Cookiebot „Urteil“ - Cookiebanner nicht DSGVO konform? – VG Wiesbaden untersagt Nutzung des Cookiebanners von Cookiebot: Beschluss vom 01.12.2021, Az. 6 L 738/21

Datenschutzrecht-Blog

Cookiebot Urteil DSGVO Cookiebanner[UPDATE 01.02.2022]Der Verwaltungsgerichtshof Hessen, hat am 17.01.2022 unter dem Aktenzeichen 10 B 2486/21 in der nächsten Instanz entschieden, dass die erstinstanzliche Entscheidung des Verwaltungsgerichts Wiesbaden in Sachen Cookiebot aus formellen Gründen aufgehoben wird, da die Frage der Vereinbarkeit des Cookie-Consent-Tools Cookiebot mit der DSGVO nicht für ein verwaltungsgerichtliches Eilverfahren geeignet ist. Nun muss das Verwaltungsgericht in einem Hauptsacheverfahren nochmals entscheiden. Bis eine Entscheidung im Hauptsacheverfahren ergeht, können noch einige Monate vergehen. Lesen Sie hier mehr über die Entscheidung des VGH Hessen vom 17.01.2022 bzgl. der DSGVO-Konformität von Cookie-Bot [/UPDATE]

[veraltet - Entscheidung aufgehoben - siehe Update - Entscheidung des VGH Hessen vom 17.01.2022]

Das Verwaltungsgericht Wiesbaden hat in einem Eilverfahren Anfang Dezember 2021 auf Antrag eines Internetnutzers hin im Beschlussweg entschieden, dass die Hochschule Rhein-Main das Cookiebanner des dänischen Anbieters „Cookiebot“ auf ihrer Internetpräsenz aufgrund fehlender Datenschutzkonformität des Cookiebot Cookiebanners nicht nutzen darf. Die Antragsgegnerin kann gegen den Beschluss binnen zwei Wochen noch Beschwerde erheben, über die der Hessische Verwaltungsgerichtshof entscheiden würde.

Als datenschutzwidrig wertete das Verwaltungsgericht dabei, dass beim Laden des Cookiebanners ein sogenanntens „Content Delivery Network“ (auch „CDN“ genannt) des US-amerikanischen Anbieters „Akamai“ eingebunden war. Durch den Einsatz des CDN können die Ladezeiten eines Webservices, hier des Cookiebanners von Cookiebot, reduziert werden. 

Was ist „Cookiebot“?

Bei Cookiebot handelt es sich um ein Cookiebanner des dänischen Anbieters „CYBOT A/S“ (www.cybot.com). Richtig konfiguriert, soll es der Dienst ermöglichen, datenschutzkonforme Einwilligungen von Besuchern einer Internetseite einzuholen und zu managen. Letztlich handelt es sich um ein Tool zum Einwilligungsmanagement. Durch Cookiebot werden die auf einer Internetpräsenz eingesetzten Cookies überwacht und solche Cookies blockiert, für die eine Zustimmung nicht erteilt wurde. Dadurch soll die vollständige Einhaltung der Datenschutzbestimmungen der jeweiligen Region, indem sich der Benutzer befindet gewährleistet werden (z.B. die DSGVO für Benutzer innerhalb der EU).

2021 fusionierten CYBOT A/S und "USERCENTRICS" unter dem Namen "USERCENTRICS".

Worum ging es in dem Eilverfahren?

Der Antragsteller war ein einfacher Besucher der Internetpräsenz der Hochschule Rhein-Main, die unter www.hs-rm.de abrufbar ist. Bei einem Besuch auf dieser Internetpräsenz stellte er fest, dass dort ein Cookiebanner von Cookiebot verwendet wurde. Eine technische Untersuchung in seinem Browser zeigte, dass Cookiebot offensichtlich zumindest seine IP-Adresse an die Domain „consent.cookiebot.com“ weiterleitete, die wiederum auf Server des in den USA ansässige Cloud-Hosting-Unternehmen Akamai Technologies Inc. (nachfolgend: AKAMAI) konnektiert gewesen sei. Somit wurde AKAMAI über den Besuch der Internetpräsenz der Hochschule Rhein-Main über den Internetanschluss des Antragstellers informiert. Die Übertragung von IP-Adressen wird von der höchstrichterlichen Deutschen und Europäischen Rechtsprechung als Weitergabe von personenbezogenen Daten gewertet (vgl. EuGH, Urteil vom 19.10.2016, - C-582/14; BGH, Urteil vom 16.5.2017 - VI ZR 135/13; EuGH, Urteil vom 24. November 2011 - C-70/10, Rn. 51).

Dem Antragsteller war unklar, auf welcher Rechtsgrundlage dieser Datenexport basieren sollte. Er hielt die Weitergabe von personenbezogenen Daten für einen Verstoß gegen die DSGVO.

Daher kontaktierte der Antragsteller die Hochschule Rhein-Main und forderte diese auf, das Cookiebanner von der Internetpräsenz der Hochschule zu entfernen und derartige Datenexporte wegen der Verletzung der Bestimmungen der DSGVO zu unterlassen.

Nachdem die Hochschule scheinbar nicht außergerichtlich einschwenkte, beantragte der Antragsteller vor dem Verwaltungsgericht Wiesbaden - im Wege einer einstweiligen Anordnung - der Hochschule Rhein-Main derartige Datenexporte zu untersagen.

Entscheidung des VG Wiesbaden

Das VG Wiesbaden hat in seinem Beschluss vom 01.12.2021 dem Antrag stattgegeben und der Hochschule Rhein-Main im Wege der einstweiligen Anordnung untersagt, den Dienst „Coockiebot“ zum Zweck des Einholens von Einwilligungen so einzubinden, dass personenbezogene oder –personenbeziehbare Daten des Antragstellers (einschließlich dessen IP-Adresse an von Unternehmen des Akamai Technologies Inc.-Konzerns betriebene Server, einschließlich dem Server „consent.cookiebot.com“ übermittelt werden.

Das Verwaltungsgericht ist der Ansicht, dass durch den Einsatz von „Cookiebot“ das Recht des Antragstellers auf rechtmäßige Verarbeitung seiner personenbezogenen Daten gemäß Artikel 6 Absatz 1 DSGVO, Artikel 7, 8 EU-Grundrechte-Charta verletzt wird. Es handelt sich auch bei der ungekürzten IP-Adresse (auch IP4) um ein personenbezogenes Datum, da diese die genaue Identifizierung der Nutzer ermöglicht (EuGH, Urteil vom 19.10.2016 – C-582/14; BGH, Urteil vom 16.5.2017 – VI ZR 135/13).

