VG Wiesbaden, Beschluss vom 01.12.2021, Az. 6 L 738/21.WI

Der Antragsteller begehrt nach übereinstimmender Erledigungserklärung noch ein Verbot der Einbindung des Dienstes „[[[[[X.]]]]]“ auf der Website der Antragsgegnerin ([[[[[[X.]]]]]]).

Der Antragsteller gibt an, sich im Onlinekatalog der [[[[[[X.]]]]]] auf der Website der Antragsgegnerin regelmäßig als Nutzer über verfügbare Fachliteratur zu erkundigen. Er habe festgestellt, dass dabei seine personenbezogenen Daten in unzulässiger Weise an Dritte übermittelt würden.

Mit Schreiben vom [[[[[[X.]]]]]] mahnte der Antragsteller diverse Verstöße bei der Antragsgegnerin ab und forderte sie zur Abgabe einer strafbewehrten Unterlassungsverpflichtung bezüglich der Dienste „[[[[[[X.]]]]]][xxx] Tag Manager“ und „[[[[[X.]]]]]“ auf.

Bei dem „[[[[[[X.]]]]]][xxx] Tag Manager“ handelt es sich um einen Dienst, der die Einbindung anderer [[[[[[X.]]]]]] und damit anderer Dienste in eine Website erleichtern soll. „[[[[[X.]]]]]“ ermöglicht es laut der Website des Dienstes ([[[[[[X.]]]]]][[[[[X.]]]]].com/de/), die Einwilligung der Nutzer einer Website in die [[[[[[X.]]]]]] einzuholen. Der Dienst überwacht die eingesetzten Cookies und blockiert solche Cookies, für die eine Zustimmung nicht erteilt wurde.

Der Antragsteller führt bezüglich des Dienstes „[[[[[[X.]]]]]][xxx] Tag Manager“ aus, dass hierdurch seine IP-Adresse bei jedem Seitenaufruf an Server des Unternehmens [[[[[[X.]]]]]]. übermittelt werde, ohne dass hierfür eine Einwilligung erteilt worden sei. Daneben lese [[[[[[X.]]]]]]. infolge der durch die Antragsgegnerin veranlassten Kontaktaufnahme des [[[[[[X.]]]]]] mit dem [[[[[[X.]]]]]].-Server weitere Informationen über die Hard- und Software des Nutzer-Endgerätes aus und könne diese auswerten. Dies betreffe die aufgerufene Internetseite, das Betriebssystem und dessen Version, den verwendeten [[[[[[X.]]]]]] und dessen Version, die eingestellte Sprache und Farbzahl, die Art des Bildschirms (z.B. Touchscreen), die Bildschirmauflösung, die Unterstützung von Skriptsprachen sowie die auf dem Rechner installierten Schriftarten von Plugins. Aus diesen Informationen ergebe sich in Kombination ein einmaliger digitaler Fingerabdruck des Nutzers, weil keine andere Person exakt dieselbe Kombination aller Parameter zur selben [[[[[[X.]]]]]] aufweise. Damit könne [[[[[[X.]]]]]]. Surfprofile erstellen.

Bezüglich des Dienstes „[[[[[X.]]]]]“, einem Einwilligungsmanager des [[[[[[X.]]]]]] Anbieters [[[[[[X.]]]]]]. A/S, führt der Antragsteller aus, dass dieselben Daten wie bei dem „[[[[[[X.]]]]]]. Tag Manager“ an [[[[[X.]]]]] übermittelt würden. Dieser Dienst werde zwar von einem in [[[[[X.]]]]] ansässigen Unternehmen angeboten. Die Zieldomain consent.[[[[[X.]]]]].com verweise jedoch auf einen Server mit einer IP-Adresse, die auf das in [[[[[X.]]]]] ansässige [[[[[X.]]]]]. [[[[[X.]]]]] registriert sei. Auch wenn sich der Server möglicherweise in der [[[[[X.]]]]] befinde, habe das [[[[[X.]]]]] Unternehmen Zugriff darauf, sodass der [[[[[X.]]]]] Cloud-Act gelte.

Nach dem Cloud-Act könnten [[[[[X.]]]]] personenbezogene Daten bei US-Unternehmen einseitig, ohne [[[[[[X.]]]]]]erichtsbeschluss und ohne Rechtshilfeabkommen anfordern. Dies widerspreche den Art. 7, 8, 11 und 52 Abs. 1 [[[[[[X.]]]]]]rCh und der Auslegung dieser Normen durch den Eu[[[[[[X.]]]]]]H, wonach behördliche Zugriffe auf Verkehrsdaten nur bei einem Verdacht schwerer Kriminalität gestattet seien und dem Vorbehalt des Richters oder einer unabhängigen Behörde unterlägen. Die [[[[[X.]]]]] [[[[[[X.]]]]]]esetzeslage lasse dagegen den Anfangsverdacht jeglicher Straftat genügen. Somit setze der Antragsgegner als Verantwortlicher personenbezogene Daten des Antragstellers der [[[[[[X.]]]]]]efahr unbefugter Zugriffe aus, was eine Verletzung der Vertraulichkeit gemäß Art. 32 Abs. 1 lit. b DS-[[[[[[X.]]]]]]VO darstelle.

