Stand: 16.02.2022

Der Fall zu dem Cookie-Consent-Tool Cookiebot hat in der letzten Zeit für sehr viel Aufsehen gesorgt. Zuerst hatte das VG Wiesbaden die Verwendung des Tools mit Hinblick auf den Datentransfer in Drittstaaten für nicht DS-GVO konform erklärt. Diese Entscheidung sorgt für großes Aufsehen, da es weitreichende Folgen für Unternehmens-Homepages hätte haben können. Allerdings hat es nur etwas mehr als einen Monat gedauert, bis dieses Urteil von der nächsten Instanz wieder ausgesetzt worden ist und somit Cookiebot weiterhin auf der Homepage der verklagten Hochschule eingesetzt werden darf.

Das Hin und Her in diesem Fall, genauso wie die skurrile Situation, dass ausgerechnet ein Dienst zur Einholung datenschutzrechtlicher Einwilligungen wegen Datenschutzmängeln verboten worden ist und die Umstände, die überhaupt erst dazu führten, dass der Einsatz dieses beliebten Tools vor Gericht kam, passen deshalb sehr gut in unsere Rubrik ‚Aus der Abteilung Recht skurril‘.

Ausgangspunkt: die Entscheidung des VG Wiesbaden im Eilverfahren

Mit einem Beschluss hat das Verwaltungsgerichts (VG) Wiesbaden am 01.12.2021 (Az. 6 L 738/21.WI) in einem Eilverfahren einer verklagten Hochschule im Wege der einstweiligen Anordnung untersagt, den Cookie-Consent-Dienst des Anbieters Cookiebot weiter auf deren Website zu verwenden.

Hintergrund dieser Entscheidung der Wiesbadener Richter war, dass Endnutzer ihrer Ansicht nach aufgrund einer Kombination eines den Webseiten-Besucher identifizierenden Keys, der im Browser des Nutzers gespeichert werde, und der übermittelten vollständigen IP-Adresse eindeutig identifizierbar seien. Diese personenbezogenen Daten werden auf Cloud-Servern von US-amerikanischen Unternehmen gespeichert, weshalb ein Drittland-Bezug besteht. Dies sei im Hinblick auf die sog. Schrems II-Entscheidung unzulässig, eine Einwilligung der User liege nicht vor. Die Datenübermittlung sei damit rechtswidrig.

Mit diesem Urteil wurde erstmals die gängige Praxis, Tools von (Cloud-)Anbietern in den USA zu nutzen, gerichtlich beanstandet und sogar untersagt – und das ausgerechnet bei einem Datenschutz-Consent-Tool. Die datenschutzrechtliche Problematik lässt sich eins zu eins auch auf eine Vielzahl weiterer Dienste übertragen und damit war fraglich, ob Dienste wie Google reCaptcha, Youtube-Videos etc. datenschutzrechtlich zulässig nutzbar sind.

Rücknahme des Eilbeschlusses durch den VHG Kassel

Ebenfalls im Eilverfahren hat der Verwaltungsgerichtshof (VGH) Kassel als nächste Instanz am 17.01.2022 (Az. 10 B 2486/21) entschieden, das die verklagte Hochschule das Cookie-Consent-Tool von Cookiebot doch weiter einsetzen darf.  Das Urteil des VG Wiesbaden, das der Hochschule die Nutzung von Cookiebot untersagt hat, wurde vom VGH aus formellen Gründen ausgesetzt.

Folgende Gründe haben dazu geführt, dass die Verwendung weiterhin möglich ist:

  • Die Entscheidung des VG Wiesbaden ist nach den vorliegenden Sachverhaltsangaben unzulässig. Es fehlt bereits an einer öffentlich-rechtlichen Streitigkeit, denn der Betrieb einer Webseite stellt kein hoheitliches Handeln dar. Aus diesem Grund ist der Verwaltungsrechtsweg gem. § 40 Abs. 1 Satz 1 Verwaltungsgerichtsordnung (VwGO) nicht gegeben. Das Gericht war sachlich einfach unzuständig.
  • Der Verwaltungsrechtsweg könnte nur dann eröffnet sein, wenn der Antragssteller einen öffentlich-rechtlichen Anspruch auf Benutzung der Webseite hätte und sich an der Nutzung wegen Cookiebot gehindert sähe. Hochinteressant ist hier, dass der Kläger ein Rechtsanwalt aus Wiesbaden ist, der angab, im Online-Bibliothekskatalog der Hochschule regelmäßig nach Fachliteratur zu recherchieren. Die Richter des VGH stellten in ihrem Urteil aber fest, dass der Antragsteller nicht auf die Nutzung der Hochschulwebseite angewiesen ist, da er dort weder Student noch Lehrender ist.
  • Da der Anwalt seine Recherchen auch anderweitig erledigen kann, liegt kein glaubhafter Grund für eine Entscheidung im Eilverfahren vor. Voraussetzung für einen Eilbeschluss ist nämlich immer, dass es dem Antragsteller unter Berücksichtigung seiner, sowie öffentlicher Interessen nicht zumutbar ist, die Hauptsachenentscheidung abzuwarten.

Der VGH entschied daher, dass eine so schwierige und komplexe Frage zur Nutzung von Consent-Management-Plattformen in der Hauptsache entschieden werden muss. Und dieses Verfahren ist nun seit Ende Dezember ebenfalls beim VG Wiesbaden anhängig. In diesem Zusammenhang sollte gerichtlich insbesondere geklärt werden, ob eventuell nur eine Telekommunikationsdienstleistung vorliegt, ob überhaupt eine Datenübermittlung in Drittstaaten vorliegt und ob diese – falls gegeben – nicht auf die Standardvertragsklauseln gestützt werden könnte.

Fazit

Das skurrile an diesem Fall ist nicht nur, dass hin und her zu der Verwendung des Datenschutztools Cookiebot. Es ist viel mehr der Umstand, der dazu geführt hat. Ein Rechtsanwalt behauptet er sei auf eine Universitätsbibliothek angewiesen, was an sich schon etwas wunderlich ist. Aber das wird noch getoppt dadurch, dass dieser Rechtanwalt wegen dem Datentransfer in die USA klagen wollte, dabei dann allerdings den falschen Rechtsweg wählte.

Wichtig ist auf jeden Fall noch anzumerken, dass in diesem Fall noch keine endgültige Entscheidung getroffen ist. Der VHG betont, dass dieser Sachverhalt in dem Hauptverfahren entschieden werden muss, das auch beim VG Wiesbaden anhängig ist. Es bleibt in jedem Fall spannend und wir halten Sie weiterhin auf dem Laufenden.