VG Wiesbaden Beschluss vom 01.12.2021 6 L 738/21.WI

VG Wiesbaden
Beschluss vom 01.12.2021
6 L 738/21.WI
Einstweilige Untersagung der Nutzung eines Cookiedienstes auf der Website einer öffentlich-rechtlichen Hochschule

1. Art. 79 Abs. 1 DS-GVO verweist nicht allein auf eine Verletzung der Rechte in Kapitel 3 der DS-GVO, sondern auf jede Verletzung von materiellem Datenschutzrecht. Die Norm entfaltet keine Sperrwirkung für weitere gerichtliche Rechtsbehelfe. Dies würde dem Effektivitätsgrundsatz des Europarechts sowie dem Recht auf einen „wirksamen“ gerichtlichen Rechtsbehelf nach Art. 79 DS-GVO widersprechen.

2. Da der Cookiedienst die vollständige IP-Adresse der Endnutzer auf Servern eines Unternehmens verarbeitet, dessen Unternehmenszentrale sich in den USA befindet, findet eine Datenübermittlung in ein Drittland, nämlich die USA, nach Art. 44 DS-GVO statt.

3. Die für eine Datenübermittlung in ein Drittland, für das eine internationale Übereinkunft nach Art. 48 DS-GVO nicht besteht, erforderlichen Voraussetzungen nach Art. 49 DS-GVO sind vorliegend nicht gegeben. Denn die Nutzer der Webseite werden nicht um ihre Einwilligung für eine Datenübermittlung in die USA gebeten und nicht über die damit verbundenen möglichen Risiken unterrichtet.

4. Die Datenübermittlung in die USA ist nicht aus wichtigen Gründen des öffentlichen Interesses notwendig, da für die Öffentlichkeit der Antragsgegnerin eine Datenübermittlung in die USA jedenfalls nicht erforderlich ist.

5. Die Antragsgegnerin ist die für die Datenübermittlung verantwortliche Stelle, da sie durch das Einbinden auf ihrer Webseite darüber entscheidet, dass die Erhebung und Übermittlung durch den Cookiedienst erfolgt. Sie entscheidet auch mittelbar über den Zweck der Verarbeitung, da sie in Kenntnis der Zwecke, die der eingebundene Dienst angibt, sich für oder gegen die Verwendung entscheiden kann. Hiergegen spricht auch nicht, dass sie für nachfolgende Vorgänge, wie die Verwendung der Daten durch den Dienst, nicht mehr verantwortlich ist.

6. Aus einer Kombination eines den Webseiten-Besucher identifizierenden Keys, der im Browser des Nutzers gespeichert wird, und der übermittelten vollständigen IP-Adresse ist der Endnutzer eindeutig identifizierbar. Diese Daten stellen in Kombination personenbeziehbare Daten dar.

Gründe:
I. Abs. 1
Der Antragsteller begehrt nach übereinstimmender Erledigungserklärung noch ein Verbot der Einbindung des Dienstes „C“ auf der Website der Antragsgegnerin (www.hs-rm.de). Abs. 2
Der Antragsteller gibt an, sich im Onlinekatalog der Hochschulbibliothek auf der Website der Antragsgegnerin regelmäßig als Nutzer über verfügbare Fachliteratur zu erkundigen. Er habe festgestellt, dass dabei seine personenbezogenen Daten in unzulässiger Weise an Dritte übermittelt würden. Abs. 3
Mit Schreiben vom 26.5.2021 mahnte der Antragsteller diverse Verstöße bei der Antragsgegnerin ab und forderte sie zur Abgabe einer strafbewehrten Unterlassungsverpflichtung bezüglich der Dienste „Google Tag Manager“ und „C.“ auf. Abs. 4
Bei dem „Google Tag Manager“ handelt es sich um einen Dienst, der die Einbindung anderer Code-Fragmente und damit anderer Dienste in eine Website erleichtern soll. „C.“ ermöglicht es laut der Website des Dienstes (www.c….com/de/), die Einwilligung der Nutzer einer Website in die Cookie-Verwendung einzuholen. Der Dienst überwacht die eingesetzten Cookies und blockiert solche Cookies, für die eine Zustimmung nicht erteilt wurde. Abs. 5
Der Antragsteller führt bezüglich des Dienstes „Google Tag Manager“ aus, dass hierdurch seine IP-Adresse bei jedem Seitenaufruf an Server des Unternehmens Google übermittelt werde, ohne dass hierfür eine Einwilligung erteilt worden sei. Daneben lese Google infolge der durch die Antragsgegnerin veranlassten Kontaktaufnahme des Nutzerrechners mit dem Google-Server weitere Informationen über die Hard- und Software des Nutzer-Endgerätes aus und könne diese auswerten. Dies betreffe die aufgerufene Internetseite, das Betriebssystem und dessen Version, den verwendeten Browser und dessen Version, die eingestellte Sprache und Farbzahl, die Art des Bildschirms (z.B. Touchscreen), die Bildschirmauflösung, die Unterstützung von Skriptsprachen sowie die auf dem Rechner installierten Schriftarten von Plugins. Aus diesen Informationen ergebe sich in Kombination ein einmaliger digitaler Fingerabdruck des Nutzers, weil keine andere Person exakt dieselbe Kombination aller Parameter zur selben Zeit aufweise. Damit könne Google Surfprofile erstellen. Abs. 6