Seit dem 3. (Schreiben an den Antragsteller vom 7.6.2021) oder [[[[[X.]]]]] (Schreiben vom [[[[[X.]]]]]) nutzt die Antragsgegnerin nach ihren Angaben den [[[[[[X.]]]]]]. Tag Manager nicht mehr. Dies teilte sie dem Antragsteller mit Schreiben vom 7.6.2021 mit.

Mit Schreiben vom 7.6.2021 lehnte die Antragsgegnerin die Abgabe der Unterlassungsverpflichtung ab.

Am [X.] hat der Antragsteller um einstweiligen Rechtsschutz nachgesucht.

Er beruft sich im Wesentlichen auf die Begründung seiner Abmahnung gegenüber der Antragsgegnerin. Außerdem ist er der Ansicht, dass sich die Antragsgegnerin als öffentliche Stelle nicht auf Art. 6 Abs. 1 UA 1 lit. f DS[[[[[[X.]]]]]]VO berufen könne, da dieser laut Art. 6 Abs. 1 letzter Satz DS[[[[[[X.]]]]]]VO nicht für die von Behörden in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung gelte.

Schließlich bezweifelt er die Notwendigkeit des Einwilligungsmanagers „[[[[[X.]]]]]“. Denn die Einwilligungen für Cookies, die der Dienst einhole, seien unwirksam, weil das [[[[[X.]]]]] bei „Statistik“ standardmäßig voreingestellt sei und damit keine unmissverständliche Einwilligung i. S. d. Art. 4 Ziff. 11 DS-[[[[[[X.]]]]]]VO erzeugt werde. Die Einwilligung könne auch nicht widerrufen werden, da der entsprechende Banner nach erteilter Einwilligung ausgeblendet werde.

Die Antragsgegnerin habe keine [[[[[X.]]]]]n mit [[[[[[X.]]]]]]. abgeschossen. Es sei auch nicht hinreichend, wenn [[[[[[X.]]]]]]. mit dessen Auftragnehmer [[[[[X.]]]]]. bestimmte [[[[[X.]]]]] vereinbart habe. In der vorgelegten [[[[[X.]]]]] zwischen [[[[[[X.]]]]]]. und [[[[[X.]]]]]. fehlten ergänzende Schutzmaßnahmen gegen unzulässige Datenübermittlungen in die [[[[[X.]]]]].

Hierbei sei eine gemeinsame Verantwortlichkeit von [[[[[[X.]]]]]]. und der Antragsgegnerin gegeben. Denn die Antragsgegnerin übermittle Nutzerdaten an [[[[[[X.]]]]]]. zur Verwaltung der erteilten Einwilligungen und bestimme die Verarbeitungszwecke. [[[[[[X.]]]]]]. übernehme die technische [[[[[[X.]]]]]]estaltung und bestimme die Verarbeitungsmittel mit, da [[[[[[X.]]]]]]. über die erhobenen Datenkategorien entscheide. Die Antragsgegnerin könne aber auch auf in der [[[[[X.]]]]] laufende Dienste zurückgreifen, die keine [[[[[X.]]]]]n Unterverarbeiter wie [[[[[X.]]]]]. Technologies in Anspruch nähmen.

Der Anordnungsanspruch ergebe sich daraus, dass personenbezogene Daten des Antragstellers in unsichere Drittländer übermittelt würden und das spätere Auffinden und Löschen dieser Daten unmöglich sei. Die Antragsgegnerin könne ihre Verarbeitungsziele als gegenläufige Interessen durch Alternativprodukte erreichen, die die Datenübermittlung in Drittländer unterließen. Nachdem bereits im Eilverfahren umfangreiche Schriftsätze gewechselt worden seien, sei der Mehrwert eines Hauptsacheverfahrens gering.

Nachdem der Antragsteller im Erörterungstermin am 1.9.2021 das Verfahren hinsichtlich des „[[[[[[X.]]]]]]. Tag Manager“ für erledigt erklärt hat, beantragt er nunmehr noch,

Die Antragsgegnerin hat sich der Erledigungserklärung angeschlossen und beantragt im Übrigen,

Sie legt den Eintrag zu [[[[[X.]]]]] in ihrem Verzeichnis der Verarbeitungstätigkeiten vor, unterteilt in die Abschnitte „[[[[[[X.]]]]]]emeinsame Verantwortlichkeit“ und „Auftragsverarbeitung“, wobei in letzterem Abschnitt als Löschfrist für die Datenart [[[[X.]]]] 12 Monate und für die Datenart IP-Adresse „Mit Zweckerfüllung“ vermerkt ist. Mit [[[[[[X.]]]]]]. A/S, dem Anbieter von [[[[[X.]]]]], sei keine [[[[[X.]]]]] abgeschlossen worden. Die [[[[[X.]]]]], die zwischen [[[[[[X.]]]]]]. A/S und [[[[[X.]]]]]. Technologies abgeschlossen worden sein soll, legt die Antragsgegnerin als nicht ausgefüllten [[[X.]]]ankovertrag der „[[[[[X.]]]]]n (Auftragsverarbeiter)“ bzw. im Originaltext [[[[X.]]]] ([[[[X.]]]]) vor ([[[[X.]]]] 191 ff. der [[[[[[X.]]]]]]erichtsakte).