Datenübermittlung in ein Drittland

Dadurch, dass die verarbeiteten Daten, also auch die personenbezogenen Daten des Antragstellers, auf Servern von Akamai verarbeitet werden, finde unter anderem eine Datenübermittlung in ein Drittland, nämlich die USA, nach § 44 DSGVO statt. Dies sei im Hinblick auf die sog. Schrems II-Entscheidung des Europäischen Gerichtshofs (Urteil vom 16.7.2020 – C-311/18) unzulässig.

Nach Auffassung des Gerichts kann es auch dahinstehen, ob konkreter Vertragspartner von „Cookiebot“ die US-Muttergesellschaft Akamai Technologies Inc. oder die deutsche Tochtergesellschaft von AKAMAI, da sich die Unternehmenszentrale von AKAMAI in den USA befindet und daraus folge die Drittlandsübermittlung. Als US-amerikanisches Unternehmen unterliegt die Muttergesellschaft dem US-Cloud-Act, einem US-amerikanischen Bundesgesetz, das US-Anbieter elektronischer Kommunikations- oder Remote-Computing-Dienste dazu verpflichte, sämtliche in ihrem Besitz, Gewahrsam oder ihrer Kontrolle befindlichen Daten gegenüber autorisierten staatlichen Stellen der USA offen zu legen und zwar unabhängig davon, ob die Daten innerhalb oder außerhalb der USA erhoben oder gespeichert wurden.

Eine Übermittlung von personenbezogene Daten auf der Grundlage einer Entscheidung eines ausländischen Gerichts oder einer ausländischen Verwaltungsbehörde dürfe allerdings gemäß Artikel 48 DSGVO im Grundsatz nur erfolgen, wenn sie auf eine in Kraft befindliche internationale Übereinkunft zwischen dem ersuchenden Drittland und der Europäischen Union oder einem Mitgliedstaat gestützt werden könne. Eine solche internationale Übereinkunft zwischen der EU und den USA existiere jedoch seit der Schrems II Entscheidung des EuGH, mit der das EU-US Privacy Shield Abkommen aufgehoben wurde, nicht mehr.

Verantwortlichkeit der Antragsgegnerin

Auch sei die Antragsgegnerin für diese Datenverarbeitung im Sinne des Artikel 24, Artikel 4 Ziffer 7 DSGVO verantwortlich. Verantwortlicher i.S.d. DSGVO sei die Stelle, die allein oder gemeinsam mit andere über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheide. Die Antragsgegnerin habe sich dafür entschieden, den Dienst „Cookiebot“ auf ihrer Website einzusetzen und damit hat sie jedenfalls über die Mittel der Datenverarbeitung entschieden. Alleine durch die Einbindung des Dienstes auf ihrer Website, entscheide die Hochschule Rhein-Main darüber, dass die Erhebung und Übermittlung der personenbezogenen Daten der Webseitennutzer, die auch auf den Servern von Akamai stattfinden, erfolge.

Dabei entscheidet sie auch jedenfalls mittelbar über die Zwecke der Verarbeitung, da sie Kenntnis der Zwecke, die Cookiebot angebe, gehabt habe. Es hätte der Hochschule freigestanden, sich dann für oder gegen die Verwendung des Cookiebot-Cookiebanners zu entscheiden. Für die Verantwortlichkeit kommt es auch nicht darauf an, dass jeder Verantwortliche Zugang zu den betreffenden personenbezogenen Daten habe (EuGH, Urteil vom 10.7.2018 – C-25/17).

Rechtliche Bewertung des Urteils:

Auch wenn der Beschluss des VG Wiesbaden in der causa COOKIEBOT etwas holzschnittartig wirkt, war abzusehen, dass es nach dem EuGH-Urteil in Sachen "Schrems II" zu gerichtlichen Entscheidungen kommen wird, die die Einbindung von Webservices, die einen Transfer von IP-Adressen in die USA zum Gegenstand haben, als nicht datenschutzkonform einstufen.

Der EuGH hat in seiner Schrems II Entscheidung ganz klar festgestellt, dass "zusätzliche technische Maßnahmen", wie z.B. eine Verschlüsselung, vor dem Datenexport durch den Verantwortlichen ergriffen werden müssen. Beim Einsatz eines Dienstes wie "Dropbox" mag dies noch möglich sein, im Webumfeld oder beim Einsatz von cloudbasierten Internetanwendungen wie "Salesforce" ist dies unmöglich. Da helfen auch keine Standarddatenschutzklauseln in irgendwelche Datenschutz-Pseudoverträgen (DPAs), die von den diversen Anbietern mittlerweile immerhin angeboten werden, unabhängig ob diese die aktuellen Standarddatenschutzklauseln der EU wiedergeben oder nicht. Sicherlich ist deren Abschluss nicht unbedingt schädlich und man hat immerhin ein Feigenblatt, auf das man sich berufen kann, wirklich helfen wird es im Ernstfall aber kaum.
Im Ergebnis sollte auch bei Einbindung eines Content Delivery Networks, das initial die Daten beim Aufruf einer Domain abgreift und über das Routing auf bestimmte, weltweit verteilte Webserver entscheidet, ein rein europäischer Anbieter genutzt werden. Die IP eines Internetnutzers kann durch den Anbieter einer Internetpräsenz jedenfalls nicht durch technische Schutzmaßnahmen, wie z.B. eine Verschlüsselung datenschutzkonform geschützt werden, sobald die betreffende Internetpräsenz diese über das Frontend der Internetseite, das im Browser des Users ausgeführt wird, direkt an fremde Webserver / Webdienste weiterleitet..

Auch wenn einige juristische Fachkreise die Entscheidung des VG Wiesbaden teilweise mit strammen Worten als "unfähig", "absurd" und "rechtlich nicht überzeugend" bezeichnen, ist jeder Betreiber einer Internetseite gut beraten, wenn er seine Internetpräsenz daraufhin überprüfen lässt, ob datenschutzrechtlich problematische Webdienste eingebunden sind und dann alle unnötigen Dienste deaktivieren lässt, z.B. durch Nutzung eines Services, vergleichbar mit dem von unserem LEGAL TECH Partner "Website-Check.de".

Der Seitenbetreiber als Verantwortlicher i.S.d. der DSGVO sollte also risikobasiert vorgehen und - wenn er auf einen Webdienst mit Bezug zu einem Territorium ohne angemessenes Datenschutzniveau (wie z.B. die USA) nicht verzichten kann - betriebswirtschaftlich bewerten, ob das Risiko eines aufsichtsbehördlichen oder gerichtlichen Untersagungsverfahrens bzw. ordnungsrechtlichen Verfahrens, im Verhältnis zu den Vorteilen der Nutzung des Dienstes steht, also angemessen bzw. hinnehmbar ist.

