Gegenstand des Eilverfahrens vor dem VG Wiesbaden ist das Begehren des Antragstellers, es der Hochschule RheinMain zu untersagen, auf ihrer Webseite www.hs-rm.de den Dienst „Cookiebot“ einzubinden.
Update vom 30.01.2022: Die Entscheidung wurde vom Hessischen Verwaltungsgerichtshof aufgehoben, jedoch wohlgemerkt nicht, weil das erstinstanzlich zuständige Verwaltungsgericht in der Sache falsch entschieden hätte, sondern allein, weil der Antragsteller aus Sicht des VGH die nötige Eilbedürftigkeit im Sinne von § 123 Abs. 3 VwGO i.V.m. § 920 Abs. 2 ZPO nicht ausreichend glaubhaft gemacht hatte. Es sei dem Antragsteller zuzumuten, Hauptsacheklage zu erheben (vgl. VGH Kassel, Beschluss vom 17.01.2022, Az. 10 B 2486/21).
„Cookiebot“ ermöglicht es, die Einwilligung der Nutzer einer Webseite in die Cookie-Verwendung einzuholen. Der Dienst überwacht die eingesetzten Cookies und blockiert solche Cookies, für die eine Zustimmung nicht erteilt wurde.
Die 6. Kammer des VG Wiesbaden hat mit Beschluss vom 01.12.2021 dem Antrag stattgegeben und der Hochschule RheinMain im Wege der einstweiligen Anordnung untersagt, den Dienst „Cookiebot“ auf ihrer Website zum Zweck des Einholens von Einwilligungen in der Weise einzubinden, dass personenbezogene oder -beziehbare Daten des Antragstellers (einschließlich dessen IP-Adresse) an Server übermittelt werden, die von einem externen Unternehmen betrieben werden.
Die Hochschule sei verpflichtet, die Einbindung des Dienstes „Cookiebot“ auf ihrer Webseite zu beenden, da diese mit der rechtswidrigen Übermittlung personenbezogener Daten der Webseitennutzer und damit insbesondere des Antragstellers einhergehe.
Es lägen personenbezogene Daten vor. Aus einer Kombination eines den Webseiten-Besucher identifizierenden Keys, der im Browser des Nutzers gespeichert werde, und der übermittelten vollständigen IP-Adresse sei der Endnutzer eindeutig identifizierbar.
„Cookiebot“ verarbeite die vollständige IP-Adresse der Endnutzer auf Servern eines Unternehmens, dessen Unternehmenszentrale sich in den USA befinde. Hierdurch entstehe ein Drittland-Bezug, nämlich zu den USA, welcher im Hinblick auf die sog. Schrems II-Entscheidung des Europäischen Gerichtshofs so unzulässig sei. Die Nutzer der Webseite der Hochschule würden nicht um ihre Einwilligung für eine Datenübermittlung in die USA gebeten werden. Es fände auch keine Unterrichtung über die mit der Übermittlung verbundenen möglichen Risiken durch den sog. Cloud-Act statt. Eine solche Datenübermittlung sei auch nicht für das Betreiben der Webseite der Hochschule erforderlich.
Zwar übermittle nicht die Hochschule selbst die Daten in die USA. Sie sei aber dennoch die für die Datenübermittlung verantwortliche Stelle. Sie entscheide durch das Einbinden auf ihrer Webseite darüber, dass die Erhebung und Übermittlung durch den Dienst „Cookiebot“ erfolge. Sie entscheide auch mittelbar über den Zweck der Verarbeitung, da sie in Kenntnis der Zwecke, die der eingebundene Dienst angebe, sich für oder gegen die Verwendung entscheiden könne. Hiergegen spreche auch nicht, dass sie für nachfolgende Vorgänge, wie der Verwendung der Daten durch den Dienst, nicht mehr verantwortlich sei.
Gegen den Beschluss (Az.: 6 L 738/21.WI) kann die Antragsgegnerin binnen zwei Wochen Beschwerde erheben, über die der Hessische Verwaltungsgerichtshof in Kassel zu entscheiden hätte.
