VG Wiesbaden verbietet die Nutzung von Content Delivery Networks

VG Wiesbaden, Beschluss vom 1. Dezember 2021, 6 L 738/21.WI

Das VG Wiesbaden hat in einem viel beachteten Beschluss gem. § 123 VwGO vom 1. Dezember 2021 zum Az. 6 L 738/21.WI die Überlassung von personenbezogenen Daten an Unternehmen im Bereich der elektronischen Kommunikation oder des Cloud-Computing – hier den Betreiber eines Content Delivery Networks [CDN] – grds. für verboten erklärt. Denn nach Ansicht des VG Wiesbaden soll eine Übermittlung personenbezogener Daten in die USA – hier IP-Adressen – schon vorliegen, wenn das US-Unternehmen oder ein deutsches Tochterunternehmen die Daten auf Servern in der EU verarbeitet. Das VG Wiesbaden hatte die Consent-Management-Plattform „Cookiebot" zu bewerten, welches von vielen Unternehmen in Deutschland verwendet wird. Die Begründung des Beschlusses lässt sich nicht nur auf andere Cloud-Dienste von US-Providern wie Google, Microsoft, Amazon oder Salesforce anwenden. Jegliche Verarbeitung personenbezogener Daten durch Personen im Bereich der elektronischen Kommunikation des Cloud-Computing, die unter dem Einfluss eines US-Unternehmens stehen, wären danach als Drittlandtransfer zu behandeln. In jedem Fall stellt der Beschluss die erste bekannte Entscheidung zur Nutzung von Cloud-Diensten dar, die in der EU von einem Tochterunternehmen eines US-Konzerns betrieben werden. Dennoch bleiben Zweifel, ob das VG überhaupt zuständig gewesen ist und die Sache auch in materieller Hinsicht richtig entschieden hat.

Im Detail: Worum geht es?

Gegenstand des Eilverfahrens vor dem VG Wiesbaden ist das Begehren des Antragstellers, es der Hochschule RheinMain zu untersagen, auf ihrer Webseite www.hs-rm.de den von dem Unternehmen Cybot A/S aus Dänemark angebotenen Cookie-Dienst „Cookiebot" in der Weise einzubinden, dass personenbezogene oder -beziehbare Daten des Antragstellers (einschließlich dessen IP-Adresse) an von Unternehmen des Akamai Technologies Inc.-Konzerns betriebene Server gelangen. Der Cookie-Dienst „Cookiebot" ermöglicht es, die Einwilligung der Nutzer einer Webseite in die Cookie-Verwendung einzuholen. Der Dienst überwacht die eingesetzten Cookies und blockiert solche Cookies, für die eine Zustimmung nicht erteilt wurde. Dabei greift der „Cookie-Dienstleister" auf die Dienste des Unternehmens Akamai Technologies Inc. zurück, indem er Serverkapazitäten von Akamai verwendet: Cybot verwendet das Content Delivery Network von Akamai, um das Cookie-Dienstleister-Einwilligungsskript abzurufen, welches auf einem Akamai-Server liegt. Ein Content Delivery Network ist ein Netz regional verteilter und über das Internet verbundener Server, mit dem Inhalte – insbesondere große Mediendateien – ausgeliefert werden.

Was hat das Gericht zur Zulässigkeit der Datenverarbeitung entschieden?

Die 6. Kammer des VG Wiesbaden hat mit Beschluss vom 01.12.2021 dem Antrag stattgegeben und der Hochschule RheinMain im Wege der einstweiligen Anordnung untersagt, diesen Cookie-Dienst auf ihrer Website zum Zweck des Einholens von Einwilligungen in der Weise einzubinden, dass personenbezogene oder -beziehbare Daten des Antragstellers (einschließlich dessen IP-Adresse) an Server übermittelt werden, die von einem externen Unternehmen betrieben werden.

Den Unterlassungsanspruch stützt das VG als öffentlich-rechtlicher Unterlassungsanspruch auf § 1004 BGB analog i. V. m. Art. 79 Abs. 1 und Art. 5 Abs. 1 lit. a DS-GVO.

Die Hochschule sei verpflichtet, die Einbindung des Cookie-Dienstes auf ihrer Webseite zu beenden, da diese mit der rechtswidrigen Übermittlung personenbezogener Daten der Webseitennutzer   – der IP-Adresse – und damit insbesondere des Antragstellers einhergehe.

