Mit Beschluss vom 01. Dezember 2021 erklärte das Verwaltungsgericht Wiesbaden (6 L 738/21.WI) die Einbindung des Einwilligungs-Managements Tools Cookiebot auf der Website einer Hochschule für unzulässig und begründete dies mit der unrechtmäßig stattfindenden Datenübermittlung in die USA.

Die weitreichenden Folgen dieser mit Blick auf das Schrems-II-Urteil durchaus nachvollziehbaren Entscheidung zeigen sich bei Durchsicht des Beschlusstextes:

Das Gericht bejahte das Vorliegen einer Datenübermittlung in die USA, da Daten der Websitebesucher auf Server übermittelt werden, die von einem Unternehmen des US-amerikanischen Akamai Technologies Inc.-Konzerns betriebenen werden. Dass die Server möglicherweise gar nicht in den USA sondern in der EU standen, war dabei nicht von Bedeutung: Allein der Umstand, dass Akamai Technologies Inc. als ein in den USA ansässiges Unternehmen dem CLOUD-Act unterliegt, reichte für die Bejahung eines Drittland-Datentransfers.

Hintergründe: Was ist Cookiebot?

Bei Cookiebot handelt es sich um ein Consent-Management Tool des dänischen Anbieters Cybot A/S. Das Tool wird dazu eingesetzt, die Zustimmung von Websitebesuchern zur Verwendung von Cookies einzuholen und zu verwalten. Der Dienst überwacht die eingesetzten Cookies und blockiert dem Willen des Websitenutzers entsprechend diejenigen Cookies, für die keine Zustimmung erteilt wurde.

Um diesen Dienst erbringen zu können, erfassen und speichern derartige Tools bestimmte (personenbezogene) Daten von Website-Besuchern. Im vorliegenden Fall erfasste Cookiebot die vollständige IP-Adresse der Endbenutzer, die URLs der besuchten Websites mit Zeitstempeln, den geografischen Standort basierend auf der IP-Adresse und weitere Telemetriedaten.

Wo liegt das Problem?

Die Einbindung eines Dienstes wie Cookiebot auf der unternehmenseigenen Website ist aus datenschutzrechtlicher Sicht nicht unbedingt problematisch, vielmehr können derartige Tools zur Umsetzung der Vorgaben der DSGVO beitragen. Im gegenständlichen Fall blieben die erfassten Besucher-Daten jedoch nicht beim dänischen Anbieter Cybot. Da Cybot fremde Serverkapazitäten verwendet, wurden die erfassten Daten der Website-Besucher an Server übermittelt, die von einem Unternehmen des US-amerikanischen Akamai Technologies Inc.-Konzerns betriebenen werden.

Diese Datenübermittlung wurde vom Verwaltungsgericht Wiesbaden bemängelt, da es sich bei den USA um ein sog. unsicheres Drittland handelt, dessen Datenschutzniveau nicht dem der EU/EWR entspricht. Dass die Server möglicherweise gar nicht in den USA, sondern innerhalb der EU standen und Vertragspartner von Cybot ggf. nicht der US-Konzern Akamai Technologie Inc. selbst, sondern die in Deutschland ansässige Akamai Technologies GmbH sein könnte, war aus Sicht des Gerichts nicht entscheidend. Eine Datenübermittlung in die USA sei schon deshalb anzunehmen, weil es sich beim Betreiber der Server einen US-Konzern handle, der in den Anwendungsberiecht des CLOUD-Acts falle.

Exkurs:

Der  Cloud-Act ermöglicht es den US-Regierungsbehörden, personenbezogene Daten bei US-Unternehmen einseitig, ohne Gerichtsbeschluss und ohne Rechtshilfeabkommen anzufordern. Ein solches Vorgehen widerspricht den Art. 7, 8, 11 und 52 Abs. 1 GrCh und der Auslegung dieser Normen durch den EuGH. Denn nach europarechtlichem Verständnis sind behördliche Zugriffe auf Verkehrsdaten nur bei einem Verdacht schwerer Kriminalität gestattet und unterliegen dem Vorbehalt des Richters oder einer unabhängigen Behörde. Die US-amerikanische Gesetzeslage lässt dagegen den Anfangsverdacht jeglicher Straftat genügen (vgl. AZ 6 L 738/21.WI, Rn. 7).