Anhang:
Artikel 44 DSGVO (Verordnung (EU) 2016/679 des Europäische Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG – Datenschutz-Grundverordnung)
Allgemeine Grundsätze der Datenübermittlung
Jedwede Übermittlung personenbezogener Daten, die bereits verarbeitet werden oder nach ihrer Übermittlung an ein Drittland oder eine internationale Organisation verarbeitet werden sollen, ist nur zulässig, wenn der Verantwortliche und der Auftragsverarbeiter die in diesem Kapitel niedergelegten Bedingungen einhalten und auch die sonstigen Bestimmungen dieser Verordnung eingehalten werden; […]
Art. 48 DSGVO – Nach dem Unionsrecht nicht zulässige Übermittlung oder Offenlegung
Jegliches Urteil eines Gerichts eines Drittlands und jegliche Entscheidung einer Verwaltungsbehörde eines Drittlands, mit denen von einem Verantwortlichen oder einem Auftragsverarbeiter die Übermittlung oder Offenlegung personenbezogener Daten verlangt wird, dürfen unbeschadet anderer Gründe für die Übermittlung gemäß diesem Kapitel jedenfalls nur dann anerkannt oder vollstreckbar werden, wenn sie auf eine in Kraft befindliche internationale Übereinkunft wie etwa ein Rechtshilfeabkommen zwischen dem ersuchenden Drittland und der Union oder einem Mitgliedstaat gestützt sind.
Art 49 DSGVO – Ausnahmen für bestimmte Fälle
[1] Falls weder ein Angemessenheitsbeschluss nach Artikel 45 Absatz 3 vorliegt noch geeignete Garantien nach Artikel 46, einschließlich verbindlicher interner Datenschutzvorschriften, bestehen, ist eine Übermittlung oder eine Reihe von Übermittlungen personenbezogener Daten an ein Drittland oder an eine internationale Organisation nur unter einer der folgenden Bedingungen zulässig:
a) die betroffene Person hat in die vorgeschlagene Datenübermittlung ausdrücklich eingewilligt, nachdem sie über die für sie bestehenden möglichen Risiken derartiger Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien unterrichtet wurde, […]
Pressemitteilung des VG Wiesbaden vom 06.12.2021
Folgt man dem Urteil, dann sind ebenfalls die meisten anderen Cookie-Banner Anbieter illegal: SourcePoint, OneTrust, Evidon, TrustArc (jeweils US Unternehmen) aber auch UserCentrics, Didomi, CookieYes, CookieHub, Iubenda, CookieFirst, … (jeweils Verwendung von Servern bei US Unternehmen). Insofern empfehlen sich rein Europäische Alternativen mit rein Europäischen Servern ohne Verbindung zu den USA!
> Insofern empfehlen sich rein Europäische Alternativen mit rein
> Europäischen Servern ohne Verbindung zu den USA!
Das war der Grund ein europäisches Unternehmen zu nehmen. Aber letztlich gibt es wahrscheinlich keinen Dienst, der das erfüllt und keine AWS nutzt. Bin mal gespannt, was deren Statement dazu ist – habe direkt mal den Support angeschrieben. Die werden wohl kaum auf den DE Markt verzichten wollen.
Klar gibt es Anbieter, die keine Verbindungen zu einem US-Anbieter haben (z.B. http://www.consentmanager.de).
Transparenzhinweis: Jan ist Geschäftsführer von consentmanager.de.
Und es gibt natürlich auch noch CCM19 – komplett in Deutschland – auch hier der Transparenzhinweis: Carsten ist GF von CCM19. Aber ja – kein AWS, keine Google Cloud, kein US Anbieter. https://www.ccm19.de
Wie kann man das in Bezug auf GTM einschätzen? Der GTM selbst verarbeitet keine Daten/erstellt keine Nutzerprofile. Die dort erfassten Daten werden nicht von Google ausgewertet, die IP Übertragung findet nur aus technischen Gründen statt, die, wenn ich das richtig im Urteil verstanden habe, kein Problem darstellt. Nur die Speicherung und Weiterverarbeitung wäre ein Problem, findet aber nicht statt.
Dann gäbe es noch Google Analytics: hier kann ein ADV mit Google geschlossen werden, die IP wird anonymisiert gespeichert. Das ist doch auch nach dem Urteil noch möglich, oder befinden wir uns schon im Grau-Bereich?
Auch GTM und GA würden unter die Entscheidung fallen, also nicht rechtssicher einsetzbar sein.
Ob der GTM keinerlei personenbezogene Daten verarbeitet, kann man meiner Kenntnis nach von außen nicht verlässlich beurteilen. Details kennt nur Google (Stichwort: Verarbeitung von IP-Adressen der Websitebesucher – auch in pseudonymisierter Form, also ohne letztes Oktett – wäre ausreichend für eine Klassifizierung als personenbezogene Daten im Sinne der DSGVO). Die Möglichkeit zum Abschluss eines AVV bei Google ist zwar in der Tat gegeben, jedenfalls für GA. Das ändert jedoch nichts daran, dass eine Rechtsgrundlage fehlt, um personenbezogene Daten in die USA zu übermitteln. Das Privacy Shield ist nichtig. Ein Nachfolgeabkommen fehlt bisher und wird auch verdammt schwierig zu entwickeln sein, weil zwei völlig unterschiedliche Rechtsverständnisse aufeinander prallen – leicht zu erkennen daran, dass auch das Safe Harbor Abkommen als Vorgänger des Privacy Shields vom EuGH gekippt worden war. Um ein neues Abkommen zu schmieden, müssten EU oder USA ihre Position in wesentlichen Grundzügen aufgeben (Stichwort Rechtsschutz). Das macht bislang keiner von beiden, daher hängen wir in der Luft.