Der Cookie-Dienst verarbeite die vollständige IP-Adresse der Endnutzer aufgrund der Nutzung des Content Delivery Network von Akamai auf Servern einer Unternehmensgruppe, dessen Konzernmutter sich in den USA befinde. Ob die Daten tatsächlich in die USA gelangten oder auf einem Server in der EU blieben und ob Vertragspartner von Cybot die US-Mutter oder ein deutsches Tochterunternehmen gewesen sei, sei unerheblich; die vorstehenden Fragen konnten im Verfahren also offenbar nicht abschließend geklärt werden. Es finde eine Datenübermittlung in einen Drittstaat gem. Art. 44 DSGVO statt. Denn Akamai Inc. könne zur Herausgabe der IP-Adressen aufgrund des CLOUD-Act angehalten werden. Das VG meint wohl als „…provider of electronic communication service or remote computing service…" gem. §§ 2704 ff, 2713 Chapter 121 of Title 18, United States Code.

Die Hochschule sei auch Verantwortliche, Art. 4 Nr. 7 DSGVO. Zwar übermittle nicht sie selbst die Daten in die USA. Sie entscheide durch das Einbinden des Services von Cybot auf ihrer Webseite aber darüber, dass die Erhebung und Übermittlung durch den Cookie-Dienst erfolge. Sie entscheide auch mittelbar über den Zweck der Verarbeitung, da sie sich in Kenntnis der Zwecke, die der eingebundene Dienst angebe, für oder gegen die Verwendung entscheiden könne. Hiergegen spreche auch nicht, dass sie für nachfolgende Vorgänge, wie die Verwendung der Daten durch den Dienst, nicht mehr verantwortlich sei.

Dafür gebe es keine Rechtfertigung: Art. 48 DSGVO (Rechtshilfe) finde keine Anwendung, da es an einem Rechtshilfeabkommen mit den USA mangele. Auch Art. 49 DSGVO (Ausnahmen) biete keine Grundlage: Art. 49 Abs. 1 S. 1 lit. a) DSGVO scheide aus, da (unstreitig) Nutzer der Webseite nicht um ihre Einwilligung für die Übermittlung in die USA gebeten worden seien; es werde entsprechend auch nicht über die damit verbundenen möglichen Risiken unterrichtet. Auch eine Rechtfertigung gem. Art. 49 Abs. 1 S. 1 lit. d) DSGVO scheide aus, da die Übermittlung nicht aus wichtigen Gründen des öffentlichen Interesses notwendig sei, da es datenschutzkonforme Alternativanbieter gebe. Die übrigen der möglichen Bedingungen des Art. 49 Abs. 1 S. 1 DSGVO seien offenkundig ebenfalls nicht einschlägig. Art. 49 Abs. 1 S. 2 DSGVO finde bereits deshalb keine Anwendung, weil die Datenübermittlung bezüglich unzähliger Webseitennutzer stattfinde.

Wie geht es weiter?

Gegen den Beschluss kann die Antragsgegnerin binnen zwei Wochen Beschwerde erheben, über die der Hessische Verwaltungsgerichtshof in Kassel zu entscheiden hätte. Da der Cookiebot bis 9. Dezember 2021 noch auf der Homepage zu finden und der Beschluss daher nicht umgesetzt ist, wird die Hochschule wohl Beschwerde gem. § 146 Abs. 1 VwGO einlegen oder bereits eingelegt haben. Außerdem muss der Antragsteller die Hauptsache bis Januar 2022 betreiben, damit der Beschluss seine Wirkung nicht verliert.

Was ist von der Entscheidung des VG zu halten? Im Detail, wobei der Reihenfolge der Darstellung im Beschluss gefolgt wird:

Die Entscheidung ist nach den vorliegenden Sachverhaltsangaben unzulässig, der Verwaltungsrechtsweg gem. § 40 Abs. 1 Satz 1 VwGO ist danach nicht gegeben. Der Betrieb einer Webseite stellt kein hoheitliches Handeln dar und damit fehlt es an einer öffentlich-rechtlichen Streitigkeit: Die streitentscheidenden Art. 5, 6, 44 ff., 79 DSGVO enthalten keine Sonderrechte oder -pflichten des Staates oder anderer Träger öffentlicher Gewalt (Sonderrechtstheorie). Ob Art. 79 DSGVO im Gegensatz zu Art. 77 f. DSGVO ausschließlich zivilrechtliche Ansprüche erfasst, ist gegenwärtig auch Gegenstand eines Vorabentscheidungsverfahrens.

Der Verwaltungsrechtsweg könnte dann eröffnet sein, wenn der Antragssteller einen öffentlich-rechtlichen Anspruch auf Benutzung der Webseite hätte und sich an der Nutzung wegen Cookiebot gehindert sähe. Dafür ist aber nichts ersichtlich. Der Antragsteller ist offenbar kein Student; jedenfalls hat er seinen Anspruch nicht auch auf einen Zugangsanspruch gestützt, etwa auf das Landeshochschulgesetz. Es könnte sein, dass der VGH Hessen auf eine Beschwerde hin (§ 146 VwGO) gem. § 17a Abs. 2 Satz 1 GVG die Sache an das zuständige Zivilgericht verweist.

