VG Wiesbaden: Hochschule darf Cookie-Dienst nicht weiternutzen

Out-Law News | 13 Dec 2021 | 8:38 am | Lesedauer: 2 Min.

Die Hochschule Rhein-Main darf ihren Cookie-Dienst nicht länger für ihre Website verwenden, da dieser personenbezogene Nutzerdaten auf Server eines US-Unternehmens überträgt.

Das Verwaltungsgericht (VG) Wiesbaden hat im Eilverfahren entschieden, dass die Hochschule RheinMain auf ihrer Webseite einen Cookie-Dienst nicht länger nutzen darf, der die vollständige IP-Adresse der Endnutzer auf Server eines Unternehmens übermittelt, dessen Unternehmenszentrale sich in den USA befindet.

Der Cookie-Dienst ermöglicht es, die Einwilligung der Website-Nutzer in die Verwendung von Cookies einzuholen. Der Dienst überwacht außerdem die eingesetzten Cookies und blockiert solche, für die eine Zustimmung nicht erteilt wurde.

Ein Nutzer der Hochschul-Website hatte beim VG Wiesbaden beantragt, dass der Hochschule verboten wird, den fraglichen Dienst auf ihrer Website einzubinden. Der Grund: Beim Einholen der Einwilligung übermittelt der Dienst Daten der Nutzer, darunter auch die IP-Adresse, an Server eines externen Unternehmens mit Zentrale in den USA. Für die Übermittlung personenbezogener Daten aus der EU in die USA gelten jedoch seit Juli 2020 neue Regeln, da der Europäische Gerichtshof (EuGH) am 16. Juli 2020 aus datenschutzrechtlichen Gründen das EU-USA-Privacy-Shield kippte. Das Urteil wurde unter dem Namen „Schrems II“ bekannt. Es stellte zugleich klar, dass Unternehmen auf die sogenannten EU Standardvertragsklauseln (SVK) für die Übermittlung personenbezogener Daten in Staaten außerhalb der EU setzen können, um ein angemessenes Datenschutzniveau beim Empfänger zu gewährleisten, sich jedoch nicht auf die Klauseln allein verlassen dürfen, sondern gegebenenfalls zusätzliche Maßnahmen ergreifen oder sicherstellen müssen, dass der Empfänger diese auch einhalten kann.

Vor diesem Hintergrund gab das VG Wiesbaden dem Antrag des Website-Nutzers nun statt und untersagte der Hochschule mit einstweiliger Anordnung, den Cookie-Dienst in der bisherigen Form weiter zu nutzen. Es erklärte, durch die Übermittlung der Daten entstehe ein Drittland-Bezug, welcher im Hinblick auf die Schrems II-Entscheidung des Europäischen Gerichtshofs unzulässig sei. Die Nutzer der Webseite der Hochschule würden nicht um ihre Einwilligung in die Datenübermittlung in die USA gebeten. Auch würden sie nicht über die damit verbundenen Risiken aufgeklärt. Ferner sei diese Form der Datenübermittlung auch nicht für das Betreiben der Webseite der Hochschule erforderlich.

Kirsten Wolgast, Datenschutz-Expertin bei Pinsent Masons, sagt, dass die Entscheidung viele Fragen offen lässt: „Die Anforderungen der Datenschutz-Grundverordnung und der Datenschutzrichtlinie für elektronische Kommunikation, einschließlich derjenigen, die sich aus der Schrems-II-Entscheidung des Europäischen Gerichtshofs ergeben, gelten nicht nur für die Verwendung von Cookies, sondern auch für die Verwendung von Werkzeugen zur Einwilligung in Cookies. Der Gerichtshof bestätigt außerdem die Auffassung, dass eine vollständige IP-Adresse in Verbindung mit einem im Browser des Nutzers gespeicherten Schlüssel personenbezogene Daten darstellen.“ Beides erscheine nicht weiter überraschend.

„Das Gericht scheint jedoch die Auffassung zu vertreten, dass in diesem Fall die Einwilligung des Nutzers die einzige Möglichkeit gewesen wäre, die Datenübermittlung an den Dienstanbieter und die US-Server zu legitimieren“, so Wolgast weiter. „In der Entscheidung geht das Gericht nur begrenzt auf die Rechtsbeziehungen zwischen der Universität und den Dienstleistern ein, die an der Verwendung des Cookie-Consent-Tools beteiligt sind, und es bleibt unklar, ob die Nutzung des Tools bei Verwendung der EU-Standardvertragsklauseln und auf der Grundlage einer Folgenabschätzung für die Übermittlung zulässig sein könnte.“ 

Zwar übermittelt nicht die Hochschule selbst die Daten in die USA, sondern ein von ihr Beauftragter Dienstleister. Die 6. Kammer des VG Wiesbaden kam jedoch zu dem Schluss, dass die Hochschule die für die Datenübermittlung verantwortliche Stelle sei, denn sie entscheide durch das Einbinden auf ihrer Webseite darüber, dass die Daten erhoben und übermittelt werden.

„Dies veranschaulicht, wie wichtig es ist, bei Drittanbietern eine Due-Diligence-Prüfung durchzuführen, um dem Schrems-II-Urteil nachzukommen“, so Rosie Nance von Pinsent Masons London. „Organisationen, die von der europäischen oder der britischen Datenschutzgrundverordnung betroffen sind, müssen sich vergewissern, ob ihre Lieferanten personenbezogene Daten in die USA oder andere Drittländer übermitteln, und eine Risikobewertung für alle Übermittlungen durchführen, um zu bestätigen, dass sie rechtmäßig erfolgen können. Dies muss für alle Zulieferer geschehen, auch für diejenigen, die Tools zur Einhaltung der Datenschutzbestimmungen anbieten, wie beispielsweise Cookie-Consent-Tools.“

Die Hochschule kann binnen zwei Wochen Beschwerde gegen den Beschluss erheben. In diesem Fall müsste der Hessische Verwaltungsgerichtshof in Kassel über die Sache entscheiden.