Datenschutz: Zulässigkeit von Einwilligungsmanagern bei Cookies

Am 01.12.2021 entschied das VG Wiesbaden in einem Eilverfahren über die Zulässigkeit eines sog. Einwilligungsmanagers im Rahmen der Setzung von Cookies. Dieser Beschluss bot auch Anlass für das VG, über den Einsatz von Cookies und Bots in datenschutzrechtlicher Hinsicht generell etwas zu sagen.

Unter folgendem Link ist das Urteil des VG Wiesbaden frei abrufbar: https://rewis.io/urteile/urteil/2tj-01-12-2021-6-l-73821wi/

Worum es ging bei dem Einwilligungsmanager - Cookie-Dienstleister

In dem Beschluss des VG Wiesbaden vom 01.12.2021 (Az.: 6 L 738/21.WI) das Gericht die Verwendung des dänischen Einwilligungsmanagers „Cookie-Dienstleister“ im Eilverfahren für unzulässig. Dieser Dienst wurde von einer öffentlich-rechtlichen Hochschule in Hessen genutzt und ermöglicht es, „die Einwilligung der Nutzer einer Website in die Cookie-Verwendung einzuholen. Der Dienst überwacht die eingesetzten Cookies und blockiert solche Cookies, für die eine Zustimmung nicht erteilt wurde.“

Der Dienst speichert und verarbeitet unter anderem die (ungekürzte) IP-Adresse des Nutzers, der die Website der Hochschule aufrief, sowie weitere Informationen über die Hard- und Software, die einen einmaligen digitalen Fingerabdruck des Nutzers (Rn. 6, 36) ermöglichen und übermittelt diese Daten an ein Cloud-Hosting-Unternehmen in den USA. Dieses unterliegt dem dort geltenden Cloud-Act, wonach US-amerikanische Behörden Zugriff auf personenbezogene Daten haben, die von US-amerikanischen Firmen außerhalb der Staaten gespeichert werden (Rn. 41).

Die Entscheidung vor dem VG Wiesbaden zum Cookie-Dienst

Die Beurteilung der Datenschutzkonformität des „Google Tag Managers“, „der die Einbindung anderer Code-Fragmente und damit anderer Dienste in eine Website erleichtern soll“ (Rn. 4) wurde vom VG Wiesbaden nicht vorgenommen, da das Verfahren insoweit wegen übereinstimmender Erledigungserklärung eingestellt wurde.

In dem Beschluss bezüglich der Einbindung von Cookie-Dienstleister bejahte das VG sowohl den Anordnungsanspruch als auch den Anordnungsgrund.

Zunächst folgert das VG aus Art. 79 I DSGVO, der der betroffenen Person das Recht auf einen wirksamen gerichtlichen Rechtsbehelf zuspricht, dass sich die möglichen Rechtsbehelfe nicht auf die DSGVO beschränken (Rn. 31, 32). Auch der öffentlich-rechtliche Unterlassungsanspruch, wie vom Antragsteller geltend gemacht, zur Abwehr von Datenschutzverletzungen ist statthaft.

In der Folge bejaht das VG das Vorliegen personenbezogener Daten (Rn. 37, 38) und stellt fest, dass mit der Übermittlung der Daten in die USA eine rechtswidrige Übermittlung in ein datenschutzrechtliches Drittland vorliegt (Rn. 39 ff.). Die Verantwortlichkeit der Antragsgegnerin für die Datenverarbeitung wurde ebenfalls bejaht. Auch das Setzen eines sog. Cookie-Keys mit einer anonymen ID stellt eine datenschutzrechtlich relevante Datenverarbeitung dar, wenn trotz der Anonymität mit der Verknüpfung mit anderen Daten eine eindeutige Identifizierung des Nutzers möglich ist.

Aus diesen Gründen erklärte das VG den Antrag auf einstweiligen Rechtsschutz für begründet und legte den Streitwert auf 5.000 EUR fest.

Bedeutung für den Einsatz von Cookies und Bots

Ungekürzte IP-Adresse als personenbezogenes Datum

Das VG stellte fest, dass die ungekürzte IP-Adresse ein personenbezogenes Datum ist, da hierdurch die genaue Identifizierung des Nutzers ermöglicht wird. Damit folgt das VG der herrschenden Rechtsprechung und Literatur.

