezogenes Datum, einer Rechtsgrundlage. Im Rahmen einer Auftragsverarbeitung ist dies der Auftragsverarbeitungsvertrag (AVV) für den Auftragsverarbeiter, nur der Verantwortliche (hier der Webseitenbetreiber) selbst braucht eine Rechtsgrundlage. Liegt kein AVV vor ist die Verarbeitung grds. rechtswidrig und das selbst, wenn man annimmt, dass Cybot die personenbezogenen Daten im Anschluss komplett anonymisiert werden. |
Aussicht für die Zukunft
Es ist unwahrscheinlich, dass sich die Rechtsmeinung des VG Wiesbaden durchsetzen wird. Die Antragsgegnerin hat 2 Wochen nach der Veröffentlichung der Entscheidung Zeit, um Beschwerde beim Verwaltungsgerichtshof Kassel einzulegen. Die endgültige Entscheidung über den geltend gemachten Anspruch wird erst im Hauptsacheverfahren getroffen. |
Die Meinung des Gerichts, Cookie-Banner nur auf eine ausdrückliche Einwilligung nach Art. 49 Abs. 1 S. 1 lit. a DSGVO zu stützen erscheint abwegig. Dies ist technisch nicht umsetzbar und rechtlich fraglich, wie oben dargestellt. Weitere Entscheidungen in dieser Richtung werden voraussichtlich folgen. Es ist insbesondere wahrscheinlich, dass zukünftig noch genauer geprüft wird welche zusätzlichen Maßnahmen getroffen wurden und ob diese für eine Drittlandübermittlung ausreichend sind. Es bleibt abzuwarten, welche Entwicklung die neuen Standardvertragsklauseln in Verbindung mit einem TIA bringen und welche konkreten zusätzlichen Maßnahmen für eine Drittlandübermittlung als ausreichend angesehen werden. |