Datenschutzkonformität der Nutzung eines cloud-basierten Einwilligungs-Managements
Das Verwaltungsgericht Wiesbaden hat Anfang Dezember 2021 einer deutschen Hochschule die Einbindung des Cookie-Dienstes „Cookiebot“ auf ihrer Internetseite untersagt, weil dieser nicht DSGVO-konform sei. Wir haben uns die Gerichtsentscheidung angeschaut und für Sie zusammengefasst. Inzwischen ist die Entscheidung zwar aufgehoben worden, allerdings lediglich aus verfahrensrechtlichen Gründen; die Auseinandersetzung mit den darin aufgeworfenen und hier von uns diskutierten datenschutzrechtlichen Fragen erfolgt somit später im Hauptverfahren.
Worum geht es?
Das VG Wiesbaden hat Anfang Dezember 2021 der Hochschule Rhein-Main die Einbindung des Cookie-Dienstes „Cookiebot“ auf ihrer Internetseite (www.hs-rm.de) im Wege des einstweiligen Rechtsschutzes untersagt. Cookiebot ermöglicht das Einholen von Einwilligungen der Webseitennutzer in die Cookies-Verwendung und wird von einem in Dänemark ansässigen Unternehmen angeboten. Dieses greift auf das Content Delivery Network (CDN) von Akamai zurück. Nach Auffassung des VG Wiesbaden findet bereits in der Übermittlung von personenbezogenen Daten auf Server eines Unternehmens, dessen „Unternehmenszentrale“ sich in den USA befindet, eine –nach Art. 48, 49 DSGVO unzulässige – Datenübermittlung in ein Drittland, nämlich die USA, nach Art. 44 DSGVO statt. Das VG Wiesbaden folgt hier, soweit ersichtlich, der Argumentation des EuGH im Fall „Schrems II, wodurch der EU-US-Privacy-Shield für ungültig erklärt wurde.
Was ist passiert?
Ein Nutzer der Hochschulbibliothek hat festgestellt, dass Cookiebot personenbezogene Daten (etwa IP-Adresse) an die Zieldomain consent.cookiebot.com übermittelt, welche auf das in den USA ansässige Cloud-Hosting-Unternehmen Akamai Technologies Inc. registriert ist. Das hat er der Hochschule mitgeteilt und diese aufgefordert, die Nutzung von Cookiebot abzustellen. Da die Hochschule seiner Aufforderung nicht nachgekommen ist, hat er im einstweiligen Schutz beantragt, der Hochschule die Nutzung von Cookiebot gerichtlich zu verbieten. Das Gericht gab diesem Antrag statt und hat die Hochschule verpflichtet, „die Einbindung des Dienstes „Cookiebot“zum Zweck des Einholens von Einwilligungen auf ihrer Website www.hs-rm.de zu beenden, da die Einbindung mit der rechtswidrigen Übermittlung von personenbezogener Daten der Webseitennutzer und damit insbesondere des Antragstellers einhergeht“.
Wieso hat das Gericht „Cookiebot” für nicht-DSGVO erklärt?
Das Gericht war überzeugt, dass weder die Überprüfung dessen, wo genau (in der USA oder doch in der EU) die Server standen, noch die Prüfung der vertraglichen Verbindung des Anbieters Cybot A/S (mit wem genau, mit Akamai Technologies GmbH, einer deutschen Gesellschaft, oder mit dem Mutterkonzern Akamai Inc.), notwendig seien. Die Tatsache, dass der Betreiber von den (betroffenen) Servern ein US-Unternehmen ist, sei ausreichend, um eine (unzulässige) Datenübermittlung in die USA anzunehmen. Die Unzulässigkeit beruhe indes darauf, dass alle US-amerikanische Anbieter elektronischer Kommunikations- oder Remote-Computing-Dienste dem sog. Cloud Act (Clarifying Lawful Overseas Use of Data Act) unterliegen, mithin verpflichtet sind, sämtliche in ihrem Besitz, Gewahrsam oder unter ihrer Kontrolle befindlichen Daten (unabhängig davon, wo (in den USA oder außerhalb) diese Daten erhoben oder gespeichert wurden) gegenüber autorisierten staatlichen Stellen der USA offen zu legen. Das widerspricht nämlich den Art. 7, 8, 11 und 52 Abs. 1 der EU-Grundrechtecharta und der Auslegung dieser Normen durch den EuGH, wonach behördliche Zugriffe auf Verkehrsdaten nur bei einem Verdacht schwerer Kriminalität gestattet sind und dem Vorbehalt des Richters oder einer unabhängigen Behörde unterliegen. Die US-amerikanische Gesetzeslage lässt dagegen den Anfangsverdacht jeglicher Straftat genügen. Das Gericht fand, dass die Hochschule als Verantwortlicher durch die Nutzung von Cookiebot personenbezogene Daten der Nutzer:innen der Gefahr unbefugter Zugriffe aussetze, was eine Verletzung der Vertraulichkeit gemäß Art. 32 Abs. 1 lit. b DSGVO darstelle.