Letztlich ist es eine unternehmerische Entscheidung, eine bestimmten Drittstaatentransfer durchzuführen oder es sein zu lassen.

Mit solchen Urteilen / Beschlüssen vergrößert sich das betriebswirtschaftliche Risiko für den Betreiber einer Internetpräsenz weiter, so dass der Ratschlag bleibt, eher auf rein europäisch geprägte Anbieter umzusteigen, wenn es denn welche gibt.

 

Volltext der Entscheidung:

VG Wiesbaden (6. Kammer), Beschluss vom 01.12.2021 – 6 L 738/21.WI

Verbot der Einbindung des Dienstes „Cookiebot“

<BEGINN DES VOLLTEXTS>

Tenor:

Das Verfahren wird eingestellt, soweit es übereinstimmend für erledigt erklärt wurde.

Der Antragsgegnerin wird im Wege der einstweiligen Anordnung untersagt, den Dienst „Cookiebot“ zum Zweck des Einholens von Einwilligungen in der Weise einzubinden, dass personenbezogene oder -beziehbare Daten des Antragstellers (einschließlich dessen IP-Adresse) an von Unternehmen des Akamai Technologies Inc.-Konzerns betriebene Server,

einschließlich dem Server „consent.cookiebot.com“ übermittelt werden.

Diese Anordnung gilt bis zum rechtskräftigen Abschluss des Hauptsacheverfahrens, welches binnen vier Wochen nach Bekanntgabe dieser Entscheidung einzuleiten ist. Andernfalls verliert die Anordnung vier Wochen nach Bekanntgabe ihre Wirkung.

Die Kosten des Verfahrens werden gegeneinander aufgehoben.

Der Streitwert wird auf 5.000 Euro festgesetzt.

Gründe:

I.

Der Antragsteller begehrt nach übereinstimmender Erledigungserklärung noch ein Verbot der Einbindung des Dienstes „Cookiebot“ auf der Website der Antragsgegnerin (www.hsrm.

de).

Der Antragsteller gibt an, sich im Onlinekatalog der Hochschulbibliothek auf der Website der Antragsgegnerin regelmäßig als Nutzer über verfügbare Fachliteratur zu erkundigen. Er habe festgestellt, dass dabei seine personenbezogenen Daten in unzulässiger Weise an Dritte übermittelt würden.

Mit Schreiben vom 26.5.2021 mahnte der Antragsteller diverse Verstöße bei der Antragsgegnerin ab und forderte sie zur Abgabe einer strafbewehrten Unterlassungsverpflichtung bezüglich der Dienste „Google Tag Manager“ und „Cookiebot“ auf.

Bei dem „Google Tag Manager“ handelt es sich um einen Dienst, der die Einbindung anderer Code-Fragmente und damit anderer Dienste in eine Website erleichtern soll. „Cookiebot“ ermöglicht es laut der Website des Dienstes (www.cookiebot.com/de/), die Einwilligung der

Nutzer einer Website in die Cookie-Verwendung einzuholen. Der Dienst überwacht die eingesetzten Cookies und blockiert solche Cookies, für die eine Zustimmung nicht erteilt wurde.

Der Antragsteller führt bezüglich des Dienstes „Google Tag Manager“ aus, dass hierdurch seine IP-Adresse bei jedem Seitenaufruf an Server des Unternehmens Google übermittelt werde, ohne dass hierfür eine Einwilligung erteilt worden sei. Daneben lese Google infolge der durch die Antragsgegnerin veranlassten Kontaktaufnahme des Nutzerrechners mit dem Google-Server weitere Informationen über die Hard- und Software des Nutzer-Endgerätes aus und könne diese auswerten. Dies betreffe die aufgerufene Internetseite, das

Betriebssystem und dessen Version, den verwendeten Browser und dessen Version, die eingestellte Sprache und Farbzahl, die Art des Bildschirms (z.B. Touchscreen), die Bildschirmauflösung, die Unterstützung von Skriptsprachen sowie die auf dem Rechner installierten Schriftarten von Plugins. Aus diesen Informationen ergebe sich in Kombination ein einmaliger digitaler Fingerabdruck des Nutzers, weil keine andere Person exakt dieselbe Kombination aller Parameter zur selben Zeit aufweise. Damit könne Google Surfprofile erstellen.

Bezüglich des Dienstes „Cookiebot“, einem Einwilligungsmanager des dänischen Anbieters Cybot A/S, führt der Antragsteller aus, dass dieselben Daten wie bei dem „Google Tag Manager“ an Cookiebot übermittelt würden. Dieser Dienst werde zwar von einem in Dänemark ansässigen Unternehmen angeboten. Die Zieldomain consent.cookiebot.com verweise jedoch auf einen Server mit einer IP-Adresse, die auf das in den USA ansässige Cloud-Hosting-Unternehmen Akamai Technologies Inc. registriert sei. Auch wenn sich der Server möglicherweise in der EU befinde, habe das USamerikanische Unternehmen Zugriff darauf, sodass der USamerikanische Cloud-Act gelte.

Nach dem Cloud-Act könnten US-Regierungsbehörden personenbezogene Daten bei USUnternehmen einseitig, ohne Gerichtsbeschluss und ohne Rechtshilfeabkommen anfordern.

Dies widerspreche den Art. 7, 8, 11 und 52 Abs. 1 GrCh und der Auslegung dieser Normen durch den EuGH, wonach behördliche Zugriffe auf Verkehrsdaten nur bei einem Verdacht schwerer Kriminalität gestattet seien und dem Vorbehalt des Richters oder einer unabhängigen Behörde unterlägen. Die USamerikanische Gesetzeslage lasse dagegen den Anfangsverdacht jeglicher Straftat genügen. Somit setze der Antragsgegner als Verantwortlicher personenbezogene Daten des Antragstellers der Gefahr unbefugter Zugriffe aus, was eine Verletzung der Vertraulichkeit gemäß Art. 32 Abs. 1 lit. b DS-GVO darstelle.

Seit dem 3. (Schreiben an den Antragsteller vom 7.6.2021) oder 2.6.2021 (Schreiben vom 22.7.2021) nutzt die Antragsgegnerin nach ihren Angaben den Google Tag Manager nicht mehr. Dies teilte sie dem Antragsteller mit Schreiben vom 7.6.2021 mit. Mit Schreiben vom 7.6.2021 lehnte die Antragsgegnerin die Abgabe der Unterlassungsverpflichtung ab.