Bezüglich des Dienstes „C.“, einem Einwilligungsmanager des dänischen Anbieters A A/S, führt der Antragsteller aus, dass dieselben Daten wie bei dem „Google Tag Manager“ an C. übermittelt würden. Dieser Dienst werde zwar von einem in Dänemark ansässigen Unternehmen angeboten. Die Zieldomain consent.c….com verweise jedoch auf einen Server mit einer IP-Adresse, die auf das in den USA ansässige Cloud-Hosting-Unternehmen Ak… Technologies Inc. registriert sei. Auch wenn sich der Server möglicherweise in der EU befinde, habe das US-amerikanische Unternehmen Zugriff darauf, sodass der US-amerikanische Cloud-Act gelte. Abs. 7
Nach dem Cloud-Act könnten US-Regierungsbehörden personenbezogene Daten bei US-Unternehmen einseitig, ohne Gerichtsbeschluss und ohne Rechtshilfeabkommen anfordern. Dies widerspreche den Art. 7, 8, 11 und 52 Abs. 1 GrCh und der Auslegung dieser Normen durch den EuGH, wonach behördliche Zugriffe auf Verkehrsdaten nur bei einem Verdacht schwerer Kriminalität gestattet seien und dem Vorbehalt des Richters oder einer unabhängigen Behörde unterlägen. Die US-amerikanische Gesetzeslage lasse dagegen den Anfangsverdacht jeglicher Straftat genügen. Somit setze der Antragsgegner als Verantwortlicher personenbezogene Daten des Antragstellers der Gefahr unbefugter Zugriffe aus, was eine Verletzung der Vertraulichkeit gemäß Art. 32 Abs. 1 lit. b DS-GVO darstelle. Abs. 8
Seit dem 3. (Schreiben an den Antragsteller vom 7.6.2021) oder 2.6.2021 (Schreiben vom 22.7.2021) nutzt die Antragsgegnerin nach ihren Angaben den Google Tag Manager nicht mehr. Dies teilte sie dem Antragsteller mit Schreiben vom 7.6.2021 mit. Abs. 9
Mit Schreiben vom 7.6.2021 lehnte die Antragsgegnerin die Abgabe der Unterlassungsverpflichtung ab. Abs. 10
Am 8.6.2021 hat der Antragsteller um einstweiligen Rechtsschutz nachgesucht. Abs. 11
Er beruft sich im Wesentlichen auf die Begründung seiner Abmahnung gegenüber der Antragsgegnerin. Außerdem ist er der Ansicht, dass sich die Antragsgegnerin als öffentliche Stelle nicht auf Art. 6 Abs. 1 UA 1 lit. f DSGVO berufen könne, da dieser laut Art. 6 Abs. 1 letzter Satz DSGVO nicht für die von Behörden in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung gelte. Abs. 12
Schließlich bezweifelt er die Notwendigkeit des Einwilligungsmanagers „C.“. Denn die Einwilligungen für Cookies, die der Dienst einhole, seien unwirksam, weil das Einwilligungs-Häkchen bei „Statistik“ standardmäßig voreingestellt sei und damit keine unmissverständliche Einwilligung i. S. d. Art. 4 Ziff. 11 DS-GVO erzeugt werde. Die Einwilligung könne auch nicht widerrufen werden, da der entsprechende Banner nach erteilter Einwilligung ausgeblendet werde. Abs. 13
Die Antragsgegnerin habe keine Standardvertragsklauseln mit A abgeschossen. Es sei auch nicht hinreichend, wenn A mit dessen Auftragnehmer Ak… bestimmte Standarddatenschutzklauseln vereinbart habe. In der vorgelegten Standardvertragsklausel zwischen A und Ak… fehlten ergänzende Schutzmaßnahmen gegen unzulässige Datenübermittlungen in die USA. Abs. 14
Hierbei sei eine gemeinsame Verantwortlichkeit von A und der Antragsgegnerin gegeben. Denn die Antragsgegnerin übermittle Nutzerdaten an A zur Verwaltung der erteilten Einwilligungen und bestimme die Verarbeitungszwecke. A übernehme die technische Gestaltung und bestimme die Verarbeitungsmittel mit, da A über die erhobenen Datenkategorien entscheide. Die Antragsgegnerin könne aber auch auf in der EU laufende Dienste zurückgreifen, die keine US-amerikanischen Unterverarbeiter wie Ak… Technologies in Anspruch nähmen. Abs. 15
