Verwaltungsgericht untersagt Nutzung von Consent-Management-Plattform „Cookiebot“ mit weitreichenden Folgen für den internationalen Datentransfer

Das Verwaltungsgericht Wiesbaden hat per Beschluss vom 1. Dezember 2021 im Eilverfahren der Hochschule RheinMain die Verwendung der Consent-Management-Plattform „Cookiebot“ untersagt, die von vielen Tausend Unternehmen in Deutschland verwendet wird. Die Begründung des Beschlusses lässt erkennen, dass damit auch alle anderen Cloud-Dienste von US-Providern wie Google, Microsoft, Amazon oder Salesforce aus Sicht des Gerichtes nicht rechtskonform genutzt werden können, selbst wenn diese auf Servern innerhalb der EU betrieben werden. Damit liegt nun – nach der Schrems-II-Entscheidung des EuGH im Juli 2020 – die wohl erste Entscheidung eines deutschen Gerichtes zur Nutzung von US-Cloud-Diensten vor, die auf EU-Servern betrieben werden.

Was ist passiert?

Am 6. Dezember 2021 wurde von der Pressestelle des Verwaltungsgerichts Wiesbaden mitgeteilt, dass bereits am 1. Dezember 2021 zum Az. 6 L 738/21.WI in einem Eilverfahren der Hochschule RheinMain untersagt wurde, auf der Website www.hs-rm.de weiterhin die Consent-Management-Plattform „Cookiebot“ zur Einholung von Einwilligungen einzusetzen. Zur Begründung wurde angeführt, Cookiebot erhebe von den Nutzern der jeweiligen Webseiten auch personenbezogene Daten wie die vollständige IP-Adresse und speichere diese u. a. auf EU-Servern der Firma Akamai Technologies, die ihren Hauptsitz in den USA habe. Damit riskiere sie jedoch den unbefugten Datenzugriff durch US-Behörden auf Grundlage des US-Cloud-Act.

Der Betreiber von Cookiebot, die Firma Cybot A/S aus Dänemark, hostet seine Systeme laut seiner Datenschutzerklärung auf Servern der Microsoft Ireland Operations Ltd. und war erst im September 2021 mit der deutschen Firma Usercentrics GmbH fusioniert, die laut eigenen Angaben ihre Systeme in der Google Cloud mit Serverstandort Frankfurt/Main und Belgien betreibt, also ebenfalls bei einem US-Provider. Der obigen Entscheidung lässt sich weiterhin entnehmen, dass auch EU-Server der Firma Akamai Technologies technisch eingebunden werden, die allerdings als Betreiber eines Content-Delivery-Networks möglicherweise vorrangig dem TKG unterliegen, was vom Gericht jedoch offenbar nicht berücksichtigt wurde.

Die US-Gesetzgebung bietet seit dem 23. März 2018 mit dem Clarifying Lawful Overseas Use of Data Act („Cloud-Act“) die Möglichkeit des Datenzugriffs für US-Behörden auf Server von US-Unternehmen, auch wenn diese außerhalb der USA von Tochterunternehmen betrieben werden. Im Zweifel sind US-Provider wie Microsoft, Google, Akamai oder Amazon daher gesetzlich verpflichtet, auch personenbezogene Daten von EU-Bürgern auf Anfrage an US-Behörden herauszugeben. Eine ausführliche Einschätzung zum US-Cloud-Act mit Handlungsempfehlungen haben wir im Auftrag der Ionos SE erstellt; diese kann kostenlos unter diesem Link bestellt und heruntergeladen werden.

Das Verwaltungsgericht Wiesbaden sah nun in diesem möglichen Zugriff von US-Behörden eine Datenschutzverletzung, denn die Nutzer würden im Hinblick auf diesen Datentransfer nicht zu einer gesonderten Einwilligung aufgefordert werden und auch die Datenschutzhinweise von Cookiebot würden über einen solchen Datentransfer nicht ausreichend informieren. Hierdurch seien die Vorschriften der Art. 6 und Art. 13 DSGVO verletzt. Offen ist, ob die Firma Cybot A/S mit Akamai und Microsoft die Anwendung der seit Juni 2021 neu aufgelegten EU-Standardvertragsklauseln vereinbart hatte. Dies würde jedoch für den Datenzugriff durch US-Behörden ohnehin keine Rolle spielen.

Das Argument des möglichen US-Behördenzugriffs ist jedoch beliebig auszuweiten. Denn auch Google Cloud, Amazon AWS, Salesforce oder Web-Anwendungen wie Confluence, Jira oder Dropbox laufen auf Servern von US-Providern, teilweise innerhalb der EU. Insoweit müsste man in konsequenter Anwendung der Entscheidung des VG Wiesbaden sämtlichen öffentlichen Körperschaften und Privatunternehmen innerhalb Deutschlands die Verwendung von Cloud-Applikationen der US-Provider untersagen.

Gegen den Beschluss vom 1. Dezember 2021  kann die Hochschule RheinMain innerhalb von zwei Wochen Beschwerde einlegen, die vom Hessischen Verwaltungsgerichtshof zu entscheiden wäre. Wir gehen davon aus, dass genau dies geschehen wird, denn das Web-Tool Cookiebot wurde von der Hochschule bis heute (8. Dezember 2021) nicht von der Website genommen. Offen ist, ob sich die Aufsichtsbehörden nach diesem Gerichtsbeschluss neu positionieren werden, die zuletzt ebenfalls umfangreiche Kontrollmaßnahmen angekündigt hatten.

Was ist zu tun?

In einem ersten Schritt sollen Unternehmen nun prüfen, ob sie auf der eigenen Website möglicherweise ebenfalls das Web-Tool Cookiebot einsetzen. Cookiebot ist gerade bei deutschen Unternehmen sehr weit verbreitet, da ausdrücklich mit DSGVO-Compliance geworben wird. Soweit Sie Cookiebot einsetzen, sollten Sie nach der nun vorliegenden Entscheidung des VG Wiesbaden überlegen, ob Alternativen bestehen, die auf Servern gehostet werden, die ausschließlich im Zugriffbereich von EU-Unternehmen liegen, also keinen US-Bezug aufweisen.

Im Hinblick auf andere Cloud-Anwendungen von US-Providern gibt es zunächst keine Indikation für unmittelbare Maßnahmen von Aufsichtsbehörden oder ähnliche Gerichtsentscheidungen. Hier gelten unsere bisherigen Empfehlungen: Zwar besteht derzeit aufgrund der Schrems-II-Entscheidung des EuGH Rechtsunsicherheit. Allerdings können Unternehmen aus unsere Sicht im Einklang mit den Empfehlungen der Aufsichtsbehörden unter Anwendung eines Data-Transfer-Impact-Assessments, der neuen EU-Standardvertragsklauseln und ergänzenden, technischen Schutzmaßnahmen (wie etwa Verschlüsselung) durchaus Rechtskonformität bei Inanspruchnahme von Cloud-Diensten der US-Provider herstellen. Dies ist der Universität RheinMain im vorliegenden Fall allerdings nicht gelungen.

Update

Der Beschluss wurde Ende Januar 2022 vom Hessischen Verwaltungsgerichtshof wieder aufgehoben. Es läuft nun das Hauptverfahren, dessen Ausgang offen ist.