So heißt es in Rn. 38 des Beschlusses:

„Die ungekürzte IP-Adresse stellt auch ein personenbezogenes Datum dar, denn die IP-Adresse ermöglicht die genaue Identifizierung der Nutzer […]. Zwar wird in der Mitteilung durch Cybot behauptet, dass Akamai keine personenbezogenen Daten der Endnutzer speichere oder verarbeite. Dem steht jedoch entgegen, dass, wie oben dargelegt, die vollständige IP-Adresse der Endnutzer verarbeitet wird.“

Für den Einsatz von Cookies und Bots folgt daraus, dass der Anwendungsbereich der DSGVO eröffnet ist, wenn diese die IP-Adresse des Nutzers speichern unter der Voraussetzung, dass mithilfe dieser die Identifizierung möglich ist. Dies ist im Regelfall sowohl für die ungekürzte als auch für die dynamische gekürzte IP-Adresse der Fall. Speichern Cookies also die IP-Adresse des Nutzers, muss sich der Verwender an die Vorgaben der DSGVO halten, insbesondere die Grundsätze der Einwilligung (Art. 7, 8 DSGV) und die entsprechende Rechtsprechung des EuGH zur Einbindung von Cookie-Bannern (z.B. EuGH, Urteil vom 1.10.2019 – C-673/17).

Übermittlung der Daten an US-amerikanische Firmen

Wer in Zusammenarbeit mit einem US-amerikanischen Unternehmen oder einem Unternehmen, das die Daten an ein US-amerikanisches Unternehmen weiterleitet (wie im entschiedenen Fall), muss beachten, dass diese Übermittlung im Regelfall an den Art. 44 ff. DSGVO scheitert. Mangels Übereinkunft, die eine Datenübermittlung iSv. Art. 48 DSGVO regelt, muss eine der Bedingungen in Art. 49 DSGVO erfüllt sein, damit die Datenübermittlung zulässig ist.

Dass dies nicht der Fall ist, führt das VG in Rn. 43 des Beschlusses aus:

„Ein Nutzer der Webseite www.hs-rm.de wird unstreitig nicht um seine Einwilligung für die Übermittlung in die USA gebeten und auch nicht über die damit verbundenen möglichen Risiken unterrichtet (Art. 49 Abs. 1 S. 1 lit. a) DS-GVO). Die Übermittlung ist auch nicht aus wichtigen Gründen des öffentlichen Interesses notwendig (Art. 49 Abs. 1 S. 1 lit. d) DS-GVO). Unabhängig davon, ob die Öffentlichkeitsarbeit der Antragsgegnerin ein solches öffentliches Interesse darstellt, ist hierfür jedenfalls eine Datenübermittlung in die USA nicht erforderlich. Die übrigen der möglichen Bedingungen des Art. 49 Abs. 1 S. 1 DS-GVO sind offenkundig ebenfalls nicht einschlägig.“

Für die Verwendung von Cookies bedeutet dies folgendes: Die Einbindung von Dienstleistern, die aus den USA kommen oder die personenbezogenen Daten in die USA übermitteln, ist nicht zulässig, sofern nicht insbesondere eine eindeutige Einwilligung iSd. Art. 49 I 1 lit. a DSGVO vorliegt. Aufgrund des Cloud-Acts genügt es dabei schon, wenn die Daten nicht in die USA selbst übermittelt werden, aber an ein US-amerikanisches Unternehmen, selbst wenn die Verarbeitung im Ausland stattfindet (s.o.). Bei der Einbindung von Dritt-Dienstleistern beim Einsatz von Cookies ist daher stets zu beachten, wer letztlich Teil der Datenverarbeitung wird.

Verantwortlichkeit für Einwilligungsmanagern bei der Nutzung von Cookies

Die Verwendung von Einwilligungsmanagern wie dem Vorliegenden „Cookie-Dienstleister“ entbindet den Webseitenbetreiber nicht von seiner datenschutzrechtlichen Verantwortlichkeit. Nach dem VG entscheidet der Webseitenbetreiber allein, ob er das Tool einsetzt oder nicht. Er trifft somit die Entscheidung über das „Ob“ der Datenerhebung und Übermittlung. Was mit den übermittelten Daten geschieht, entzieht sich der Verantwortung des Webseitenbetreibers, ändert aber nichts an der ursprünglich begründeten Verantwortlichkeit. Die Frage, ob der Anbieter des Tools selbst verantwortlich ist und insoweit gemeinsame Verantwortlichkeit besteht, ist unerheblich, da sie an der Verantwortlichkeit des Webseitenbetreibers nichts ändert.