Ein öffentlich-rechtlicher Unterlassungsanspruch besteht mangels hoheitlicher Handlung ebenfalls nicht. Ein zivilrechtlicher Unterlassungsanspruch analog § 1004 BGB, Art. 79 DSGVO dürfte aber mit der Argumentation des VG mit Stimmen aus der Literatur und der Rechtsprechung vertretbar sein. Die Anwendung des § 1004 BGB entspricht dem Effektivitäts- und dem Äquivalenzgrundsatz, wonach die Gerichte der Mitgliedsstaaten den Schutz der aus dem Gemeinschaftsrecht erwachsenden Rechte äquivalent zu vergleichbaren innerstaatlichen Ansprüchen gewährleisten müssen, wobei die Ausgestaltung der Rechtsbehelfe und gerichtlichen Verfahren bei fehlender gemeinschaftsrechtlicher Regelung Sache des innerstaatlichen Rechts ist. Dies berücksichtigen die Stimmen, die sich gegen einen Unterlassungsanspruch aussprechen, offenbar nicht.

In diesem Zusammenhang könnte das Verhältnis von Art. 77 f. zu Art. 79 DSGVO interessant werden, welches Gegenstand des bereits erwähnten Vorabentscheidungsverfahrens ist: Kann ein behördliches/verwaltungsgerichtliches Verfahren parallel zu einem Zivilverfahren geführt werden? Wenn ja, prüfen die damit befassten Behörden und Gerichte den Verstoß unabhängig voneinander? Hat die Entscheidung der Behörde Vorrang?

Weiterhin stellt sich die Frage, ob die DSGVO auf den Vorgang überhaupt anwendbar ist. Denn der „Datenaustausch" zwischen Akamai Inc./GmbH und Cybot A/S könnte eine Telekommunikationsdienstleistung sein, deren Zulässigkeit sich aufgrund der Bereichsausnahme für die ePrivacy-RL in Art. 95 DSGVO nach dem jeweiligen Umsetzungsgesetz, dem TTDSG oder dem TKG a.F. richten könnte. In Betracht kämen hier § 6 TTDSG und § 107 TKG a.F. Diese erlauben die Zwischenspeicherung von Daten zur Durchführung der Telekommunikation. CDN dienen als Verbreitungsmittel für Content in der Regel der Telekommunikation im Sinn des § 3 Nr. 61 c) TKG; hier allerdings „hosteten" sie ein Cookie-Dienstleister-Einwilligungsskript, was ggf. eine andere Bewertung rechtfertigt.

Zweifelhaft ist weiter, ob – wenn die Daten auf einem Server in der EU verarbeitet werden – überhaupt eine Übermittlung von Daten gem. Art. 44 DSGVO in die USA vorliegt. Das VG ist davon ausgegangen, dass die Server Akamai Inc. gehören. Ob es deshalb unterstellt hat, dass die Server deshalb in den USA stehen oder ob es den Standort der Server für unerheblich gehalten hat, lässt sich den Gründen nicht entnehmen. Der Standort der Server ist aber streitentscheidend: Stehen sie in der EU, liegt zunächst keine Übermittlung in ein Drittland vor. Eine Übermittlung in ein Drittland erfordert nach dem Lindqvist-Urteil des EuGHs vom 6.11.2003 – C-101/01, Slg. 2003, I-12992 Rn. 56 ff. (insb. Rn. 60) mehr als das bloße Bereithalten von Daten. Diese müssen auch abgerufen werden. Dem Schrems II-Urteil des EuGHs vom 16.7.2020 – C-311/18, insb. Rn. 83, 104 f., lässt sich nichts Anderes entnehmen. Im Gegenteil problematisiert der EuGH dort gerade, dass US-Behörden in den USA nach der Übermittlung auf die Daten zugreifen können. Würde es nur auf theoretische Zugriffe ankommen, wäre schon die Erhebung der Daten durch das irische Tochterunternehmen problematisiert worden.

Weiter stellt sich die Frage, ob die Übermittlung nicht auf die Standardvertragsklauseln gem. Art. 46 Abs. 2 lit. c DSGVO gestützt werden könnte: Die Hochschule legte insoweit nur einen nicht unterschriebenen Blankovertrag zwischen dem Cybot und der Akamai Inc. oder der gleichnamigen GmbH vor. Daher hat das Gericht – ohne dies weiter zu erörtern – offenbar die Vereinbarung der Standardvertragsklauseln als nicht bewiesen erachtet. Das ist mit Blick auf Art. 28 Abs. 9 DSGVO auch nachvollziehbar.

