Gericht: Deutsche Webseiten dürfen keine US-Cookies setzen

Das Verwaltungsgericht Wiesbaden untersagt einer Hochschule, auf ihrer Webseite den "Cookiebot" einzubinden. Der spektakuläre Beschluss wirkt weit.

Lesezeit: 5 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 575 Beiträge
Auf einem Tablet-Computer liegen zwei Kekse, der Bildschirm zeigt das Wort "Einwilligung"

(Bild: Datenschutz-Stockfoto/Shutterstock.com)

Von
  • Stefan Krempl

Die staatliche Hochschule RheinMain darf den Dienst Cookiebot nicht länger auf ihrer Webseite www.hs-rm.de einbinden. Das hat das Verwaltungsgericht Wiesbaden in einem Eilverfahren entschieden. Der Cookiebot bittet Nutzer um Einwilligung in die Speicherung von Cookies auf ihrem Endgerät. Das juristische Problem: Dabei werden Daten der Webseiten-Besucher zu Servern eines US-Unternehmens übertragen.

Den nun stattgegebenen Unterlassungsantrag hat ein Nutzer gestellt, der sich im Online-Katalog der Bibliothek der Hochschule regelmäßig nach Fachliteratur erkundigt. Er monierte, dass der Einwilligungsmanager des dänischen Anbieters Cybot Daten wie seine IP-Adresse auf einen Server des in den USA ansässigen Cloud-Unternehmens Akamai Technologies übermittle. Selbst wenn sich der entsprechende Server möglicherweise in der EU befinde, habe der US-Konzern Zugriff darauf, sodass das US-Gesetz Cloud Act mit breiten Abfragemöglichkeiten für US-Behörden greife.

Das sieht auch die zuständige Kammer mit drei Richtern so: Da sich Akamais Zentrale im US-Bundesstaat Massachusetts befindet, führe der Cookiebot zu einer nach der Datenschutz-Grundverordnung (DSGVO) unzulässigen Übermittlung (Az. 6 L 738/21.WI). Akamai unterliege dem Cloud Act, der US-Diensteanbieter dazu verpflichtet, "sämtliche in ihrem Besitz, Gewahrsam oder ihrer Kontrolle" befindlichen Daten offenzulegen, unabhängig vom Speicherort. Mit Blick auf die Schrems-II-Entscheidung des Europäischen Gerichtshofs (EuGH) sei diese Praxis unzulässig.

Der Cookiebot bitte Nutzer nicht um Einwilligung zu einem Transfer persönlicher Informationen in die USA, und unterrichte sie nicht über die damit verbundenen Risiken, hält das Verwaltungsgericht fest. Verantwortlich für die unmittelbar ausgelöste Erhebung und den Transfer an Akamai sei die Hochschule.

Mit der Entscheidung hat sich – soweit ersichtlich – erstmals ein deutsches Gericht mit dem Verhältnis zwischen dem Cloud Act und der DSGVO befasst. Es folgte dabei einschlägigen Ausführungen des Europäischen Datenschutzausschusses (EDSA) zu Schrems II, womit der EuGH das Abkommen für den Privacy Shield zum Datentransfer in die USA gekippt hat.

Die Richter erkennen rechtfertigungsbedürftige Datenübertragung bereits dann, wenn die Konzernmutter eines Cloud-Anbieters in den USA sitzt. Dies ist nicht nur bei Akamai der Fall, sondern auch bei anderen Cloud-Größen wie Amazon, Microsoft, Google, Apple und Cloudflare. Sollte der Beschluss im Hauptverfahren bestätigt und in der Folge rechtskräftig werden, dürfte er weit über die Hochschule und den Cookiebot hinaus wirken.

Die Bildungseinrichtung hatte sich auf eine Standardvertragsklausel, die zwischen Cybot und Akamai abgeschlossen worden sein soll, berufen. An Cybot werde nur die "anonymisierte" Internetkennung (letzte drei Ziffern auf Null gesetzt), Datum und Uhrzeit der Zustimmung, Nutzeragent des Browsers, die URL, ein anonymer, zufälliger und verschlüsselter Schlüssel sowie der Einwilligungsstatus übermittelt, meinte die Hochschule. Soweit für den Verbindungsaufbau zu den Servern eine ungekürzte IP-Adresse an Akamai übertragen werde, werde diese nicht verarbeitet oder gespeichert.

Der Antragsteller hielt dagegen, dass durch den Akamai-Server offenkundig Klardaten verarbeitet würden. Es könne sich höchstens um eine Transportverschlüsselung handeln. Eine solche stelle keine ausreichende Schutzmaßnahme im Sinne der Schrems-II-Entscheidung dar. Diese Ansicht wurde von einem Sachverständigen des Hessischen Datenschutzbeauftragten bestätigt.

Das Gericht verwies auf eine Erklärung Cybots, wonach die IP-Adresse nicht anonymisiert werde. Selbst wenn der Cookie-Dienst nur bei einmaligem Laden die ungekürzte Internetkennung übertrage, handle es sich schon um eine "datenschutzrechtlich beachtliche Verarbeitung" eines personenbezogenen Datums.

Der "anonyme" Schlüssel schließe eine "Individualisierung" anhand der übrigen Daten nicht aus, arbeiten die Richter weiter heraus. Der Nutzer könne identifiziert werden, auch wenn sein Name nicht bekannt sei. Damit handle es sich um ein personenbeziehbares Datum. Die Hochschule kann binnen zwei Wochen Beschwerde gegen den Eilbeschluss einlegen. Eine endgültige Regelung bleibt ferner dem Hauptverfahren vorbehalten.

Jonas Breyer, Rechtsanwalt des Antragstellers, sprach gegenüber heise online von einer "spektakulären" Entscheidung. Ein unzulässiger Datentransfer liege damit auch bei Webseiten-Plugins vor, die von einem Cloud-Dienst mit US-Bezug gehostet und geladen werden. Dies betreffe nicht zuletzt Werkzeuge Sozialer Netzwerke, Google Analytics, reCAPTCHA oder YouTube, US-Videokonferenzdienste sowie andere Online-Funktionen von US-Anbietern.

Das Gericht stelle klar, dass der Personenbezug von Cookies immer im Kontext weiterer, meist umfangreich vorliegender Daten zu beurteilen sei. Zuvor habe der EuGH ausgeführt, dass für rechtmäßige Übertragung in die USA Standardvertragsklauseln um geeignete zusätzliche technische und organisatorische Maßnahmen wie Verschlüsselung ergänzt werden müssten, erläuterte der Datenschutzexperte.

Die gängigen US-Anbieter verzichteten bisher in der Regel auf solche Absicherungen. Ihre Dienste seien daher "regelmäßig nicht rechtskonform nutzbar". Rechtlich seien sogar Arbeitgeber verantwortlich, die ihre Beschäftigten mit einschlägigen Diensten hantieren lassen. Als mögliche Lösung sieht Breyer – neben durchgehender Verschlüsselung – Treuhandansätze, wie sie Microsoft mit T-Systems ausprobiert habe und Google auflegen wolle.

Lesen Sie auch

(ds)