#SchremsII: Der Beschluss des VG Wiesbaden vom 01.12.2021 (Az. 6 L 738/21.WI) nach dem die Hochschule RheinMain auf ihrer Webseite den Dienst „Cookiebot“ nicht nutzen darf ist jetzt bei beck-online als BeckRS 2021, 37288 abrufbar (€). #DSGVO #Datenschutz
Erste Einschätzung👇
Erste Einschätzung👇
Ausgangspunkt des Verfahrens ist ein Antrag eines Nutzers, der sich nach eigener Angabe regelmäßig im Onlinekatalog der Hochschulbibliothek über Fachliteratur erkundigt. Dabei ist dem Nutzer aufgefallen, dass die Dienste „Google Tag Manager“ und „Cookiebot“ eingesetzt werden.
Er hat die Hochschule sodann zur Abgabe einer strafbewehrten Unterlassungsverpflichtung augefordert, die von der Hochschule jedoch abgelehnt wurden. Es folgte der Antrag auf einstweiligen Rechtsschutz beim VG Wiesbaden.
In einem Erörterungstermin am 1.9.2021 haben beide Parteien das Verfahren hinsichtlich des „Google Tag Manager“ für erledigt erklärt, sodass sich das VG im weiteren Verlauf primär mit "Cookiebot" zu beschäftigen hatte.
Das VG stellt hierzu fest, dass eine Drittlandsübermittlung vorliegt, da "Cookiebot" Serverkapazitäten von Akamai verwendet. Es kann dabei aus Sicht des VG dahinstehen, ob konkreter Vertragspartner von "Cookiebot" die US-Muttergesellschaft oder die deutsche Tochter ist (!).
Die Drittlandsübermittlung folge schon daraus, dass sich die Unternehmenszentrale in den USA befinde und die Muttergesellschaft dem CLOUD Act unterliege. Eine weitere Begründung fehlt.
Für diese Drittlandsübermittlung sei die Hochschule auch verantwortlich, da sie gemeinsam mit "Cookiebot" verantwortlich sei.
Begründung ist eine deutlich zu weite Auslegung der FashionID-Entscheidung: Die Hochschule kann sich "[...] in Kenntnis der Angaben von Cybot und Akamai, die sie spätestens im Laufe des vorliegenden Verfahrens erlangt hat [...]" (!) für oder gegen einen Einsatz entscheiden.
Dann wird es wild: Für diese Drittlandsübermittlung kommt nach Ansicht des VG nur eine Einwilligung nach Art. 49 #DSGVO in Betracht. Die Standardvertragsklauseln und ein Transfer Impact Assessment erwähnt das Gericht mit keinem Wort, obwohl die Parteien hierzu vorgetragen hatten.
Im Ergebnis überzeugt mich die Entscheidung sowohl hinsichtlich der Verantwortlichkeit, als auch hinsichtlich der Zulässigkeit der Drittlandsübermittlung nicht. Sollte die Hochschule Beschwerde erheben, hat diese m.E. gute Aussicht auf Erfolg.
@WebschauDS @DS_Stiftung @Telemedicus @bvd_datenschutz @offenenetze @GDD_eV @kleibold23 @TimWybitul @sayho @RAinDiercks @PiracyByDesign @Ra_Koellner @winfriedveil @FranzOnBrands @datenreiserecht @Dr_Datenschutz @dsnotizen @nhaerting @JoNehlsen @AdOrgaSolutions @stephanschmidt
@privacylawGER @RHGSIG @raroderer @MarkOliverKuehn @THISInformatio1 @thsch @ThorstenSiefert @sgpqr @ihastwitta @jthomi @esanwaltet @stefan_keller @Mikey9982 @phil_siedenburg @splaggemeier @margo7pl @jmoenikes @Datenschutz_TS @sebkraska @MichaelSeidlitz @MatzkiH @KaiKt03
@Max_Mayer_ @Zastaph @konraddoerner @praejudiz @annacardillo_ @pl4nt4stic @fronti @EmjayWalser @PrivacyChild @DianaEttig @janobaier @vshalim @thomasbindl @Velofisch @RolfBecker @aspvr @rewis_io @DS_Talk @RechtVerdreht @Frank_Peter1 @DataPrivProtect @NV_hh @kronefx @maskowlegal
@markussteinkamp @alvar_f @RANEHL @WL73478257 @DanielGudzik @chaensel @hagouan @ckroesch @Dirkfreytag @N8Fear @Benedikt_SBrun @ansgar_baums @Saefken @Datanion1 @fupieper @NeilCWeaver @taf_sheep @Elchnase @JoeStoeckel @jlawyerorg @SchwaPau @SCrossPrivacy @ckerSchnacker @LSAwesome
@Werning @g_arezzo @kLAWtext @legalbeaglede @RAErenBasar @mawetzel @_and_ro @StartPage_DACH @einfachnurmark @livabeat @GuidoHansch @EliasBgc @miss_breach @squidmedia @Fx3313 @Berlin_Legal @askconsult @spc7re @SeabassSeabasz @Westsails @AnsgarJahns @ElbJunge @MarkusSextro
• • •
Missing some Tweet in this thread? You can try to
force a refresh
