VG Wiesbaden: Consent-Manager „Cookiebot“ verstößt gegen DSGVO

Sowohl der EuGH als auch BGH haben bereits entschieden, dass für das Setzen technisch nicht notwendiger Cookies eine Einwilligung erforderlich ist. Eine mögliche Lösung hierfür bietet der Einsatz von Consent-Managern. Das VG Wiesbaden (Beschl. v. 1.12.2021 – 6 L 738/21.WI) hat nun entschieden, dass der Consent-Manager „Cookiebot“ gegen die DSGVO verstoße, da personenbezogene Daten unzulässig in ein Drittland übermittelt werden.

Die Antragsgegnerin, die Hochschule RheinMain, setzte auf ihrer Internetseite „Cookiebot“ ein, um die Einwilligung der Nutzer in die Cookie-Verwendung einzuholen, und den „Google Tag Manager“. Der Antragssteller forderte, den Einsatz der Dienste zu unterlassen, da hierbei seine personenbezogenen Daten in unzulässiger Weise an Dritte übermittelt würden.

Der Antragsteller führt bezüglich des Dienstes „Google Tag Manager“ aus, dass hierdurch seine IP-Adresse bei jedem Seitenaufruf an Server des Unternehmens Google übermittelt werde, ohne dass hierfür eine Einwilligung erteilt worden sei. Daneben lese Google infolge der durch die Antragsgegnerin veranlassten Kontaktaufnahme des Nutzerrechners mit dem Google-Server weitere Informationen über die Hard- und Software des Nutzer-Endgerätes aus und könne diese auswerten. Dies betreffe die aufgerufene Internetseite, das Betriebssystem und dessen Version, den verwendeten Browser und dessen Version, die eingestellte Sprache und Farbzahl, die Art des Bildschirms (z.B. Touchscreen), die Bildschirmauflösung, die Unterstützung von Skriptsprachen sowie die auf dem Rechner installierten Schriftarten von Plugins. Aus diesen Informationen ergebe sich in Kombination ein einmaliger digitaler Fingerabdruck des Nutzers, weil keine andere Person exakt dieselbe Kombination aller Parameter zur selben Zeit aufweise. Damit könne Google Surfprofile erstellen.

Bezüglich des Dienstes „Cookiebot“, einem Einwilligungsmanager des dänischen Anbieters Cybot A/S, führt der Antragsteller aus, dass dieselben Daten wie bei dem „Google Tag Manager“ an Cookiebot übermittelt würden. Dieser Dienst werde zwar von einem in Dänemark ansässigen Unternehmen angeboten. Die Zieldomain consent.cookiebot.com verweise jedoch auf einen Server mit einer IP-Adresse, die auf das in den USA ansässige Cloud-Hosting-Unternehmen Akamai Technologies Inc. registriert sei. Auch wenn sich der Server möglicherweise in der EU befinde, habe das US-amerikanische Unternehmen Zugriff darauf, sodass der US-amerikanische Cloud-Act gelte.

Die Abgabe einer Unterlassungserklärung lehnte die Antragsgegnerin ab, stellte jedoch die weitere Nutzung des Google Tag Managers ein. Hinsichtlich dieses Punktes haben die Parteien das Verfahren für erledigt erklärt.

Das VG Wiesbaden untersagte der Antragsgegnerin nun im Wege der einstweiligen Anordnung, den Dienst „Cookiebot“ auf ihrer Webseite zum Zwecke des Einholens von Einwilligungen in der Weise einzubinden, dass personenbezogene oder -beziehbare Daten des Antragstellers (einschließlich dessen IP-Adresse) an Server übermittelt werden, die von einem externen Unternehmen betrieben werden. Das Tool dürfe nicht mehr eingesetzt werden, da hiermit die rechtswidrige Übermittlung personenbezogener Daten der Webseitennutzer und damit insbesondere des Antragstellers einhergehe.

Recht auf rechtmäßige Verarbeitung der personenbezogenen Daten verletzt

Das Gericht stellte fest, dass das Recht des Antragsstellers auf rechtmäßige Verarbeitung seiner personenbezogenen Daten, das aus Art. 6 Abs. 1 DS-GVO, Art. 7, 8 EU-Grundrechte-Charta (GrCh) folgt, durch den Einsatz von „Cookiebot“ durch die Antragsgegnerin verletzt werde. Die Antragsgegnerin verarbeite durch die Einbindung von Cookiebot die ungekürzte IP-Adresse des Antragsstellers, der wiederum die vollständige IP-Adresse des Webseiten-Nutzers speichert und verarbeitet.

