Der von Cybot angebotene Dienst Cookiebot dient dazu, die Einwilligungseinstellungen von Website-Nutzern für die Nutzung von Cookies zu verwalten und aufzuzeichnen. Ein Rechtsanwalt - gleichzeitig der Bruder eines bekannten Datenschutzaktivisten und EU-Parlamentariers – klagte gegen die Nutzung des Consent Managers durch die Hochschule, weil im Rahmen der Nutzung der Hochschul-Webseite IP-Adressen in die USA übermittelt würden. Die erste Instanz folgte zunächst dieser Auffassung.
Die Entscheidung hatte in der Branche hohe Wellen geschlagen. Denn die Entscheidung des VG Wiesbaden wies weit über die Onlinemarketing-Welt hinaus, da die Untersagung an der Nutzung eines Content Delivery Networks (CDN) geknüpft wurde, dessen Anbieter ein US-Unternehmen ist. Solche CDN-Dienste werden von fast allen größeren Webseiten in Deutschland genutzt, um die Bereitstellung von Webinhalten zu beschleunigen und gegen Angriffe abzusichern. In den meisten Fällen stammen die CDN-Anbieter aus den USA. Die Rechtsansicht des Verwaltungsgerichts hätte dementsprechend zur Folge, dass diese Webseiten kurzfristig abgeschaltet werden und mittelfristig einen erheblichen technologischen Umbau vornehmen müssten. Der Verwaltungsgerichtshof schob der zu erwartenden Klagewelle zunächst einen Riegel vor. Das Urteil ist auch deshalb relevant, weil damit klargestellt wird, dass aus dem Urteil des EuGH in der Rechtssache C-311/18 ("Schrems II") kein Untersagungsautomatismus für Datenübermittlungen in die USA folgt, sondern eine alle Umstände einzubeziehende Einzelfallprüfung vorgenommen werden muss.
Das Verwaltungsgericht hatte es zunächst unterlassen, Cybot in das Verfahren einzubeziehen. Nachdem Cybot mit Hilfe von Fieldfisher die Beiladung erreichen konnte, wurde den Beschwerden von Cybot sowie der beklagten Hochschule vom Verwaltungsgerichtshof Hessen stattgegeben. Der Verwaltungsgerichtshof sah entgegen der ersten Instanz des Verwaltungsgerichts Wiesbadens, die nur kursorische Ausführungen von wenigen Sätzen zu diesem wichtigen Punkt machte, schon das Vorliegen eines Anordnungsgrundes nicht glaubhaft gemacht. Es sei für die Inanspruchnahme eines Eilverfahrens schon gar nicht ersichtlich, warum der Antragsteller auf die Nutzung der konkreten Webseite der Hochschule RheinMain – bei der er weder Studierender noch Lehrender ist – angewiesen war. Auch sei eine so komplexe Rechtsfrage, wie sie hier in Bezug auf die technische Umsetzung der Consent Management Plattform liegt, nicht im Verfahren des einstweiligen Rechtsschutzes aufzuklären. Damit folgt der Verwaltungshof der Argumentation der Hochschule und von Cybot, dass derartige komplexe Fragen des europäischen Datenschutzes in einer Hauptsache zu klären sind. Diese ist erst kürzlich anhängig gemacht worden.
Gericht:
Verwaltungsgerichtshof Hessen, 10. Senat
Vorsitzender Richter: Uwe Steinberg
Vertreter Cybot A/S:
Fieldfisher: Stephan Zimprich (IP & Technology), Dennis Hillemann (Verwaltungsrecht) (beide Federführung); Associates: Christine Fischer, Tanja Ehls (beide Verwaltungsrecht), Jacob Feder (IP & Technology)
Hintergrund:
Fieldfisher wurde erstmals prozessual für die Mandantin tätig. Stephan Zimprich, Partner aus dem Technologie-Team des Hamburger Büros, hat sich in den vergangenen Jahren einen festen Platz in der Adtech-Branche erarbeitet. In dem Verfahren arbeitete sein Team eng mit dem neuen Verwaltungsrechtsteam um Dennis Hillemann, Christine Fischer und Tanja Ehls zusammen, welches im Sommer 2021 von KPMG zu Fieldfisher wechselte.
Vertreter Hochschule Rhein-Main:
Rechtsanwalt Ubbo Aßmus; Sylvia Jakob (inhouse Datenschutzrecht)
Antragsteller:
RA Jonas Breyer