Seit den Entscheidungen des Europäischen Gerichtshofs (Urteil vom 01.10.2019, Az. C-673/17) und des Bundesgerichtshofs (Urteil vom 28.05.2020, Az. I ZR 7/16) zum Erfordernis einer im Einklang mit der DSGVO stehenden datenschutzrechtlichen Einwilligung bei der Verwendung von „nicht zwingend erforderlichen“ Cookies auf Webseiten bedienen sich viele Webseitenbetreiber kleiner Hilfsprogramme (s.g. Plugins), um das Cookie-Management rechtssicher zu gestalten. Einer dieser – bei Nutzern beliebte – Anbieter ist „Cookiebot“ des Dänischen Unternehmens Cybot A/S, u.a. weil der Dienst in der Grundkonfiguration kostenfrei ist. Eine aktuelle Entscheidung des Verwaltungsgerichts Wiesbaden (Beschluss vom 01.12.2021, Az. 6 L 738/21.WI) kommt nun zu dem Ergebnis, dass „Cookiebot“ gegen das Datenschutzrecht verstoße. Lesen Sie alles zur aktuellen Entscheidung und zum Hintergrund hier.
Datenschutz, Cookies und „Cookiebot“
Jeder kennt sie, jeder akzepiert sie, jeden nerven sie – Cookies. Manche statten sogar ihre Browser mit Zusatzsoftware aus, um die oft als lästig, störend und unübersichtlich empfundenen Auswahlfelder beim Besuch neuer Webseiten zu umgehen.
Doch kaum einer weiß, was Cookies eigentlich sind und wofür sie da sind.
Ein Cookie ist eine mit einer eindeutigen Identifikation ausgestattete Textinformation, die im Browser auf dem Endgerät des Nutzers zu einer besuchten Website (bzw. deren Server) gespeichert wird. Das Cookie wird entweder vom Server direkt an den Browser gesendet oder aber erst im Browser durch ein Skript erzeugt. Der Server kann bei späteren, neuerlichen Besuchen dieser Seite durch den Nutzer die im Cookie enthaltene Information direkt auslesen oder über ein Skript der Website an den Server übertragen. Aufgabe eines Cookies ist daher meist die Identifizierung des Nutzers, das Abspeichern eines bestimmten Logins für eine Webanwendung oder das Abspeichern von Produkten im Warenkorb eines Onlineshops. Aber auch für Statistik- und Werbezwecke, bzw. Webtracking eignen sich Cookies.
Die Vorteile von Cookies sowohl für Webseitenbetreiber als auch für Nutzer liegen daher auf der Hand: Nutzern wird ein angenehmeres und komfortableres Surferlebnis ermöglicht, Betreiber können durch die Auswertung der mittels Cookies gesammelten Daten gezieltere Web-Angebote bereitstellen oder zugeschnittene Werbung ausspielen.
Diese Vorteile haben allerdings einen datenschutzrechtlichen Preis: Denn die Wiedererkennbarkeit von Browser und Nutzer führen dazu, dass dieser identifizierbar wird. Damit handelt es sich bei den durch Cookies vermittelten Informationen um personenbezogene Daten, die zur Anwendbarkeit der Datenschutzgrundverordnung führen. Werden Cookies daher nicht für lediglich „technisch absolut notwendige“ Zwecke verwendet – sodern vielmehr für Tracking, Werbung und Statistik – oder die entsprechenden Daten gar an Dritte weitergeleitet, ist eine Einwilligung der Nutzer erforderlich, die den Anforderungen von Art. 4 und Art. 7 DSGVO entsprechen muss. Dies haben EuGH und BGH in den eingangs genannten Urteilen entschieden. Es ist also fortan der aktive „Opt-In“ der Nutzer nötig.
Deshalb ist seit einiger Zeit Schluss mit klassischen Cookie-Bannern á la „Diese Webseite verwendet Cookies. Wenn Sie die Webseite weiter nutzen, gehen wir von Ihrem Einverständnis aus.“
Die Notwendigkeit der aktiven Einwilligung hat vielmehr dafür gesorgt, dass hochkomplexe und tief in die Webseitenstruktur eingreifende Cookie-Banner verwendet werden, die dem Nutzer ein aktives Consent-Management ermöglichen.
Aber gerade Webseitenbetreiber ohne Kenntnisse im Programmieren und Coding (etwa private Blogbetreiber, kleine und mittlere Unternehmen oder Vereine) standen vor dem Problem, ein Einwilligungs-Management für ihre Cookies auf die Beine stellen zu müssen – oder aber auf Cookies gänzlich zu verzichten.