Der Anordnungsanspruch ergebe sich daraus, dass personenbezogene Daten des Antragstellers in unsichere Drittländer übermittelt würden und das spätere Auffinden und Löschen dieser Daten unmöglich sei. Die Antragsgegnerin könne ihre Verarbeitungsziele als gegenläufige Interessen durch Alternativprodukte erreichen, die die Datenübermittlung in Drittländer unterließen. Nachdem bereits im Eilverfahren umfangreiche Schriftsätze gewechselt worden seien, sei der Mehrwert eines Hauptsacheverfahrens gering. Abs. 16
Nachdem der Antragsteller im Erörterungstermin am 1.9.2021 das Verfahren hinsichtlich des „Google Tag Manager“ für erledigt erklärt hat, beantragt er nunmehr noch, Abs. 17
der Antragsgegnerin im Wege der einstweiligen Anordnung gemäß § 123 VwGO zu verbieten, den Dienst „C.“ zum Zweck des Einholens von Einwilligungen in der Weise einzubinden, dass personenbezogene oder -beziehbare Daten des Antragstellers (einschließlich dessen IP-Adresse) an von Unternehmen des Ak… Technologies Inc.-Konzerns betriebene Server übermittelt werden, insbesondere durch Übermittlung an den Server „consent.C..com“. Abs. 18
Die Antragsgegnerin hat sich der Erledigungserklärung angeschlossen und beantragt im Übrigen, Abs. 19
den Antrag abzulehnen. Abs. 20
Sie legt den Eintrag zu C. in ihrem Verzeichnis der Verarbeitungstätigkeiten vor, unterteilt in die Abschnitte „Gemeinsame Verantwortlichkeit“ und „Auftragsverarbeitung“, wobei in letzterem Abschnitt als Löschfrist für die Datenart Cookieconsent 12 Monate und für die Datenart IP-Adresse „Mit Zweckerfüllung“ vermerkt ist. Mit A A/S, dem Anbieter von C., sei keine Standardvertragsklausel abgeschlossen worden. Die Standardvertragsklausel, die zwischen A A/S und Ak… Technologies abgeschlossen worden sein soll, legt die Antragsgegnerin als nicht ausgefüllten Blankovertrag der „Standardvertragsklauseln (Auftragsverarbeiter)“ bzw. im Originaltext Standard Contractual Clauses (Processors) vor (Bl. 191 ff. der Gerichtsakte). Abs. 21
Sie ist der Ansicht, dass der Antrag nicht statthaft sei. Aus den Art. 12 bis 22 DS-GVO ergebe sich kein individueller Anspruch auf Unterlassung, den der Antragsteller geltend mache. Art. 79 DS-GVO schließe insbesondere einen Rückgriff auf § 1004 BGB aus. Der Antragsteller begehre außerdem eine verbotene Vorwegnahme der Hauptsache. Es sei nicht ersichtlich, welche schweren und unzumutbaren Nachteile der Antragsteller als Folge des Einsatzes der streitgegenständlichen Dienste bis zu einer Entscheidung in der Hauptsache erleiden würde. Das Grundrecht auf informationelle Selbstbestimmung werde jedenfalls nicht über den Randbereich des Grundrechts hinausgehend verletzt, da die dynamische gekürzte IP-Adresse, die über die streitgegenständlichen Dienste verarbeitet würde, keine relevanten Informationen über den Antragsteller offenbare. Abs. 22
Darüber hinaus sei der Dienst C. rechtmäßig eingesetzt worden. Der Betrieb der Website www.hs-rm.de sei für die Öffentlichkeitsarbeit gemäß § 12 Abs. 5 S. 4 und Abs. 6 S. 1 des Hessischen Hochschulgesetzes (HHG) notwendig. Zum Betreiben der Website sei der Einsatz von nicht nur technisch erforderlichen Cookies notwendig, wofür wiederum die Einwilligung der betroffenen Personen eingeholt werden müsse. C. werde dafür als Einwilligungsmanagementsystem genutzt. Abs. 23
An A werde ausschließlich die anonymisierte IP-Adresse mit den letzten drei Ziffern auf Null gesetzt, Datum und Uhrzeit der Zustimmung, Benutzeragent des Browsers der betroffenen Person, die URL, von der die Zustimmung gesendet wurde, ein anonymer, zufälliger und verschlüsselter Key sowie der Einwilligungsstatus der betroffenen Person übermittelt. Abs. 24
Soweit zur Herstellung einer technisch notwendigen Verbindung zu den Servern eine ungekürzte IP-Adresse an den Server von Ak…-Technologies Inc. übertragen werde, werde diese nicht verarbeitet oder gespeichert. Über C. könne eine wirksame Einwilligung in die Datenverarbeitung eingeholt werden. Selbst eine fehlerhafte Einwilligung führe lediglich zu einer rechtsgrundlosen Nutzung von Cookies oder Cookie-basierten Diensten, habe aber keine Auswirkungen auf die Einbindung des Einwilligungsmanagementsystems. Die Antragsgegnerin und A A/S seien nicht gemeinsam Verantwortliche, sondern getrennt Verantwortliche, denn A A/S und die Antragsgegnerin würden nicht gemeinsam über Zwecke und Mittel der Verarbeitung entscheiden. A A/S sei auch kein Auftragsverarbeiter, da sie keine Daten verarbeite. Ak… Technologies Inc. sei ausschließlich Auftragsverarbeiterin der A A/S, es bestehe kein Sub-Auftragsverhältnis zur Antragsgegnerin. Demnach erfolge die Übermittlung zwischen A A/S und Ak… Technologies Inc. in alleiniger Verantwortung von A A/S. Die Antragsgegnerin habe hierauf keinen Einfluss. Abs. 25
