VG Wiesbaden verbietet Cookiebot

Der Europäische Gerichtshof hat seit Einführung der DSGVO gefühlt deutlich mehr zu tun als davor. Seit dem sogen „Planet-49-Urteil“ vom 01.10.2019 ist klar, dass der Einsatz von Cookies (und anderen Technologien, die Daten in den Endgeräten der Nutzer*innen speichern oder von dort abrufen) bestimmten Regeln zu folgen hat. Beispielsweise wird eine Einwilligung benötigt. Und wie so eine Einwilligung auszusehen hat, wurde auch gleich klargestellt – obwohl das ja eigentlich schon in Art. 7 DSGVO steht. Wir hatten ausführlich berichtet. Seit dem sogenannten „Schrems-2-Urteil“ stehen Datenübermittlungen in Drittstaaten „unter Beobachtung“. Auch hier wurden klare Anforderungen durch den EuGH definiert.

Einwilligungen – kann doch jede*r, oder?

Schon nach dem Planet-49-Urteil war klar: Ohne ein vernünftiges Einwilligungsmanagement geht es nicht mehr. Und nach kurzer Zeit tauchten die ersten sogenannten Consent Manager am Markt auf. Consent Manager sind die konsequente Weiterentwicklung der nervigen Cookie-Banner. Und sie sind offen gesagt mindestens genauso nervig. Dennoch haben sie sich innerhalb kürzester Zeit enorm verbreitet und das Internet wurde gefühlt geflutet von solchen Bannern, die mal mehr und mal weniger penetrant um die Einwilligung der Nutzer*innen bitten. Wie sinnvoll das Einholen von Einwilligungen im Browser ist, darüber haben wir uns hier bereits ein paar Gedanken gemacht.

Einstweilige Verfügung wegen Nutzung eines Consent Managers

Am 06.12.2021 hat nun das Verwaltungsgericht Wiesbaden per einstweiliger Verfügung entschieden, dass der Einsatz des Tools Cookiebot (ja, es ging konkret um diese Software) für die Einholung und Verwaltung von Einwilligungen, beispielsweise für das Setzen von Cookies, den Einsatz von Tracking Tools oder von (Re-)Targeting-Maßnahmen gegen die DSGVO verstoße.

Antragsteller war ein Nutzer des Onlinekatalogs der Hochschule RheinMain. Antragsgegnerin war die vorgenannte Hochschule, die auf Ihrer Homepage das Tool Cookiebot einsetzt (und dies bis zum Erscheinungszeitpunkt dieses Artikels fortwährend tut). Cookiebot wird angeboten von der Cybot A/S in Kopenhagen, ist also ein europäisches Produkt. Allerdings setzt Cookiebot gemäß der Begründung der Verfügung – und dies war wohl auch der Grund für den Antrag – das Content Delivery Network (CDN) Akamai ein. Mit Hilfe eines CDN können insbesondere statische Inhalte durch verteilte, regionale Speicherung schneller ausgeliefert werden. Hierzu gehören zum großen Teil Bilder, unter Umständen auch Texte. Vertragspartner von Cookiebot ist offenbar die deutsche Tochter des in den USA ansässigen Konzerns, die auch als Vertreter in der EU gemäß Art. 27 DSGVO fungiert. Akamai hat eine in den USA ansässige Muttergesellschaft und ist gemäß Art. 3 Abs. 2 DSGVO verpflichtet, einen Vertreter in der EU zu stellen. Wir schließen daraus, dass die eigentliche Dienstleistung nicht durch die Deutsche oder die Dänische oder eine andere in der EU ansässige Gesellschaft erbracht wird, sondern durch die US-Mutter oder eine andere in einem Drittstaat ansässige Gesellschaft der Akamai-Gruppe.

Drittstaatenübermittlung ohne Garantien

Und eben dieser Einsatz von Akamai wird vom Antragsteller als problematisch angesehen: Durch die in den USA herrschende Sicherheitsgesetzgebung, namentlich der CLOUD Act, besteht die Möglichkeit, dass sämtliche (auch personenbezogene) Daten, durch entsprechende Anordnungen der US-Sicherheitsbehörden an eben diese übermittelt werden müssen. Die betroffenen Personen erfahren hiervon nichts und haben dementsprechend auch keine Interventionsmöglichkeiten. Grob gesehen haben wir hier dieselbe Begründung, mit der im letzten Jahr das PrivacyShield-Abkommen zwischen der EU und den USA vom EuGH für ungültig erklärt wurde (Stichwort: „Schrems-2“, siehe oben).

IP-Adressen sind (mindestens) personenbeziehbar

Als personenbezogene Daten kommen in diesem Fall vermutlich ausschließlich die IP-Adressen der Nutzer*innen infrage, welche im Rahmen des Einsatzes von Cookiebot an die jeweiligen Server übermittelt werden.