Die Antragsgegnerin verarbeitet zur Überzeugung des Gerichtes auf ihrer Webseite www.hs-rm.de unter anderem die ungekürzte IP-Adresse des Antragstellers. Dies erfolgt, indem sie den von dem Unternehmen Cybot A/S angebotenen Dienst „Cookiebot“ einbindet, der wiederum die vollständige IP-Adresse des Webseiten-Nutzers speichert und verarbeitet. Dass es sich entgegen der Ansicht des Antragsgegners um die vollständige und nicht um eine gekürzte IP-Adresse handelt, ergibt sich aus den Angaben von Cybot selbst (Anlage AS 33, Bl. 668 der Gerichtsakte) sowie aus dem von Akamai für seine Auftraggeber zur Verfügung gestellten Auftragsverarbeitungsvertrag, der in seinem Anhang I, Ziff. 2b die Regelung beinhaltet, dass Akamai personenbezogene Daten verarbeitet, die bei der Erbringung der Dienste für den Kunden in Protokolldateien enthalten sind. Zu den Daten gehörten unter anderem die IP-Adresse der Endbenutzer, die URLs der besuchten Websites mit Zeitstempeln mit zugehöriger IP-Adresse, der geografische Standort basierend auf der IP-Adresse sowie Telemetriedaten (Bl. 659 der Gerichtsakte). Außerdem erklärte auch der Vertreter des Hessischen Datenschutzbeauftragten mit Schriftsatz vom 20.10.2021 nachvollziehbar, dass „die Protokollierung vollständiger IP-Adressen durch Anbieter von Internet-Diensten regelmäßig im Rahmen üblicher Zwecke, wie z.B. dem störungsfreien Betrieb solcher Dienste“, erfolge.

IP-Adresse ist personenbezogenes Datum

Bei der ungekürzten IP-Adresse handelt es sich um ein personenbezogenes Datum, das hat bereits der EuGH entschieden. Zwar habe Cybot, der Anbieter von Cookiebot, behauptet, keine personenbezogenen Daten der Endnutzer zu speichern oder zu verarbeiten, allerdings greife Cybot auf Serverkapazitäten des Unternehmens Akamai zurück. Hierdurch finde eine Datenübertragung in die USA statt.

Die ungekürzte IP-Adresse stellt auch ein personenbezogenes Datum dar, denn die IP-Adresse ermöglicht die genaue Identifizierung der Nutzer […]. Zwar wird in der Mitteilung durch Cybot behauptet, dass Akamai keine personenbezogenen Daten der Endnutzer speichere oder verarbeite. Dem steht jedoch entgegen, dass, wie oben dargelegt, die vollständige IP-Adresse der Endnutzer verarbeitet wird.

Der Anbieter Cybot A/S greift für den Dienst „Cookiebot“ auf die Dienste des Unternehmens Akamai Technologies Inc. zurück, indem er Serverkapazitäten von Akamai verwendet. […] Demnach verwendet Cybot das Content Delivery Network von Akamai, um das Cookiebot-Einwilligungsskript abzurufen, welches auf einem Akamai-Server liegt.

Indem die verarbeiteten Daten, also auch die personenbezogenen Daten des Antragstellers, auf Servern von Akamai verarbeitet werden, findet u.a. eine Datenübermittlung in ein Drittland, nämlich die USA, nach Art. 44 DS-GVO statt. Dabei kann es dahinstehen, ob konkreter Vertragspartner von Cybot A/S das Unternehmen Akamai Technologies Inc. oder das Unternehmen A. Technologies GmbH ist. Die Unternehmenszentrale befindet sich jedenfalls in Cambridge, Massachusetts, USA (https://www.akamai.com/de/company/facts-figures; zuletzt abgerufen am 23.11.2021). Dabei handelt es sich um eine nicht zulässige Übermittlung nach Art. 48, 49 DS-GVO.