Sie ist der Ansicht, dass der Antrag nicht statthaft sei. Aus den Art. 12 bis 22 DS-[[[[[[X.]]]]]]VO ergebe sich kein individueller Anspruch auf Unterlassung, den der Antragsteller geltend mache. Art. 79 DS-[[[[[[X.]]]]]]VO schließe insbesondere einen Rückgriff auf § 1004 B[[[[[[X.]]]]]]B aus. Der Antragsteller begehre außerdem eine verbotene Vorwegnahme der Hauptsache. Es sei nicht ersichtlich, welche schweren und unzumutbaren Nachteile der Antragsteller als Folge des Einsatzes der streitgegenständlichen Dienste bis zu einer Entscheidung in der Hauptsache erleiden würde. Das [[[[[[X.]]]]]]rundrecht auf informationelle Selbstbestimmung werde jedenfalls nicht über den Randbereich des [[[[[[X.]]]]]]rundrechts hinausgehend verletzt, da die dynamische gekürzte IP-Adresse, die über die streitgegenständlichen Dienste verarbeitet würde, keine relevanten Informationen über den Antragsteller offenbare.

Darüber hinaus sei der Dienst [[[[[X.]]]]] rechtmäßig eingesetzt worden. Der Betrieb der Website [[[[[[X.]]]]]] sei für die Öffentlichkeitsarbeit gemäß § 12 Abs. 5 S. 4 und Abs. 6 S. 1 des [[[[X.]]]] (HH[[[[[[X.]]]]]]) notwendig. Zum Betreiben der Website sei der Einsatz von nicht nur technisch erforderlichen Cookies notwendig, wofür wiederum die Einwilligung der betroffenen Personen eingeholt werden müsse. [[[[[X.]]]]] werde dafür als Einwilligungsmanagementsystem genutzt.

An [[[[[[X.]]]]]]. werde ausschließlich die anonymisierte IP-Adresse mit den letzten drei Ziffern auf Null gesetzt, Datum und Uhrzeit der Zustimmung, Benutzeragent des [[[[[[X.]]]]]]s der betroffenen Person, die URL, von der die Zustimmung gesendet wurde, ein anonymer, zufälliger und verschlüsselter [[X.]] sowie der Einwilligungsstatus der betroffenen Person übermittelt.

Soweit zur Herstellung einer technisch notwendigen Verbindung zu den Servern eine ungekürzte IP-Adresse an den Server von [[[[[X.]]]]].-[[[[[X.]]]]] übertragen werde, werde diese nicht verarbeitet oder gespeichert. Über [[[[[X.]]]]] könne eine wirksame Einwilligung in die Datenverarbeitung eingeholt werden. Selbst eine fehlerhafte Einwilligung führe lediglich zu einer rechtsgrundlosen Nutzung von Cookies oder Cookiebasierten Diensten, habe aber keine Auswirkungen auf die Einbindung des Einwilligungsmanagementsystems. Die Antragsgegnerin und [[[[[[X.]]]]]]. A/S seien nicht gemeinsam Verantwortliche, sondern getrennt Verantwortliche, denn [[[[[[X.]]]]]]. A/S und die Antragsgegnerin würden nicht gemeinsam über Zwecke und Mittel der Verarbeitung entscheiden. [[[[[[X.]]]]]]. A/S sei auch kein Auftragsverarbeiter, da sie keine Daten verarbeite. [[[[[X.]]]]]. [[[[[X.]]]]] sei ausschließlich Auftragsverarbeiterin der [[[[[[X.]]]]]]. A/S, es bestehe kein Sub-Auftragsverhältnis zur Antragsgegnerin. Demnach erfolge die Übermittlung zwischen [[[[[[X.]]]]]]. A/S und [[[[[X.]]]]]. [[[[[X.]]]]] in alleiniger Verantwortung von [[[[[[X.]]]]]]. A/S. Die Antragsgegnerin habe hierauf keinen Einfluss.

Schließlich gebe es auch keinen Anordnungsgrund. Die begehrte Regelungsanordnung sei nicht nötig, um wesentliche Nachteile abzuwenden oder drohende [[[[[[X.]]]]]]ewalt zu verhindern. Der Eingriff durch die Verarbeitung von dynamischen, gekürzten IP-Adresse sei jedenfalls äußerst gering, da es sich nicht um sensible Daten handele. Dem Antragsteller entstehe auch keine erhebliche Verletzung seines [[[[[[X.]]]]]]rundrechts, da der behauptete Verlust über die Kontrolle seiner Daten nicht gegeben sei. Demgegenüber stehe das erhebliche Interesse der Antragsgegnerin, auch weiterhin Einwilligungen für Cookies auf ihrer Website einholen können, wofür sie aufgrund vertraglicher Verpflichtungen mit dem alten Dienst keinen anderen Dienst einsetzen könne.

Bezüglich des Verzeichnisses der Verarbeitungstätigkeiten der Antragsgegnerin repliziert der Antragsteller, dass keine Angaben zu Löschfristen enthalten seien. Dass als Unterauftragsverarbeiter der [[[[[[X.]]]]]]. A/S die A. Technologies [[[[[[X.]]]]]]mbH angegeben sei, ändere nichts daran, dass die Infrastruktur des Mutterunternehmens [[[[[X.]]]]]. [[[[[X.]]]]] zum Einsatz komme und so die Übermittlung an das [[[[[X.]]]]] Unternehmen ermöglicht werde. Die angegebenen Datenkategorien seien nicht vollständig. Die in dem Verzeichnis behauptete Verschlüsselung der übertragenen Daten bestreitet der Antragsteller. Da durch den [[[[[X.]]]]].-Server offenkundig Klardaten verarbeitet würden, könne es sich jedenfalls nur um eine Transportverschlüsselung handeln, bei der [[[X.]]] und [[[X.]]] und weitere [[[X.]]] zwingend im Klartext übermittelt würden. Dies stelle daher keine ausreichende Schutzmaßnahme im Sinne des [[[X.]]] des Eu[[[[[[X.]]]]]]H dar.