Schließlich gebe es auch keinen Anordnungsgrund. Die begehrte Regelungsanordnung sei nicht nötig, um wesentliche Nachteile abzuwenden oder drohende Gewalt zu verhindern. Der Eingriff durch die Verarbeitung von dynamischen, gekürzten IP-Adresse sei jedenfalls äußerst gering, da es sich nicht um sensible Daten handele. Dem Antragsteller entstehe auch keine erhebliche Verletzung seines Grundrechts, da der behauptete Verlust über die Kontrolle seiner Daten nicht gegeben sei. Demgegenüber stehe das erhebliche Interesse der Antragsgegnerin, auch weiterhin Einwilligungen für Cookies auf ihrer Website einholen können, wofür sie aufgrund vertraglicher Verpflichtungen mit dem alten Dienst keinen anderen Dienst einsetzen könne. Abs. 26
Bezüglich des Verzeichnisses der Verarbeitungstätigkeiten der Antragsgegnerin repliziert der Antragsteller, dass keine Angaben zu Löschfristen enthalten seien. Dass als Unterauftragsverarbeiter der A A/S die Ak… Technologies GmbH angegeben sei, ändere nichts daran, dass die Infrastruktur des Mutterunternehmens Ak… Technologies Inc. zum Einsatz komme und so die Übermittlung an das US-amerikanische Unternehmen ermöglicht werde. Die angegebenen Datenkategorien seien nicht vollständig. Die in dem Verzeichnis behauptete Verschlüsselung der übertragenen Daten bestreitet der Antragsteller. Da durch den Ak…-Server offenkundig Klardaten verarbeitet würden, könne es sich jedenfalls nur um eine Transportverschlüsselung handeln, bei der Absender- und Empfänger-IP-Adresse und weitere Nutzungsdaten zwingend im Klartext übermittelt würden. Dies stelle daher keine ausreichende Schutzmaßnahme im Sinne des Schrems II-Urteils des EuGH dar. Abs. 27
Bei dem Erörterungstermin am 1.9.2021 war neben den Beteiligten des vorliegenden Eilantrags auch als sachverständige Person für den Hessischen Datenschutzbeauftragen Herr Wachhaus anwesend und wurde angehört. Wegen des Inhalts der Ausführungen wird auf das Protokoll des Erörterungstermins verwiesen. Abs. 28
Wegen der weiteren Einzelheiten des Sach- und Streitstandes wird auf den Inhalt der Schriftstücke bei der Gerichtsakte Bezug genommen, die Gegenstand der Entscheidung waren. Abs. 29
II. Abs. 30
Soweit das Verfahren übereinstimmend für erledigt erklärt wurde, ist es einzustellen, § 92 Abs. 3 S. 1 VwGO analog. Abs. 31
Im Übrigen ist der Antrag des Antragstellers zulässig und begründet. Die Antragsgegnerin ist verpflichtet, die Einbindung des Dienstes „C.“ zum Zweck des Einholens von Einwilligungen auf ihrer Website www.hs-rm.de zu beenden, da die Einbindung mit der rechtswidrigen Übermittlung von personenbezogener Daten der Webseitennutzer und damit insbesondere des Antragstellers einhergeht. Abs. 32
Nach § 123 Abs. 1 Satz 2 VwGO, der hier allein in Betracht kommt, kann das Gericht auf Antrag auch schon vor Klageerhebung eine einstweilige Anordnung zur Regelung eines vorläufigen Zustandes in Bezug auf ein streitiges Rechtsverhältnis treffen, wenn diese Regelung, vor allem bei dauernden Rechtsverhältnissen, um wesentliche Nachteile abzuwenden oder drohende Gewalt zu verhindern oder aus anderen Gründen nötig erscheint. Die tatsächlichen Voraussetzungen des geltend gemachten Anspruchs und der Grund für die notwendige vorläufige Regelung sind glaubhaft zu machen (§ 920 Abs. 2 ZPO i. V. m. § 123 Abs. 3 VwGO). Abs. 33
1. Abs. 34
Dem Antragsteller steht ein öffentlich-rechtlicher Unterlassungsanspruch gemäß § 1004 BGB analog i. V. m. Art. 79 Abs. 1 und Art. 5 Abs. 1 lit. a DS-GVO zu. Abs. 35