Und genau hier tauchen bei uns die ersten Fragezeichen auf. Geht es tatsächlich nur um IP-Adressen? Andere Daten werden von Cookiebot wohl nicht übermittelt – zumindest hat auch das Gericht keine anderen Daten genannt. Und auch bei der IP-Adresse ist es unserer Ansicht nach fraglich, ob diese ein personenbezogenes (bzw. personenbeziehbares) Datum darstellen soll. Zumindest, sofern es sich um eine IPv4-Adresse handelt. Zwar hat der EuGH bereits vor Jahren geurteilt, dass es sich bei IPv4Adressen um personenbeziehbare Daten handele, da bei Privatanschlüssen mithilfe des Providers und einem einhergehenden richterlichen Beschluss die*der Anschlussinhaber*in identifizierbar sei. Anschlussinhaber*in und Nutzer*in einer Internetseite sind aber nicht zwingend identisch. Durch die auch heute immer noch sehr stark verbreitete Network Address Translation (NAT) nahezu aller gebräuchlichen Router (wir sprechen hier weiterhin nur von IPv4) müsste immer noch herausgefunden werden, welches der hinter dem Router befindlichen Geräte und gegebenenfalls auch noch welche*r Nutzer*in des Geräts zu diesem Zeitpunkt auf die Seite zugegriffen hat.

Anders sieht das bei IPv6 aus. Hier gibt es unterschiedliche Konfigurationsmöglichkeiten und je nach gewählter Einstellung kann anhand der IP(v6)-Adresse das Gerät direkt identifizierbar sein.

Dennoch: Mit der Entscheidung, die IP-Adresse zum personenbeziehbaren Datum und damit die DSGVO als anwendbar zu deklarieren, hat uns der EuGH unseres Erachtens keinen Gefallen getan.

Und was ist mit TIA?

Darüber hinaus berücksichtigt die Verfügung des Gerichts in keiner Weise die Sensibilität der Daten und geht auch nicht auf eine mögliche Risikobetrachtung durch den Betreiber der Seiten ein. Denn so eine Risikobetrachtung hat der EuGH in seinem Schrems-2-Urteil gefordert und damit auch als mögliche Option legitimiert.

Aus unserer Sicht ist die Entscheidung des Gerichts daher unter Berücksichtigung der bisherigen Anforderungen seitens der Aufsichtsbehörden und des Europäischen Datenschutzausschusses (EDSA) fragwürdig und es bleibt abzuwarten, inwieweit die Antragsgegnerin im Hauptsacheverfahren dagegen vorgeht und erfolgreich sein wird. Unsere Vermutung ist, dass wir hier einen Fall haben, welcher dem EuGH vorzulegen wäre.

Hauptsacheverfahren… Bitte!

Wichtig ist unseres Erachtens auch die Tatsache, dass die Verfügung gegenüber der Hochschule RheinMain erlassen wurde und gegenüber dieser gilt. Aktuell besteht mangels eines rechtskräftigen Urteils für die Unternehmen noch kein akuter Handlungsbedarf. Dieses könnte sich aber in der Zukunft ändern.

Sofern Sie noch keine Entscheidung bezüglich eines Consent Managers getroffen haben, empfehlen wir, die Entscheidung des VG Wiesbaden im Auswahlprozess zu berücksichtigen.

Über den Einsatz von Cookiebot hinaus sehen wir die Verfügung in Bezug auf den Einsatz sämtlicher anderer Software und Dienstleistungen mit US-Hintergrund problematisch. Wenn die Gerichte, die bislang von den Aufsichtsbehörden verlangten und vom EDSA empfohlenen Risikobetrachtungen (Transfer Impact Assessment, TIA) zukünftig nicht (mehr) akzeptieren, brechen für alle Unternehmen in Deutschland dunkle Zeiten an. Bereits die Nutzung von Windows 10 oder die Nutzung von Microsoft Office wären dann rechtswidrig.

Wir hoffen daher, zum einen, dass die Hochschule RheinMain gegen die einstweilige Verfügung im Hauptsacheverfahren vorgeht. Danach sieht es auch aus, da Cookiebot immer noch auf der Seite genutzt wird. Zum anderen hoffen wir für die Zukunft auf eine weniger dogmatische Anwendung der DSGVO und stattdessen mehr Praxisbezug und Pragmatismus. In der Vergangenheit wurden wir in dieser Hinsicht allerdings bereits allzu häufig enttäuscht…

Sie möchten oder müssen einen Consent Manager auf Ihrer Homepage nutzen? Lassen Sie sich datenschutzrechtlich beraten – einfach nur Einwilligungen einzuholen reicht leider nicht mehr.