Ist die Entscheidung des Gerichts nicht fraglich?
Doch. Die Entscheidung wirft einige praxisrelevanten Fragen auf:
Zunächst stellt sich die Frage, wie weit und tief eine Überprüfung des Anbieters einer Lösung gehen soll. Die Datenschutzerklärung der Hochschule meint, es werden lediglich gekürzte („anonymisierte“) IP-Adressen übermittelt. Die gleichen Informationen enthält ebenfalls die Datenschutzerklärung des Anbieters Cybot A/S: Als „Endnutzer-Daten“ werden u.a. „Die IP-Nummer des Endnutzers in anonymisierter Form (die letzten drei Ziffern werden auf ‚0’ gesetzt)“ gespeichert. Im Gerichtsverfahren stellte sich jedoch heraus, dass die Angaben nicht stimmen: Der Anbieter Cybot A/S hat selbst bestätigt, dass ungekürzte IP-Adressen verarbeitet werden. Nach der ständigen Rechtsprechung des EuGH stellt die IP-Adresse ein personenbezogenes Datum dar. Die vom VG Wiesbaden in dieser Entscheidung vertretene Auffassung läuft im Endeffekt darauf hinaus, dass kein Anwender von Consent Management Tools sich auf die Richtigkeit der Angaben in der Datenschutzerklärung des Anbieters verlassen kann und selbst untersuchen muss, welche Datenschutzmechanismen tatsächlich umgesetzt werden und welche lediglich angekündigt sind.
Hieraus ergibt sich eine nicht unbedeutende Frage nach der Reichweite einer solchen Untersuchungspflicht. Inwiefern ist es einem Anwender überhaupt zumutbar, die von ihm eingesetzten und als „DSGVO-konform“deklarierten Produkte zusätzlich darauf zu überprüfen, ob diese nicht doch unbemerkt rechtswidrig personenbezogene Daten weiterleiten. Im vorliegenden Fall wäre es zwar für die Hochschule durchaus einfach, denn der Nutzer hat sie ja auf die rechtswidrige Übermittlung von IP-Adressen hingewiesen. Grundsätzlich müssten jedoch die Grenzen der Zumutbarkeit identifiziert werden, da sonst die von der DSGVO auferlegten Pflichten de facto kaum erfüllbar sind.
Die zweite Frage bezieht sich auf den Begriff und Umfang des „Transfers“. Das Gericht macht sich die Annahme eines solchen relativ leicht: „Indem die verarbeiteten Daten, also auch die personenbezogenen Daten des Antragstellers, auf Servern von Akamai verarbeitet werden, findet u.a. eine Datenübermittlung in ein Drittland, nämlich die USA, nach Art. 44 DS-GVO statt“. Leider lässt sich der Entscheidungsbegründung nicht entnehmen, was die „Verarbeitung auf Servern von Akamai“ im Einzelnen bedeutet. Werden bestimmte Serverkapazitäten zur Verfügung gestellt? Werden eventuell bestimmte Server(räume) vermietet? Die Antwort darauf ist nicht nur deswegen wichtig, weil ein Datentransfer einer Zustimmung unterliegt, sondern auch deswegen, weil die US-amerikanischen Behörden (nur) solche Informationen verlangen können, die sich in Besitz, Gewahrsam oder Kontrolle („posession, custody or control“) des ebenfalls US-amerikanischen Unternehmens befinden (§ 2713, Title 18 U. S. C.). Welche Zugriffsmöglichkeiten auf diese Daten Akamai vorliegend hat(te), ist dementsprechend streitentscheidend.