Gemäß Art. 79 Abs. 1 DS-GVO hat jede betroffene Person das Recht auf einen wirksamen gerichtlichen Rechtsbehelf, wenn sie der Ansicht ist, dass die ihr aufgrund dieser Verordnung zustehenden Rechte infolge einer nicht im Einklang mit dieser Verordnung stehenden Verarbeitung ihrer personenbezogenen Daten verletzt wurden. Die Formulierung „aufgrund dieser Verordnung zustehenden Rechte“ stellt keinen Verweis (allein) auf Kapitel 3 der DS-GVO („Rechte der betroffenen Person“) dar. Verletzte Rechte können neben solchen, die dem Betroffenen „durch“ die DS-GVO zustehen, auch die „aufgrund“ der Verordnung zustehenden Rechte sein, mithin auch solche, die durch andere Rechtsakte gewährt werden (vgl. Erwägungsgrund 146, Satz 5). Tatbestandsvoraussetzung ist somit eine Verletzung des Betroffenen durch eine Verarbeitung personenbezogener Daten, die nicht im Einklang mit materiellem Datenschutzrecht erfolgt (vgl. Paal/Pauly/Martini, 3. Aufl. 2021, DS-GVO Art. 79 Rn. 19; BeckOK DatenschutzR/Mundil, 37. Ed. 1.2.2020, DS-GVO Art. 79 Rn. 4). Abs. 36
Art. 79 DS-GVO entfaltet dementsprechend, entgegen der Ansicht des Antragsgegners, keine Sperrwirkung für weitere gerichtliche Rechtsbehelfe. Denn es handelt sich bei der Aufzählung des „verwaltungsrechtlichen oder außergerichtlichen Rechtsbehelfs“, der unbeschadet des Art. 79 DS-GVO gelten soll, nicht um eine abschließende Aufzählung der weiteren verfügbaren Rechtsbehelfe. Dies ergibt sich auch nicht aus den Erwägungsgründen 9, 11 und 13 der DS-GVO, in denen von einem „einheitlichen Schutzniveau“ die Rede ist. Denn daraus ergibt sich nicht, dass strengere Regelungen im nationalen Recht keine Gültigkeit haben sollen. Es würde auch dem Effektivitätsgrundsatz des Europarechts sowie dem Recht auf einen „wirksamen“ gerichtlichen Rechtsbehelf nach Art. 79 DS-GVO widersprechen, dem Antragsteller den Rechtsschutz im gerichtlichen Verfahren zu verweigern und ihn stattdessen auf eine Beschwerde bei der Aufsichtsbehörde nach Art. 77 DS-GVO zu verweisen. Abs. 37
2. Abs. 38
Die Voraussetzungen des öffentlich-rechtlichen Unterlassungsanspruch sind erfüllt. Der Antragsteller ist durch eine hoheitliche Maßnahme in seinen rechtlich geschützten Interessen beeinträchtigt. Abs. 39
Die Webseite wird nicht durch die Antragsgegnerin privat betrieben. Der Einsatz des Dienstes „C.“ erfolgt vielmehr im Rahmen der Öffentlichkeitsarbeit der Hochschule (§ 12 Abs. 5 S. 4, Abs. 6 S. 1 des HHG) und damit als hoheitliche Maßnahme. Abs. 40
Das Recht des Antragstellers auf rechtmäßige Verarbeitung seiner personenbezogenen Daten, das aus Art. 6 Abs. 1 DS-GVO, Art. 7, 8 EU-Grundrechte-Charta (GrCh) folgt, wird durch den Einsatz von „C.“ durch die Antragsgegnerin verletzt. Abs. 41
a) Abs. 42
Die Antragsgegnerin verarbeitet zur Überzeugung des Gerichtes auf ihrer Webseite www.hs-rm.de unter anderem die ungekürzte IP-Adresse des Antragstellers. Dies erfolgt, indem sie den von dem Unternehmen A A/S angebotenen Dienst „C.“ einbindet, der wiederum die vollständige IP-Adresse des Webseiten-Nutzers speichert und verarbeitet. Dass es sich entgegen der Ansicht des Antragsgegners um die vollständige und nicht um eine gekürzte IP-Adresse handelt, ergibt sich aus den Angaben von A selbst (Anlage AS 33, Bl. 668 der Gerichtsakte) sowie aus dem von Ak… für seine Auftraggeber zur Verfügung gestellten Auftragsverarbeitungsvertrag, der in seinem Anhang I, Ziff. 2b die Regelung beinhaltet, dass Ak… personenbezogene Daten verarbeitet, die bei der Erbringung der Dienste für den Kunden in Protokolldateien enthalten sind. Zu den Daten gehörten unter anderem die IP-Adresse der Endbenutzer, die URLs der besuchten Websites mit Zeitstempeln mit zugehöriger IP-Adresse, der geografische Standort basierend auf der IP-Adresse sowie Telemetriedaten (Bl. 659 der Gerichtsakte). Außerdem erklärte auch der Vertreter des Hessischen Datenschutzbeauftragten mit Schriftsatz vom 20.10.2021 nachvollziehbar, dass „die Protokollierung vollständiger IP-Adressen durch Anbieter von Internet-Diensten regelmäßig im Rahmen üblicher Zwecke, wie z.B. dem störungsfreien Betrieb solcher Dienste“, erfolge. Abs. 43