Bei dem Erörterungstermin am 1.9.2021 war neben den Beteiligten des vorliegenden Eilantrags auch als sachverständige Person für den [[[X.]]] Datenschutzbeauftragen [[[X.]]] anwesend und wurde angehört. Wegen des Inhalts der Ausführungen wird auf das Protokoll des Erörterungstermins verwiesen.

Wegen der weiteren Einzelheiten des Sach- und Streitstandes wird auf den Inhalt der Schriftstücke bei der [[[[[[X.]]]]]]erichtsakte Bezug genommen, die [[[[[[X.]]]]]]egenstand der Entscheidung waren.

Soweit das Verfahren übereinstimmend für erledigt erklärt wurde, ist es einzustellen, § 92 Abs. 3 S. 1 Vw[[[[[[X.]]]]]]O analog.

Im Übrigen ist der Antrag des Antragstellers zulässig und begründet. Die Antragsgegnerin ist verpflichtet, die Einbindung des Dienstes „[[[[[X.]]]]]“ zum Zweck des [[[[[X.]]]]] von Einwilligungen auf ihrer Website [[[[[[X.]]]]]] zu beenden, da die Einbindung mit der rechtswidrigen Übermittlung von personenbezogener Daten der Webseitennutzer und damit insbesondere des Antragstellers einhergeht.

Nach § 123 Abs. 1 Satz 2 Vw[[[[[[X.]]]]]]O, der hier allein in Betracht kommt, kann das [[[[[[X.]]]]]]ericht auf Antrag auch schon vor Klageerhebung eine einstweilige Anordnung zur Regelung eines vorläufigen Zustandes in Bezug auf ein streitiges Rechtsverhältnis treffen, wenn diese Regelung, vor allem bei dauernden Rechtsverhältnissen, um wesentliche Nachteile abzuwenden oder drohende [[[[[[X.]]]]]]ewalt zu verhindern oder aus anderen [[[[[[X.]]]]]]ründen nötig erscheint. Die tatsächlichen Voraussetzungen des geltend gemachten Anspruchs und der [[[[[[X.]]]]]]rund für die notwendige vorläufige Regelung sind glaubhaft zu machen (§ 920 Abs. 2 ZPO i. V. m. § 123 Abs. 3 Vw[[[[[[X.]]]]]]O).

1. Dem Antragsteller steht ein öffentlich-rechtlicher Unterlassungsanspruch gemäß § 1004 B[[[[[[X.]]]]]]B analog i. V. m. Art. 79 Abs. 1 und Art. 5 Abs. 1 lit. a DS-[[[[[[X.]]]]]]VO zu.

[[[[[[X.]]]]]]emäß Art. 79 Abs. 1 DS-[[[[[[X.]]]]]]VO hat jede betroffene Person das Recht auf einen wirksamen gerichtlichen Rechtsbehelf, wenn sie der Ansicht ist, dass die ihr aufgrund dieser Verordnung zustehenden Rechte infolge einer nicht im Einklang mit dieser Verordnung stehenden Verarbeitung ihrer personenbezogenen Daten verletzt wurden. Die Formulierung „aufgrund dieser Verordnung zustehenden Rechte“ stellt keinen Verweis (allein) auf Kapitel 3 der DS-[[[[[[X.]]]]]]VO („Rechte der betroffenen Person“) dar. Verletzte Rechte können neben solchen, die dem Betroffenen „durch“ die DS-[[[[[[X.]]]]]]VO zustehen, auch die „aufgrund“ der Verordnung zustehenden Rechte sein, mithin auch solche, die durch andere Rechtsakte gewährt werden (vgl. Erwägungsgrund 146, Satz 5). Tatbestandsvoraussetzung ist somit eine Verletzung des Betroffenen durch eine Verarbeitung personenbezogener Daten, die nicht im Einklang mit materiellem Datenschutzrecht erfolgt (vgl. [[[[[[X.]]]]]]/[[[X.]]]/[[[[[[X.]]]]]], 3. Aufl. 2021, DS-[[[[[[X.]]]]]]VO Art. 79 Rn. 19; [[[X.]]]/Mundil, [[[[[[X.]]]]]]. 1.2.2020, DS-[[[[[[X.]]]]]]VO Art. 79 Rn. 4).

Art. 79 DS-[[[[[[X.]]]]]]VO entfaltet dementsprechend, entgegen der Ansicht des Antragsgegners, keine Sperrwirkung für weitere gerichtliche Rechtsbehelfe. Denn es handelt sich bei der Aufzählung des „verwaltungsrechtlichen oder außergerichtlichen Rechtsbehelfs“, der unbeschadet des Art. 79 DS-[[[[[[X.]]]]]]VO gelten soll, nicht um eine abschließende Aufzählung der weiteren verfügbaren Rechtsbehelfe. Dies ergibt sich auch nicht aus den Erwägungsgründen 9, 11 und 13 der DS-[[[[[[X.]]]]]]VO, in denen von einem „einheitlichen Schutzniveau“ die Rede ist. Denn daraus ergibt sich nicht, dass strengere Regelungen im nationalen Recht keine [[[[[[X.]]]]]]ültigkeit haben sollen. Es würde auch dem Effektivitätsgrundsatz des Europarechts sowie dem Recht auf einen „wirksamen“ gerichtlichen Rechtsbehelf nach Art. 79 DS-[[[[[[X.]]]]]]VO widersprechen, dem Antragsteller den Rechtsschutz im gerichtlichen Verfahren zu verweigern und ihn stattdessen auf eine Beschwerde bei der Aufsichtsbehörde nach Art. 77 DS-[[[[[[X.]]]]]]VO zu verweisen.

