Coo­kie­bot: Unzu­läs­sig auf­grund Daten­ver­ar­bei­tung in den USA

Das Ver­wal­tungs­ge­richt (VG) Wies­ba­den erklärt in sei­nem Urteil die Nut­zung des Ein­wil­li­gungs­tools Coo­kie­bot für rechts­wid­rig und wirft in sei­ner Ent­schei­dung inter­es­san­te Rechts­fra­gen auf. Lesen Sie in die­sem Bei­trag mehr zum Eilverfahren.

Was ist passiert?

Im Eil­ver­fah­ren vor dem VG Wies­ba­den (Beschl. v. 1.12.2021 – 6 L 738/21.WI) monier­te der Antrag­stel­ler, ein regel­mä­ßi­ger Nut­zer des Online­ka­ta­logs der Hoch­schul­bi­blio­thek auf der Web­site der Antrags­geg­ne­rin, dass der Ein­wil­li­gungs­ma­na­ger Coo­kie­bot des däni­schen Anbie­ters Cybot, per­so­nen­be­zo­ge­ne Daten wie sei­ne IP-Adres­se auf einen Ser­ver des in den USA ansäs­si­gen Cloud-Unter­neh­mens Aka­mai Tech­no­lo­gies Inc. („Aka­mai“) rechts­wid­rig übermittle.
Die Hoch­schu­le hat­te kei­nen Auf­trags­ver­ar­bei­tungs­ver­trag mit Cybot geschlos­sen, da Cybot der Auf­fas­sung war, dass sie kein Auf­trags­ver­ar­bei­ter sind, da eine Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten nicht stattfinde.

Daten­über­mitt­lung in ein sog. Drittland

Nach dem „Schrems-II-Urteil“ des Euro­päi­schen Gerichts­hofs (EuGH) vom 16.07.2020 steht die Daten­über­mitt­lung in die USA auf wack­li­gen Bei­nen. Das Urteil kipp­te das sog. „Pri­va­cy Shield“ auf dem die Daten­über­mitt­lung in die USA mit zer­ti­fi­zier­ten Unter­neh­men gestützt wer­den konn­te. Die USA sind damit seit­dem ein sog. „unsi­che­res Dritt­land“, da kein Ange­mes­sen­heits­be­schluss nach Art. 45 DSGVO für die Über­tra­gung von per­so­nen­be­zo­ge­nen Daten besteht.
Neben der Rechts­grund­la­ge für die grund­sätz­li­che Ver­ar­bei­tung der Daten müs­sen zusätz­lich, für die Über­mitt­lung in ein Dritt­land, die Anfor­de­run­gen der Art. 45 ff. DSGVO erfüllt wer­den. In dem Urteil des EuGHs wur­de ins­be­son­de­re ange­führt, dass eine Daten­über­mitt­lung auf sog. Garan­tien nach Art. 46 DSGVO, wie Stan­dard­ver­trags­klau­seln, gestützt wer­den kön­nen. Es muss dann jedoch geprüft wer­den, ob ein gleich­wer­ti­ges Daten­schutz­ni­veau besteht und ob ggf. noch wei­te­re Maß­nah­men zu tref­fen sind.
Der Euro­päi­sche Daten­schutz­aus­schuss („EDSA“) hat hier­zu ein Papier her­aus­ge­ge­ben. Im Papier wer­den typi­sche Sze­na­ri­en („Use Cases“) und Hin­wei­se gege­ben, wie sol­che Maß­nah­men aus­se­hen kön­nen. Hier kön­nen Sie das Papier der EDSA aufrufen.

Ent­schei­dung des VG Wiesbaden

Die Ent­schei­dung hat­te schon nach der Pres­se­mit­tei­lung gro­ße Wel­len geschla­gen. Die­se wur­den auch nicht durch die kurz danach ver­öf­fent­lich­ten Ent­schei­dungs­grün­de geglät­tet. Soll­te die Ent­schei­dung in der Pra­xis Fuß fas­sen, so hät­te dies für vie­le Dien­ste (wie z.B. Fonts, Cap­t­chas, CDNs, Coo­kie-Ban­nern und vie­len ande­ren) weit­rei­chen­de Fol­gen. Doch was hat das VG Wies­ba­den eigent­lich entschieden?
Das Ver­wal­tungs­ge­richt urteil­te, dass Coo­kie­bot unge­kürz­te IP-Adres­sen und damit per­so­nen­be­zo­ge­ne Daten ver­ar­bei­te­tet hat. Cybot nutzt das Con­tent Deli­very Net­work („CDN“, ist kurz­ge­sagt ein Ver­bund von Ser­vern, der es ermög­licht auf Daten schnel­ler zuzu­grei­fen und ver­hin­dert so eine Über­la­stung des eigent­li­chen Ser­vers) von Aka­mai des­sen Ser­ver in den USA liegt. Es kommt hier­bei zu einer Dritt­land­über­mitt­lung gemäß Art. 44 ff. DSGVO. Das Gericht hat sich in den Ent­schei­dungs­grün­den selbst nicht mit Stan­dard­ver­trags­klau­seln befasst, son­dern stützt sei­ne Ent­schei­dung dar­auf, dass kei­ne Rechts­hil­fe­ab­kom­men nach Art. 48 DSGVO vor­lie­ge, womit nur noch eine Ein­wil­li­gung nach Art. 49 Abs. 1 S. 1 lit. a DSGVO in Fra­ge käme. Eine Ein­wil­li­gung läge hier nicht vor.
Hin­sicht­lich der Daten­ver­ar­bei­tung sei die Hoch­schu­le daten­schutz­recht­lich Ver­ant­wort­li­che gem. Art. 4 Nr.7 DSGVO, da sie sich dafür oder dage­gen ent­schei­den kann, dass der Dienst auf ihrer Web­sei­te ein­ge­setzt wird und damit eine Daten­ver­ar­bei­tung mög­li­cher­wei­se auch zu den von Cybot bzw. Aka­mai fest­ge­leg­ten Zwecken stattfindet.

