Immer Ärger mit den CookiesJeder Webnutzer kennt es, viele nervt es: Wer eine Seite im Internet öffnet, wird umgehend darum gebeten, sich zur Verwendung von Cookies seitens des Betreibers zu äußern. Seit der Schrems-II-Entscheidung des Europäischen Gerichtshofes ist in die Angelegenheit noch einmal zusätzlich Brisanz gekommen.
Das Verwaltungsgericht in Wiesbaden hat jetzt im Rahmen eines Eilverfahrens im Wege der einstweiligen Anordnung die Nutzung eines Cookie-Dienstes untersagt. Diesen hatte die in der hessischen Landeshauptstadt ansässige Hochschule RheinMain genutzt. Der Dienst überwacht die eingesetzten Cookies und blockiert diejenigen, für die eine Zustimmung nicht erteilt wurde, ein heute ganz normaler Vorgang.
 

Drittland-Bezug

Problematisch ist der Sachverhalt deshalb, weil der Cookie-Dienst die vollständige IP-Adresse auf Servern eines Unternehmens verarbeitet, dessen Hauptsitz sich in den Vereinigten Staaten von Amerika befindet. Dadurch entsteht ein Drittland-Bezug, der vor dem Hintergrund der Schrems-II-Entscheidung unzulässig ist. Um eine Einwilligung in die Datenübermittlung in die USA hat die Hochschule nicht gebeten. Auch eine Unterrichtung über die mit der Übermittlung verbundenen Risiken durch den so genannten Cloud-Act fand nicht statt. Erforderlich sei die Datenübermittlung für das Betreiben des Webauftritts ebenfalls nicht.
 

Wer ist verantwortlich?

Die Beurteilung gilt unabhängig davon, dass die Hochschule die Daten nicht selbst an das in den USA sitzende Unternehmen herausgibt, sondern der für die Cookienutzung zuständige Dientsleister. Das Verwaltungsgericht identifiziert trotzdem die Hochschule als die für die Datenübermittlung verantwortliche Stelle. Sie entscheide, dass die Erhebung und Übermittlung überhaupt erfolgt. Da sie die Zielsetzung des Cookie-Dienstleisters kenne – der Nutzer der Hochschulwebseite soll für oder gegen die Verwendung der Cookies optieren – entscheide sie mittelbar auch über den Zweck der Verarbeitung. Dass sie für nachfolgende Vorgänge wie die Verwendung der Daten durch den Dienst nicht verantwortlich zeichnet, hilft ihr nicht.
 

Personenbezogene Daten

Voraussetzung für den Erfolg des Eilantrags war gemäß der Datenschutz-Grundverordnung, dass personenbezogene Daten der Webseitennutzer übermittelt wurden. Dies bejaht das Verwaltungsgericht Wiesbaden: Aus der Kombination eines den Besucher identifizierenden Schlüssels, der auch in dessen Webbrowser gespeichert werde, und der übermittelten vollständigen IP-Adresse sei der Nutzer eindeutig identifizierbar.
Gegen den Beschluss des VG Wiesbaden kann die Hochschule RheinMain noch Beschwerde erheben. Über die hätte dann der Hessische Verwaltungsgerichtshof in Kassel zu entscheiden. Bildnachweise: © IMAGO / Alexander Pradka