Diesen Angaben ist die Antragsgegnerin auch nicht substantiiert entgegengetreten. Sie behauptet zwar, dass lediglich eine anonymisierte IP-Adresse übermittelt werde, bei der die letzten drei Ziffern auf Null gesetzt würden. Dem steht aber die anderslautende Erklärung von A selbst entgegen. Selbst wenn der Dienst C. nur bei erstmaligem Laden die ungekürzte IP-Adresse überträgt, handelt es sich hierbei dennoch um eine datenschutzrechtlich beachtliche Verarbeitung. Bereits das Erheben und Übermitteln personenbezogener Daten stellt gemäß Art. 4 Ziff. 2 DS-GVO eine Verarbeitung dar. Abs. 44
Die ungekürzte IP-Adresse stellt auch ein personenbezogenes Datum dar, denn die IP-Adresse ermöglicht die genaue Identifizierung der Nutzer (vgl. EuGH, Urteil vom 19.10.2016 – C-582/14; BGH, Urteil vom 16.5.2017 – VI ZR 135/13; EuGH, Urteil vom 24. November 2011 – C‑70/10, Rn. 51). Zwar wird in der Mitteilung durch A behauptet, dass Ak… keine personenbezogenen Daten der Endnutzer speichere oder verarbeite. Dem steht jedoch entgegen, dass, wie oben dargelegt, die vollständige IP-Adresse der Endnutzer verarbeitet wird. Abs. 45
Der Anbieter A A/S greift für den Dienst „C.“ auf die Dienste des Unternehmens Ak… Technologies Inc. zurück, indem er Serverkapazitäten von Ak… verwendet. Dies ergibt sich nicht zuletzt aus der Mitteilung des Unternehmens A an eine Frau Annette Bauer bzw. nach Angaben des Antragstellers an diesen (Anlage AS 33, Bl. 671 der Gerichtsakte). Dabei ist es – entgegen der Ansicht der Antragsgegnerin – völlig unerheblich, wem gegenüber die Angaben gemacht wurden. Anhaltspunkte, dass es sich nicht um eine echte Korrespondenz handelt, gibt es nicht. Demnach verwendet A das Content Delivery Network von Ak…, um das C.-Einwilligungsskript abzurufen, welches auf einem Ak…-Server liegt. Abs. 46
Indem die verarbeiteten Daten, also auch die personenbezogenen Daten des Antragstellers, auf Servern von Ak… verarbeitet werden, findet u.a. eine Datenübermittlung in ein Drittland, nämlich die USA, nach Art. 44 DS-GVO statt. Dabei kann es dahinstehen, ob konkreter Vertragspartner von A A/S das Unternehmen Ak… Technologies Inc. oder das Unternehmen Ak… Technologies GmbH ist. Die Unternehmenszentrale befindet sich jedenfalls in Cambridge, Massachusetts, USA (https://www.Ak….com/de/company/facts-figures; zuletzt abgerufen am 23.11.2021). Dabei handelt es sich um eine nicht zulässige Übermittlung nach Art. 48, 49 DS-GVO. Abs. 47
Denn Ak… Technologies Inc. unterliegt als US-amerikanisches Unternehmen dem US-amerikanischen Cloud-Act, einem US-amerikanischen Bundesgesetz vom 6.2.2018. Nach diesem sind US-Anbieter elektronischer Kommunikations- oder Remote-Computing-Dienste dazu verpflichtet, sämtliche in ihrem Besitz, Gewahrsam oder ihrer Kontrolle („posession, custody or control“) befindlichen Daten offenzulegen und zwar unabhängig davon, ob die Daten innerhalb oder außerhalb der USA gespeichert sind (Title 18 U. S. C. § 2713) (vgl. Kühling/Buchner/Schröder, 3. Aufl. 2020, DS-GVO Art. 48 Rn. 25). Abs. 48
Gemäß Art. 48 DS-GVO darf eine Übermittlung von personenbezogenen Daten auf der Grundlage einer Entscheidung eines ausländischen Gerichts oder einer ausländischen Verwaltungsbehörde im Grundsatz nur erfolgen, wenn sie auf eine in Kraft befindliche internationale Übereinkunft wie etwa ein Rechtshilfeabkommen zwischen dem ersuchenden Drittland und der Europäischen Union oder einem Mitgliedsstaat gestützt werden kann. Da eine solche internationale Übereinkunft zwischen der EU und den USA, die als Rechtsgrundlage für eine Datenübermittlung dienen könnte, nicht existiert (vgl. Kühling/Buchner/Schröder, 3. Aufl. 2020, DS-GVO Art. 48 Rn. 26), findet Art. 49 DS-GVO Anwendung, wonach eine Datenübermittlung an ein Drittland nur unter einer der in Art. 49 Abs. 1 S. 1 lit. a) bis f) und S. 2 DS-GVO genannten Bedingungen zulässig ist. Abs. 49
