VG untersagt Datenspeicherung auf Cloud-Servern von US-Konzernen | Compliance

Haufe Online Redaktion

VG untersagt Datenspeicherung auf Cloud-Servern von US-Konzernen — Bild: ©Rutmer - stock.adobe.com Eine Entscheidung des VG Wiesebaden zur Verwendung einer Cookie-Management-Plattform sorgt momentan für Aufsehen.

Einer Hochschule wurde der Einsatz einer Cookie-Management-Plattform im Eilverfahren verboten, weil die IP-Adressen der Nutzer auch auf Cloud-Servern von US-Konzernen gespeichert werden. Sie fallen damit unter den Cloud-Act und US-Behörden haben auf sie Zugriff. Die Entscheidung des VG Wiesbaden sorgt für Verunsicherung. Sollte der Beschluss stand halten, hätte dies Auswirkungen auf viele Websites.

Eine in einem Eilverfahren getroffene Entscheidung des Verwaltungsgerichts Wiesbaden zur Verwendung einer Cookie-Management-Plattform sorgt momentan für einiges Aufsehen. Es ist die erste Entscheidung in Deutschland, die einen Datentransfer untersagt weil personenbezogene Daten über einen Cloud-Anbieter mit Sitz in dem USA fließen.

Mit "C[xxx]bot" kann der User seine Cookie-Einwilligungen festlegen

Das Verwaltungsgericht untersagte einer staatlichen Hochschule die Verwendung des Dienstes "C[xxx]bot". Hierbei handelt es sich um eine Lösung, über die die Besucher einer Website festlegen können, ob und in welchem Umfang sie die Speicherung von Cookies auf ihrem Rechner zulassen oder blockieren wollen.

Problem: "C[xxx]bot" überträgt Daten in die USA

Solche Lösungen für das Cookie-Management sind notwendig, um die nach der DSGVO notwendige Einwilligung oder gegebenenfalls auch die Ablehnung der Website-Besucher für die Cookies zu erfassen. Problematisch am Einsatz speziell dieser Lösung ist jedoch, dass dieser Dienst die erfassten Daten, insbesondere die ungekürzte IP-Adresse, an Server übermittelt, die von Unternehmen aus den USA betrieben werden, und die dabei nicht durchgehend verschlüsselt sind. Im Falle von "C[xxx]bot" sind dies Cloud-Server des amerikanischen Anbieters Akamai Technologies.

Bibliotheksnutzer mahnt die Hochschule an

Ein Nutzer der Hochschulbibliothek der staatlichen Hochschule RheinMain hatte die Einrichtung abgemahnt, weil durch die von "C[xxx]bot" durchgeführte Übermittlung seiner IP-Adresse auf die Cloud-Server des US-Unternehmens aufgrund des Cloud-Acts, wonach U-Unternehmen sämtliche Daten nach entsprechender Aufforderung an US-Strafverfolger oder Geheimdienste etc. weitergeben müssen, auch US-Behörden auf diese Informationen zugreifen könnten und dies somit einen Verstoß gegen die Vorgaben der DSGVO darstelle.

In ihrer Entscheidung orientieren sich die Wiesbadener Richter am EuGH-Urteil im Fall Schrems II, durch die das Privacy-Shield-Abkommen zwischen der EU und den USA gekippt worden war, und untersagten der Hochschule die weitere Verwendung dieser Cookie-Management-Lösung.

Sitz des Cloud-Anbieters entscheidet über Zulässigkeit

Die Entscheidung des VG Wiesbaden ist die erste ihrer Art, bei der ein Datentransfer untersagt wurde, weil die personenbezogenen Daten über einen Cloud-Anbieter fließen, dessen Betreiber seinen Firmensitz in den USA hat und der damit dem Cloud-Act unterliegt. Ein solcher Datentransfer könne bestenfalls dann rechtmäßig vorgenommen werden, wenn zwischen dem Website-Betreiber (Hochschule RheinMain) und dem Dienstanbieter (Cybot) Standardvertragsklauseln verwendet würden, durch die zusätzliche technische und organisatorische Maßnahmen vereinbart werden, die den notwendigen Schutz der Daten sicherstellen könnten. Dies ist nach Auffassung des Gerichts hier jedoch nicht der Fall. Eine Vereinbarung zwischen "C[xxx]bot" und dem Cloud-Dienstleister Akamai sah das Gericht nicht als ausreichend an.

Weitreichende Konsequenzen denkbar

Diese Entscheidung könnte drastische Auswirkungen für eine kaum überschaubare Zahl von Websites haben, sofern sie nicht in möglichen Berufungsverfahren revidiert wird oder andere Gerichte abweichende Entscheidungen fällen.