Ein­wil­li­gungs­tools

Die Ver­wen­dung von Coo­kie-Ban­nern bzw. Ein­wil­li­gungs­tools kann grds. als tech­nisch erfor­der­lich ange­se­hen wer­den, da sie dafür sor­gen, dass erfor­der­li­che Ein­wil­li­gun­gen für Coo­kies und ande­re Tools, wie z.B. Tracking oder You­Tube, ein­ge­holt wer­den. Die Rechts­grund­la­ge für die Nut­zung des Coo­kie-Ban­ners ist damit Art. 6 Abs. 1 S. 1 lit. f DSGVO sowie § 25 Abs. 2 Nr. 2 TTDSG.
Eine Ein­wil­li­gung nach Art. 49 Abs.1 S. 1 lit. a DSGVO für eine Dritt­land­über­mitt­lung eines tech­nisch erfor­der­li­chen Dien­stes ist in den mei­sten Fäl­len nicht oder nur sehr umständ­lich umsetz­bar. Hier wäre es im Fal­le eines Coo­kie-Ban­ners erfor­der­lich vor dem Zugriff eine Ein­wil­li­gung ein­zu­ho­len, da eine Ein­wil­li­gung zum Zeit­punkt der Ver­ar­bei­tung bereits vor­lie­gen muss. Es wäre also ein Coo­kie-Ban­ner für den Coo­kie-Ban­ner nötig.
Die­ser Fall kann sinn­voll nur mit Stan­dard­ver­trags­klau­seln und einem TIA (Trans­fer-Impact-Assess­ment) abge­deckt wer­den. Eine Ein­wil­li­gung als Rechts­grund­la­ge für eine Dritt­land­über­mitt­lung ist schon tech­nisch wenig sinn­voll. Wei­ter wird teil­wei­se von Auf­sichts­be­hör­den ver­tre­ten, dass sich Dritt­land­über­mitt­lun­gen nur im Aus­nah­me­fall auf Art. 49 DSGVO stüt­zen las­sen und eine regel­mä­ßi­ge Daten­über­tra­gung, wie bei einem Coo­kie-Ban­ner, gera­de nicht zuläs­sig ist.

Cybot und die Auftragsverarbeitung

In der Ver­gan­gen­heit stand Cybot schon öfter in der Dis­kus­si­on mit ihrem „Kunst­griff“ kein Auf­trags­ver­ar­bei­ter zu sein. Die voll­stän­di­ge IP-Adres­se wird unfrag­lich durch Cybot zwangs­läu­fig ver­ar­bei­tet und bedarf damit, als per­so­nen­be­zo­ge­nes Datum, einer Rechts­grund­la­ge. Im Rah­men einer Auf­trags­ver­ar­bei­tung ist dies der Auf­trags­ver­ar­bei­tungs­ver­trag (AVV) für den Auf­trags­ver­ar­bei­ter, nur der Ver­ant­wort­li­che (hier der Web­sei­ten­be­trei­ber) selbst braucht eine Rechts­grund­la­ge. Liegt kein AVV vor ist die Ver­ar­bei­tung grds. rechts­wid­rig und das selbst, wenn man annimmt, dass Cybot die per­so­nen­be­zo­ge­nen Daten im Anschluss kom­plett anony­mi­siert werden.

Aus­sicht für die Zukunft

Es ist unwahr­schein­lich, dass sich die Rechts­mei­nung des VG Wies­ba­den durch­set­zen wird. Die Antrags­geg­ne­rin hat 2 Wochen nach der Ver­öf­fent­li­chung der Ent­schei­dung Zeit, um Beschwer­de beim Ver­wal­tungs­ge­richts­hof Kas­sel ein­zu­le­gen. Die end­gül­ti­ge Ent­schei­dung über den gel­tend gemach­ten Anspruch wird erst im Haupt­sa­che­ver­fah­ren getroffen.
Die Mei­nung des Gerichts, Coo­kie-Ban­ner nur auf eine aus­drück­li­che Ein­wil­li­gung nach Art. 49 Abs. 1 S. 1 lit. a DSGVO zu stüt­zen erscheint abwe­gig. Dies ist tech­nisch nicht umsetz­bar und recht­lich frag­lich, wie oben dar­ge­stellt. Wei­te­re Ent­schei­dun­gen in die­ser Rich­tung wer­den vor­aus­sicht­lich fol­gen. Es ist ins­be­son­de­re wahr­schein­lich, dass zukünf­tig noch genau­er geprüft wird wel­che zusätz­li­chen Maß­nah­men getrof­fen wur­den und ob die­se für eine Dritt­land­über­mitt­lung aus­rei­chend sind. Es bleibt abzu­war­ten, wel­che Ent­wick­lung die neu­en Stan­dard­ver­trags­klau­seln in Ver­bin­dung mit einem TIA brin­gen und wel­che kon­kre­ten zusätz­li­chen Maß­nah­men für eine Dritt­land­über­mitt­lung als aus­rei­chend ange­se­hen werden.