Keine der in Art. 49 Abs. 1 S. 1 und 2 DS-GVO genannten Bedingungen ist vorliegend erfüllt. Ein Nutzer der Webseite www.hs-rm.de wird unstreitig nicht um seine Einwilligung für die Übermittlung in die USA gebeten und auch nicht über die damit verbundenen möglichen Risiken unterrichtet (Art. 49 Abs. 1 S. 1 lit. a) DS-GVO). Die Übermittlung ist auch nicht aus wichtigen Gründen des öffentlichen Interesses notwendig (Art. 49 Abs. 1 S. 1 lit. d) DS-GVO). Unabhängig davon, ob die Öffentlichkeitsarbeit der Antragsgegnerin ein solches öffentliches Interesse darstellt, ist hierfür jedenfalls eine Datenübermittlung in die USA nicht erforderlich. Die übrigen der möglichen Bedingungen des Art. 49 Abs. 1 S. 1 DS-GVO sind offenkundig ebenfalls nicht einschlägig. Art. 49 Abs. 1 S. 2 DS-GVO findet bereits deshalb keine Anwendung, weil die Datenübermittlung bezüglich unzähliger Webseitennutzer stattfindet, also weder „nicht wiederholt erfolgt“, noch eine begrenzte Zahl von betroffenen Personen betrifft. Darauf, ob die „sonstigen Bestimmungen“ der DS-GVO, insbesondere Art. 5, 6 DS-GVO eingehalten sind, deren Voraussetzungen gemäß Art. 44 DS-GVO bei einer Datenübermittlung an ein Drittland ebenfalls vorliegen müssen, kommt es insoweit nicht mehr an. Abs. 50
Die Antragsgegnerin ist für diese Datenverarbeitung auch verantwortlich i. S. d. Art. 24, Art. 4 Ziff. 7 DS-GVO. Demnach ist Verantwortlicher die Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Dies ist vorliegend der Fall. Indem die Antragsgegnerin sich dafür entscheidet, den Dienst „C.“ auf ihrer Webseite einzusetzen, entscheidet sie jedenfalls über die Mittel der Datenverarbeitung. Denn allein indem sie den Dienst auf ihre Webseite einbindet, entscheidet sie darüber, dass die Erhebung und Übermittlung der personenbezogenen Daten der Webseitennutzer, die auch auf den Servern von Ak… stattfinden, erfolgt. Sie entscheidet auch jedenfalls mittelbar über die Zwecke der Verarbeitung. Denn in Kenntnis der Angaben von A und Ak…, die sie spätestens im Laufe des vorliegenden Verfahrens erlangt hat, kann sie sich dafür oder dagegen entscheiden, dass der Dienst auf ihrer Webseite eingesetzt wird und damit eine Datenverarbeitung möglicherweise auch zu den von A bzw. Ak… festgelegten Zwecken stattfindet, bzw. umgekehrt kann sie durch ein Entfernen des Dienstes dafür sorgen, dass die Datenverarbeitung zu diesen Zwecken nicht mehr stattfindet. Sie mag für nachfolgende Vorgänge, etwa die Speicherung und Verwendung durch Ak… nicht mehr mitverantwortlich sein, da es sich hierbei um eine andere Phase der Datenverarbeitung handelt (vgl. EuGH, Urteil vom 29.07.2019 – C-40/17 – Fashion-ID, Rn. 79, 84). Für die Erhebung und Übermittlung an Ak…, die unmittelbar durch die Einbindung des Dienstes auf der Webseite der Antragsgegnerin ausgelöst werden, ist sie verantwortlich. Für die Verantwortlichkeit eines Akteurs, insbesondere im Rahmen gemeinsamer Verantwortlichkeit, kommt es dabei nach der Rechtsprechung des EuGH auch nicht darauf an, dass jeder Verantwortliche Zugang zu den betreffenden personenbezogenen Daten hat (EuGH, Urt. v. 10.7.2018 – C-25/17 – Zeugen Jehovas, Rn. 69). Abs. 51
b) Abs. 52
Darüber hinaus findet eine Verarbeitung personenbeziehbarer Daten auch durch das Setzen eines sog. Cookie-Keys in Zusammenhang mit den übrigen übermittelten Daten statt. Dies ergibt sich aus der anschaulichen Erklärung des Vertreters des Hessischen Datenschutzbeauftragten. Dieser hat den Inhalt eines von C. gesetzten Cookies textlich visualisiert: Abs. 53
Abbildung Abs. 54
Er erklärte sodann nachvollziehbar, dass es sich bei dem Wert „stamp“ (gelb) vermutlich um eine ID handelt, die den Webseiten-Besucher identifiziert. Hierfür spreche insbesondere, dass der Wert über mehrere Webseiten-Aufrufe konsistent sei, sich jedoch ändere, wenn die vorhandenen Cookies gelöscht werden. Die grün, blau, rot und pink markierten Werte stellten sodann die Auswahl des Webseiten-Nutzers für bestimmte Kategorien von Cookies (grün), die Version des C.-Einwilligungsbanners (blau), die Uhrzeit der Betätigung des Banners (rot) sowie die geografische Region, aus der der Webseiten-Nutzer stammt (pink) dar. Abs. 55
Der Vertreter des Hessischen Datenschutzbeauftragten erläutert sodann, dass der Wert „stamp“ (gelb) zwar eine ID bzw. einen „Key“ oder „Fingerprint“ darstelle. Dieser ließe für sich genommen aber noch nicht die Identifizierung einer bestimmten natürlichen Person tatsächlich zu. Eine solche sei jedoch im Zusammenspiel mit der ebenfalls übermittelten IP-Adresse möglich. Abs. 56