2. Die Voraussetzungen des öffentlich-rechtlichen Unterlassungsanspruch sind erfüllt. Der Antragsteller ist durch eine hoheitliche Maßnahme in seinen rechtlich geschützten Interessen beeinträchtigt.

Die Webseite wird nicht durch die Antragsgegnerin privat betrieben. Der Einsatz des Dienstes „[[[[[X.]]]]]“ erfolgt vielmehr im Rahmen der Öffentlichkeitsarbeit der Hochschule (§ 12 Abs. 5 S. 4, Abs. 6 S. 1 des HH[[[[[[X.]]]]]]) und damit als hoheitliche Maßnahme.

Das Recht des Antragstellers auf rechtmäßige Verarbeitung seiner personenbezogenen Daten, das aus Art. 6 Abs. 1 DS-[[[[[[X.]]]]]]VO, Art. 7, 8 [[[[[X.]]]]]-[[[[[[X.]]]]]]rundrechte-Charta ([[[[[[X.]]]]]]rCh) folgt, wird durch den Einsatz von „[[[[[X.]]]]]“ durch die Antragsgegnerin verletzt.

a) Die Antragsgegnerin verarbeitet zur Überzeugung des [[[[[[X.]]]]]]erichtes auf ihrer Webseite [[[[[[X.]]]]]] unter anderem die ungekürzte IP-Adresse des Antragstellers. Dies erfolgt, indem sie den von dem Unternehmen [[[[[[X.]]]]]]. A/S angebotenen Dienst „[[[[[X.]]]]]“ einbindet, der wiederum die vollständige IP-Adresse des [[[X.]]] speichert und verarbeitet. Dass es sich entgegen der Ansicht des Antragsgegners um die vollständige und nicht um eine gekürzte IP-Adresse handelt, ergibt sich aus den Angaben von [[[[[[X.]]]]]]. selbst (Anlage [[[X.]]], [[[[X.]]]] 668 der [[[[[[X.]]]]]]erichtsakte) sowie aus dem von [[[[[X.]]]]]. für seine Auftraggeber zur Verfügung gestellten Auftragsverarbeitungsvertrag, der in seinem Anhang I, Ziff. 2b die Regelung beinhaltet, dass [[[[[X.]]]]]. personenbezogene Daten verarbeitet, die bei der Erbringung der Dienste für den Kunden in Protokolldateien enthalten sind. Zu den Daten gehörten unter anderem die IP-Adresse der Endbenutzer, die URLs der besuchten Websites mit [[[[[[X.]]]]]]stempeln mit zugehöriger IP-Adresse, der geografische Standort basierend auf der IP-Adresse sowie Telemetriedaten ([[[[X.]]]] 659 der [[[[[[X.]]]]]]erichtsakte). Außerdem erklärte auch der Vertreter des [[[X.]]] Datenschutzbeauftragten mit Schriftsatz vom 20.10.2021 nachvollziehbar, dass „die Protokollierung vollständiger IP-Adressen durch Anbieter von Internet-Diensten regelmäßig im Rahmen üblicher Zwecke, wie z.B. dem störungsfreien Betrieb solcher Dienste“, erfolge.

Diesen Angaben ist die Antragsgegnerin auch nicht substantiiert entgegengetreten. Sie behauptet zwar, dass lediglich eine anonymisierte IP-Adresse übermittelt werde, bei der die letzten drei Ziffern auf Null gesetzt würden. Dem steht aber die anderslautende Erklärung von [[[[[[X.]]]]]]. selbst entgegen. Selbst wenn der Dienst [[[[[X.]]]]] nur bei erstmaligem Laden die ungekürzte IP-Adresse überträgt, handelt es sich hierbei dennoch um eine datenschutzrechtlich beachtliche Verarbeitung. Bereits das Erheben und Übermitteln personenbezogener Daten stellt gemäß Art. 4 Ziff. 2 DS-[[[[[[X.]]]]]]VO eine Verarbeitung dar.

Die ungekürzte IP-Adresse stellt auch ein personenbezogenes Datum dar, denn die IP-Adresse ermöglicht die genaue Identifizierung der Nutzer (vgl. Eu[[[[[[X.]]]]]]H, Urteil vom 19.10.2016 - [[[X.]]]/14; B[[[[[[X.]]]]]]H, Urteil vom 16.5.2017 - [[[X.]]]/13; Eu[[[[[[X.]]]]]]H, Urteil vom 24. November 2011 - [[[X.]]]/10, Rn. 51). Zwar wird in der Mitteilung durch [[[[[[X.]]]]]]. behauptet, dass [[[[[X.]]]]]. keine personenbezogenen Daten der Endnutzer speichere oder verarbeite. Dem steht jedoch entgegen, dass, wie oben dargelegt, die vollständige IP-Adresse der Endnutzer verarbeitet wird.

