Verwaltungsgericht Wiesbaden verbietet Einsatz von Cookie-Diensten unter Verweis auf Schrems II

Interessante Entscheidung des Verwaltungsgerichtes Wiesbaden in einem Eilverfahren: „[Die] Hochschule RheinMain darf auf ihrer Webseite keinen Cookie-Dienst nutzen, der die vollständige IP-Adresse der Endnutzer auf Servern eines Unternehmens, dessen Unternehmenszentrale sich in den USA befinde, übermittelt.“[1]

Drei spannende Dinge werden durch diese Entscheidung angeschnitten:

  1. Das Gericht bezieht auf das Schrems II Urteil des EUGH bei einem Drittlandbezug in die USA und auf die so unzulässige Art der Datenübermittlung.
  2. Der Sitz der Unternehmenszentrale in den USA eines Dienstleisters ist ausschlaggebend und nicht der Standort der Server, mit dem Verweis auf den amerikanischen CLOUD Act.
  3. Die Hochschule RheinMain als Data Controller (gemäß DSGVO) ist für seine komplette Lieferkette der in Anspruch genommenen Dienste verantwortlich, dass diese DSGVO konform sind.

Vermutlich wird es in einem möglichen Hauptverfahren darum gehen, ob dieser Dienst überhaupt notwendig ist für das Betreiben der Webseite der RheinMain Hochschule bzw. ob entsprechende technische Maßnahmen (siehe Schrems II) ergriffen wurden, um den Datenschutz bei der Übermittlung der Daten zu gewährleisten. Letzteres dürfte sich bei den in der Entscheidung angesprochenen IP-Adressen aber als schwierig bis unmöglich darstellen.

Die Rechtsunsicherheit bleibt bei der Verwendung von IT-Dienstleistungen von amerikanischen Unternehmen.

[1] https://verwaltungsgerichtsbarkeit.hessen.de/pressemitteilungen/cookie-dienst