"Cloud-Act"-Übermittlung eines Cookie-Dienstes verstößt gegen Datenschutzrecht

von Carl Christian Müller

Die Hochschule RheinMain darf auf ihrer Webseite keinen Cookie-Dienst nutzen, der die vollständige IP-Adresse der Endnutzer auf Servern eines Unternehmens, dessen Unternehmenszentrale sich in den USA befinde, übermittelt. Dies hat das Verwaltungsgericht (VG) Wiesbaden mit Beschluss vom 01.12.2021 entschieden (Az. 6 L 738/21.WI).

Foto: peshkov/AdobeFotostock

Hochschule verwendet Cookie-Dienst

Gegenstand des Eilverfahrens vor dem VG Wiesbaden ist das Begehren des Antragstellers, es der Hochschule RheinMain zu untersagen, auf ihrer Webseite www.hs-rm.de einen Cookie-Hinweis einzubinden. Dieser Dienst ermöglicht es, die Einwilligung der Nutzer einer Webseite in die Cookie-Verwendung einzuholen. Der Dienst überwacht die eingesetzten Cookies und blockiert solche Cookies, für die eine Zustimmung nicht erteilt wurde.

Das VG Wiesbaden hat dem Antrag stattgegeben und der Hochschule RheinMain im Wege der einstweiligen Anordnung untersagt, diesen Cookie-Dienst auf ihrer Website zum Zweck des Einholens von Einwilligungen in der Weise einzubinden, dass personenbezogene oder -beziehbare Daten des Antragstellers (einschließlich dessen IP-Adresse) an Server übermittelt werden, die von einem externen Unternehmen betrieben werden.

 

Datenübermittlung ist rechtswidrig

Die Hochschule sei verpflichtet, die Einbindung des Cookie-Dienstes auf ihrer Webseite zu beenden, da diese mit der rechtswidrigen Übermittlung personenbezogener Daten der Webseitennutzer und damit insbesondere des Antragstellers einhergehe.

Es lägen personenbezogene Daten vor. Aus einer Kombination eines den Webseiten-Besucher identifizierenden Keys, der im Browser des Nutzers gespeichert werde, und der übermittelten vollständigen IP-Adresse sei der Endnutzer eindeutig identifizierbar.

 

Datentransfers in die USA

Der Cookie-Dienst verarbeite die vollständige IP-Adresse der Endnutzer auf Servern eines Unternehmens, dessen Unternehmenszentrale sich in den USA befinde. Hierdurch entstehe ein Drittland-Bezug, nämlich zu den USA, welcher im Hinblick auf die sog. Schrems II-Entscheidung des Europäischen Gerichtshofs so unzulässig sei (Zudem: EuGH erklärt Privacy Shield für ungültig). Die Nutzer der Webseite der Hochschule würden nicht um ihre Einwilligung für eine Datenübermittlung in die USA gebeten werden. Es fände auch keine Unterrichtung über die mit der Übermittlung verbundenen möglichen Risiken durch den sog. Cloud-Act statt. Eine solche Datenübermittlung sei auch nicht für das Betreiben der Webseite der Hochschule erforderlich.

 

Hochschule ist verantwortliche Stelle

Zwar übermittle nicht die Hochschule selbst die Daten in die USA. Sie sei aber dennoch die für die Datenübermittlung verantwortliche Stelle. Sie entscheide durch das Einbinden auf ihrer Webseite darüber, dass die Erhebung und Übermittlung durch den Cookie-Dienst erfolge. Sie entscheide auch mittelbar über den Zweck der Verarbeitung, da sie in Kenntnis der Zwecke, die der eingebundene Dienst angebe, sich für oder gegen die Verwendung entscheiden könne. Hiergegen spreche auch nicht, dass sie für nachfolgende Vorgänge, wie der Verwendung der Daten durch den Dienst, nicht mehr verantwortlich sei.

Gegen den Beschluss kann die Antragsgegnerin binnen zwei Wochen Beschwerde erheben, über die der Hessische Verwaltungsgerichtshof in Kassel zu entscheiden hätte.

Quelle: Pressemitteilung des VG Wiesbaden vom 6. Dezember 2021

Unser Beratungsangebot für Sie:

    Für Webseitenbetreiber, Online-Händler und andere Unternehmen sind die neuen Bestimmungen der Datenschutz-Grundverordnung eine große Herausforderung. Lassen Sie sich bei der Umsetzung unterstützen und profitieren auch Sie von unseren Erfahrungswerten. Wir beraten bundesweit.

  • Alle wichtigen Änderungen zur DSGVO.
  • Vermeiden Sie Abmahnungen und Bußgelder.
  • Wir prüfen Ihr Online-Angebot und sichern Ihr Unternehmen gegen Abmahnungen ab.
  • Profitieren Sie von unserem Webseiten-Audit.