Der Anbieter [[[[[[X.]]]]]]. A/S greift für den Dienst „[[[[[X.]]]]]“ auf die Dienste des Unternehmens [[[[[X.]]]]]. [[[[[X.]]]]] zurück, indem er Serverkapazitäten von [[[[[X.]]]]]. verwendet. Dies ergibt sich nicht zuletzt aus der Mitteilung des Unternehmens [[[[[[X.]]]]]]. an eine Frau [[[X.]]] bzw. nach Angaben des Antragstellers an diesen (Anlage [[[X.]]], [[[[X.]]]] 671 der [[[[[[X.]]]]]]erichtsakte). Dabei ist es - entgegen der Ansicht der Antragsgegnerin - völlig unerheblich, wem gegenüber die Angaben gemacht wurden. Anhaltspunkte, dass es sich nicht um eine echte Korrespondenz handelt, gibt es nicht. Demnach verwendet [[[[[[X.]]]]]]. das Content Delivery Network von [[[[[X.]]]]]., um das [[[[[X.]]]]]-Einwilligungsskript abzurufen, welches auf einem [[[[[X.]]]]].-Server liegt.

Indem die verarbeiteten Daten, also auch die personenbezogenen Daten des Antragstellers, auf Servern von [[[[[X.]]]]]. verarbeitet werden, findet u.a. eine Datenübermittlung in ein Drittland, nämlich die [[[[[X.]]]]], nach Art. 44 DS-[[[[[[X.]]]]]]VO statt. Dabei kann es dahinstehen, ob konkreter Vertragspartner von [[[[[[X.]]]]]]. A/S das Unternehmen [[[[[X.]]]]]. [[[[[X.]]]]] oder das Unternehmen A. Technologies [[[[[[X.]]]]]]mbH ist. Die Unternehmenszentrale befindet sich jedenfalls in [[[X.]]], [[[X.]]], [[[[[X.]]]]] (https://[[[[[[X.]]]]]][[[[[X.]]]]]..com/de/company/facts-figures; zuletzt abgerufen am [[[X.]]]). Dabei handelt es sich um eine nicht zulässige Übermittlung nach Art. 48, 49 DS-[[[[[[X.]]]]]]VO.

Denn [[[[[X.]]]]]. [[[[[X.]]]]] unterliegt als [[[[[X.]]]]]s Unternehmen dem [[[[[X.]]]]]n Cloud-Act, einem [[[[[X.]]]]]n Bundesgesetz vom 6.2.2018. Nach diesem sind [[[X.]]] elektronischer Kommunikations- oder [[[X.]]] dazu verpflichtet, sämtliche in ihrem Besitz, [[[[[[X.]]]]]]ewahrsam oder ihrer Kontrolle („posession, [[[X.]]]“) befindlichen Daten offenzulegen und zwar unabhängig davon, ob die Daten innerhalb oder außerhalb der [[[[[X.]]]]] gespeichert sind (Title 18 U. S. C. § 2713) (vgl. [[[X.]]]/[[[[[[X.]]]]]]/[[[[[[X.]]]]]], 3. Aufl. 2020, DS-[[[[[[X.]]]]]]VO Art. 48 Rn. 25).

[[[[[[X.]]]]]]emäß Art. 48 DS-[[[[[[X.]]]]]]VO darf eine Übermittlung von personenbezogenen Daten auf der [[[[[[X.]]]]]]rundlage einer Entscheidung eines ausländischen [[[[[[X.]]]]]]erichts oder einer ausländischen Verwaltungsbehörde im [[[[[[X.]]]]]]rundsatz nur erfolgen, wenn sie auf eine in [[[[[[X.]]]]]] befindliche internationale Übereinkunft wie etwa ein Rechtshilfeabkommen zwischen dem ersuchenden Drittland und der [[[X.]]] oder einem Mitgliedsstaat gestützt werden kann. Da eine solche internationale Übereinkunft zwischen der [[[[[X.]]]]] und [[[[[X.]]]]], die als Rechtsgrundlage für eine Datenübermittlung dienen könnte, nicht existiert (vgl. [[[X.]]]/[[[[[[X.]]]]]]/[[[[[[X.]]]]]], 3. Aufl. 2020, DS-[[[[[[X.]]]]]]VO Art. 48 Rn. 26), findet Art. 49 DS-[[[[[[X.]]]]]]VO Anwendung, wonach eine Datenübermittlung an ein Drittland nur unter einer der in Art. 49 Abs. 1 S. 1 lit. a) bis f) und [[[X.]]] DS-[[[[[[X.]]]]]]VO genannten Bedingungen zulässig ist.

