#SchremsII: Der Beschluss des VG Wiesbaden vom 01.12.2021 (Az. 6 L 738/21.WI) nach dem die Hochschule RheinMain auf ihrer Webseite den Dienst „Cookiebot“ nicht nutzen darf ist jetzt bei beck-online als BeckRS 2021, 37288 abrufbar (€). #DSGVO#Datenschutz
Erste Einschätzung👇
Ausgangspunkt des Verfahrens ist ein Antrag eines Nutzers, der sich nach eigener Angabe regelmäßig im Onlinekatalog der Hochschulbibliothek über Fachliteratur erkundigt. Dabei ist dem Nutzer aufgefallen, dass die Dienste „Google Tag Manager“ und „Cookiebot“ eingesetzt werden.
Er hat die Hochschule sodann zur Abgabe einer strafbewehrten Unterlassungsverpflichtung augefordert, die von der Hochschule jedoch abgelehnt wurden. Es folgte der Antrag auf einstweiligen Rechtsschutz beim VG Wiesbaden.
In einem Erörterungstermin am 1.9.2021 haben beide Parteien das Verfahren hinsichtlich des „Google Tag Manager“ für erledigt erklärt, sodass sich das VG im weiteren Verlauf primär mit "Cookiebot" zu beschäftigen hatte.
Das VG stellt hierzu fest, dass eine Drittlandsübermittlung vorliegt, da "Cookiebot" Serverkapazitäten von Akamai verwendet. Es kann dabei aus Sicht des VG dahinstehen, ob konkreter Vertragspartner von "Cookiebot" die US-Muttergesellschaft oder die deutsche Tochter ist (!).
Die Drittlandsübermittlung folge schon daraus, dass sich die Unternehmenszentrale in den USA befinde und die Muttergesellschaft dem CLOUD Act unterliege. Eine weitere Begründung fehlt.
Für diese Drittlandsübermittlung sei die Hochschule auch verantwortlich, da sie gemeinsam mit "Cookiebot" verantwortlich sei.
Begründung ist eine deutlich zu weite Auslegung der FashionID-Entscheidung: Die Hochschule kann sich "[...] in Kenntnis der Angaben von Cybot und Akamai, die sie spätestens im Laufe des vorliegenden Verfahrens erlangt hat [...]" (!) für oder gegen einen Einsatz entscheiden.
Dann wird es wild: Für diese Drittlandsübermittlung kommt nach Ansicht des VG nur eine Einwilligung nach Art. 49 #DSGVO in Betracht. Die Standardvertragsklauseln und ein Transfer Impact Assessment erwähnt das Gericht mit keinem Wort, obwohl die Parteien hierzu vorgetragen hatten.
Im Ergebnis überzeugt mich die Entscheidung sowohl hinsichtlich der Verantwortlichkeit, als auch hinsichtlich der Zulässigkeit der Drittlandsübermittlung nicht. Sollte die Hochschule Beschwerde erheben, hat diese m.E. gute Aussicht auf Erfolg.
Meine erste Einschätzung: Schon die Überschrift stellt klar, dass mit Maßnahmen gegen Verantwortliche, die MS Office 365 einsetzen nicht zurechnen ist, zumindest nicht unter dem Gesichtspunkt Auftragsverarbeitung. Bei Drittstaatentransfers könnte es anders aussehen.
Fehlende #ITSicherheit bei der Support-Webseite der #BRAK für das besondere elektronische Anwaltspostfach (#beA): Was war gestern (28.09.2020) auf bea.brak.de los? Ein Thread mit einer ersten chronlogischen Übersicht (ohne Anspruch auf Vollständigkeit).
28.09.2020 – 12:52 Uhr: @Kanzlei_Delhey weißt daraufhin, dass die #beA-Supportseite nicht wie gewohnt erreichbar ist. Statt der üblichen Seite erscheint eine frisch aufgesetzte Wordpress-Instanz:
28.09.2020 – 13:15 Uhr: Die Wordpress-Instanz meldet „Fehler beim Aufbau einer Datenbankverbindung“. Möglicherweise, weil die zugehörige Datenbank gelöscht oder verschoben wurde:
Vielleicht kann mal jemand vom @BSI_Bund bei der Bundesrechtsanwaltkammer #BRAK anrufen und dort erklären, wie man eine Wordpress-Installation für die Support-Seiten für sensible Infrastruktur maintained?
Das LG Hamburg hat mit Urteil vom 04.09.2020 (Az. 324 S 9/19) entschieden, dass ein Anspruch auf immateriellen Schadensersatz wegen einer #Datenschutz-verletzung eine "benennbar und insoweit tatsächliche Persönlichkeitsverletzung" erfordert. Volltext: rechtsprechung-hamburg.de/jportal/portal…
Das LG Hamburg schließt sich in seiner Entscheidung dem LG Karlsruhe (Urteil vom 02.08.2019, Az. 8 O 26/19) an und hält die Rechtsprechung des LG Düsseldorf (Urteil vom 05.03.2020, Az. 9 Ca 6557/18) zum #Schadensersatz bei unzureichender #Auskunft für nicht übertragbar.
Im vorliegenden Fall geht das LG Hamburg von einem Unterlassungsstreitwert von 3.000€ aus, wodurch sich auch die erstattungsfähigen Rechtsanwaltskosten deutlich reduziert. Das AG hatte einen Unterlassungsstreitwert von 9.000 € für angemessen erachtet.
Das @JM_NRW arbeitet derzeit eine einheitliche, softwarebasierte #Videokonferenztechnik für die Gerichte in #NRW zur Verfügung zustellen, "welche die Kommunikation mit externen Verfahrensbeteiligten ermöglicht und [...] Datenschutz und die Datensicherheit [...] genügt. #128aZPO