Denkt man die Grundsätze der Privacy Shield Entscheidung des EuGH zu Ende, helfen übrigens auch keine EU-Standardvertragsklauseln weiter (damit setzt sich das VG Wiesbaden leider nicht auseinander). Denn die maßgeblichen Gründe für das Scheitern des Privacy Shields (= Zugriffsmöglichkeiten der US-Behörden auf Server von US-Unternehmen mit pbD von EU-Bürgern ohne Rechtsschutzmöglichkeit) greifen auch bei den EU-Standardvertragsklauseln. Solange wir keinen Nachfolger für das Privacy Shield haben, müsste man also rechtlich gesehen das EU-Internet abriegeln, so dass keine Datenübermittelung zwischen EU und USA erfolgt. Das macht freilich keiner und erstaunlich lange ging das auch gut. Dem VG Wiesbaden wurde jetzt halt vom Antragsteller die Pistole auf die Brust gesetzt, woraufhin das Gericht durch entschieden hat. Natürlich könnte man irgendeinen Kniff erfinden, um zu einem angenehmeren Ergebnis zu gelangen oder den US-Bezug laxer sehen. Darauf hatte das VG aber offenbar keinen Bock…
Sehe ich auch so. Ob GTM Daten verarbeitet oder nicht ist unwichtig, nach dem Urteil zu folgen ist das Problem bereireits mit dem Einbinden in die Webseite entstanden: Der Nutzer kann sich nicht dagegen wehren, dass seine Daten in die USA gesendet werden oder die USA Zugriff darauf ausüben könnten.
In der Klage wird übrigens davon gesprochen, dass nur gekürzte IP-Adressen an Akamai gehen – das ist Unsinn. Sobald der Browser die Daten bei Akamai anfragt, hat Akamai meine vollständige IP. Es ist für Cookiebot, den Seitenbetreiber oder jemanden anderen nicht möglich das zu Unterbinden (außer eben Akamai nicht als erste Instanz einzusetzen).
Ein:e Anwender:in kann sich davor schützen: Browser-Erweiterung installieren und die Verbindung blockieren, oder einen VPN Dienst nutzen, um die IP-Adresse nicht mehr auf den Anschluss rückverfolgbar zu machen. Beides sieht der Gesetzgeber leider nicht als Option, obwohl es die technisch leichtere und bessere Lösung wäre, als es auf den Websitebetreiber:in abzuwälzen.
Warum ist es einfacher wenn alle User eine Browser-Erweiterung installieren als wenn der Webseitenbetreiber seine Anbieterauswahl sorgfältiger trifft? Nehmen wir mal große Seiten wie spiegel.de oder t-online.de – da sind jeden Tag millionen an Usern drauf. Es wäre ja nicht Verhältnismäßig wenn man denen allen sagt “schaff dir mal eine Browsererweiterung and wenn du sicher sein willst” ;-)
Weil sich so die User schützen können, die es möchten und weil du im Browser technisch einfacher und zuverlässiger Blockierungen vornehmen kannst, als umgekehrt. Und: Die Schutzvorrichtung beim User universell und der User, dem der Schutz wichtig ist, ist geschützt unabhängig der Website.
@Carsten Weil ich dich hier gerade „sehe“:
Aus aktuellem Anlass habe ich mich heute ausführlich mit ccm19 beschäftigt. Das macht wirklich einen sehr guten Eindruck und ihr habt einen sehr guten und schnellen Support. Das hat mir heute wirklich geholfen. Vielen Dank dafür!
@Benjamin: Ja, aber es sollte nicht Aufgabe des Nutzers sein sich schützen zu müssen, vielmehr sollte die Webseite als Default den Schutz voraussetzen …
Habe heute einen Anruf aus Schweden bekommen, die sind dran, gehören ja auch einer deutschen Firma, wollte sich nicht ganz aus dem Fenster lehnen, aber bis Weihnachten sollte das Problem glöst sein. DE ist der wichtigste Markt für die, war doch klar, dass das schnell gelöst wird. Also keine Panik …