Cookiebot verstößt gegen Datenschutzrecht
Das Verwaltungsgericht Wiesbaden entschied am 01.12.2021, dass der Einsatz des Cookie-Consent-Tools Cookiebot gegen die DSGVO verstoße. Denn damit erfolge eine rechtswidrige Übermittlung personenbezogener Daten in die USA.
Darf der Dienst Cookiebot verwendet werden?
Antragsteller war ein Webseitennutzer; Antragsgegnerin eine Hochschule. Die Antragsgegnerin verwendete auf ihrer Webseite u.a. den Dienst Cookiebot. Der Dienst ermöglichte es, eine Einwilligung der Nutzer in die Cookie-Verwendung einzuholen. Der Dienst überwachte die eingesetzten Cookies und blockierte solche, für die eine Zustimmung nicht erteilt wurde. Zwar bot den Dienst ein in Dänemark ansässiges Unternehmen an. Die Zieldomain consent.a.com verwies jedoch auf die IP-Adresse eines in den USA ansässigen Unternehmens. Der Antragsteller mahnte daher die Antragsgegnerin wegen der Verwendung ab und forderte sie zur Abgabe einer strafbewehrten Unterlassungserklärung auf. Dies lehnte die Abgabe jedoch ab. Daher suchte der Antragsteller um einstweiligen Rechtsschutz nach.
Kein Ausschluss von gerichtlichen Verfahren
Das Verwaltungsgericht Wiesbaden befand den Antrag des Antragstellers als zulässig und begründet. Ihm stehe ein öffentlich-rechtlicher Unterlassungsanspruch gemäß § 1004 BGB analog i. V. m. Art. 79 Abs. 1 und Art. 5 Abs. 1 lit. a) DSGVO zu. Art. 79 DSGVO entfaltet – entgegen der Ansicht der Antragsgegnerin – keine Sperrwirkung für weitere gerichtliche Rechtsbehelfe. Denn es handele sich bei der Aufzählung des „verwaltungsrechtlichen oder außergerichtlichen Rechtsbehelfs“ nicht um eine abschließende Aufzählung. Dies ergebe sich auch nicht aus den Erwägungsgründen der DSGVO, in denen von einem „einheitlichen Schutzniveau“ die Rede sei. Denn daraus ergebe sich nicht, dass strengere Regelungen im nationalen Recht keine Gültigkeit haben. Es würde auch dem Effektivitätsgrundsatz des Europarechts sowie dem Recht auf einen „wirksamen“ gerichtlichen Rechtsbehelf nach Art. 79 DSGVO widersprechen, dem Antragsteller den Rechtsschutz im gerichtlichen Verfahren zu verweigern und ihn stattdessen auf eine Beschwerde bei der Aufsichtsbehörde nach Art.77 DSGVO zu verweisen.
Vollständige IP-Adresse
Das VG befand die Voraussetzungen des öffentlich-rechtlichen Unterlassungsanspruch als erfüllt. Die Antragsgegnerin verarbeite auf ihrer Webseite u.a. die ungekürzte IP-Adresse des Antragstellers. Dies erfolge, indem sie den Dienst Cookiebot einbindet. Dieser wiederum speichere die vollständige IP-Adresse des Webseiten-Nutzers und verarbeite diese. Die ungekürzte IP-Adresse stelle auch ein personenbezogenes Datum dar. Denn sie ermögliche die genaue Identifizierung der Nutzer.
Datenübermittlung in die USA
Indem die verarbeiteten Daten auf Servern eines US-Unternehmens verarbeitet werden, finde auch eine Datenübermittlung in die USA statt, so das Gericht. Das Unternehmen unterliege als Cloud-Hosting-Anbieter dem US-amerikanischen Cloud-Act, einem US-amerikanischen Bundesgesetz. Eine Übermittlung von personenbezogenen Daten auf der Grundlage eines ausländischen Gerichts oder einer ausländischen Verwaltungsbehörde dürfe aber nur erfolgen, wenn sie auf eine internationale Übereinkunft gestützt werden könne. Eine solche internationale Übereinkunft zwischen der EU und den USA, die als Rechtsgrundlage für eine Datenübermittlung dienen könnte, existiere aber nicht. Somit liege keine zulässige Übermittlung nach Art. 48 DSGVO vor.