Am 8.6.2021 hat der Antragsteller um einstweiligen Rechtsschutz nachgesucht. Er beruft sich im Wesentlichen auf die Begründung seiner Abmahnung gegenüber der Antragsgegnerin. Außerdem ist er der Ansicht, dass sich die Antragsgegnerin als öffentliche Stelle nicht auf Art. 6 Abs. 1 UA 1 lit. f DSGVO berufen könne, da dieser laut Art. 6 Abs. 1 letzter Satz DSGVO nicht für die von Behörden in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung gelte.

Schließlich bezweifelt er die Notwendigkeit des Einwilligungsmanagers „Cookiebot“. Denn die Einwilligungen für Cookies, die der Dienst einhole, seien unwirksam, weil das Einwilligungs-Häkchen bei „Statistik“ standardmäßig voreingestellt sei und damit keine unmissverständliche Einwilligung i. S. d. Art. 4 Ziff. 11 DS-GVO erzeugt werde. Die Einwilligung könne auch nicht widerrufen werden, da der entsprechende Banner nach erteilter Einwilligung ausgeblendet werde.

Die Antragsgegnerin habe keine Standardvertragsklauseln mit Cybot abgeschossen. Es sei auch nicht hinreichend, wenn Cybot mit dessen Auftragnehmer Akamai bestimmte Standarddatenschutzklauseln vereinbart habe. In der vorgelegten Standardvertragsklausel zwischen Cybot und Akamai fehlten ergänzende Schutzmaßnahmen gegen unzulässige Datenübermittlungen in die USA.

Hierbei sei eine gemeinsame Verantwortlichkeit von Cybot und der Antragsgegnerin gegeben. Denn die Antragsgegnerin übermittle Nutzerdaten an Cybot zur Verwaltung der erteilten Einwilligungen und bestimme die Verarbeitungszwecke. Cybot übernehme die technische Gestaltung und bestimme die Verarbeitungsmittel mit, da Cybot über die erhobenen Datenkategorien entscheide. Die Antragsgegnerin könne aber auch auf in der EU laufende Dienste zurückgreifen, die keine USamerikanischen Unterverarbeiter wie Akamai Technologies in Anspruch nähmen.

Der Anordnungsanspruch ergebe sich daraus, dass personenbezogene Daten des Antragstellers in unsichere Drittländer übermittelt würden und das spätere Auffinden und Löschen dieser Daten unmöglich sei. Die Antragsgegnerin könne ihre Verarbeitungsziele als gegenläufige Interessen durch Alternativprodukte erreichen, die die Datenübermittlung in Drittländer unterließen. Nachdem bereits im Eilverfahren umfangreiche Schriftsätze gewechselt worden seien, sei der Mehrwert eines Hauptsacheverfahrens gering.

Nachdem der Antragsteller im Erörterungstermin am 1.9.2021 das Verfahren hinsichtlich des „Google Tag Manager“ für erledigt erklärt hat, beantragt er nunmehr noch, der Antragsgegnerin im Wege der einstweiligen Anordnung gemäß § 123 VwGO zu verbieten, den Dienst „Cookiebot“ zum Zweck des Einholens von Einwilligungen in der Weise einzubinden, dass personenbezogene oder -beziehbare Daten des Antragstellers (einschließlich dessen IP-Adresse) an von Unternehmen des Akamai Technologies Inc.- Konzerns betriebene Server übermittelt werden, insbesondere durch Übermittlung an den Server „consent.cookiebot.com“.

Die Antragsgegnerin hat sich der Erledigungserklärung angeschlossen und beantragt im Übrigen, den Antrag abzulehnen.

Sie legt den Eintrag zu Cookiebot in ihrem Verzeichnis der Verarbeitungstätigkeiten vor, unterteilt in die Abschnitte „Gemeinsame Verantwortlichkeit“ und „Auftragsverarbeitung“, wobei in letzterem Abschnitt als Löschfrist für die Datenart Cookieconsent 12 Monate und für die Datenart IP-Adresse „Mit Zweckerfüllung“ vermerkt ist. Mit Cybot A/S, dem Anbieter von Cookiebot, sei keine Standardvertragsklausel abgeschlossen worden. Die Standardvertragsklausel, die zwischen Cybot A/S und Akamai Technologies abgeschlossen worden sein soll, legt die Antragsgegnerin als nicht ausgefüllten Blankovertrag der „Standardvertragsklauseln (Auftragsverarbeiter)“ bzw. im Originaltext Standard Contractual Clauses (Processors) vor (Bl. 191 ff. der Gerichtsakte).

Sie ist der Ansicht, dass der Antrag nicht statthaft sei. Aus den Art. 12 bis 22 DS-GVO ergebe sich kein individueller Anspruch auf Unterlassung, den der Antragsteller geltend mache. Art. 79 DS-GVO schließe insbesondere einen Rückgriff auf § 1004 BGB aus. Der Antragsteller begehre außerdem eine verbotene Vorwegnahme der Hauptsache. Es sei nicht ersichtlich, welche schweren und unzumutbaren Nachteile der Antragsteller als Folge des Einsatzes der streitgegenständlichen Dienste bis zu einer Entscheidung in der Hauptsache erleiden würde. Das Grundrecht auf informationelle Selbstbestimmung werde jedenfalls nicht über den Randbereich des Grundrechts hinausgehend verletzt, da die dynamische gekürzte IP-Adresse, die über die streitgegenständlichen Dienste verarbeitet würde, keine relevanten Informationen über den Antragsteller offenbare.

Darüber hinaus sei der Dienst Cookiebot rechtmäßig eingesetzt worden. Der Betrieb der Website www.hs-rm.de sei für die Öffentlichkeitsarbeit gemäß § 12 Abs. 5 S. 4 und Abs. 6 S. 1 des Hessischen Hochschulgesetzes (HHG) notwendig. Zum Betreiben der Website sei der Einsatz von nicht nur technisch erforderlichen Cookies notwendig, wofür wiederum die Einwilligung der betroffenen Personen eingeholt werden müsse. Cookiebot werde dafür als Einwilligungsmanagementsystem genutzt.

An Cybot werde ausschließlich die anonymisierte IP-Adresse mit den letzten drei Ziffern auf Null gesetzt, Datum und Uhrzeit der Zustimmung, Benutzeragent des Browsers der betroffenen Person, die URL, von der die Zustimmung gesendet wurde, ein anonymer, zufälliger und verschlüsselter Key sowie der Einwilligungsstatus der betroffenen Person übermittelt.

