Im Eilverfahren hat das Verwaltungsgericht (VG) der Hochschule Rhein-Main untersagt, den Dienst Cookiebot zu nutzen (Beschluss vom 01.12.2021, 6 L 738/21.WI). Grund hierfür ist die Übermittlung von IP-Adressen in die USA.
Auf Webseiten werden häufig Tracking-Dienste wie Matomo oder Google Analytics eingesetzt, um die Reichweite der Website zu ermitteln, das Nutzerverhalten über mehrere Endgeräte hinweg zu analysieren und anhand dieses Verhaltens angepasste Werbung bereitzustellen. Spätestens seit der „Planet49“-Entscheidung des Bundesgerichtshofs (mehr dazu hier) steht fest, dass die Websitebetreiber hierfür eine aktive Einwilligung des Nutzers benötigen.
Consent-Management-Plattform
Um die notwendige Einwilligung rechtskonform einzuholen, werden sogenannte (sog.) Consent-Management-Plattformen (CMP) eingesetzt. Mit deren Hilfe können Webseiten-Betreiber die Einwilligungen der Webseiten-Besucher datenschutzkonform einholen, bevor deren Daten weiter verarbeitet, z.B. analysiert oder getrackt werden.
Cookiebot/Usercentrics
Einer der vielen Dienste, die seit dem „Plante49“ Urteil von Webseitenbetreibern zum Einsatz kommen, ist der Dienst Cookiebot des dänischen Softwareanbieters Cybot, der sich im September 2021 mit Usercentrics, einem Anbieter aus Deutschland zusammengeschlossen hat.
Problem: Drittlandübermittlung
Um die Einwilligung eines Webseitenbesuchers nachweisbar zu halten, werden dieDaten mitunter auf Servern der CPM-BetreiberCPM gespeichert, so auch im Fall von Cookiebot. Die Zielserver verwiesen auf einen zu einem US-amerikanischen Unternehmen gehörenden Server.
Selbst wenn dieser Server in Europa stehen würde, hätte die US-amerikanische Regierung nach dem Cloud Act die Möglichkeit, auf die Daten des Antragstellers zuzugreifen. Gegen Maßnahmen nach dem Cloud-Act bestehen für EU-Bürger jedoch keinerlei Möglichkeiten des Rechtsschutzes, weswegen schon der EuGH in der Schrems-II Entscheidung faktisch feststellte, dass ein zur EU vergleichbares Datenschutzniveau in den USA nicht gegeben sei.
Verwaltungsgericht sieht hier eine rechtswidrige Verarbeitung
Dies wurde auch so von den hessischen Richtern so gesehen. Insbesondere sah es das VG als erwiesen an, dass nicht nur anonymisierte IP-Adressen, sondern auch die vollständigen IP-Adressen von Cookiebot auf den Servern des Anbieters verarbeitet würden, und somit eine rechtswidrige Datenverarbeitung in die USA stattfinde. Zudem kommt es nicht darauf an, ob die Antragsgegnerin, hier die Hochschule, allein, oder mit dem Hoster der Server gemeinsam Verantwortliche sei, da Betroffene ihre Rechte gegenüber jedem Verantwortlichen geltend machen können.
Entscheidung vor dem Verwaltungsgerichtshof steht aus
Die Entscheidung des VG ist jedoch zunächst im Verfahren des einstweiligen Rechtsschutzes ergangen. Dass bedeutet, dass das Verwaltungsgericht den Sachverhalt nicht abschließend geprüft hat, sondern nur eine vorübergehende Regelung trifft, bis das eigentliche Verfahren (das sog. Hauptsacheverfahren) abgeschlossen ist. Es besteht jedoch eine große Chance, dass die Entscheidung des VG auch im Hauptsacheverfahren aufrechterhalten wird. Zwar bindet die Entscheidung die Hochschule zunächst nur gegenüber dem Antragsteller, dennoch geht davon natürlich eine Signalwirkung aus. Es kann gut sein, dass sich weitere Gerichte der Rechtsauffassung des VG Wiesbaden anschließen.
Da es wahrscheinlich ist, dass das VG in der Hauptsache die Nutzung von Cookiebot untersagen wird, ist es für Sie ein Risiko, weiterhin auf den Dienst zu setzen. Auch bevor die Entscheidung in der Hauptsache vorliegt, könnten Nachahmer Ihnen Abmahnungen, Bußgeldbescheide oder sogar ein Gerichtsverfahren aufhalsen.