Keine Ausnahmeregelung gem. § 49 DSGVO
Aufgrund dessen prüfte das VG Wiesbaden, ob eine Ausnahmeregelung gem. Art. 49 DSGVO eingreife. Danach sei eine Datenübermittlung an ein Drittland ausnahmsweise unter den dort genannten Bedingungen zulässig. Allerdings sei vorliegend keine dieser Bedingungen erfüllt. Weder werde ein Webseitennutzer um Einwilligung zur Übermittlung in die USA gebeten, noch werde über die damit verbundenen möglichen Risiken unterrichtet. Auch sei die Datenübermittlung in die USA nicht aus wichtigen Gründen des öffentlichen Interesses notwendig. Auch die übrigen der möglichen Bedingungen seien offenkundig nicht einschlägig.
Unmittelbar verantwortlich
Das Gericht erachtete die Antragsgegnerin für diese Datenverarbeitung auch als unmittelbar verantwortlich. Indem sie sich dafür entscheide, den Dienst auf ihrer Webseite einzusetzen, entscheide sie über die Mittel der Datenverarbeitung. Denn allein durch die Einbindung auf ihre Webseite bestimme sie unmittelbar darüber, dass der Cookie-Dienst Daten erheben und übermitteln dürfe.
Mittelbar verantwortlich
Auch mittelbar entscheide die Antragsgegnerin über die Verarbeitungszwecke, so das VG. Denn in Kenntnis der Angaben vom Cookiebot-Anbieter und dem Cloud-Hosting-Unternehmen, die sie im Laufe des vorliegenden Verfahrens erlangt hat, könne sie sich gegen den Einsatz des Cookiebots entscheiden. Zwar sei sie für nachfolgende Vorgänge wie die Speicherung und Verwendung durch das US-Unternehme nicht mehr mitverantwortlich. Denn dabei handele es sich um eine andere Phase der Datenverarbeitung. Für die Datenerhebung und -übermittlung an das US-Unternehmen aber, welche unmittelbar durch die Einbindung auf ihrer Webseite ausgelöst werde, sei sie verantwortlich. Für die Verantwortlichkeit im Rahmen gemeinsamer Verantwortlichkeit komme es auch nicht darauf an, dass jeder Verantwortliche Zugang zu den betreffenden personenbezogenen Daten habe.
Cookie-Key als personenbezogenes Datum
Darüber hinaus finde eine Datenverarbeitung auch durch das Setzen eines sog. Cookie-Keys in Zusammenhang mit den übrigen übermittelten Daten statt, so das VG. Dies ergebe sich aus der Erklärung des Vertreters des Hessischen Datenschutzbeauftragten. Zwar ließe der Cookie-Key für sich genommen noch keine Identifizierung einer bestimmten natürlichen Person zu. Allerdings sei eine solche im Zusammenspiel mit der ebenfalls übermittelten IP-Adresse möglich. Der Cookiebot speichere auch im Browser des Endnutzers einen anonymen, zufälligen und verschlüsselten Key. Dadurch könne die Zustimmung des Endbenutzers bei allen nachfolgenden Seitenanfragen und zukünftigen Sitzungen für bis zu 12 Monate automatisch gelesen und befolgt werden. Der Key könne demnach eindeutig dem Webseiten-Nutzer und dessen Cookie-Präferenzen zugeordnet werden. Gemeinsam mit der ebenfalls übermittelten (siehe oben) ungekürzten IP-Adresse des Webseiten-Nutzers sei dieser durch den Cookiebot damit eindeutig identifizierbar. Der Key mag insofern anonym sein, als er nicht mit dem Namen des Endnutzers in Verbindung gebracht werden könne. Dies schließe aber eine Individualisierung mithilfe der übrigen vorhandenen Daten über den Endnutzer nicht aus. Denn der Nutzer könne aufgrund der Speicherung des Keys identifiziert werden, auch wenn sein Name nicht bekannt sei. Somit handele es sich beim Cookie-Key auch um ein personenbezogenes Datum.
Verwaltungsgericht Wiesbaden, Beschluss vom 01.12.2021, Az. 6 L 738/21.WI