So führt das VG in Rn. 44 aus:

„Demnach ist Verantwortlicher die Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Dies ist vorliegend der Fall. Indem die Antragsgegnerin sich dafür entscheidet, den Dienst „Cookie-Dienstleister“ auf ihrer Webseite einzusetzen, entscheidet sie jedenfalls über die Mittel der Datenverarbeitung. Denn allein indem sie den Dienst auf ihre Webseite einbindet, entscheidet sie darüber, dass die Erhebung und Übermittlung der personenbezogenen Daten der Webseitennutzer, die auch auf den Servern von Akamai stattfinden, erfolgt.“

Für den Einsatz von Cookies und Bots folgt daraus, dass allein schon die Entscheidung, ob man derartige Einwilligungsmanager benutzt, die eigene datenschutzrechtliche Verantwortlichkeit begründet, da man über das Mittel der Datenverarbeitung entscheidet. Was mit den übermittelten Daten dann geschieht, entzieht sich ggf. aber der Verantwortlichkeit.

Folglich liegt also schon in der Entscheidung zum Einsatz eines solchen Tools die Begründung der datenschutzrechtlichen Verantwortlichkeit nach Art. 24 DSGVO mit den daraus folgenden Verpflichtungen.

Verwendung eines Cookie-Key

Auch die Verwendung eines sog. Cookie-Keys kann unter Umständen eine Verarbeitung personenbezogener Daten darstellen.

Ein solcher enthält vor allem die getroffene Auswahl des Nutzers für bestimmte Cookies, aber auch die Uhrzeit der Bestätigung und die geografische Region, aus der der Nutzer stammt. Der persönliche Key kann anonym sein oder nicht anonym, da er die Wiedererkennung des Nutzers auf der bestimmten Website bei späteren Besuchen ermöglichen und die getroffenen Cookie-Einstellungen durchführen soll (Rn. 48).

Wird der Cookie-Key unter Nutzung einer ID („Key“) übermittelt, die den Nutzer eindeutig identifiziert (z.B. IP-Adresse), liegt ohne weiteres eine Verarbeitung personenbezogener Daten vor und der Anwendungsbereich der DSGVO ist eröffnet.

Ist die ID jedoch anonym (im entschiedenen Fall eine beliebige Kombination aus Buchstaben, Zahlen und Zeichen), ist eine Identifizierung zunächst nicht ohne weiteres möglich. Wird jedoch dieser Cookie-Key zusammen mit der IP-Adresse übermittelt, ist die Identifizierung möglich, und eine Verarbeitung personenbezogener Daten liegt auch in der Setzung des Cookie-Keys.

So heißt es in Rn. 48 des Beschlusses:

„Der Key kann demnach eindeutig dem Webseiten-Nutzer und dessen Cookie-Präferenzen zugeordnet werden, anderenfalls könnte der Dienst den Webseiten-Nutzer und seine ehemals angegebenen Cookie-Präferenzen nicht in Verbindung bringen. Gemeinsam mit der ebenfalls übermittelten (siehe oben) ungekürzten IP-Adresse des Webseiten-Nutzers ist dieser durch Cookie-Dienstleister damit eindeutig identifizierbar. Der Key mag insofern „anonym“ sein, als er nicht mit dem Namen des Endnutzers in Verbindung gebracht werden kann. Eine Individualisierung mithilfe der übrigen vorhandenen Daten über den Endnutzer schließt dies aber nicht aus, weil der Nutzer aufgrund der Speicherung des Keys identifiziert werden kann, auch wenn sein Name nicht bekannt ist. Mithin handelt es sich um ein personenbeziehbares Datum.“

Unser Fatzit zur Verwendung von Cookies

Wer einen solchen Cookie-Key setzt muss – um dem Anwendungsbereich der DSGVO zu entgehen – sicherstellen, dass der Key zur Wiedererkennung des Nutzers erstens anonym ist und zweitens auch nicht in Verbindung mit anderen Daten (insbesondere der IP-Adresse) eine eindeutige Identifizierung des Nutzers ermöglicht.