Datenschutz und Cybersecurity

VG Wiesbaden untersagt Nutzung von Cookie-Dienst („Cookiebot“)

Verfasst von

Dr. Jan-Peter Ohrtmann

Das Verwaltungsgericht Wiesbaden (VG Wiesbaden) hat per Beschluss vom 01.12.2021 (Az: 6 L 738/21.WI) im einstweiligen Rechtsschutz einer Hochschule untersagt, auf ihrer Webseite den Cookie-Dienst eines offenbar dänischen Anbieters zu nutzen. Der Cookie-Dienst ermöglicht es, – wie aus der Praxis bei Cookie-Bannern bekannt – die Einwilligung der Nutzer einer Webseite in die Verwendung von Cookies einzuholen.

Hintergrund der Entscheidung war, dass der Dienstleister mit seinem Cookie-Dienst zur Auslieferung der Inhalte wiederum als Subdienstleister das Content Delivery Network eines US-Cloud-Anbieters nutzte.

Das VG Wiesbaden entschied, dass die Hochschule mit den IP-Adressen rechtswidrig personenbezogene Daten entgegen der Anforderungen der Art 44 ff. DSGVO in ein Drittland übermittle. Bereits der Sitz der Unternehmenszentrale des Subdienstleisters in den USA bedeute eine Übermittlung in ein Drittland, weil durch ein etwaiges Herausgabeverlangen auf Grundlage des US Cloud Acts eine Übermittlung stattfinden könne. Das Gericht befasste sich dabei nicht mit den EU-Standardvertragsklauseln. Es stützte seine Entscheidung vielmehr darauf, dass kein Rechtshilfeabkommen nach Art. 48 DSGVO vorliege. Damit bedürfe es einer Einwilligung nach Art. 49 Abs. 1 S. 1 lit. a) DSGVO. Eine derartige Einwilligung läge im zu beurteilenden Fall nicht vor.

Einordnung der Entscheidung

Die Entscheidung betrifft die zweistufige Prüfung der Zulässigkeit von Drittlandtransfers.

Auf der ersten Stufe ist zu prüfen, ob die Verarbeitung an sich zulässig ist. Die Nutzung von Cookie-Bannern (oder Einwilligungstools) bedarf hier grundsätzlich keiner Einwilligung. Als Rechtsgrundlage können in der Regel Art. 6 Abs. 1 S. 1 lit. f) DSGVO bzw. § 25 Abs. 2 Nr. 2 TTDSG herangezogen werden, da diese Tools grundsätzlich als technisch erforderlich angesehen werden können, weil sie dafür sorgen, dass erforderliche Einwilligungen der Nutzer überhaupt eingeholt werden können. Diese erste Stufe hat das VG Wiesbaden nicht geprüft und offen gelassen, weil es die Verarbeitung auf der zweiten Stufe bereits für rechtswidrig befand.

Auf der zweiten Stufe ist zu prüfen, ob bei einer Übermittlung in die USA als Drittland ein angemessenes Datenschutzniveau vorliegt. Dies wird in der Regel durch die EU-Standardvertragsklauseln zuzüglich einer individuellen Risikofolgenabschätzung (neudeutsch „Transfer Impact Assessment“) nach Schrems II umgesetzt. Im vorliegenden Fall hatte die Hochschule aber offenbar keine solche EU-Standardvertragsklauseln abgeschlossen. Daher hat das VG Wiesbaden für die Übermittlung die Einwilligung nach Art. 49 Abs.1 S. 1 lit. a) DSGVO als notwendig erachtet. Eine Einwilligung wurde aber von der Hochschule nicht eingeholt und wäre zur Nutzung von Cookie-Bannern oder Einwilligungstools auch faktisch nur sehr schwer möglich, weil die Einwilligung zum Zeitpunkt der Verarbeitung bereits vorliegen muss, also vor der Anzeige des Cookie-Banners oder Nutzung des Einwilligungstools.

Ausblick

Die Entscheidung hat große Wellen geschlagen, weil sie für die Praxis des Online-Marketings erhebliche Stolpersteine aufweist. Denn eine Einwilligung zur Nutzung von Cookie-Bannern ist in der Praxis kaum umsetzbar. Die Antragsgegnerin hatte das Recht auf Beschwerde beim Verwaltungsgerichtshof Kassel. Sofern diese eingelegt wurde, bleibt abzuwarten, wie die Entscheidung im Hauptsacheverfahren ausfällt.

Insbesondere scheint u.a. die Frage nicht hinreichend diskutiert worden zu sein, ob die Hochschule beim Einsatz eines EU Dienstleisters überhaupt Adressat der Art. 44 ff. DSGVO ist. Davon losgelöst ist der konkrete Fall aber auch insofern besonders und nicht ohne Weiteres übertragbar, weil hier gerade nicht über die EU-Standardvertragsklauseln entschieden wurde, welche in vielen anderen Fällen zum Einsatz kommen. Insofern dürfte die Entscheidung des VG Wiesbaden nicht richtungsweisend, sondern nur Auftakt zu weiteren Entscheidungen in diesem Kontext sein.

Für die Praxis unterstreicht die Entscheidung in jedem Fall die Notwendigkeit, die technischen und vertraglichen Bedingungen von Cookie-Dienstleister genau zu prüfen.

Update:

Die einstweilige Anordnung des VG Wiesbaden wurde zwischenzeitlich aufgehoben. Zu den Details der Entscheidung des Hessischen Verwaltungsgerichtshof siehe Hessischer VGH, Beschluss vom 17. 1. 2022 – 10 B 2486/21.