Soweit zur Herstellung einer technisch notwendigen Verbindung zu den Servern eine ungekürzte IP-Adresse an den Server von Akamai-Technologies Inc. übertragen werde, werde diese nicht verarbeitet oder gespeichert. Über Cookiebot könne eine wirksame Einwilligung in die Datenverarbeitung eingeholt werden. Selbst eine fehlerhafte Einwilligung führe lediglich zu einer rechtsgrundlosen Nutzung von Cookies oder Cookiebasierten Diensten, habe aber keine Auswirkungen auf die Einbindung des Einwilligungsmanagementsystems. Die Antragsgegnerin und Cybot A/S seien nicht gemeinsam Verantwortliche, sondern getrennt Verantwortliche, denn Cybot A/S und die Antragsgegnerin würden nicht gemeinsam über Zwecke und Mittel der Verarbeitung entscheiden. Cybot A/S sei auch kein Auftragsverarbeiter, da sie keine Daten verarbeite.

Akamai Technologies Inc. sei ausschließlich Auftragsverarbeiterin der Cybot A/S, es bestehe kein Sub-Auftragsverhältnis zur Antragsgegnerin. Demnach erfolge die Übermittlung zwischen Cybot A/S und Akamai Technologies Inc. in alleiniger Verantwortung von Cybot A/S. Die Antragsgegnerin habe hierauf keinen Einfluss.

Schließlich gebe es auch keinen Anordnungsgrund. Die begehrte Regelungsanordnung sei nicht nötig, um wesentliche Nachteile abzuwenden oder drohende Gewalt zu verhindern. Der Eingriff durch die Verarbeitung von dynamischen, gekürzten IP-Adresse sei jedenfalls äußerst gering, da es sich nicht um sensible Daten handele. Dem Antragsteller entstehe auch keine erhebliche Verletzung seines Grundrechts, da der behauptete Verlust über die Kontrolle seiner Daten nicht gegeben sei. Demgegenüber stehe das erhebliche Interesse der Antragsgegnerin, auch weiterhin Einwilligungen für Cookies auf ihrer Website einholen können, wofür sie aufgrund vertraglicher Verpflichtungen mit dem alten Dienst keinen anderen Dienst einsetzen könne.

Bezüglich des Verzeichnisses der Verarbeitungstätigkeiten der Antragsgegnerin repliziert der Antragsteller, dass keine Angaben zu Löschfristen enthalten seien. Dass als Unterauftragsverarbeiter der Cybot A/S die A. Technologies GmbH angegeben sei, ändere nichts daran, dass die Infrastruktur des Mutterunternehmens Akamai Technologies Inc. Zum Einsatz komme und so die Übermittlung an das USamerikanische Unternehmen ermöglicht werde. Die angegebenen Datenkategorien seien nicht vollständig. Die in dem Verzeichnis behauptete Verschlüsselung der übertragenen Daten bestreitet der Antragsteller. Da durch den Akamai-Server offenkundig Klardaten verarbeitet würden, könne es sich jedenfalls nur

um eine Transportverschlüsselung handeln, bei der Absender- und Empfänger-IP-Adresse und weitere Nutzungsdaten zwingend im Klartext übermittelt würden. Dies stelle daher keine ausreichende Schutzmaßnahme im Sinne des Schrems II-Urteils des EuGH dar.

Bei dem Erörterungstermin am 1.9.2021 war neben den Beteiligten des vorliegenden Eilantrags auch als sachverständige Person für den Hessischen Datenschutzbeauftragen Herr W. anwesend und wurde angehört. Wegen des Inhalts der Ausführungen wird auf das Protokoll des Erörterungstermins verwiesen.

Wegen der weiteren Einzelheiten des Sach- und Streitstandes wird auf den Inhalt der Schriftstücke bei der Gerichtsakte Bezug genommen, die Gegenstand der Entscheidung waren.

II.

Soweit das Verfahren übereinstimmend für erledigt erklärt wurde, ist es einzustellen, § 92 Abs. 3 S. 1 VwGO analog.

Im Übrigen ist der Antrag des Antragstellers zulässig und begründet. Die Antragsgegnerin ist verpflichtet, die Einbindung des Dienstes „Cookiebot“ zum Zweck des Einholens von Einwilligungen auf ihrer Website www.hs-rm.de zu beenden, da die Einbindung mit der rechtswidrigen Übermittlung von personenbezogener Daten der Webseitennutzer und damit insbesondere des Antragstellers einhergeht.

Nach § 123 Abs. 1 Satz 2 VwGO, der hier allein in Betracht kommt, kann das Gericht auf Antrag auch schon vor Klageerhebung eine einstweilige Anordnung zur Regelung eines vorläufigen Zustandes in Bezug auf ein streitiges Rechtsverhältnis treffen, wenn diese Regelung, vor allem bei dauernden Rechtsverhältnissen, um wesentliche Nachteile abzuwenden oder drohende Gewalt zu verhindern oder aus anderen Gründen nötig erscheint. Die tatsächlichen Voraussetzungen des geltend gemachten Anspruchs und der Grund für die notwendige vorläufige Regelung sind glaubhaft zu machen (§ 920 Abs. 2 ZPO i. V. m. § 123 Abs. 3 VwGO).

1. Dem Antragsteller steht ein öffentlich-rechtlicher Unterlassungsanspruch gemäß § 1004 BGB analog i. V. m. Art. 79 Abs. 1 und Art. 5 Abs. 1 lit. a DS-GVO zu.

Gemäß Art. 79 Abs. 1 DS-GVO hat jede betroffene Person das Recht auf einen wirksamen gerichtlichen Rechtsbehelf, wenn sie der Ansicht ist, dass die ihr aufgrund dieser Verordnung zustehenden Rechte infolge einer nicht im Einklang mit dieser Verordnung stehenden Verarbeitung ihrer personenbezogenen Daten verletzt wurden. Die Formulierung „aufgrund dieser Verordnung zustehenden Rechte“ stellt keinen Verweis (allein) auf Kapitel 3 der DSGVO („Rechte der betroffenen Person“) dar. Verletzte Rechte können neben solchen, die dem Betroffenen „durch“ die DS-GVO zustehen, auch die „aufgrund“ der Verordnung zustehenden Rechte sein, mithin auch solche, die durch andere Rechtsakte gewährt werden (vgl. Erwägungsgrund 146, Satz 5). Tatbestandsvoraussetzung ist somit eine Verletzung des Betroffenen durch eine Verarbeitung personenbezogener Daten, die nicht im Einklang mit materiellem Datenschutzrecht erfolgt (vgl. Paal/Pauly/Martini, 3. Aufl. 2021, DS-GVO Art. 79 Rn. 19; BeckOK DatenschutzR/Mundil, 37. Ed. 1.2.2020, DS-GVO Art. 79 Rn. 4).

