Dürfen deutsche Websites noch US-Cookies setzen?

Von David Pfahler, Partner bei Steger & Pfahler, und Patrick Mohr, Mitbegründer und Managing Partner von Mohr Stade

Ein Beschluss des Verwaltungsgerichts Wiesbaden zum Einsatz von Cookies auf der Website der staatlichen Hochschule RheinMain (Az. 6 L 738/21.WI vom 1.12.2021) lässt aktuell bei vielen Datenschutzbeauftragten und Online-Marketing-Verantwortlichen die Alarmglocken schrillen. Doch was hat es damit auf sich und was sollten Verantwortliche jetzt tun?

Bei der Entscheidung geht es um das Verbot des Einsatzes der Consent Management Lösung Cookiebot, die vom dänischen Anbieter Cybot herausgegeben wird. Diese sogenannte Consent-Management-Plattform (CMP) dient dazu, die Zustimmung der Nutzer zum Einsatz weiterer Cookies einzuholen. Dazu erscheint auf der Website ein sogenanntes Consent-Banner mit Informationen, welche Cookies zu welchen Zwecken die Website setzen möchte.

Das Banner wird über das Content Delivery Netzwerk (CDN) Akamai an den Browser der Webseitenbesucher ausgeliefert und die vom Nutzer getroffenen Cookie-Einstellungen in einem "Cookie-Key" gespeichert. Dabei wurde laut Antragsteller seine IP-Adresse unverschlüsselt an diesen Service übertragen. Das Problem dabei: Obwohl im konkreten Fall die deutsche Tochtergesellschaft von Akamai tätig war, sitzt das Mutterunternehmen in den USA und ist aufgrund des Cloud Acts verpflichtet, US-Behörden Abfragemöglichkeiten zu Daten zu gewähren, die auf ihren internationalen Servern gespeichert sind. Aufgrund der Schrems-II-Entscheidung des Europäischen Gerichtshofs (EuGH) ist damit das Datenschutzniveau für eine Übertragung personenbeziehbarer Daten in die USA aus Sicht des Gerichts nicht gewährleistet.

Die 6. Kammer des VG Wiesbaden sieht den Unterlassungsanspruch der Klägerin als begründet an und verkündet in ihrem Beschluss, die Hochschule sei verpflichtet, die Einbindung des Dienstes "Cookiebot“ auf ihrer Webseite zu beenden, da diese mit der rechtswidrigen Übermittlung personenbezogener Daten der Webseiten-Besucher und damit insbesondere des Antragstellers einhergeht. Es lägen personenbezogene Daten vor. Aus einer Kombination eines den Webseiten-Besucher identifizierenden Keys, der im Browser des Nutzers gespeichert werde, und der übermittelten vollständigen IP-Adresse sei der Endnutzer eindeutig identifizierbar.

Zuvor hatte der Kläger auch gegen den Einsatz des Google Tag Managers geklagt, dieser wurde jedoch einen Tag vor Antragstellung von der Beklagten von der Website entfernt, sodass der Antragsteller dies für erledigt erklärte.

Zunächst einmal handelt es sich um den Beschluss eines Verwaltungsgerichts im einstweiligen Rechtsschutz und damit nicht um ein höchstrichterliches Urteil. Die Entscheidung in der Hauptsache steht noch aus und kann durchaus anders ausfallen. Aus Sicht des Datenschutzes ist es zu begrüßen, dass personenbeziehbare Daten nicht ohne Rechtsgrundlage verarbeitet und auf Server außerhalb der EU übertragen werden dürfen. Allerdings ist dies gerade im Hinblick auf CDN-Anbieter schwierig. Diese sollen dazu beitragen, dass Websites von jedem Ort der Welt möglichst schnell und bei kurzfristig hohem Traffic Volumen skalierbar zugänglich sind. CDNs helfen dabei, Websitebetreiber vor DDoS-Attacken zu schützen sowie Medieninhalte via Caching weltweit im Internet zu verteilen. Eine Anpassung an lokale Gegebenheiten ist daher schwer umzusetzen.

Der technische Aufbau des Internets bedingt, dass ein Server, um mit dem Browser des Nutzers interagieren zu können, dessen IP-Adresse erfasst. Durch die Spiegelung des Webservers der optimierten Website ist es unvermeidbar, dass die IP-Adresse der Nutzer in der Regel auch vom CDN voll erfasst wird. Im vorliegenden Fall kam offensichtlich erschwerend hinzu, dass auch Identifier wie der Opt-Out Cookie auf dem CDN verarbeitet wurden. Viele Consent Management Lösungen nutzen CDNs für die Auslieferung der Consent Banner. Auch aus Firmensicht ist der Einsatz eines CDNs hier sinnvoll, muss doch das Banner auf jeden Fall 100 Prozent ausfallsicher sein, um die datenschutzrechtlichen Vorgaben zu erfüllen.

Zunächst einmal gilt es, Ruhe zu bewahren. Zum einen handelt es sich nur um eine Entscheidung eines Verwaltungsgerichts im einstweiligen Rechtsschutz. Im Hauptsacheverfahren ist es möglich, dass dasselbe Gericht noch anders entscheiden wird. Außerdem ist es nicht unwahrscheinlich, dass Oberverwaltungsgerichte oder auch das Bundesverwaltungsgericht die Sache anders sehen werden.

Aus datenschutzrechtlicher Sicht kann man einige Punkte der Entscheidung infrage stellen: Handelt es sich bei IP-Adressen in dieser Konstellation wirklich um personenbezogene Daten? Unterfällt ein CDN überhaupt der DSGVO oder vielmehr dem Telekommunikationsgesetz, da es hier um Signalübertragung geht. Würden Standardvertragsklauseln nicht ausreichen, um das konkret doch eher überschaubare Risiko für die betroffenen Personen abzusichern? Ist die Organisation, die Cookiebot einsetzt, überhaupt für die Drittlandübermittlung verantwortlich?

Alle diese Fragen sind unter Datenschutzrechtsexperten umstritten. Wer Zweifel an seinem aktuellen Setup hat, sollte dieses von Experten überprüfen lassen. Bevor Entscheidungen anderer Gerichte vorliegen, werden die offenen Fragen aber nicht gänzlich zu klären sein. Wem dieses Risiko zu hoch ist, dem bleibt derzeit ausschließlich EU-Anbieter einzusetzen, die selbst wiederum nur EU-Anbieter einsetzen.

Sie können auch Consent-Banner lokal auf Ihren Servern hosten. Achten Sie darauf, dass die Opt-Out Cookies Ihrer Consent Management Lösung im Browser des Nutzers und nicht extern auf einem Server gespeichert werden.

Auf keinen Fall sollten Sie jetzt das Kind mit dem Bade ausschütten. Ohne eine Consent Management Lösung, ein Tag Management System oder ein Content Delivery Network ist derzeit in vielen Fällen ein wirtschaftlich sinnvoller, datenschutzkonformer und sicherer Betrieb von Webseiten und Online-Marketing kaum möglich. Nach dem am 1. Dezember 2021 in Kraft getretenen Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) sind Datenschutzbeauftragte und Marketingverantwortliche aber gut beraten, ihre bestehenden Consent Banner entsprechend der neuen Vorgaben überprüfen zu lassen und ggf. anzupassen.