VG Wiesbaden: Einbindung des Cookie-Consent-Tools "Cookiebot" aufgrund Datenverarbeitung in den USA unzulässig!

VG Wiesbaden: Einbindung des Cookie-Consent-Tools "Cookiebot" aufgrund Datenverarbeitung in den USA unzulässig!

Das Verwaltungsgericht Wiesbaden hat entschieden, dass die Hochschule RheinMain auf ihrer Webseite keinen Cookie-Dienst nutzen darf, der die vollständige IP-Adresse der Endnutzer auf Servern eines Unternehmens, dessen Unternehmenszentrale sich in den USA befinde, übermittelt. Im konkreten Fall war das Cookie-Consent-Tool des Anbieters Cookiebot betroffen. Erfahren Sie mehr zur gerichtlichen Entscheidung des VG Wiesbaden in unserem heutigen Beitrag.

Gegenstand des Eilverfahrens vor dem VG Wiesbaden ist das Begehren des Antragstellers, es der Hochschule RheinMain zu untersagen, auf ihrer Webseite www.hs-rm.de einen Cookie-Dienst einzubinden. Dieser Dienst ermöglicht es, die Einwilligung der Nutzer einer Webseite in die Cookie-Verwendung einzuholen. Der Dienst überwacht die eingesetzten Cookies und blockiert solche Cookies, für die eine Zustimmung nicht erteilt wurde.

Die 6. Kammer des VG Wiesbaden hat mit Beschluss vom 01.12.2021 dem Antrag stattgegeben und der Hochschule RheinMain im Wege der einstweiligen Anordnung untersagt, diesen Cookie-Dienst auf ihrer Website zum Zweck des Einholens von Einwilligungen in der Weise einzubinden, dass personenbezogene oder -beziehbare Daten des Antragstellers (einschließlich dessen IP-Adresse) an Server übermittelt werden, die von einem externen Unternehmen betrieben werden.

Die Hochschule sei verpflichtet, die Einbindung des Cookie-Dienstes auf ihrer Webseite zu beenden, da diese mit der rechtswidrigen Übermittlung personenbezogener Daten der Webseitennutzer und damit insbesondere des Antragstellers einhergehe.

Es lägen personenbezogene Daten vor. Aus einer Kombination eines den Webseiten-Besucher identifizierenden Keys, der im Browser des Nutzers gespeichert werde, und der übermittelten vollständigen IP-Adresse sei der Endnutzer eindeutig identifizierbar.

Der Cookie-Dienst verarbeite die vollständige IP-Adresse der Endnutzer auf Servern eines Unternehmens, dessen Unternehmenszentrale sich in den USA befinde. Hierdurch entstehe ein Drittland-Bezug, nämlich zu den USA, welcher im Hinblick auf die sog. Schrems II-Entscheidung des Europäischen Gerichtshofs so unzulässig sei. Die Nutzer der Webseite der Hochschule würden nicht um ihre Einwilligung für eine Datenübermittlung in die USA gebeten werden. Es fände auch keine Unterrichtung über die mit der Übermittlung verbundenen möglichen Risiken durch den sog. Cloud-Act statt. Eine solche Datenübermittlung sei auch nicht für das Betreiben der Webseite der Hochschule erforderlich.

Zwar übermittle nicht die Hochschule selbst die Daten in die USA. Sie sei aber dennoch die für die Datenübermittlung verantwortliche Stelle. Sie entscheide durch das Einbinden auf ihrer Webseite darüber, dass die Erhebung und Übermittlung durch den Cookie-Dienst erfolge. Sie entscheide auch mittelbar über den Zweck der Verarbeitung, da sie in Kenntnis der Zwecke, die der eingebundene Dienst angebe, sich für oder gegen die Verwendung entscheiden könne. Hiergegen spreche auch nicht, dass sie für nachfolgende Vorgänge, wie der Verwendung der Daten durch den Dienst, nicht mehr verantwortlich sei.

Gegen den Beschluss (Az.: 6 L 738/21.WI) kann die Antragsgegnerin binnen zwei Wochen Beschwerde erheben, über die der Hessische Verwaltungsgerichtshof in Kassel zu entscheiden hätte.

Anhang:

Artikel 44 DS-GVO (Verordnung (EU) 2016/679 des Europäische Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG – Datenschutz-Grundverordnung)

Allgemeine Grundsätze der Datenübermittlung

Jedwede Übermittlung personenbezogener Daten, die bereits verarbeitet werden oder nach ihrer Übermittlung an ein Drittland oder eine internationale Organisation verarbeitet werden sollen, ist nur zulässig, wenn der Verantwortliche und der Auftragsverarbeiter die in diesem Kapitel niedergelegten Bedingungen einhalten und auch die sonstigen Bestimmungen dieser Verordnung eingehalten werden; […]

Art. 48 DS-GVO – Nach dem Unionsrecht nicht zulässige Übermittlung oder Offenlegung

Jegliches Urteil eines Gerichts eines Drittlands und jegliche Entscheidung einer Verwaltungsbehörde eines Drittlands, mit denen von einem Verantwortlichen oder einem Auftragsverarbeiter die Übermittlung oder Offenlegung personenbezogener Daten verlangt wird, dürfen unbeschadet anderer Gründe für die Übermittlung gemäß diesem Kapitel jedenfalls nur dann anerkannt oder vollstreckbar werden, wenn sie auf eine in Kraft befindliche internationale Übereinkunft wie etwa ein Rechtshilfeabkommen zwischen dem ersuchenden Drittland und der Union oder einem Mitgliedstaat gestützt sind.