Weder Einwilligung noch Abkommen zur Datenübermittlung

Als US-amerikanisches Unternehmen unterliege Akamai dem US-amerikanischen Cloud-Act, nach dem US-Anbieter elektronischer Kommunikations- oder Remote-Computing-Dienste dazu verpflichtet sind, sämtliche in ihrem Besitz, Gewahrsam oder ihrer Kontrolle („posession, custody or control“) befindlichen Daten offenzulegen und zwar unabhängig davon, ob die Daten innerhalb oder außerhalb der USA gespeichert sind. Eine Übermittlung sei nur im Rahmen von Art. 48 oder 49 DSGVO zulässig. Deren Voraussetzungen seien jedoch nicht erfüllt.

Gemäß Art. 48 DS-GVO darf eine Übermittlung von personenbezogenen Daten auf der Grundlage einer Entscheidung eines ausländischen Gerichts oder einer ausländischen Verwaltungsbehörde im Grundsatz nur erfolgen, wenn sie auf eine in Kraft befindliche internationale Übereinkunft wie etwa ein Rechtshilfeabkommen zwischen dem ersuchenden Drittland und der Europäischen Union oder einem Mitgliedsstaat gestützt werden kann. Da eine solche internationale Übereinkunft zwischen der EU und den USA, die als Rechtsgrundlage für eine Datenübermittlung dienen könnte, nicht existiert (vgl. Kühling/Buchner/Schröder, 3. Aufl. 2020, DS-GVO Art. 48 Rn. 26), findet Art. 49 DS-GVO Anwendung, wonach eine Datenübermittlung an ein Drittland nur unter einer der in Art. 49 Abs. 1 S. 1 lit. a) bis f) und S. 2 DS-GVO genannten Bedingungen zulässig ist.

Keine der in Art. 49 Abs. 1 S. 1 und 2 DS-GVO genannten Bedingungen ist vorliegend erfüllt. Ein Nutzer der Webseite www.hs-rm.de wird unstreitig nicht um seine Einwilligung für die Übermittlung in die USA gebeten und auch nicht über die damit verbundenen möglichen Risiken unterrichtet (Art. 49 Abs. 1 S. 1 lit. a) DS-GVO). Die Übermittlung ist auch nicht aus wichtigen Gründen des öffentlichen Interesses notwendig (Art. 49 Abs. 1 S. 1 lit. d) DS-GVO). Unabhängig davon, ob die Öffentlichkeitsarbeit der Antragsgegnerin ein solches öffentliches Interesse darstellt, ist hierfür jedenfalls eine Datenübermittlung in die USA nicht erforderlich. Die übrigen der möglichen Bedingungen des Art. 49 Abs. 1 S. 1 DS-GVO sind offenkundig ebenfalls nicht einschlägig. Art. 49 Abs. 1 S. 2 DS-GVO findet bereits deshalb keine Anwendung, weil die Datenübermittlung bezüglich unzähliger Webseitennutzer stattfindet, also weder „nicht wiederholt erfolgt“, noch eine begrenzte Zahl von betroffenen Personen betrifft. […]

Verantwortlichkeit für Consent-Manager

Für diese Datenverarbeitung sei die Antragsgegnerin auch verantwortlich i.S.d. Art. 24, 4 Nr. 9 DSGVO.

