Die Tatsache, dass der Richter bereits dann eine Einwilligung für eine Datenübermittlung als erforderlich ansieht, wenn die Konzernmutter eines Cloud-Anbieters ihren Sitz in den USA hat, gilt als wegweisend für Betrachtung des Cloud-Acts aus der Sicht der DSGVO. Sollte diese Entscheidung im Hauptverfahren bestätigt und in der Folge rechtskräftig werden, hat das auch Auswirkung auf die Zusammenarbeit mit anderen Cloud-Betreibern wie Amazon, Microsoft, Google, Apple etc..
Mit der Entscheidung folgte das Gericht auch den einschlägigen Ausführungen des Europäischen Datenschutzausschusses (EDSA) zu Schrems II, in der der EuGH das Abkommen für den Privacy Shield zum Datentransfer in die USA gekippt hatte.
Im vorliegenden Fall hatte eine staatliche Hochschule den Dienst C[xxx]-Bot auf ihrer Webseite eingebunden. Dieser bittet Nutzer um Einwilligung in die Speicherung von Cookies auf ihrem Endgerät. Die juristische Konstellation: Dabei werden Daten der Webseiten-Besucher zu Servern eines US-Unternehmens übertragen.
Das hat das Verwaltungsgericht Wiesbaden in einem Eilverfahren als nicht statthaft beurteilt und dem seitens eines Nutzes der Webseite angestrebten Unterlassungsantrag stattgegeben, dem es nicht reichte, dass der entsprechende Server in der EU steht, da der Einwilligungsmanager Daten auf den Server eines in den Staaten ansässigen Cloud-Unternehmens übermittle. Weiterhin
unterliege das Cloud-Unternehmen dem Cloud Act, der US-Diensteanbieter dazu verpflichtet, „sämtliche in ihrem Besitz, Gewahrsam oder ihrer Kontrolle“ befindlichen Daten offenzulegen, unabhängig vom Speicherort. Dies führe – dem Gericht nach -zu einer unzulässigen Übermittlung von pbD. Weiterhin bitte der C[xxx]-Bot Nutzer nicht um Einwilligung zu einem Transfer persönlicher Informationen in die USA, und unterrichte sie nicht über die damit verbundenen Risiken.
Die Verantwortung bleibt also beim Webseitenbetreiber, das heißt er muss dafür Sorge tragen, dass derartige Übermittlungen nicht stattfinden und sie im Zweifelsfall wie hier erfolgt die Nutzung des Dienstes (C[xxx]-Bot) beenden.
Im Detail nachzulesen unter:
https://rewis.io/urteile/urteil/2tj-01-12-2021-6-l-73821wi/ und
https://www.heise.de/news/Gericht-Deutsche-Webseiten-duerfen-keine-US-Cookies-setzen-6288818.html