07.12.2021

Hochschule RheinMain darf auf ihrer Webseite nicht den Dienst "Cookiebot" nutzen

Das VG Wiesbaden hat der Hochschule RheinMain im Wege der einstweiligen Anordnung untersagt, den Dienst "Cookiebot" auf ihrer Website zum Zweck des Einholens von Einwilligungen in der Weise einzubinden, dass personenbezogene oder -beziehbare Daten des Antragstellers (einschließlich dessen IP-Adresse) an Server übermittelt werden, die von einem externen Unternehmen betrieben werden.

VG Wiesbaden v. 1.12.2021 - 6 L 738/21.WI
Der Sachverhalt:
Gegenstand des Eilverfahrens vor dem VG Wiesbaden ist das Begehren des Antragstellers, es der Hochschule RheinMain zu untersagen, auf ihrer Webseite www.hs-rm.de den Dienst "Cookiebot" einzubinden. "Cookiebot" ermöglicht es, die Einwilligung der Nutzer einer Webseite in die Cookie-Verwendung einzuholen. Der Dienst überwacht die eingesetzten Cookies und blockiert solche Cookies, für die eine Zustimmung nicht erteilt wurde.

Gegen den Beschluss kann die Antragsgegnerin binnen zwei Wochen Beschwerde erheben, über die der Hessische VerwGH zu entscheiden hätte.

Die Gründe:
Die Hochschule ist verpflichtet, die Einbindung des Dienstes "Cookiebot" auf ihrer Webseite zu beenden, da diese mit der rechtswidrigen Übermittlung personenbezogener Daten der Webseitennutzer und damit insbesondere des Antragstellers einhergeht.

Es liegen personenbezogene Daten vor. Aus einer Kombination eines den Webseiten-Besucher identifizierenden Keys, der im Browser des Nutzers gespeichert wird, und der übermittelten vollständigen IP-Adresse ist der Endnutzer eindeutig identifizierbar.

"Cookiebot" verarbeitet die vollständige IP-Adresse der Endnutzer auf Servern eines Unternehmens, dessen Unternehmenszentrale sich in den USA befindet. Hierdurch entsteht ein Drittland-Bezug, nämlich zu den USA, welcher im Hinblick auf die sog. Schrems II-Entscheidung des Europäischen Gerichtshofs unzulässig ist. Die Nutzer der Webseite der Hochschule werden nicht um ihre Einwilligung für eine Datenübermittlung in die USA gebeten. Es findet auch keine Unterrichtung über die mit der Übermittlung verbundenen möglichen Risiken durch den sog. Cloud-Act statt. Eine solche Datenübermittlung ist auch nicht für das Betreiben der Webseite der Hochschule erforderlich.

Zwar übermittelt nicht die Hochschule selbst die Daten in die USA. Sie ist aber die für die Datenübermittlung verantwortliche Stelle. Sie entscheidet durch das Einbinden auf ihrer Webseite darüber, dass die Erhebung und Übermittlung durch den Dienst "Cookiebot" erfolgt. Sie entscheidet auch mittelbar über den Zweck der Verarbeitung, da sie in Kenntnis der Zwecke, die der eingebundene Dienst angibt, sich für oder gegen die Verwendung entscheiden kann. Hiergegen spricht auch nicht, dass sie für nachfolgende Vorgänge, wie der Verwendung der Daten durch den Dienst, nicht mehr verantwortlich ist.

Mehr zum Thema:

VG Wiesbaden PM Nr. 17 vom 6.12.2021
Zurück