Art. 79 DS-GVO entfaltet dementsprechend, entgegen der Ansicht des Antragsgegners, keine Sperrwirkung für weitere gerichtliche Rechtsbehelfe. Denn es handelt sich bei der Aufzählung des „verwaltungsrechtlichen oder außergerichtlichen Rechtsbehelfs“, der unbeschadet des Art. 79 DS-GVO gelten soll, nicht um eine abschließende Aufzählung der weiteren verfügbaren Rechtsbehelfe. Dies ergibt sich auch nicht aus den Erwägungsgründen 9, 11 und 13 der DS-GVO, in denen von einem „einheitlichen Schutzniveau“ die Rede ist.

Denn daraus ergibt sich nicht, dass strengere Regelungen im nationalen Recht keine Gültigkeit haben sollen. Es würde auch dem Effektivitätsgrundsatz des Europarechts sowie dem Recht auf einen „wirksamen“ gerichtlichen Rechtsbehelf nach Art. 79 DS-GVO widersprechen, dem Antragsteller den Rechtsschutz im gerichtlichen Verfahren zu verweigern und ihn stattdessen auf eine Beschwerde bei der Aufsichtsbehörde nach Art. 77 DS-GVO zu verweisen.

2. Die Voraussetzungen des öffentlich-rechtlichen Unterlassungsanspruch sind erfüllt. Der Antragsteller ist durch eine hoheitliche Maßnahme in seinen rechtlich geschützten Interessen beeinträchtigt.

Die Webseite wird nicht durch die Antragsgegnerin privat betrieben. Der Einsatz des Dienstes „Cookiebot“ erfolgt vielmehr im Rahmen der Öffentlichkeitsarbeit der Hochschule (§ 12 Abs. 5 S. 4, Abs. 6 S. 1 des HHG) und damit als hoheitliche Maßnahme.

Das Recht des Antragstellers auf rechtmäßige Verarbeitung seiner personenbezogenen Daten, das aus Art. 6 Abs. 1 DS-GVO, Art. 7, 8 EU-Grundrechte-Charta (GrCh) folgt, wird durch den Einsatz von „Cookiebot“ durch die Antragsgegnerin verletzt.

a) Die Antragsgegnerin verarbeitet zur Überzeugung des Gerichtes auf ihrer Webseite www.hs-rm.de unter anderem die ungekürzte IP-Adresse des Antragstellers. Dies erfolgt, indem sie den von dem Unternehmen Cybot A/S angebotenen Dienst „Cookiebot“ einbindet, der wiederum die vollständige IP-Adresse des Webseiten-Nutzers speichert und verarbeitet.

Dass es sich entgegen der Ansicht des Antragsgegners um die vollständige und nicht um eine gekürzte IP-Adresse handelt, ergibt sich aus den Angaben von Cybot selbst (Anlage AS 33, Bl. 668 der Gerichtsakte) sowie aus dem von Akamai für seine Auftraggeber zur Verfügung gestellten Auftragsverarbeitungsvertrag, der in seinem Anhang I, Ziff. 2b die Regelung beinhaltet, dass Akamai personenbezogene Daten verarbeitet, die bei der Erbringung der Dienste für den Kunden in Protokolldateien enthalten sind. Zu den Daten gehörten unter anderem die IP-Adresse der Endbenutzer, die URLs der besuchten Websites mit Zeitstempeln mit zugehöriger IP-Adresse, der geografische Standort basierend auf der IP-Adresse sowie Telemetriedaten (Bl. 659 der Gerichtsakte). Außerdem erklärte auch der Vertreter des Hessischen Datenschutzbeauftragten mit Schriftsatz vom 20.10.2021 nachvollziehbar, dass „die Protokollierung vollständiger IP-Adressen durch Anbieter von Internet-Diensten regelmäßig im Rahmen üblicher Zwecke, wie z.B. dem störungsfreien Betrieb solcher Dienste“, erfolge.

Diesen Angaben ist die Antragsgegnerin auch nicht substantiiert entgegengetreten. Sie behauptet zwar, dass lediglich eine anonymisierte IP-Adresse übermittelt werde, bei der die letzten drei Ziffern auf Null gesetzt würden. Dem steht aber die anderslautende Erklärung von Cybot selbst entgegen. Selbst wenn der Dienst Cookiebot nur bei erstmaligem Laden die ungekürzte IP-Adresse überträgt, handelt es sich hierbei dennoch um eine datenschutzrechtlich beachtliche Verarbeitung. Bereits das Erheben und Übermitteln personenbezogener Daten stellt gemäß Art. 4 Ziff. 2 DS-GVO eine Verarbeitung dar.

Die ungekürzte IP-Adresse stellt auch ein personenbezogenes Datum dar, denn die IP Adresse ermöglicht die genaue Identifizierung der Nutzer (vgl. EuGH, Urteil vom 19.10.2016 - C-582/14; BGH, Urteil vom 16.5.2017 - VI ZR 135/13; EuGH, Urteil vom 24. November 2011 - C-70/10, Rn. 51). Zwar wird in der Mitteilung durch Cybot behauptet, dass Akamai keine personenbezogenen Daten der Endnutzer speichere oder verarbeite. Dem steht jedoch entgegen, dass, wie oben dargelegt, die vollständige IP-Adresse der Endnutzer verarbeitet wird.

Der Anbieter Cybot A/S greift für den Dienst „Cookiebot“ auf die Dienste des Unternehmens Akamai Technologies Inc. zurück, indem er Serverkapazitäten von Akamai verwendet. Dies ergibt sich nicht zuletzt aus der Mitteilung des Unternehmens Cybot an eine Frau A. B. bzw. nach Angaben des Antragstellers an diesen (Anlage AS 33, Bl. 671 der Gerichtsakte). Dabei ist es - entgegen der Ansicht der Antragsgegnerin - völlig unerheblich, wem gegenüber die Angaben gemacht wurden. Anhaltspunkte, dass es sich nicht um eine echte Korrespondenz handelt, gibt es nicht. Demnach verwendet Cybot das Content Delivery Network von Akamai, um das Cookiebot-Einwilligungsskript abzurufen, welches auf einem Akamai-Server liegt.