Indem die Antragsgegnerin sich dafür entscheidet, den Dienst „Cookiebot“ auf ihrer Webseite einzusetzen, entscheidet sie jedenfalls über die Mittel der Datenverarbeitung. Denn allein indem sie den Dienst auf ihre Webseite einbindet, entscheidet sie darüber, dass die Erhebung und Übermittlung der personenbezogenen Daten der Webseitennutzer, die auch auf den Servern von Akamai stattfinden, erfolgt. Sie entscheidet auch jedenfalls mittelbar über die Zwecke der Verarbeitung. Denn in Kenntnis der Angaben von Cybot und Akamai, die sie spätestens im Laufe des vorliegenden Verfahrens erlangt hat, kann sie sich dafür oder dagegen entscheiden, dass der Dienst auf ihrer Webseite eingesetzt wird und damit eine Datenverarbeitung möglicherweise auch zu den von Cybot bzw. Akamai festgelegten Zwecken stattfindet, bzw. umgekehrt kann sie durch ein Entfernen des Dienstes dafür sorgen, dass die Datenverarbeitung zu diesen Zwecken nicht mehr stattfindet. Sie mag für nachfolgende Vorgänge, etwa die Speicherung und Verwendung durch Akamai nicht mehr mitverantwortlich sein, da es sich hierbei um eine andere Phase der Datenverarbeitung handelt (vgl. EuGH, Urteil vom 29.07.2019 – C-40/17 – Fashion-ID, Rn. 79, 84). Für die Erhebung und Übermittlung an Akamai, die unmittelbar durch die Einbindung des Dienstes auf der Webseite der Antragsgegnerin ausgelöst werden, ist sie verantwortlich. Für die Verantwortlichkeit eines Akteurs, insbesondere im Rahmen gemeinsamer Verantwortlichkeit, kommt es dabei nach der Rechtsprechung des EuGH auch nicht darauf an, dass jeder Verantwortliche Zugang zu den betreffenden personenbezogenen Daten hat (EuGH, Urt. v. 10.7.2018 – C-25/17 – Zeugen Jehovas, Rn. 69).

Darüber hinaus finde eine Verarbeitung personenbeziehbarer Daten auch durch das Setzen eines sog. Cookie-Keys in Zusammenhang mit den übrigen übermittelten Daten statt.

Fazit

Unserer Auffassung nach bietet der Beschluss viel Angriffsfläche für Kritik. Es ist bereits diskussionswürdig, ob die von Cookiebot und Akamai verarbeiteten Daten für diese Unternehmen personenbezogen sind. Die vom VG angeführten Urteile des EuGH geben hierüber nicht ausreichend Aufschluss. Da in Bezug auf Cookiebot und Akamai angezweifelt werden kann, inwieweit sie tatsächlich rechtliche Mittel haben, um die IP-Adresse einer natürlichen Person zuzuordnen, können die Urteile nicht 1:1 auf den vorliegenden Fall übertragen werden. Fraglich ist auch, ob bei der Verarbeitung der Daten – insbesondere der IP-Adresse – durch Akamai ausschließlich auf Servern in der EU überhaupt ein Drittlandtransfer stattfindet und die Art. 44 ff. DSGVO Anwendung finden. Doch selbst wenn man dies bejaht, bedeutet dies nicht automatisch, dass dieser unzulässig wäre. Das VG geht in keiner Weise darauf ein, ob die zwischen Cookiebot und Akamai vereinbarten Standardvertragsklauseln eine geeignete Garantie im Sinne von Art. 46 DSGVO darstellen. Es ist daher davon auszugehen, dass dies vom VG ohne weitere Begründung verneint wurde. Hintergrund ist wohl, dass das Gericht davon ausgeht, der CLOUD-Act führe zu einer unzulässigen Übermittlung nach Art. 48 DSGVO. Ob und inwieweit der CLOUD-Act jedoch zum Tragen kommt, wird nicht näher geprüft. Da zudem die pseudonymisierte Verarbeitung, ausschließlich auf EU-Servern mit anschließender Speicherung der gekürzten IP-Adresse als ergänzende Schutzmaßnahmen („Additional Safeguards“) gewertet werden können, ist denkbar, dass bei einem obligatorisch durchzuführenden Transfer Impact Assessment (TIA) der Drittlandtransfer – so er überhaupt vorliegt – zulässigerweise erfolgt. Hierauf geht der Beschluss allerdings nicht ein.

Im Ergebnis bleibt somit abzuwarten, wie der Verwaltungsgerichtshof in Kassel im Falle einer Beschwerde entscheiden wird und ob der Beschluss des VG dazu führt, dass weitere Consent-Manager angegriffen werden. Außerdem hätte der Beschluss, so man den Ausführungen des VG folgen möchte, erhebliche Auswirkungen auf sämtliche Dienste, bei denen nur im Ansatz eine Verarbeitung mit Bezug zu den USA stattfindet. In jedem Fall ist zu empfehlen, dass bei Einsatz von Consent-Managern, deren Betreiber in den USA sitzen oder US-amerikanische Subdienstleister einsetzen, ein TIA durchgeführt und dokumentiert wird. Auch die vertraglichen Vereinbarungen sollten nochmal genauer unter die Lupe genommen werden.

BCFC/Shutterstock.com