Aus diesem Grund wurden Plugin-Anbieter populär, die das Consent-Management bei Cookies automatisch übernehmen, sofern die entsprechende Software auf der Webseite eingebunden wurde.
Einer dieser Anbieter ist Cookiebot – besonders beliebt vor allen Dingen deshalb, weil die Anwendung in der Grundkonfiguration kostenfrei nutzbar ist. Der Dienst ermöglicht es, die Einwilligung der Nutzer einer Webseite für die Verwendung von Cookies rechtssicher einzuholen. Dazu überwacht das Plugin die eingesetzten Cookies und blockiert solche, für die der Nutzer seine Zustimmung nicht erteilt hat.
Zum Hintergrund der Cookiebot-Entscheidung des VG Wiesbaden
Im nunmehr vom Verwaltungsgericht Wiesbaden im Eilverfahren entschiedenen Fall hatte eine hessische Hochschule (im Folgenden: Antragsgegnerin) auf ihrer Webseite, über die u.a. auch die Hochschulbibliothek erreichbar war, den Dienst „Cookiebot“ eingebunden.
Ein Nutzer dieser Webseite (im Folgenden: Antragsteller) habe herausgefunden, dass „Cookiebot“ u.a. die nicht anonymisierte IP-Adresse der Besucher – mithin also auch seine eigene – an die Server des hinter dem Dienst stehenden Unternehmens „Cybot“ sende. Dieses Unternehmen bediene sich u.a. Webserver eines amerikanischen Unternehmens, die sich auch in den USA befänden.
Diese Vorgehensweise halte der Antragsteller im Hinblick auf die s.g. Schrems-II-Entscheidung des EuGH für rechtswidrig. Denn bei der Verarbeitung und Erhebung der nicht anonymisierten IP-Adresse handele es sich um personenbezogene Daten im Sinne der DSGVO. Die Übertragung dieser zusammen mit anderen, s.g. Logfile-Daten des Nutzers an Server in die USA sei rechtswidrig, da dafür weder eine Einwilligung eingeholt werde noch eine sonstige Rechtsgrundlage bestehe. Der Nutzer werde auch nicht darüber aufgeklärt, dass innerhalb von amerikanischen Servern gespeicherte Daten nach dem s.g. Cloud-Act dem nahezu unbeschränkten Zugriff von Regierungsbehörden und Geheimdiensten unterliege. Dies alles sei für den Betrieb der Hochschulwebseite der Antragsgegnerin nicht erforderlich.
Aus diesem Grund verletze das Verhalten der Antragegnerin das Recht des Antragstellers auf informationelle Selbstbestimmung.
Der Antragsteller hat die Antragsgegnerin daher abgemahnt und – u.a. – zur Abschaltung des Dienstes „Cookiebot“ auf der Webseite und zur Abgabe einer strafbewehrten Unterlassungserklärung aufgefordert.
Die Antragsgegnerin ist dem entgegengetreten. Sie vertritt die Auffassung, die Einbindung von „Cookiebot“ entspreche den Vorschriften der DSGVO. Soweit ein Verstoß vorliegen sollte, sei dieser jedenfalls eine Bagatelle. Darüber hinaus übermittele die Antragsgegnerin die Daten nicht selbst in die USA. Der Antragsteller könne sich schon nicht auf einen Unterlassungsanspruch berufen, da der Sanktionsapparat der DSGVO abschließend und dort ein Unterlassungsanspruch nicht vorgesehen sei.
Der Antragsteller hat deshalb das Verwaltungsgericht Wiesbaden um einstweiligen Rechtsschutz ersucht.
Die Entscheidung des Verwaltungsgerichts Wiesbaden
Das Verwaltungsgericht gab dem Antragsteller Recht und erließ die begehrte einstweilige Anordnung gegen die Antragsgegnerin. Sie muss es demnach erst einmal unterlassen, auf ihrer Webseite den Dienst „Cookiebot“ zu verwenden.
Das Gericht stellte zunächst einmal fest, dass der Rechtsweg zu den Verwaltungsgerichten eröffnet sei. Denn im entschiedenen Fall habe die Antragsgegnerin in ihrer Eigenschaft als öffentliche Hochschule gehandelt und somit – u.a. in Erfüllung ihres Informations- und Öffentlichkeitsarbeitsauftrags – hoheitlich. Deshalb liege nach dem Hessischen Hochschulgesetz i.V.m. mit § 40 Abs. 1 VwGO eine Verwaltungsstreitsache vor, zu deren Aburteilung das Verwaltungsgericht berufen sei.