Indem die verarbeiteten Daten, also auch die personenbezogenen Daten des Antragstellers, auf Servern von Akamai verarbeitet werden, findet u.a. eine Datenübermittlung in ein Drittland, nämlich die USA, nach Art. 44 DS-GVO statt. Dabei kann es dahinstehen, ob konkreter Vertragspartner von Cybot A/S das Unternehmen Akamai Technologies Inc. Oder das Unternehmen A. Technologies GmbH ist. Die Unternehmenszentrale befindet sich jedenfalls in Cambridge, Massachusetts, USA (https://www.akamai.com/de/company/factsfigures; zuletzt abgerufen am 23.11.2021). Dabei handelt es sich um eine nicht zulässige Übermittlung nach Art. 48, 49 DS-GVO.

Denn Akamai Technologies Inc. unterliegt als USamerikanisches Unternehmen dem USamerikanischen Cloud-Act, einem USamerikanischen Bundesgesetz vom 6.2.2018. Nach diesem sind US-Anbieter elektronischer Kommunikations- oder Remote-Computing-Dienste dazu verpflichtet, sämtliche in ihrem Besitz, Gewahrsam oder ihrer Kontrolle („posession, custody or control“) befindlichen Daten offenzulegen und zwar unabhängig davon, ob die Daten innerhalb oder außerhalb der USA gespeichert sind (Title 18 U. S. C. § 2713) (vgl. Kühling/Buchner/Schröder, 3. Aufl. 2020, DS-GVO Art. 48 Rn. 25).

Gemäß Art. 48 DS-GVO darf eine Übermittlung von personenbezogenen Daten auf der Grundlage einer Entscheidung eines ausländischen Gerichts oder einer ausländischen Verwaltungsbehörde im Grundsatz nur erfolgen, wenn sie auf eine in Kraft befindliche internationale Übereinkunft wie etwa ein Rechtshilfeabkommen zwischen dem ersuchenden Drittland und der Europäischen Union oder einem Mitgliedsstaat gestützt werden kann. Da eine solche internationale Übereinkunft zwischen der EU und den USA, die als Rechtsgrundlage für eine Datenübermittlung dienen könnte, nicht existiert (vgl. Kühling/Buchner/Schröder, 3. Aufl. 2020, DS-GVO Art. 48 Rn. 26), findet Art. 49 DS-GVO Anwendung, wonach eine Datenübermittlung an ein Drittland nur unter einer der in Art. 49 Abs. 1 S. 1 lit. a) bis f) und S. 2 DS-GVO genannten Bedingungen zulässig ist. Keine der in Art. 49 Abs. 1 S. 1 und 2 DS-GVO genannten Bedingungen ist vorliegend erfüllt. Ein Nutzer der Webseite www.hs-rm.de wird unstreitig nicht um seine Einwilligung für die Übermittlung in die USA gebeten und auch nicht über die damit verbundenen möglichen Risiken unterrichtet (Art. 49 Abs. 1 S. 1 lit. a) DS-GVO). Die Übermittlung ist auch nicht aus wichtigen Gründen des öffentlichen Interesses notwendig (Art. 49 Abs. 1 S. 1 lit. d) DS-GVO). Unabhängig davon, ob die Öffentlichkeitsarbeit der Antragsgegnerin ein solches öffentliches Interesse darstellt, ist hierfür jedenfalls eine Datenübermittlung in die USA nicht erforderlich. Die übrigen der möglichen Bedingungen des Art. 49 Abs. 1 S. 1 DSGVO sind offenkundig ebenfalls nicht einschlägig. Art. 49 Abs. 1 S. 2 DS-GVO findet bereits deshalb keine Anwendung, weil die Datenübermittlung bezüglich unzähliger Webseitennutzer stattfindet, also weder „nicht wiederholt erfolgt“, noch eine begrenzte Zahl von betroffenen Personen betrifft. Darauf, ob die „sonstigen Bestimmungen“ der DS-GVO, insbesondere Art. 5, 6 DS-GVO eingehalten sind, deren Voraussetzungen gemäß Art. 44 DSGVO bei einer Datenübermittlung an ein Drittland ebenfalls vorliegen müssen, kommt es insoweit nicht mehr an.

Die Antragsgegnerin ist für diese Datenverarbeitung auch verantwortlich i. S. d. Art. 24, Art. 4 Ziff. 7 DS-GVO. Demnach ist Verantwortlicher die Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Dies ist vorliegend der Fall. Indem die Antragsgegnerin sich dafür entscheidet, den Dienst „Cookiebot“ auf ihrer Webseite einzusetzen, entscheidet sie jedenfalls über die Mittel der Datenverarbeitung. Denn allein indem sie den Dienst auf ihre Webseite einbindet, entscheidet sie darüber, dass die Erhebung und Übermittlung der personenbezogenen Daten der Webseitennutzer, die auch auf den Servern von Akamai stattfinden, erfolgt. Sie entscheidet auch jedenfalls mittelbar über die Zwecke der Verarbeitung. Denn in Kenntnis der Angaben von Cybot und Akamai, die sie spätestens im Laufe des vorliegenden Verfahrens erlangt hat, kann sie sich dafür oder dagegen entscheiden, dass der Dienst auf ihrer Webseite eingesetzt wird und damit eine Datenverarbeitung möglicherweise auch zu den von Cybot bzw. Akamai festgelegten Zwecken stattfindet, bzw. umgekehrt kann sie durch ein Entfernen des Dienstes dafür sorgen, dass die Datenverarbeitung zu diesen Zwecken nicht mehr stattfindet. Sie mag für nachfolgende Vorgänge, etwa die Speicherung und Verwendung durch Akamai nicht mehr mitverantwortlich sein, da es sich hierbei um eine andere Phase der Datenverarbeitung handelt (vgl. EuGH, Urteil vom 29.07.2019 - C- 40/17 - Fashion-ID, Rn. 79, 84). Für die Erhebung und Übermittlung an Akamai, die unmittelbar durch die Einbindung des Dienstes auf der Webseite der Antragsgegnerin ausgelöst werden, ist sie verantwortlich. Für die Verantwortlichkeit eines Akteurs, insbesondere im Rahmen gemeinsamer Verantwortlichkeit, kommt es dabei nach der Rechtsprechung des EuGH auch nicht darauf an, dass jeder Verantwortliche Zugang zu den betreffenden personenbezogenen Daten hat (EuGH, Urt. v. 10.7.2018 - C-25/17 – Zeugen Jehovas, Rn. 69).