Keine der in Art. 49 Abs. 1 S. 1 und 2 DS-[[[[[[X.]]]]]]VO genannten Bedingungen ist vorliegend erfüllt. Ein Nutzer der Webseite [[[[[[X.]]]]]] wird unstreitig nicht um seine Einwilligung für die Übermittlung in die [[[[[X.]]]]] gebeten und auch nicht über die damit verbundenen möglichen Risiken unterrichtet (Art. 49 Abs. 1 S. 1 lit. a) DS-[[[[[[X.]]]]]]VO). Die Übermittlung ist auch nicht aus wichtigen [[[[[[X.]]]]]]ründen des öffentlichen Interesses notwendig (Art. 49 Abs. 1 S. 1 lit. d) DS-[[[[[[X.]]]]]]VO). Unabhängig davon, ob die Öffentlichkeitsarbeit der Antragsgegnerin ein solches öffentliches Interesse darstellt, ist hierfür jedenfalls eine Datenübermittlung in die [[[[[X.]]]]] nicht erforderlich. Die übrigen der möglichen Bedingungen des Art. 49 Abs. 1 S. 1 DS-[[[[[[X.]]]]]]VO sind offenkundig ebenfalls nicht einschlägig. Art. 49 Abs. 1 [[[X.]]] DS-[[[[[[X.]]]]]]VO findet bereits deshalb keine Anwendung, weil die Datenübermittlung bezüglich unzähliger Webseitennutzer stattfindet, also weder „nicht wiederholt erfolgt“, noch eine begrenzte Zahl von betroffenen Personen betrifft. Darauf, ob die „sonstigen Bestimmungen“ der DS-[[[[[[X.]]]]]]VO, insbesondere Art. 5, 6 DS-[[[[[[X.]]]]]]VO eingehalten sind, deren Voraussetzungen gemäß Art. 44 DS-[[[[[[X.]]]]]]VO bei einer Datenübermittlung an ein Drittland ebenfalls vorliegen müssen, kommt es insoweit nicht mehr an.

Die Antragsgegnerin ist für diese Datenverarbeitung auch verantwortlich i. S. d. Art. 24, Art. 4 Ziff. 7 DS-[[[[[[X.]]]]]]VO. Demnach ist Verantwortlicher die Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Dies ist vorliegend der Fall. Indem die Antragsgegnerin sich dafür entscheidet, den Dienst „[[[[[X.]]]]]“ auf ihrer Webseite einzusetzen, entscheidet sie jedenfalls über die Mittel der Datenverarbeitung. Denn allein indem sie den Dienst auf ihre Webseite einbindet, entscheidet sie darüber, dass die Erhebung und Übermittlung der personenbezogenen Daten der Webseitennutzer, die auch auf den Servern von [[[[[X.]]]]]. stattfinden, erfolgt. Sie entscheidet auch jedenfalls mittelbar über die Zwecke der Verarbeitung. Denn in Kenntnis der Angaben von [[[[[[X.]]]]]]. und [[[[[X.]]]]]., die sie spätestens im Laufe des vorliegenden Verfahrens erlangt hat, kann sie sich dafür oder dagegen entscheiden, dass der Dienst auf ihrer Webseite eingesetzt wird und damit eine Datenverarbeitung möglicherweise auch zu den von [[[[[[X.]]]]]]. bzw. [[[[[X.]]]]]. festgelegten Zwecken stattfindet, bzw. umgekehrt kann sie durch ein Entfernen des Dienstes dafür sorgen, dass die Datenverarbeitung zu diesen Zwecken nicht mehr stattfindet. Sie mag für nachfolgende Vorgänge, etwa die Speicherung und Verwendung durch [[[[[X.]]]]]. nicht mehr mitverantwortlich sein, da es sich hierbei um eine andere Phase der Datenverarbeitung handelt (vgl. Eu[[[[[[X.]]]]]]H, Urteil vom 29.07.2019 - [[[X.]]]/17 - [[[X.]]], Rn. 79, 84). Für die Erhebung und Übermittlung an [[[[[X.]]]]]., die unmittelbar durch die Einbindung des Dienstes auf der Webseite der Antragsgegnerin ausgelöst werden, ist sie verantwortlich. Für die Verantwortlichkeit eines [[[[[X.]]]]]teurs, insbesondere im Rahmen gemeinsamer Verantwortlichkeit, kommt es dabei nach der Rechtsprechung des Eu[[[[[[X.]]]]]]H auch nicht darauf an, dass jeder Verantwortliche Zugang zu den betreffenden personenbezogenen Daten hat (Eu[[[[[[X.]]]]]]H, Urt. v. 10.7.2018 - [[[X.]]]/17 - [[[X.]]], Rn. 69).

b) Darüber hinaus findet eine Verarbeitung personenbeziehbarer Daten auch durch das Setzen eines sog. Cookie-[[X.]]s in Zusammenhang mit den übrigen übermittelten Daten statt. Dies ergibt sich aus der anschaulichen Erklärung des Vertreters des [[[X.]]] Datenschutzbeauftragten. Dieser hat den Inhalt eines von [[[[[X.]]]]] gesetzten Cookies textlich visualisiert:

Er erklärte sodann nachvollziehbar, dass es sich bei dem Wert „stamp“ (gelb) vermutlich um eine ID handelt, die den Webseiten-Besucher identifiziert. Hierfür spreche insbesondere, dass der Wert über mehrere Webseiten-Aufrufe konsistent sei, sich jedoch ändere, wenn die vorhandenen Cookies gelöscht werden. Die grün, blau, rot und pink markierten Werte stellten sodann die Auswahl des [[[X.]]] für bestimmte Kategorien von Cookies (grün), die Version des [[[[[X.]]]]]-Einwilligungsbanners (blau), die Uhrzeit der Betätigung des Banners (rot) sowie die geografische Region, aus der der [[[X.]]] stammt (pink) dar.

Der Vertreter des [[[X.]]] Datenschutzbeauftragten erläutert sodann, dass der Wert „stamp“ (gelb) zwar eine ID bzw. einen „[[X.]]“ oder „Fingerprint“ darstelle. Dieser ließe für sich genommen aber noch nicht die Identifizierung einer bestimmten natürlichen Person tatsächlich zu. Eine solche sei jedoch im Zusammenspiel mit der ebenfalls übermittelten IP-Adresse möglich.

