Auswirkungen auch auf andere Cloud-Dienste wie Google, Amazon oder Microsoft?
Der Beschluss des Verwaltungsgerichts (VG) Wiesbaden (Beschluss vom 01.12.2021 - Az. 6 L 738/21.WI) zur Verwendung der Cookie-Management-Plattform (sog. „Cookie Banner“) „Cookiebot“ beschäftigt derzeit die Datenschutzrechtler in ganz Deutschland. Es ist die erste Entscheidung in Deutschland, die einen Datentransfer untersagt, weil personenbezogene Daten in der EU über einen Cloud-Anbieter fließen, der lediglich seinen Sitz in den USA hat. Denn nach Ansicht des VG Wiesbaden soll eine Übermittlung personenbezogener Daten in die USA – hier IP-Adressen – schon dann vorliegen, wenn das US-Unternehmen oder ein deutsches Tochterunternehmen die Daten auf Servern in der EU verarbeitet und lediglich das abstrakte Risiko besteht, dass Daten aufgrund des sog. Cloud-Acts an die USA „ausgeliefert“ werden müssen.
Datenschutzverletzung durch Einsatz von Cookiebot
Am 1. Dezember 2021 wurde der Hochschule RheinMain im Eilverfahren untersagt, auf der Website www.hs-rm.de weiterhin „Cookiebot“ zur Einholung von Einwilligungen einzusetzen. Zur Begründung wurde angeführt, Cookiebot erhebe von den Nutzern der jeweiligen Webseiten personenbezogene Daten wie die vollständige IP-Adresse und speichere diese u. a. auf EU-Servern der Firma Akamai Technologies, die ihren Hauptsitz in den USA habe. Damit riskiere sie jedoch den unbefugten Datenzugriff durch US-Behörden auf Grundlage des US-Cloud-Acts. Der US-Cloud-Act gibt US-Behörden die Möglichkeit des Zugriffs auf Server von US-Unternehmen, auch wenn diese außerhalb der USA und ggf. von Tochterunternehmen betrieben werden.
Das VG Wiesbaden sah nun in diesem rein potenziellen Zugriff von US-Behörden eine Datenschutzverletzung, denn die Nutzer würden im Hinblick auf diesen Datentransfer nicht zu einer gesonderten Einwilligung aufgefordert werden und auch die Datenschutz-Informationen von Cookiebot würden über einen solchen möglichen Datentransfer nicht im genügenden Maße informieren.
VG Wiesbaden: Schon die Möglichkeit des Zugriffs der US-Behörden stellt einen Drittlandtransfer dar
Eine Vereinbarung für den Drittlandtransfer mit Hilfe der EU-Standarddatenschutzklauseln zwischen dem Anbieter (Cybot) des “Cookiebot” und dem US-Amerikanischen Cloud-Dienstleister Akamai Technologies genüge laut dem VG Wiesbaden nicht. Der EuGH habe in seiner sogenannten Schrems II Entscheidung klar festgestellt, dass "zusätzliche technische Maßnahmen", wie z.B. eine Verschlüsselung, vor dem Datenexport durch den Verantwortlichen ergriffen werden müssen (siehe dazu unseren Artikel „EuGH kippt transatlantisches Datenschutzabkommen“ vom 12. August 2020 )
Brisant ist dabei, dass die Begründung des Beschlusses auch Auswirkungen auf andere Cloud-Dienste von US-Providern wie Google, Microsoft (mit seinen 365-Diensten), Amazon oder Salesforce haben könnten. Jegliche Verarbeitung personenbezogener Daten im Bereich der elektronischen Kommunikation des Cloud-Computing, die unter Beteiligung eines US-Unternehmens stattfinden, stünden damit unter dem Damoklesschwert des Cloud-Acts und wären als Drittlandtransfer zu behandeln. Genau das macht den Beschluss so „gefährlich“ aber aus unserer Sicht auch angreifbar. Es ist nicht bekannt, ob seitens der Hochschule RheinMain Beschwerde eingelegt worden ist. Angesichts der aus unserer Sicht fragwürdigen, weil sehr weitreichenden Begründung, wäre dies aber zu empfehlen.
Handlungsempfehlungen für Nutzer von Cookiebot
Der Beschluss vergrößert das Haftungsrisiko für Webseitenbetreiber. In einem ersten Schritt empfehlen wir zu prüfen, ob Sie auf der eigenen Webseite möglicherweise ebenfalls den Dienst Cookiebot einsetzen. Cookiebot ist gerade bei deutschen Unternehmen und Organisationen sehr beliebt, da ausdrücklich mit DSGVO-Compliance geworben wird. Soweit Sie Cookiebot einsetzen, sollten Sie nach der nun vorliegenden Entscheidung des VG Wiesbaden Alternativ-Dienste in Betracht ziehen, die auf Servern gehostet werden, die ausschließlich im Zugriffsbereich von EU-Unternehmen liegen, also keinen US-Bezug aufweisen.