b) Darüber hinaus findet eine Verarbeitung personenbeziehbarer Daten auch durch das Setzen eines sog. Cookie-Keys in Zusammenhang mit den übrigen übermittelten Daten statt. Dies ergibt sich aus der anschaulichen Erklärung des Vertreters des Hessischen Datenschutzbeauftragten. Dieser hat den Inhalt eines von Cookiebot gesetzten Cookies textlich visualisiert:

Er erklärte sodann nachvollziehbar, dass es sich bei dem Wert „stamp“ (gelb) vermutlich um eine ID handelt, die den Webseiten-Besucher identifiziert. Hierfür spreche insbesondere, dass der Wert über mehrere Webseiten-Aufrufe konsistent sei, sich jedoch ändere, wenn die vorhandenen Cookies gelöscht werden. Die grün, blau, rot und pink markierten Werte stellten sodann die Auswahl des Webseiten-Nutzers für bestimmte Kategorien von Cookies

(grün), die Version des Cookiebot-Einwilligungsbanners (blau), die Uhrzeit der Betätigung des Banners (rot) sowie die geografische Region, aus der der Webseiten-Nutzer stammt (pink) dar.

Der Vertreter des Hessischen Datenschutzbeauftragten erläutert sodann, dass der Wert „stamp“ (gelb) zwar eine ID bzw. einen „Key“ oder „Fingerprint“ darstelle. Dieser ließe für sich genommen aber noch nicht die Identifizierung einer bestimmten natürlichen Person tatsächlich zu. Eine solche sei jedoch im Zusammenspiel mit der ebenfalls übermittelten IP Adresse möglich.

Dies trifft zur Überzeugung des erkennenden Gerichts zu. Ausweislich der „Datenschutzrichtlinie“ von Cookiebot (https://www.cookiebot.com/de/privacy-policy/, zuletzt abgerufen am 26.11.2021) speichert Cookiebot auch im Browser des Endnutzers einen „anonymen, zufälligen und verschlüsselten“ Key, durch den die Webseite die Zustimmung des Endbenutzers „bei allen nachfolgenden Seitenanfragen und zukünftigen Endnutzer-Sitzungen für bis zu 12 Monate automatisch lesen und befolgen kann“. Der Key kann demnach eindeutig dem Webseiten-Nutzer und dessen Cookie-Präferenzen zugeordnet werden, anderenfalls könnte der Dienst den Webseiten-Nutzer und seine ehemals angegebenen Cookie-Präferenzen nicht in Verbindung bringen. Gemeinsam mit der ebenfalls übermittelten (siehe oben) ungekürzten IP-Adresse des Webseiten-Nutzers ist dieser durch Cookiebot damit eindeutig identifizierbar. Der Key mag insofern „anonym“ sein, als er nicht mit dem Namen des Endnutzers in Verbindung gebracht werden kann. Eine Individualisierung mithilfe der übrigen vorhandenen Daten über den Endnutzer schließt dies aber nicht aus, weil der Nutzer aufgrund der Speicherung des Keys identifiziert werden kann, auch wenn sein Name nicht bekannt ist. Mithin handelt es sich um ein personenbeziehbares Datum. Dabei kommt es nicht darauf an, ob die Antragsgegnerin allein oder gemeinsam mit einer anderen Stelle, etwa den Unternehmen Cybot oder Akamai, Verantwortliche ist. Denn gemäß Art. 26 Abs. 3 DS-GVO kann die betroffene Person ihre Rechte im Rahmen der DSGVO bei einer gemeinsamen Verantwortlichkeit bei und gegenüber jedem einzelnen der Verantwortlichen geltend machen.

3. Die Beeinträchtigung dauert auch noch an. Denn da der Dienst „Cookiebot“ nach den Angaben der Antragsgegnerin nach wie vor auf ihrer Webseite eingebunden ist, droht bei jeder Nutzung der Webseite erneut der oben dargestellte Verstoß.

4. Die Rechtsverletzung des Antragstellers kann nur abgestellt werden, indem der Dienst insgesamt von der Webseite genommen wird. Ein nur partielles Abschalten des Dienstes gegenüber dem Antragsteller ist naturgemäß nicht möglich. Daher ist die Antragsgegnerin verpflichtet, den Dienst „Cookiebot“ von ihrer Webseite zu entfernen.

5. Mit dem vorliegenden Eilverfahren kann der Antragsteller nur eine vorläufige Regelung des aktuellen Zustandes erreichen. Eine endgültige Regelung bleibt dem Hauptsacheverfahren vorbehalten.

Aus diesem Grund ist die Anordnung für den Fall, dass ein Hauptsacheverfahren nicht binnen vier Wochen nach Bekanntgabe dieser Entscheidung durch den Antragsteller anhängig gemacht wird auf vier Wochen ab Bekanntgabe befristet. Anderenfalls verliert die vorliegende Anordnung ihre Wirkung.

6. Die Kostenentscheidung ergeht nach § 154 Abs. 1, 161 Abs. 2 VwGO.

Soweit das Verfahren für erledigt erklärt worden ist, sind die Kosten des Verfahrens dem Antragsteller aufzuerlegen, da die Antragsgegnerin dem Antragsteller bereits mit Schreiben vom 7.6.2021 mitteilte, dass sie den Google Tag Manager nicht mehr nutze, der Antragsteller aber erst am 8.6.2021 und damit nach Eintritt des erledigenden Ereignisses den vorliegenden Antrag gestellt hat. Das Interesse des Antragstellers an den beiden ursprünglich gestellten Anträgen ist dabei ähnlich hoch, sodass die Kosten gegeneinander aufzuheben sind.

Soweit der Antragsteller im Verfahren des einstweiligen Rechtsschutzes obsiegt, waren die Kosten der Antragsgegnerin aufzuerlegen.

Die Streitwertfestsetzung folgt aus § 52 Abs. 2, § 53 Abs. 2 Nr. 2 GKG. Da der Sach- und Streitstand für die Bestimmung des Streitwerts keine genügenden Anhaltspunkte bietet, ist ein Streitwert von jeweils 5.000 Euro für das Begehren bezüglich des Dienstes „Google Tag Manager“ und bezüglich des Dienstes „Cookiebot“ anzunehmen. Dieser ist der im Verfahren des vorläufigen Rechtsschutzes jeweils zu halbieren (vgl. Ziff. 1.5 des Streitwertkataloges für die Verwaltungsgerichtsbarkeit).

<ENDE DES VOLLTEXTS>

[/veraltet - Entscheidung aufgehoben - siehe Update - Entscheidung des VGH Hessen vom 17.01.2022]

Co-Autorin des Blogbeitrags ist unsere Mitarbeiterin - Natalie De Agazio