Dies trifft zur Überzeugung des erkennenden Gerichts zu. Ausweislich der „Datenschutzrichtlinie“ von C. (https://www.C..com/de/privacy-policy/, zuletzt abgerufen am 26.11.2021) speichert C. auch im Browser des Endnutzers einen „anonymen, zufälligen und verschlüsselten“ Key, durch den die Webseite die Zustimmung des Endbenutzers „bei allen nachfolgenden Seitenanfragen und zukünftigen Endnutzer-Sitzungen für bis zu 12 Monate automatisch lesen und befolgen kann“. Der Key kann demnach eindeutig dem Webseiten-Nutzer und dessen Cookie-Präferenzen zugeordnet werden, anderenfalls könnte der Dienst den Webseiten-Nutzer und seine ehemals angegebenen Cookie-Präferenzen nicht in Verbindung bringen. Gemeinsam mit der ebenfalls übermittelten (siehe oben) ungekürzten IP-Adresse des Webseiten-Nutzers ist dieser durch C. damit eindeutig identifizierbar. Der Key mag insofern „anonym“ sein, als er nicht mit dem Namen des Endnutzers in Verbindung gebracht werden kann. Eine Individualisierung mithilfe der übrigen vorhandenen Daten über den Endnutzer schließt dies aber nicht aus, weil der Nutzer aufgrund der Speicherung des Keys identifiziert werden kann, auch wenn sein Name nicht bekannt ist. Mithin handelt es sich um ein personenbeziehbares Datum. Abs. 57
Dabei kommt es nicht darauf an, ob die Antragsgegnerin allein oder gemeinsam mit einer anderen Stelle, etwa den Unternehmen A oder Ak…, Verantwortliche ist. Denn gemäß Art. 26 Abs. 3 DS-GVO kann die betroffene Person ihre Rechte im Rahmen der DS-GVO bei einer gemeinsamen Verantwortlichkeit bei und gegenüber jedem einzelnen der Verantwortlichen geltend machen. Abs. 58
3. Abs. 59
Die Beeinträchtigung dauert auch noch an. Denn da der Dienst „C.“ nach den Angaben der Antragsgegnerin nach wie vor auf ihrer Webseite eingebunden ist, droht bei jeder Nutzung der Webseite erneut der oben dargestellte Verstoß. Abs. 60
4. Abs. 61
Die Rechtsverletzung des Antragstellers kann nur abgestellt werden, indem der Dienst insgesamt von der Webseite genommen wird. Ein nur partielles Abschalten des Dienstes gegenüber dem Antragsteller ist naturgemäß nicht möglich. Daher ist die Antragsgegnerin verpflichtet, den Dienst „C.“ von ihrer Webseite zu entfernen. Abs. 62
5. Abs. 63
Mit dem vorliegenden Eilverfahren kann der Antragsteller nur eine vorläufige Regelung des aktuellen Zustandes erreichen. Eine endgültige Regelung bleibt dem Hauptsacheverfahren vorbehalten. Abs. 64
Aus diesem Grund ist die Anordnung für den Fall, dass ein Hauptsacheverfahren nicht binnen vier Wochen nach Bekanntgabe dieser Entscheidung durch den Antragsteller anhängig gemacht wird auf vier Wochen ab Bekanntgabe befristet. Anderenfalls verliert die vorliegende Anordnung ihre Wirkung. Abs. 65
6. Abs. 66
Die Kostenentscheidung ergeht nach § 154 Abs. 1, 161 Abs. 2 VwGO. Abs. 67
Soweit das Verfahren für erledigt erklärt worden ist, sind die Kosten des Verfahrens dem Antragsteller aufzuerlegen, da die Antragsgegnerin dem Antragsteller bereits mit Schreiben vom 7.6.2021 mitteilte, dass sie den Google Tag Manager nicht mehr nutze, der Antragsteller aber erst am 8.6.2021 und damit nach Eintritt des erledigenden Ereignisses den vorliegenden Antrag gestellt hat. Das Interesse des Antragstellers an den beiden ursprünglich gestellten Anträgen ist dabei ähnlich hoch, sodass die Kosten gegeneinander aufzuheben sind. Abs. 68
Soweit der Antragsteller im Verfahren des einstweiligen Rechtsschutzes obsiegt, waren die Kosten der Antragsgegnerin aufzuerlegen. Abs. 69
Die Streitwertfestsetzung folgt aus § 52 Abs. 2, § 53 Abs. 2 Nr. 2 GKG. Da der Sach- und Streitstand für die Bestimmung des Streitwerts keine genügenden Anhaltspunkte bietet, ist ein Streitwert von jeweils 5.000 Euro für das Begehren bezüglich des Dienstes „Google Tag Manager“ und bezüglich des Dienstes „C.“ anzunehmen. Dieser ist der im Verfahren des vorläufigen Rechtsschutzes jeweils zu halbieren (vgl. Ziff. 1.5 des Streitwertkataloges für die Verwaltungsgerichtsbarkeit).

Diesen Beitrag teilen