5. Mai 2022
Consent Management Plattform Datenübermittlung Drittland
Datenschutzrecht

Rechtswidrige Datenübermittlung in Drittland durch Consent-Management-Plattform

Das VG Wiesbaden untersagt die Einbindung einer Consent-Management-Plattform wegen rechtswidriger Übermittlung von personenbezogenen Daten in die USA.

Primärer Zweck sog. Consent-Management-Plattformen ist die Nutzung zur Einholung von Einwilligungen der Nutzer* von Webseiten in die Verwendung bestimmter Cookies. Dabei sollen Consent-Management-Plattformen die eingesetzten Cookies überwachen und diejenigen Cookies blockieren, für die Nutzer keine Einwilligung erteilt haben. Websitebetreiber setzen Consent-Management-Plattformen regelmäßig zur Einhaltung der Vorgaben des Datenschutzrechts ein (insbesondere Telekommunikation-Telemedien-Datenschutzgesetz [TTDSG] und EU-Datenschutzgrundverordnung [DSGVO]). Umso erstaunlicher ist es für viele Websitebetreiber, wenn die konkrete Verwendung der Consent-Management-Plattform selbst gegen das Datenschutzrecht verstößt.

Das Verwaltungsgericht Wiesbaden (VG Wiesbaden, Beschluss v. 1. Dezember 2021 – 6 L 738/21.WI) hat kürzlich in einem Eilverfahren per einstweiliger Anordnung die Einbindung einer Consent-Management-Plattform zum Zweck des Einholens von Einwilligungen untersagt. Entscheidend war dabei, dass personenbezogene oder -beziehbare Daten des Websitenutzers an Server übermittelt worden seien, die von einem Unternehmen mit Hauptsitz in den USA betrieben wurden. Auf Beschwerde der Antragsgegnerin und aufgrund fehlender Voraussetzungen für ein Eilverfahren wurde der Beschluss des VG Wiesbaden durch den Hessischen Verwaltungsgerichtshof mittlerweile weitgehend aufgehoben und der Erlass einer einstweiligen Anordnung abgelehnt (vgl. Hessischer Verwaltungsgerichtshof, Beschluss v. 17. Januar 2022 – 10 B 2486/21). Das Verfahren wird nun in einem Hauptsacheverfahren fortgeführt.

Laut dem VG Wiesbaden nutze der Websitebetreiber eine Consent-Management-Plattform eines europäischen Unternehmens, welche die vollständige IP-Adresse des Websitenutzers speichere und verarbeite. Da mittels der ungekürzten IP-Adresse die genaue Identifizierung der Nutzer möglich sei, stelle die IP-Adresse ein personenbezogenes Datum dar (vgl. EuGH, Urteil v. 19. Oktober 2016 – C-582/14 [Breyer/Deutschland]BGH, Urteil v. 16. Mai 2017 – VI ZR 135/13). Um das Einwilligungsskript der Consent-Management-Plattform abzurufen, verwende der Anbieter das Content Delivery Network eines Unternehmens mit Hauptsitz in den USA, auf dessen Servern sich das Einwilligungsskript befinde. Ein Content Delivery Network ist ein Netz regional verteilter und über das Internet verbundener Server zur schnellen Auslieferung von Inhalten. Durch die Nutzung eines Content Delivery Network kann auch bei großen Lastspitzen ein optimaler Datendurchsatz sichergestellt werden. 

CLOUD Act als Grund für unrechtmäßige Datenübermittlung in Drittland

Die mit der Consent-Management-Plattform verarbeiteten personenbezogenen Daten werden auch auf Servern des Unternehmens mit Hauptsitz in den USA verarbeitet. Dies stelle nach Ansicht des VG Wiesbaden eine unzulässige Datenübermittlung in ein Drittland gem. Art. 44, 48 und 49 DSGVO dar. Da sich die Unternehmenszentrale in den USA befinde, sei es zudem unerheblich, ob die Verarbeitung auf Servern eines Unternehmens stattfinde, das selbst seinen Sitz in Deutschland habe.

Das Gericht geht richtigerweise stillschweigend davon aus, dass eine Datenübermittlung in die USA nicht gem. Art. 45 DSGVO auf der Grundlage eines Angemessenheitsbeschlusses in Betracht kommt (vgl. EuGH, Urteil v. 16. Juli 2020 – C-311/18 – „Schrems II“). Zudem geht das VG Wiesbaden ebenfalls nicht auf die Übermittlung von Daten vorbehaltlich geeigneter Garantien gem. Art. 46 DSGVO ein. Hierzu gehört z.B. die Vereinbarung von Standarddatenschutzklauseln mit zusätzlichen Garantien, die einen Zugriff durch US-amerikanische Behörden verhindern, etwa durch Verschlüsselung oder Anonymisierung der personenbezogenen Daten.