Denn erstmals wird in dieser Entscheidung die gängige Praxis, dass personenbezogene Daten auch auf Cloud-Servern von US-Unternehmen gespeichert werden, gerichtlich beanstandet.
Dies betrifft längst nicht nur den beanstandeten Cookie-Manager "C[xxx]bot",
sondern zahlreiche weitere Dienste und Tools von den US-Internetkonzernen wie Google, Microsoft, Facebook etc.

Werkzeuge wie Google-Analytics, die Einbindung von Skripten, Captchas, externen Schriftarten, YouTube-Videos und zahllosen weiteren Tools, bei denen die Anbieter in Drittländern ansässig sind und bei denen personenbezogene Daten wie die IP-Adressen unverschlüsselt über Server von US-Unternehmen fließen, stellten somit einen Verstoß gegen die Datenschutzvorgaben dar.

Derr Beschluss des VG Wiesbaden erfolgte in einem Eilverfahren. Es ist daher noch abzuwarten, ob dieser im Laufe des weiteren Verfahrens diese Entscheidung überhaupt weiter aufrecht erhalten bleiben wird. Ebenso ist es denkbar, dass höhere Instanzen, sofern sie angerufen werden, die Entscheidung bestätigen oder aufheben werden.

Was als sichere Alternativen empfohlen wird

Dennoch dürfte die Entscheidung zunächst einmal für einige Unruhe und zusätzliche Rechtsunsicherheit unter Website-Betreibern sorgen. Als sichere Alternativen empfehlen Juristen die Nutzung von Diensten, die eine durchgehende Verschlüsselung anbieten oder Treuhandlösungen, bei denen US-Konzerne mit europäischen Anbietern zusammenarbeiten wollen, um die Daten europäischer Nutzer vor dem Zugriff durch US-Behörden zu schützen.

(Verwaltungsgericht Wiesbaden, Beschluss v. 1.12.2021, 6 L 738/21.WI)

Weitere News zum Thema:

EU-Standardvertragsklauseln zum Datentransfer in die USA bei Google nutzbar

EuGH erklärt Privacy Shield für ungültig – DSGVO zu beachten

Hintergrund: Transfers personenbezogener Daten in die USA

Um die Rechtmäßigkeit des Transfers personenbezogener Daten in die USA hat es in den letzten Jahren immer wieder juristische Auseinandersetzungen gegeben. Kritiker befürchteten etwa einen massenhaften Zugriff auf Daten von EU-Bürgern durch US-Behörden und konnten vor Gericht bereits die Aufhebung von zwei Abkommen zur transatlantischen Datenübertragung erreichen.

So kippte etwa der EuGH nach dem Safe-Harbor-Abkommen auch das danach genutzte Privacy-Shield-Abkommen, da etwa die in den USA mögliche Praxis der Massenüberwachung nicht den in der EU vorgeschriebenen Datenschutzstandards entspricht.

Neue Standardvertragsklauseln: Als Rechtsgrundlage für die Übertragung persönlicher Daten konnten die sogenannten Standardvertragsklauseln (SVK) verwendet werden, die nach dem letzten Urteil des Europäischen Gerichtshofs jedoch ebenfalls überarbeitet werden mussten. Erst im Juni 2021 hatte die EU diese Anpassungen abgeschlossen und die neue Version der Standardvertragsklauseln veröffentlicht. Diese Standardvertragsklauseln können genutzt werden, wie ein Unternehmensrepräsentant auf einer vom Branchenverband Bitkom veranstalteten Konferenz bekannt gab.

Meistgelesene beiträge

Neueste beiträge

32. Tätigkeitsbericht des Bundesbeauftragten für Datenschutz und Informationsfreiheit (BfDI)

23.04.2024
EU-Kommission und EU-Parlament einigen sich auf neues Gesetzpaket zur Bekämpfung der Geldwäsche

16.04.2024
Faxe sind ein Datenschutzrisiko

02.04.2024
EU-Lieferketten-Richtlinie verabschiedet!

18.03.2024
Das Europäische Parlament hat den AI-Act beschlossen

14.03.2024
Europäische Kommission veröffentlicht PeP-Liste zur Geldwäscheprävention

27.02.2024
„Pay or Okay“: NOYB geht gegen das neue Bezahlmodell von Meta vor

01.02.2024
Datengesetz der EU ist in Kraft

31.01.2024
Mehrwertsteuersätze, Pauschalbeträge und Co: Compliance-Regeln für Finanzabteilungen im Überblick

25.01.2024
Cyber-Versicherung muss im Einzelfall trotz Sicherheitsmängel zahlen

24.01.2024

Datenspeicherung auf Cloud-Servern von US-Konzernen gerichtlich untersagt