Wer Daten in die USA übermitteln möchte muss daher sicherstellen, dass ein angemessenes Datenschutzniveau gewährleistet wird und die Daten vor der potenziellen Zugriffsmöglichkeit der US-Behörden geschützt werden. Zu den klassischen Schutzmechanismen gehören neben dem Abschluss der (neuen) Standardvertragsklauseln auch das Treffen weiterer technischer und organisatorischer Zusatzmaßnahmen (z. B. durch Einsatz von Verschlüsselungstechnologien).

Gerade diesen Schutz könne Cybot nach Ansicht des Verwaltungsgericht Wiesbaden jedoch nicht garantieren. Im vorliegenden Fall hatte die Hochschule als Verantwortliche selbst keine Standardvertragsklauseln mit Cybot geschlossen. Auch die Überprüfung der zwischen dem Tool-Anbieter Cybot und Akamai Technologies Inc. geschlossenen Standardvertragsklauseln ergab, dass lediglich ein nicht ausgefüllter Blankovertrag der Standardvertragsklauseln (Auftragsverarbeiter) vorlag. Sonstige Rechtsfertigungstatbestände gem. Art. 49 DSGVO, bei deren Vorliegen die Zulässigkeit des Datentransfers in die USA ausnahmsweise doch angenommen hätte werden können, lagen nicht vor. So wurden die betroffenen Webseite-Benutzer an keiner Stelle über die Datenübermittlung in die USA und die damit verbundenen datenschutzrechtlichen Risiken informiert. Eine – ohnehin nicht eingeholte – Einwilligung der Endnutzer in den Datentransfer wäre damit in nicht informierten Weise erteilt worden und hätte keine Gültigkeit besessen.

Der Weitergang des Verfahrens

Die Hochschule konnte gegen den im Eilverfahren erlassenen Beschluss des VG Wiesbaden innerhalb von 2 Wochen Beschwerde einlegen, über die der Hessische Verwaltungsgerichtshof im Rahmen des Hauptverfahrens entscheiden wird. Da am 15.12.2021 das Consent-Tool nach wie vor auf der Homepage der Hochschule eingesetzt wurde, ist davon auszugehen, dass die Antragstellerin Beschwerde eingelegt hat.  

Konsequenzen für Unternehmen, die Cookie-Bot verwenden

Wer auf seiner Website das Consent-Management-Tool Cookiebot einsetzt, verarbeitet zumindest nach Ansicht des VG Wiesbaden unberechtigt Daten, da Cookiebot die vollständige IP-Adresse der Endbenutzer und weitere Daten speichert und auf Server des Akamai Technologies Inc.-Konzerns übermittelt, ohne dabei für ein angemessenes Datenschutzniveau zu sorgen. Um Haftungsrisiken zu vermeiden sollten Unternehmen auf den Einsatz von Cookiebot verzichten und auf alternative Consent-Management Tools zurückgreifen (z. B. Klaro!,  ein kostenloses Tool das vom Verantwortlichen selbst lokal eingebunden werden kann).

Da viele Software-Anbieter auf Serverkapazitäten von US-amerikanischen Unternehmen zurückgreifen, betrifft die dargestellte Problematik nicht ausschließlich Cybot oder Anbieter von Einwilligungs-Management Tools. Verantwortliche sollten daher überprüfen, an welchen Stellen es zu Datenübermittlungen in die USA kommt und dabei auch ein Auge auf von den Auftragsverarbeitern eingesetzte Subunternehmer haben. Soweit US-Bezug besteht muss überprüft werden, ob die Datenübermittlung rechtmäßig erfolgt (d. h. wurden Standardvertragsklauseln geschlossen? Ist die Umstellung auf die neuen Standardvertragsklauseln bereits erfolgt? Welche weiteren Zusatzmaßnahmen wurden getroffen? Liegt ein Fall von Art. 49 DSGVO vor?).  

Das Team der dacuro GmbH besteht aus unterschiedlich spezialisierten Mitarbeitern. Wir decken mithilfe unserer technisch und juristisch versierten Kollegen den gesamten Bereich des Datenschutzes ab. Hierdurch haben wir die Möglichkeit, Kunden ganzheitlich zu betreuen. Wir unterstützen unsere Kunden nicht nur im Rhein-Neckar-Kreis, sondern deutschlandweit von Hamburg bis Freiburg. Sollten Sie Fragen haben, oder wir Sie bei einem Thema unterstützen können, nehmen Sie gerne Kontakt zu uns auf.