VG Wiesbaden: Cookie-Dienst Cookiebot verstößt gegen DSGVO

Die Verwendung des Cookie-Dienstes „Cookiebot“ verstößt gegen die Datenschutz-Grundverordnung (DSGVO). Das hat das Verwaltungsgericht Wiesbaden entschieden.

Bei dem Tool erfolge eine rechtswidrige Übermittlung personenbezogener Daten in die USA (VG Wiesbaden, Beschluss v. 1.12.2021, Az. 6 L 738/21.WI).

Die Hochschule RheinMain verwendete auf ihrer Internetseite die Dienste „G[…] Tag Manager“ und „Cookiebot“. Ersterer Dienst soll die Einbindung fremder Dienste und damit Code-Fragmente in eine Website erleichtern. „Cookiebot“ erlaubt nach eigenen Angaben, die Einwilligung der Nutzer einer Website in die Cookie-Verwendung einzuholen. Der Dienst überwacht eingesetzte Cookies und blockiert solche Cookies, für die keine Zustimmung erteilt wurde.

Übermittlung personenbezogener Daten in die USA

Der Antragsteller in dem Verfahren vor dem VG Wiesbaden erkundigte sich im Onlinekatalog der Hochschulbibliothek auf der Website regelmäßig über Fachliteratur. Er gab im Verfahren an, festgestellt zu haben, dass dabei seine personenbezogenen Daten in unzulässiger Weise an Dritte übermittelt würden. Der Antragsteller mahnte die Hochschule daraufhin ab und verlangte die Abgabe einer Unterlassungserklärung.

Individuelle Suchprofile und Browser-Fingerprinting

Der Antragsteller gab an, dass bei dem Dienst „G[…] Tag Manager“ seine IP-Adresse bei jedem Seitenaufruf an Server des Unternehmens G. übermittelt werde, ohne dass er darin eingewilligt habe. Daneben lese G. weitere Informationen über die Hard- und Software des Nutzer-Endgerätes aus und könne diese auswerten. Dies betreffe Informationen über aufgerufene Internetseiten, Betriebssystem und -version, Browsertyp und -version, die eingestellte Sprache und Farbzahl, die Art des Bildschirms und dessen Auflösung, die Unterstützung von Skriptsprachen sowie installierte Schriftarten von Plugins. Kombiniert ergebe sich aus diesen Informationen ein einmaliger Fingerabdruck des Nutzers. Damit könne G. auch Surfprofile erstellen.

Datenweitergabe bei Anfangsverdacht jeglicher Straftat möglich

Auch bei „Clickbot“, so der Antragsteller, würden diese Daten übermittelt. Die Zieldomain des Dienstes verweise jedoch auf einen Server mit einer IP-Adresse, die auf ein in den USA ansässiges Cloud-Hosting-Unternehmen registriert sei. Auch wenn sich der Server selbst möglicherweise außerhalb der EU befinde, habe das US-Unternehmen Zugriff darauf, so dass der US-amerikanische Cloud Act gelte. Nach diesem könnten US-Regierungsbehörden personenbezogene Daten bei US-Unternehmen einseitig anfordern, ohne Gerichtsbeschluss und ohne Rechtshilfeabkommen. Dies widerspreche den Art. 7, 8, 11 und 52 Abs. 1 der Charta der Grundrechte der Europäischen Union und der Auslegung dieser Normen durch den EuGH, argumentierte der Antragsteller. Danach sind behördliche Zugriffe auf Verkehrsdaten nämlich nur bei einem Verdacht schwerer Kriminalität gestattet und unterliegen dem Vorbehalt des Richters oder einer unabhängigen Behörde. Die Hochschule setze den Antragsgegner als Verantwortliche der Gefahr unbefugter Datenzugriffe aus. Dies stelle eine Verletzung der Vertraulichkeit nach Art. 32 Abs. 1 lit. b Datenschutz-Grundverordnung (DSG-VO) dar.

Rechtswidrige Übermittlung der ungekürzten IP-Adresse

Das VG Wiesbaden entschied, dass die Hochschule den Einsatz von „Clickbot“ zu beenden habe. Die Einbindung des Dienstes gehe einher „mit der rechtswidrigen Übermittlung von personenbezogener Daten der Webseitennutzer“. Zur Überzeugung des Gerichtes habe die Hochschule auf ihrer Webseite die IP-Adresse des Antragstellers, die ein personenbezogenes Datum darstelle, ungekürzt gespeichert und verarbeitet. Dies ergebe sich aus den Angaben des „Clickbot“-Anbieters sowie dem Auftragsverarbeitungsvertrag zwischen dem „Clickbot“-Anbieter und dessen Cloud-Host in den USA. Dieser beinhalte die Regelung, dass der Cloud-Host in den USA personenbezogene Daten verarbeitet, die in Protokolldateien gespeichert werden. Zu den Daten gehörten „unter anderem die IP-Adresse der Endbenutzer, die URLs der besuchten Websites mit Zeitstempeln mit zugehöriger IP-Adresse, der geografische Standort basierend auf der IP-Adresse sowie Telemetriedaten“, so der Beschluss. Es seien „personenbezogene Daten des Antragstellers in unsichere Drittländer übermittelt“ worden, wo das „spätere Auffinden und Löschen dieser Daten unmöglich sei“.

Öffentlich-rechtlicher Unterlassungsanspruch gegeben

Da der Einsatz des Dienstes im Rahmen der Öffentlichkeitsarbeit der Hochschule nach § 12 Abs. 5 S. 4, Abs. 6 S. 1 des Hessischen Hochschulgesetzes erfolgte, sah das Gericht darin eine hoheitliche Maßnahme. Dem Antragsteller stehe deshalb ein öffentlich-rechtlicher Unterlassungsanspruch gemäß § 1004 BGB analog i. V. m. Art. 79 Abs. 1 und Art. 5 Abs. 1 lit. a DS-GVO zu.

Der Beschluss aus Hessen dürfte für einige Webseitenbetreiber überraschend gekommen sein. Er dürfte dazu führen, dass einige ihren Internetauftritt noch einmal auf Herz und Nieren prüfen müssen, was die Konformität mit europäischem Datenschutzrecht anbelangt. Die Hochschule RheinMain setzte „Cookiebot“ bei Reaktionsschluss dieses Beitrags jedenfalls noch auf ihrer Webseite ein. Gegen den Beschluss des VG Wiesbaden konnte die Hochschule Beschwerde vor dem Hessischen Verwaltungsgerichtshof erheben. Der Beschluss war also noch nicht rechtskräftig.

Update: Nutzung der Cookiebot CMP weiterhin erlaubt

Inzwischen wurde die einstweilige Anordnung des Verwaltungsgerichts Wiesbaden endgültig aufgehoben. Die staatliche Hochschule RheinMain darf den Dienst Cookiebot weiterhin auf ihrer Website nutzen. Das hat der Hessische Verwaltungsgerichtshof am 17. 1. 2022 entschieden (Hessischer VGH, Beschluss v. 17. 1. 2022, Az. 10 B 2486/21).