Art 49 DS-GVO – Ausnahmen für bestimmte Fälle

[1] Falls weder ein Angemessenheitsbeschluss nach Artikel 45 Absatz 3 vorliegt noch geeignete Garantien nach Artikel 46, einschließlich verbindlicher interner Datenschutzvorschriften, bestehen, ist eine Übermittlung oder eine Reihe von Übermittlungen personenbezogener Daten an ein Drittland oder an eine internationale Organisation nur unter einer der folgenden Bedingungen zulässig:

a) die betroffene Person hat in die vorgeschlagene Datenübermittlung ausdrücklich eingewilligt, nachdem sie über die für sie bestehenden möglichen Risiken derartiger Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien unterrichtet wurde, […]

Pressemitteilung des VG Wiesbaden vom 06.12.2021
Nr. 17/2021

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook .


Link kopieren

Als PDF exportieren

Drucken

|

Per E-Mail verschicken

Zum Facebook-Account der Kanzlei

Zum Instagram-Account der Kanzlei

3 Kommentare

A
Alex 14.12.2021, 08:42 Uhr
Aktualisiert am 09.12.21
Hier wurde scheinbar Nachgebessert: Die IP-Nummer des Endnutzers in anonymisierter Form (die letzten drei Ziffern werden auf ‚0’ gesetzt).

Hat sich das ganze dadurch schon wieder erledigt und man kann den Cookiebot weiternutzen?
S
Steffen 10.12.2021, 08:02 Uhr
Nun Ja
Aktuelle wird das Tool auf besagter Seite immer noch oder vielleicht wieder eingesetzt. Es stellt sich die Frage ob hier technisch nachgebessert wurde?
K
Karsten 09.12.2021, 19:44 Uhr
An welchen Anbieter soll denn übermittelt werden?
Bin mal gerade über die Privacy Policy von Cookiebot drübergeflogen: Daten werden verarbeitet auf Azure-Servern von Microsoft in Irland, Sicherheitskopien werden in Dänemark gespeichert – beides EU. Cookiebot wird betrieben von Cybot, ebenfalls dänisches Unternehmen.
Die USA an sich wird in der Privacy Policy wörtlich nicht erwähnt.
Worum gings dann genau? Microsoft? Darf ich jetzt mit keinem ursprünglich US-amerikanischen Unternehmen mehr zusammenarbeiten, nur weil der "Hauptsitz" in den USA ist, aber die Daten trotzdem in der EU liegen?
Wichtig wäre also zu wissen: Welche Daten werden konkret von wem in welcher Weise bei Nutzung von Cookebot in die USA übertragen?

Gruß

Weitere News

Aufgepasst: Cookie-Tool darf Impressum und Datenschutzhinweise nicht verdecken
(21.10.2024, 08:53 Uhr)
Aufgepasst: Cookie-Tool darf Impressum und Datenschutzhinweise nicht verdecken
Keks oder Krümelmonster: Software-Unternehmen haftet für Cookies
(08.08.2024, 15:30 Uhr)
Keks oder Krümelmonster: Software-Unternehmen haftet für Cookies
Shopifys neue native Cookie-Consent-Lösung: Rechtskonform oder nicht? (Update)
(25.04.2024, 11:51 Uhr)
Shopifys neue native Cookie-Consent-Lösung: Rechtskonform oder nicht? (Update)
OLG Köln: Cookie-Banner mit fehlender Ablehnoption auf erster Ebene wettbewerbswidrig
(15.02.2024, 07:46 Uhr)
OLG Köln: Cookie-Banner mit fehlender Ablehnoption auf erster Ebene wettbewerbswidrig
Google Universal Analytics wird zum 1. Juli 2023 eingestellt - Wechsel zu Google Analytics 4 notwendig
(27.06.2023, 14:48 Uhr)
Google Universal Analytics wird zum 1. Juli 2023 eingestellt - Wechsel zu Google Analytics 4 notwendig
Dark Patterns bei Cookie-Consent Tools: Sind manipulative Tricks zulässig?
(24.05.2023, 22:35 Uhr)
Dark Patterns bei Cookie-Consent Tools: Sind manipulative Tricks zulässig?
© 2004-2024 · IT-Recht Kanzlei