Der für die Unzulässigkeit der Übermittlung entscheidende Grund liege nach Ansicht des Gerichts darin, dass US-amerikanische Unternehmen dem sog. CLOUD Act (Clarifying Lawful Overseas Use of Data Act) unterliegen. Dieses US-amerikanische Gesetz verpflichtet US-Anbieter elektronischer Kommunikations- oder Remote-Computing-Dienste dazu, alle in ihrem Besitz, Gewahrsam oder ihrer Kontrolle („possession, custody, or control“) befindlichen Daten gegenüber US-Behörden offenzulegen, unabhängig davon, ob diese Daten innerhalb oder außerhalb der USA gespeichert werden.

Das VG Wiesbaden führt hierzu aus, dass gem. Art. 48 DSGVO eine Übermittlung oder Offenlegung von personenbezogenen Daten auf Grundlage einer Entscheidung eines Gerichts oder einer Verwaltungsbehörde eines Drittlands nur dann rechtmäßig sei, wenn sie auf eine in Kraft befindliche internationale Übereinkunft (z.B. Rechtshilfeabkommen) zwischen dem ersuchenden Drittland und der Europäischen Union oder einem Mitgliedstaat gestützt werden könne. Eine solche internationale Übereinkunft zwischen Deutschland und den USA bestehe allerdings nicht, sodass Art. 48 DSGVO nicht als Rechtsgrundlage dienen könne. 

Ausnahmen für bestimmte Fälle gem. Art. 49 DSGVO nicht einschlägig

Das Gericht führt weiter aus, dass für die Rechtfertigung der internationalen Datenübermittlung lediglich Art. 49 DSGVO in Betracht komme. Art. 49 DSGVO statuiert Ausnahmen für bestimmte Fälle, sofern weder ein Angemessenheitsbeschluss vorliegt noch geeignete Garantien nach Art. 46 DSGVO bestehen. Gemäß den Ausführungen des Gerichts seien dessen Voraussetzungen aber nicht erfüllt. Insbesondere würden Nutzer der Website bereits nicht um eine Einwilligung für die Übermittlung in die USA gebeten, auch eine Unterrichtung über die damit verbundenen Risiken finde nicht statt (Art. 49 Abs. 1 S. 1a DSGVO). Die Übermittlung sei auch nicht aus wichtigen Gründen des öffentlichen Interesses notwendig (Art. 49 Abs. 1 S. 1d DSGVO). Die übrigen Möglichkeiten des Art. 49 Abs. 1 S. 1 DSGVO seien offenkundig ebenfalls nicht einschlägig. Interessant ist die Feststellung des Gerichts, dass sich ein Websitebetreiber bei der Einbindung einer Consent-Management-Plattform auch nicht auf die Ausnahmeregelung für die Übermittlung in Einzelfällen (vgl. Art. 49 Abs. 1 S. 2 DSGVO) stützen könne. Dieser finde schon deshalb keine Anwendung, da eine Übermittlung von Daten unzähliger Websitenutzer stattfinde und damit wiederholt erfolge und nicht lediglich eine begrenzte Zahl von betroffenen Personen berühre.

Websitebetreiber ist für die Datenverarbeitung verantwortlich

Verantwortlicher i.S.d. Art. 24 und Art. 4 Ziff. 7 DSGVO ist die Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Zwar übermittelt der Websitebetreiber die personenbezogenen Daten nicht selbst in die USA. Indem er eine bestimmte Consent-Management-Plattform auf seiner Website einbinde, entscheide er aber über die Erhebung und Übermittlung personenbezogener Daten der Websitenutzer, die auch auf den Servern des Unternehmens mit Hauptsitz in den USA verarbeitet werden, und damit über die Mittel der Verarbeitung. Zudem entscheide der Websitebetreiber nach Ansicht des Gerichts zumindest mittelbar über die Zwecke der Verarbeitung, indem ihm – in Kenntnis der Angaben und Zwecke des Anbieters der Consent-Management-Plattform und des von diesem beauftragten Unternehmens mit Hauptsitz in den USA – die Entscheidung obliege, die Consent-Management-Plattform auf seiner Seite einzubinden oder nicht. Hierdurch könne er entscheiden, ob die Datenverarbeitung zu diesen festgelegten Zwecken stattfinde oder nicht.

