Mit Beschluss vom 01.12.2021 untersagte das VG Wiesbaden der Hochschule RheinMain im Eilverfahren, den Dienst „Cookiebot“ auf ihrer Website für das Einwilligungsmanagement zu verwenden, da personenbeziehbare Daten (IP-Adresse) in die USA übertragen würden.
Der Nutzer werde daher in identifizierbarer Weise und ohne rechtliche Grundlage in den Geltungsbereich des US-Clouds-Acts unterworfen. Die bloßen Standardvertragsklauseln der Europäischen Union stellten ohne zusätzliche Sicherheitsgarantien keine hinreichende Rechtfertigung dar.
Cookiebot überträgt die IP-Adresse schon beim Vorgang der Einwilligungsabfrage selbst an seine Server. Da dies nicht mittels einer Ende-zu-Ende-Verschlüsselung geschieht, kann lt. VG Wiesbaden nicht von anonymisierten bzw. statistischen Daten, die nicht der DSGVO unterfallen würden, ausgegangen werden.
Unerheblich sei in diesem Zusammenhang der Sitzort des Dienstanbieters und der Standort des Servers in der EU, da die hinter dem Dienst stehende US-Konzernobergesellschaft – ggf. erzwingbaren – Zugriff habe und ihrerseits der US-Gesetzgebung mit ihren umfassenden Abfragemöglichkeiten nach dem Cloud Act unterfalle. Dies sei nach Maßgabe der SCHREMS II-Entscheidung des Europäischen Gerichtshofs (EuGH) unzulässig und stelle einen Verstoß des Verantwortlichen, d.h. des Website-Betreibers (Hochschule RheinMain), der die unmittelbare Erhebung und den Transfer auf den Server veranlasse, dar.
Der Fall dürfte weitreichende Konsequenzen haben. Denn auch andere US-Unternehmen greifen auf die Tochtergesellschaften und Niederlassungsstandorte auf dem Gebiet der EU zu bzw. können von US-Behörden zu einer Offenlegung der insoweit unter ihrer Kontrolle stehenden Daten gezwungen werden. Damit wären prinzipiell auch Dienste von Google (Analytics, Maps und reCaptcha), Amazon, Facebook etc. sowie Plugins und Pixel sozialer Netzwerke und Konferenzdienste vom „Aus“ bedroht. Denn nach der Rechtsprechung des Europäischen Gerichtshofs (EuGH) stellen auch die von diesen Anbietern verwendeten EU-Standardvertragsklauseln nur dann eine taugliche Legitimation dar, wenn sie um geeignete, zusätzliche technische und organisatorische Maßnahmen – wie insbesondere eine hinreichende Verschlüsselung, die den übertragenden Daten den Personenbezug nimmt – ergänzt werden. Viele der großen US-Anbieter stellen solche Maßnahmen bis dato nicht zur Verfügung.