Und was ist nicht fraglich?
Einige vom Gericht vorgenommenen Klarstellungen sind eindeutig zu begrüßen. So stellt das Gericht klar, dass eine gemeinsame Verantwortung des Anwenders und des Anbieters einer technischen Lösung, hier eines Consent Management Tools, vorliegt, weil die Hochschule sich für die Verwendung des Cookiebots entschieden hat, mithin über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten i.S.v. Art. 24, Art. 4 Ziff. 7 DSGVO bestimmt hat. Das ist auch richtig so, denn sonst würde eine „Abgabe“ der Verantwortung durch das Einschalten eines Tools bzw. eines Anbieters dazu führen, dass die gesamte DSGVO leerläuft.
Zu begrüßen ist ebenfalls ein rechtlich wohl unstrittiger Hinweis, dass eine Individualisierung bzw. Identifizierung i.S.d. DSGVO nicht nach dem Namen der betroffenen Person verlangen, sodass auch eine Identifizierung über einen gespeicherten Key in Verbindung mit der IP-Adresse den Personenbezug i.S.d. Art. 4 Nr. 1 DSGVO darstellt. Im Klartext bedeutet das, dass auch dort, wo andere Merkmale einer Person verarbeitet werden und der Name oder Gesicht überhaupt nicht auftauchen, die Einhaltung der DSGVO-Vorschriften ebenfalls notwendig ist. Ebenfalls unstrittig dürfte die auch in dieser Entscheidung bestätigte Notwendigkeit der Einholung einer informierten Zustimmung/Einwilligung betroffener Personen für einen Datentransfer in die USA sein.
Wie wirkt sich die Entscheidung auf Unternehmen aus?
Bislang scheint sich die Entscheidung nicht besonders verbreitet zu haben, auch wenn viele Internet-Ressourcen über die „Unzulässigkeit von Cookiebot“ berichteten. Sollte sich jedoch die vom Gericht im gerade die Nutzung US-amerikanischer Serveranbieter sowie deren europäischer Tochterunternehmen ist weit verbreitet. So dürften auch Großkonzerne wie etwa Amazon, Microsoft und Google etc. davon betroffen sein. Zwar wäre es grundsätzlich sehr zu begrüßen, wenn ein Datentransfer in die USA bzw. auf Server US-amerikanischer Unternehmen unnötig wird, jedoch ist gerade aus praktischer Sicht sehr fraglich, inwiefern eine (schnelle) Umstellung auf rein europäische Serverkapazitäten überhaupt praktisch machbar ist.
Auch die mit der Auswahl einer geeigneten (Software-)Lösung einhergehenden Unsicherheit hat das Urteil nicht gemildert: Wie viele andere Tools in diesem Bereich wird auch der „Cookiebot“ ausdrücklich als „DSGVO-konform“ beworben, und ein durchschnittlicher Webseitenbetreiber und Nutzer einer solchen gängigen Lösung wird sich in aller Regel darauf verlassen. Wie weit eine über das Lesen der Datenschutzerklärung hinausgehende Prüfpflicht hinsichtlich der Datenschutzrechtskonformität des Tools reicht, muss sich noch zeigen (und ggf. von den Aufsichtsbehörden aufgegriffen werden).
Was ist zu tun?
Zunächst könnte jedes Unternehmen die eigenen Transfers in die Drittstaaten überprüfen. Dann hat man zumindest die Information darüber, wo und weswegen ein solcher stattfindet. Inwiefern weitere Schritte notwendig sind, wird sich erst zeigen: Das hängt u.a. davon ab, ob die Entscheidung rechtskräftig wird. Wir bleiben dran.
Text: Olga Kunkel (Kompetenzzentrum IT-Wirtschaft, Datenschutz/ Recht)
Sie haben Fragen oder Anregungen? Dann lassen Sie es uns wissen. Wir stehen Ihnen gerne zur Verfügung!