Unterscheidung verschiedener Phasen der Datenverarbeitung

Das Gericht unterscheidet dabei zwischen verschiedenen Phasen der Datenverarbeitung. Da die Einbindung der Consent-Management-Plattform auf der Website unmittelbar die Erhebung der Daten und deren Übermittlung an das vom Anbieter der Consent-Management-Plattform beauftragte Unternehmen mit Hauptsitz in den USA auslöse, sei der Websitebetreiber auch für diese Phase der Verarbeitung verantwortlich. Für die dieser Phase nachfolgende Datenverarbeitung – d.h. bei dem Anbieter der Consent-Management-Plattform und dem von diesem beauftragten US-Unternehmen – lehnt das Gericht eine (Mit-)Verantwortlichkeit des Websitebetreibers hingegen ab. 

Entscheidung im Hauptsacheverfahren mit Spannung erwartet

In einer Stellungnahme des betroffenen Anbieters der Consent-Management-Plattform geht dieser von einer unzutreffenden Sachverhaltsdarstellung im Eilverfahren aus. Laut dieser Stellungnahme sei der Anbieter dem Verfahren aber nun beigetreten, um weitere Informationen bereitzustellen und dem Gericht ein detailliertes und vollständigeres Bild von der Consent-Management-Plattform und der bestehenden Datenschutzlandschaft für das anstehende Hauptsacheverfahren zu vermitteln. Aufgrund der Vielzahl relevanter Fragen und der hohen praktischen Bedeutung – insbesondere von Datenübermittlungen in die USA – kann die Entscheidung im Hauptsacheverfahren mit Spannung erwartet werden. Von besonderem Interesse ist dabei auch die Einordnung der Auswirkungen des CLOUD Act, der vom VG Wiesbaden bislang als entscheidender Faktor für die Unzulässigkeit der Datenübermittlung eingestuft wurde. Die Entscheidung dürfte auch erhebliche Auswirkungen auf die Einbindung der bei vielen Websitebetreibern beliebten Dienste von Google haben. In einem ähnlichen Kontext haben auch die Datenschutzaufsichtsbehörden von Österreich und Frankreich Anfang 2022 geäußert, dass sie die bei der Nutzung von Google Analytics von den Websitebetreibern veranlassten Maßnahmen zum Schutz personenbezogener Daten für unzureichend erachten und die Nutzung der Tools nicht DSGVO-konform sei.

Rechtskonforme Gestaltung von Datenübermittlungen in Drittländer hat hohe Bedeutung

Die im Eilverfahren ergangene Entscheidung des VG Wiesbaden zeigt erneut die hohe Bedeutung der rechtskonformen Gestaltung von Datenübermittlungen in Drittländer auf. Websitebetreiber haben beim Einsatz von Consent-Management-Plattformen nicht nur zu beachten, welchen Anbieter sie selbst nutzen, sondern darüber hinaus, welche Unterauftragnehmer vom jeweiligen Anbieter der Consent-Management-Plattform genutzt werden. Dabei ist insbesondere ein möglicher Drittlandtransfer zu berücksichtigen, für den die Websitebetreiber nach Ansicht des Gerichts verantwortlich sind. Die Entscheidung des Gerichts kann von Websitebetreibern zum Anlass genommen werden, die eigene Website einer kritischen datenschutzrechtlichen Überprüfung zu unterziehen. Dabei sollten neben der eingesetzten Consent-Management-Plattform auch eingebundene Cookies und Skripte sowie Cookie-Banner geprüft und sämtliche bestehenden Datenübermittlungen in Drittländer identifiziert werden. 

Hier finden Sie eine stets aktualisierte Übersicht über behördliche Reaktionen auf das Schrems-II-Urteil des EuGH zu internationalen Datentransfers. Einen Überblick über die neuen Standardvertragsklauseln erhalten Sie in dem Beitrag Schrems II: Neue Standardvertragsklauseln, neue Empfehlungen und neue Fragen. Einen Blog-Beitrag zu wesentlichen Neuerungen des TTDSG im Bereich des Telekommunikationsrechts finden Sie hier. Mehr zum Thema TTDSG und Cookies finden Sie hier.

*Gemeint sind Personen jeder Geschlechtsidentität. Lediglich der leichteren Lesbarkeit halber wird künftig bei allen Bezeichnungen nur noch die grammatikalisch männliche Form verwendet.

Tags: Cloud Act Consent Management Plattform Datenschutzrecht Datenübermittlung Drittland