Dies trifft zur Überzeugung des erkennenden [[[[[[X.]]]]]]erichts zu. Ausweislich der „Datenschutzrichtlinie“ von [[[[[X.]]]]] (https://[[[[[[X.]]]]]][[[[[X.]]]]].com/de/privacy-policy/, zuletzt abgerufen am [[[X.]]]) speichert [[[[[X.]]]]] auch im [[[[[[X.]]]]]] des [X.] einen „anonymen, zufälligen und verschlüsselten“ [[X.]], durch den die Webseite die Zustimmung des Endbenutzers „bei allen nachfolgenden Seitenanfragen und zukünftigen Endnutzer-Sitzungen für bis zu 12 Monate automatisch lesen und befolgen kann“. Der [[X.]] kann demnach eindeutig dem [[[X.]]] und dessen [[X.]] zugeordnet werden, anderenfalls könnte der Dienst den [[[X.]]] und seine ehemals angegebenen [[X.]] nicht in Verbindung bringen. [[[[[[X.]]]]]]emeinsam mit der ebenfalls übermittelten (siehe oben) ungekürzten IP-Adresse des [[[X.]]] ist dieser durch [[[[[X.]]]]] damit eindeutig identifizierbar. Der [[X.]] mag insofern „anonym“ sein, als er nicht mit dem Namen des [X.] in Verbindung gebracht werden kann. Eine Individualisierung mithilfe der übrigen vorhandenen Daten über den Endnutzer schließt dies aber nicht aus, weil der Nutzer aufgrund der Speicherung des [[X.]]s identifiziert werden kann, auch wenn sein Name nicht bekannt ist. Mithin handelt es sich um ein personenbeziehbares Datum.

Dabei kommt es nicht darauf an, ob die Antragsgegnerin allein oder gemeinsam mit einer anderen Stelle, etwa den Unternehmen [[[[[[X.]]]]]]. oder [[[[[X.]]]]]., Verantwortliche ist. Denn gemäß Art. 26 Abs. 3 DS-[[[[[[X.]]]]]]VO kann die betroffene Person ihre Rechte im Rahmen der DS-[[[[[[X.]]]]]]VO bei einer gemeinsamen Verantwortlichkeit bei und gegenüber jedem einzelnen der Verantwortlichen geltend machen.

3. Die Beeinträchtigung dauert auch noch an. Denn da der Dienst „[[[[[X.]]]]]“ nach den Angaben der Antragsgegnerin nach wie vor auf ihrer Webseite eingebunden ist, droht bei jeder Nutzung der Webseite erneut der oben dargestellte Verstoß.

4. Die Rechtsverletzung des Antragstellers kann nur abgestellt werden, indem der Dienst insgesamt von der Webseite genommen wird. Ein nur partielles Abschalten des Dienstes gegenüber dem Antragsteller ist naturgemäß nicht möglich. Daher ist die Antragsgegnerin verpflichtet, den Dienst „[[[[[X.]]]]]“ von ihrer Webseite zu entfernen.

5. Mit dem vorliegenden Eilverfahren kann der Antragsteller nur eine vorläufige Regelung des aktuellen Zustandes erreichen. Eine endgültige Regelung bleibt dem Hauptsacheverfahren vorbehalten.

Aus diesem [[[[[[X.]]]]]]rund ist die Anordnung für den Fall, dass ein Hauptsacheverfahren nicht binnen vier Wochen nach Bekanntgabe dieser Entscheidung durch den Antragsteller anhängig gemacht wird auf vier Wochen ab Bekanntgabe befristet. Anderenfalls verliert die vorliegende Anordnung ihre Wirkung.

6. [X.] ergeht nach § 154 Abs. 1, 161 Abs. 2 Vw[[[[[[X.]]]]]]O.

Soweit das Verfahren für erledigt erklärt worden ist, sind die Kosten des Verfahrens dem Antragsteller aufzuerlegen, da die Antragsgegnerin dem Antragsteller bereits mit Schreiben vom 7.6.2021 mitteilte, dass sie den [[[[[[X.]]]]]]oogle Tag Manager nicht mehr nutze, der Antragsteller aber erst am [X.] und damit nach Eintritt des erledigenden Ereignisses den vorliegenden Antrag gestellt hat. Das Interesse des Antragstellers an den beiden ursprünglich gestellten Anträgen ist dabei ähnlich hoch, sodass die Kosten gegeneinander aufzuheben sind.

Soweit der Antragsteller im Verfahren des einstweiligen Rechtsschutzes obsiegt, waren die Kosten der Antragsgegnerin aufzuerlegen.

Die Streitwertfestsetzung folgt aus § 52 Abs. 2, § 53 Abs. 2 Nr. 2 [[[[[[X.]]]]]]K[[[[[[X.]]]]]]. Da der Sach- und Streitstand für die Bestimmung des Streitwerts keine genügenden Anhaltspunkte bietet, ist ein Streitwert von jeweils 5.000 Euro für das Begehren bezüglich des Dienstes „[[[[[[X.]]]]]]oogle Tag Manager“ und bezüglich des Dienstes „[[[[[X.]]]]]“ anzunehmen. Dieser ist der im Verfahren des vorläufigen Rechtsschutzes jeweils zu halbieren (vgl. Ziff. 1.5 des [X.] für die Verwaltungsgerichtsbarkeit).