Hinsichtlich des CLOUD-Act wird im Hauptsacheverfahren zu beleuchten sein, unter welchen Umständen tatsächlich ein US-Unternehmen von seinen Tochterunternehmen oder ihm selbst im Ausland vorgehaltene Daten erheben muss. Nach Ansicht des US-Justizministeriums sollen Daten aus dem Ausland mittels einer Vereinbarung oder – wo diese fehlt – unter Vermeidung eines Verstoßes gegen das örtliche Recht erhoben werden. Das US-Justizministerium führt weiter aus, dass es hohe Standards gebe, die einzuhalten seien, bevor Daten angefragt würden. Schließlich ist von Interesse, dass nach der Darstellung des US-Rechts durch das US-Justizministeriums auch Unternehmen außerhalb der USA der Jurisdiktion der USA unterliegen können. Gemessen an diesem Standard müssten dann, ohne Rücksicht auf den Unternehmenssitz, alle Anbieter mit starken wirtschaftlichen Verbindungen in die USA gemieden werden. Nach alledem wäre in der Hauptsache zu fragen, ob statt einer theoretischen Anfrage nach dem CLOUD-Act nicht doch eine tatsächliche Anfrage ausschlaggebend sein sollte.

Zu prüfen wäre auch, ob der CLOUD-Act nur das umsetzt, was in der Cybercrime-Konvention und mit dem Zweiten Zusatzprotokoll zur Cybercrime-Konvention steht, deren Vertragsparteien neben den USA auch alle Staaten der EU sind. Nach der zwischen den USA und den EU-Staaten geltenden Cybercrime-Konvention und insbesondere Art. 6 f. des Zweiten Zusatzprotokolls – welcher gem. Art. 18 Wiener Vertragsrechtskonvention (WVK) ab der für Mai 2022 geplanten Unterzeichnung schon eine Vorwirkung entfalten kann –sind Herausgabeanordnungen von einem Staat an einen Dienstleister in einen anderen Staat nämlich grds. zulässig. Ob dies auch schon für Art. 18 der Cybercrime-Konvention gilt, auf den sich die USA berufen, ist fraglich- grenzüberschreitende Zugriffe dürften dort in Art. 32 geregelt sein und setzen eine Mitwirkung des Staates voraus, auf dessen Gebiet die Daten lagern.

Die (unterstellte) Zugriffsmöglichkeit von Akamai Inc. auf in der EU gespeicherte Daten mit einer Übermittlung gleichzusetzen, dürfte jedoch aus einem anderen Grund unzulässig sein: Der Freundschafts-, Handels- und Schifffahrtsvertrag zwischen der Bundesrepublik Deutschland und den Vereinigten Staaten von Amerika von 1954 (FHSV) gebietet, US-Unternehmen wie deutsche Unternehmen zu behandeln –letztere müssen sich über Art. 44 DSGVO freilich erst Gedanken machen, wenn sie tatsächlich Daten übermitteln wollen. Dies könnte einer zu weitherzigen, präventiven Anwendung der DSGVO gegen US-Unternehmen entgegenstehen. Die DSGVO und das übrige Unionsrecht dürften dann gem. Art. 351 Abs. 1 AEUV nicht zu Lasten des US-Unternehmens angewandt werden:

Der FHSV hat in Deutschland den Rang eines Bundesgesetzes, Art. 59 Abs. 2 Satz 1 GG. Das Unionsrecht geht Bundesrecht bekanntlich vor und damit ginge auch die DSGVO dem FHSV vor. Hier macht Art. 351 Abs. 1 AEUV aber eine Gegenausnahme: Verträge, die - im Falle Deutschlands - vor dem 1. Januar 1958 in Kraft getreten sind, gehen dem Unionsrecht vor (vgl. EuGH Urt. v. 3.2.1994 – Rs C-13/93, Rn. 17, BeckRS 2004, 74297, beck-online). Der FHSV wurde 1956 ratifiziert (vgl. BGBl. 1956 II S. 487). Voraussetzung ist weiter, dass die vertraglichen Ansprüche noch bestehen (vgl. dazu Grabitz/Hilf/Nettesheim/Lorenzmeier, 74. EL September 2021, AEUV Art. 351 Rn. 20).

Auch das ist der Fall: Das FHSV ist nicht gekündigt, gilt also gem. Art. XXIX FHSV weiter. Art. VII Abs. 1 Satz 1 (Inländerbehandlung) ist auch nicht wegen der Datenschutzausnahme in Artikel XIV c (ii) GATS implizit außer Kraft gesetzt worden, da nach Art. 30 Abs. 1, Art. 59 Abs. 1 Wiener Vertragsrechtskonvention (WVK), falls die überhaupt anwendbar sind, da Vertragspartner des FHSV USA/Deutschland sind und beim GATS die USA/EU. Der FHSV ist noch anzuwenden, soweit er dem GATS nicht widerspricht, und Artikel XIV c (ii) GATS erlaubt zwar Datenschutzregeln, schreibt aber keine bestimmten Normen vor.