News & Fachbeiträge

Die Rechtsprechung definiert regelmäßig die einzelnen gesetzlichen Vorschriften. Insbesondere im IT-Recht und Datenschutz, aber auch in anderen Rechtsgebieten, müssen die Gerichte die Gesetze den ständigen Weiterentwicklungen anpassen und zum Teil neu definieren. Wir verfolgen die Rechtsprechung und geben unseren Mandanten praktische Hinweise zur Umsetzung.

In unseren News/Rechtstipps stellen wir regelmäßig eine Auswahl von diesen rechtlichen Entwicklungen für Sie zusammen.

Kategorieübersicht

Gericht untersagt Nutzung von Cookie-Management-System wegen Datenschutzverstoß

Das Verwaltungsgericht (VG) Wiesbaden hat im Fall einer öffentlich-rechtlichen Hochschule dieser die Verwendung eines bestimmten Cookie-Management-Systems per einstweiliger Verfügung untersagt, da durch das verwendete System Daten auf US-amerikanische Server gelangten.

Auf der Webseite der Bibliothek der öffentlich-rechtlichen Hochschule wird ein Cookie-Management-Tool verwendet, welches die Einwilligung in die Verwendung von Cookies durch die Nutzer gem. Art. 6 Abs. 1 S. 1 lit. a DSGVO einholt (lesen Sie hierzu unseren Artikel Cookies – worauf es ankommt). Der Antragsteller nutzte regelmäßig den Online-Katalog der Bibliothek zur Recherche von Fachliteratur.

Dem Nutzer war dabei aufgefallen, dass trotz verweigerter Einwilligung seine Daten sowohl an den Betreiber des Cookie-Management-Systems wie auch an das den durch den Betreiber genutzte Cloud-Hosting-Unternehmen mit Unternehmenssitz in den USA übermittelt wurden.

Durch den US Cloud Act und den Unternehmenssitz des Serverbetreibers in den USA, haben US-Behörden Zugriff auf personenbezogene Daten des Nutzers. Gemäß US Cloud Act sind amerikanische Unternehmen verpflichtet, sämtliche ihrer Kontrolle unterliegenden Daten amerikanischen Sicherheitsbehörden offenzulegen, unabhängig davon, ob die Daten innerhalb oder außerhalb der USA gespeichert werden.

Übermittelte Daten sind in Kombination personenbezogen

Konkret ging es um Kontaktaufnahmen des Nutzerrechners mit dem Server des Betreibers des Cookie-Management-Tools. Hierdurch wurden Informationen über die Hard- und Software des Nutzers verarbeitet und übermittelt. Dazu gehörten das verwendete Betriebssystem und der Browser einschließlich der jeweils verwendeten Version, Sprache und Farbzahl, Art des Bildschirms, Bildschirmauflösung, Skriptsprachen und installierte Plugins sowie die ungekürzte IP-Adresse.

Zudem wurde ein sog. Cookie-Key durch den Betreiber des Cookie-Management-Tools gesetzt, der die Cookie-Auswahl des Nutzers für bis zu 12 Monate speichert und eine ID generiert.

Die übermittelten Daten waren – jede für sich genommen – nicht identifizierend und damit personenbezogen. Die Kombination all dieser vorliegenden Daten ergeben jedoch einen digitalen Fingerabdruck, der einen eindeutigen Rückschluss auf den Nutzer zulässt, sodass es sich um die Verarbeitung personenbezogener Daten handelt.

Unterlassungsanspruch des Nutzers gegen die Hochschule

Das Gericht entschied zugunsten des Nutzers und sprach ihm einen öffentlich-rechtlichen Unterlassungsanspruch aus § 1004 BGB analog iVm Art. 79 Abs. 1, Art. 5 Abs. 1 lit. a DSGVO gegen die Hochschule zu.

Die Hochschule ist als öffentliche Einrichtung an die DSGVO gebunden. Das Betreiben einer Webseite gehört zur Öffentlichkeitsarbeit und zum Aufgabenbereich der Hochschule.

Die Hochschule ist auch verantwortlich iSv Art. 24, 4 Nr. 7 DSGVO für die Datenverarbeitung, da sie jedenfalls durch das eingeleitete Verfahren von den Problemen erfahren hat. Zumindest seit diesem Zeitpunkt entscheidet sie jedenfalls mittelbar über die Zwecke der Datenverarbeitung, da sie unmittelbar entschieden hat, das Cookie-Management-System weiter zu verwenden. Nur durch diese Entscheidung ist die Erhebung und Übermittlung der Daten möglich, sodass hieraus eine Verantwortlichkeit resultiert.

Indem die Hochschule das Cookie-Management-System verwendet, ermöglicht sie Unbefugten den Zugriff auf personenbezogene Daten und verletzt damit die Vertraulichkeit gem. Art. 32 Abs. 1 lit. b DSGVO.

Soweit kein Datenschutzübereinkommen mit dem Drittland gem. Art. 44 DSGVO existiert, darf eine Übermittlung personenbezogener Daten nur aufgrund der in Art. 49 DSGVO genannten Ausnahmen erfolgen. Weder ein Datenschutzübereinkommen, noch eine der in Art. 49 DSGVO genannten Ausnahmen liegen hier nicht vor.

Ein berechtigtes öffentliches Interesse ist ebenfalls nicht gegeben, da jedenfalls für die Übermittlung der Daten in die USA ein solches nicht besteht.

Erforderlich wäre daher, dass durch das Cookie-Management-System eine Einwilligung für die Übermittlung von Daten in die USA eingeholt wird. Diese kann jedoch nur wirksam sein, wenn gleichermaßen über die dadurch entstehenden Risiken des Zugriffs durch Behörden informiert wird.

Erstellt unter Mitarbeit von Frau Daniela Lenz, wissenschaftliche Mitarbeiterin.

Bei Fragen stehen wir Ihnen gerne zur Verfügung. Bitte richten Sie Ihre Fragen telefonisch oder über unser Kontaktformular an uns.