Der Antrag sei auch im Übrigen zulässig. Inesbesondere könne sich der Antragsteller auf einen öffentlichen-rechtlichen Unterlassungsanspruch analog § 1004 BGB i.V.m. dem Grundrecht auf Informationelle Selbstbestimmung berufen. Die DSGVO sei in sich nicht abgeschlossen, sodass eine Berufung auf neben ihr bestehende Rechtsnormen in Betracht komme. Das Verwaltungsgericht führt dazu aus:
„Art. 79 DS-GVO entfaltet dementsprechend, entgegen der Ansicht des Antragsgegners, keine Sperrwirkung für weitere gerichtliche Rechtsbehelfe. Denn es handelt sich bei der Aufzählung des „verwaltungsrechtlichen oder außergerichtlichen Rechtsbehelfs“, der unbeschadet des Art. 79 DS-GVO gelten soll, nicht um eine abschließende Aufzählung der weiteren verfügbaren Rechtsbehelfe. Dies ergibt sich auch nicht aus den Erwägungsgründen 9, 11 und 13 der DS-GVO, in denen von einem „einheitlichen Schutzniveau“ die Rede ist. Denn daraus ergibt sich nicht, dass strengere Regelungen im nationalen Recht keine Gültigkeit haben sollen. Es würde auch dem Effektivitätsgrundsatz des Europarechts sowie dem Recht auf einen „wirksamen“ gerichtlichen Rechtsbehelf nach Art. 79 DS-GVO widersprechen, dem Antragsteller den Rechtsschutz im gerichtlichen Verfahren zu verweigern und ihn stattdessen auf eine Beschwerde bei der Aufsichtsbehörde nach Art. 77 DS-GVO zu verweisen.“
Auch in der Sache selbst folgte das Verwaltungsgericht der Argumentation des Antragstellers.
Insbesondere stünden ihm ein Anordnungsgrund und ein Anordnungsanspruch zur Seite. Dies habe der Antragsteller glaubhaft gemacht.
Die Antragsgegnerin erhebe und verarbeite durch Einbindung von „Cookiebot“ personenbezogene Daten. Denn aus der Kombination eines vom Cookie-Dienst vergebenen und den Nutzer identifizierenden Keys, der im Browser des Nutzers gespeichert werde, und der ebenfalls übermittelten und nicht anonymisierten IP-Adresse sei der Nutzer unzweideutig zu identifizieren.
Die Antragsgegnerin sei auch datenschutzrechtlich Verantwortliche. Denn indem sie „Cookiebot“ auf ihrer Webseite einbinde, entscheide sie im Sinne von Art. 4 Nr. 7 DSGVO über die Zwecke und Mittel der Erhebung und Verarbeitung personenbezogener Daten. Dies gelte auch dann, wenn sie auf die weitere Datenverarbeitung durch den Anbieter keinen Einfluss mehr habe.
Die (nicht auszuschließende) Datenübertragung in die USA sei unzulässig. Denn es sei glaubhaft gemacht, dass sich Cybot eines amerikanischen Unternehmens als Server-Hoster bediene. Die USA seien ein Drittland, weshalb die Datenübertragung im Hinblick auf das „Schrems-II-Urteil“ nicht erlaubt sei. Die Nutzer würden insbesondere nicht um ihre Einwilligung für eine Datenübermittlung nach Amerika ersucht. Es fände des Weiteren keine Information über die möglichen Risiken durch den s.g. „Cloud-Act” statt. Schließlich sei die Datenübertragung auch nicht für das Betreiben der Webseite der Antragsgegnerin erforderlich. Auf Art. 6 Abs. 1 lit. f DSGVO könne sich die Antragsgegnerin als öffentliche Einrichtung nicht berufen.
Kann man Cookiebot noch verwenden?
Webseitenbetreiber, die den Dienst nutzen, sollten zunächst einmal Ruhe bewahren.
Denn zum einen handelt es sich bei der Entscheidung aus Wiesbaden zunächst einmal „nur“ um eine einstweilige Anordnung – also ein vorläufiges Eilverfahren. Die Antragsgegnerin kann gegen die Entscheidung Beschwerde zum Oberverwaltungsgericht erheben. Darüber hinaus hat das Gericht die Anordnung auf vier Wochen begrenzt. Wird innerhalb dieser Frist nicht Hauptsacheklage erhoben, verliert die einstweilige Anordnung ihre Wirkung.
Hinzu kommt, dass „Cookiebot“ relativ schnell reagieren kann: Nämlich fortan auf Server innerhalb der Europäischen Union setzen und darüber hinaus IP-Adressen nur noch in anonymisierter Form zu verarbeiten.
Wir werden an dieser Stelle über den Fortgang des Rechtsstreits unterrichten.
Sie haben Fragen oder benötigen Beratung im Datenschutzrecht? Melden Sie sich bei uns.