Daten in die USA: Hochschule RheinMain darf Cookiebot vorläufig weiter nutzen
Ein Urteil des Verwaltungsgerichts Wiesbaden aus dem Dezember zu US-Cookies hat hohe Wellen geschlagen. Nun ist es ausgesetzt.
(Bild: dpa, Mascha Brichta/Symbolbild)
- Arnd Böken
Die staatliche Hochschule RheinMain darf den Dienst Cookiebot doch auf ihrer Website nutzen. Das hat der Verwaltungsgerichtshof Kassel aus formalen Gründen entschieden. Im Dezember hatte das Verwaltungsgericht Wiesbaden der Hochschule per einstweiliger Anordnung verboten, den Dienst einzusetzen. Der damit verbundene Transfer von Daten in die USA sei rechtswidrig. Dagegen hat die Hochschule Beschwerde eingelegt – vorerst mit Erfolg. Der Streit geht aber weiter.
Wie alles anfing: Die Hochschule RheinMain nutzt auf ihrer Website den Dienst Cookiebot des dänischen Anbieters Cybot, um Einwilligungen zum Setzen von Cookies einzuholen. Ein Websitebesucher, der in dem Online-Katalog der Hochschule regelmäßig nach Fachliteratur sucht, beanstandete dies, und verlangte, den Dienst Cookiebot nicht weiter in die Website einzubinden.
Der Grund: Durch den Dienst wird seine IP-Adresse an einen Cloud-Anbieter mit Sitz in den USA übermittelt. Diesen Daten-Export in die USA hält der Nutzer für rechtswidrig, weil die USA keinen mit EU-Standards vergleichbaren Datenschutz bieten.
Export von Daten in die USA
Das Verwaltungsgericht gab dem Antrag statt; der Hochschule untersagte das Gericht den Einsatz des Cookiebot vorläufig (VG Wiesbaden Az. 6 L 738/21) mittels einstweiliger Anordnung. Die Hochschule sei für die Übertragung der IP-Adressen in die USA verantwortlich, da sie die Website betreibe. Dieser Export sei nach Art. 44 DSGVO rechtswidrig. Dabei hat sich das Verwaltungsgericht im Wesentlichen darauf gestützt, dass die Hochschule keine Einwilligung der Website-Besucher für den Datenexport einhole.
Dieses Verfahren hat große Bedeutung für eine Vielzahl von Websites. Viele Betreiber nutzen Cookie-Consent-Dienste oder auch andere Dienste auf ihren Websites, bei denen IP-Adressen und andere personenbezogene Daten in die USA gelangen können.
Das Nutzungsverbot per Anordnung im einstweiligen Rechtsschutz ist nun erstmal vom Tisch. Das ist auch richtig so. Fragen zur Nutzung von Consent-Management-Plattformen haben eine weitreichende Bedeutung und sind komplex. Hierfür ist das gerichtliche Hauptsacheverfahren besser geeignet als der einstweilige Rechtsschutz. Hier wird entschieden, ob die Nutzung des Dienstes Cookiebot durch die Hochschule zulässig ist.
Der Datenexport in die USA ist im Moment eins der wichtigsten Themen für Websitebetreiber. Die deutschen Datenschutzbehörden haben im Dezember 2021 dazu die Orientierungshilfe Telemedien veröffentlicht. Die Behörden stehen dem Export von IP-Adressen und anderen personenbezogenen Daten in die USA äußerst kritisch gegenüber, und betonen, eine Einbindung solcher Dienste in Webseiten sei nur zulässig, wenn die Rechtmäßigkeit des Datenexports zuvor geprüft worden sei.
Dabei sind die Behörden noch strenger als das Verwaltungsgericht Wiesbaden. Das Verwaltungsgericht Wiesbaden hatte sich bei dem einstweiligen Verbot im Dezember im Wesentlichen darauf gestützt, der Webseitenbetreiber hole keine Einwilligung in den Export ein. Das Gericht war der Ansicht, die Daten hätten in die USA übermittelt werden dürfen, hätten die Website-Besucher zuvor eingewilligt. In der Praxis ist dies wichtig: Viele Websites holen zusammen mit der Einwilligung in das Setzen von Cookies auch die Einwilligung zum Datenexport ein.
Die Datenschutzbehörden sehen das anders – sie sind der Meinung, solche Einwilligungen in den Datenexport seien unwirksam, der Export der Daten bleibe rechtswidrig. Die Rechtsansicht der Behörden dürfte aber nicht zutreffend sein. Der Website-Besucher ist mündig und kann darüber entscheiden, was mit seinen Daten geschehen soll. Die Ansicht zeigt aber, wie streng der Maßstab der Behörden ist.
Die Entscheidungen der Gerichte in Wiesbaden und Kassel sowie die Orientierungshilfe der Behörden zeigen: Datenexport ist derzeit ein brisantes Thema. Wer eine Website mit Cookies betreibt, muss sich genau ansehen, welche Dienste er einbindet und wie diese Dienste mit den Daten der Website-Besucher umgehen. Vor allem, ob sie diese Daten auch außerhalb Europas exportieren und ob die rechtlichen Voraussetzungen für den Export vorliegen.
Der Streit um Cookiebot geht weiter
Wie der juristische Branchendienst JUVE nun berichtet, hat die Hochschule RheinMain Beschwerde zum Verwaltungsgerichtshof (VGH) Kassel eingelegt. Auf diese Beschwerde hat der VGH im Januar 2022 die einstweilige Anordnung des VG Wiesbaden aufgehoben (Az. 10 B 2486/21), weil er keinen Bedarf zur Eile sieht. Zudem seien die schwierigen Rechtsfragen nicht im Eilverfahren sondern in einem Hauptsacheverfahren zu beantworten. Damit darf die Hochschule den Dienst Cookiebot zunächst weiternutzen.
Das Landgericht München hat in einem aktuellen Urteil noch auf einen weiteren Aspekt hingewiesen. Hier ging es darum, dass ein Website-Betreiber Google Fonts nutzte und beim Aufruf der Google-Server die IP-Adressen der Website-Besucher an Google übermittelt werden. Das ist nach Ansicht des Landgerichts rechtswidrig, da es keine Rechtsgrundlage für die Übermittlung gibt. Daher hat das Landgericht den Betreiber der Website zu einem Schadensersatz von 100 Euro verurteilt (Az. 3 O 17493/20). Das Urteil ist noch nicht rechtskräftig. 100 Euro klingt auch nicht viel – wenn aber alle Besucher einer Website klagen, können schnell hohe Beträge zusammenkommen.
Siehe dazu auch:
(ur)
