Cookies and Consent – Der Einsatz von Consent-Management-Plattformen im Lichte der aktuellen Rechtsprechung

Der Einsatz von Cookies und anderen Tracking-Tools ist für Webseitenanbieter derzeit von hoher Praxisrelevanz, jedoch alles andere als risikofrei.¹ Der damit einhergehend notwendige Einsatz von Consent-Management-Systemen ist ein Dauerbrenner im Bereich des Webseitendatenschutzes und birgt erhebliche Rechtsunsicherheiten für deren Verwender. Nicht zuletzt zeigt sich dies am Beispiel der jüngsten Rechtsprechung des VG Wiesbaden², in der die Nutzung des bekannten Consent-Management-Systems „Cookiebot“ auf der Webseite einer öffentlich-rechtlichen Hochschule einstweilig untersagt wurde. Trotz Aufhebung des Beschlusses durch den Hessischen Verwaltungsgerichtshofs wegen unzulässiger Vorwegnahme der Hauptsache,³ hat die Entscheidung unter Datenschutzrechtlern Aufsehen erregt, weshalb sich eine nähere Betrachtung mit Blick auf die bisherige Cookie-Rechtsprechung lohnt.

Cookies und Consent gehen Hand in Hand. Auf nahezu jeder Website werden die Besucherinnen und Besucher gefragt, ob Cookies auf ihrem Computer gespeichert und ob mit diesen Cookies Daten erhoben werden dürfen. Dieses Erfordernis folgt im Unionsrecht aus Art. 5 Abs. 3 S. 1 ePrivacy-RL und im deutschen Recht aus § 25 Abs. 1 S. 1 TTDSG,⁴ vormals aus einer unionsrechtskonformen Auslegung des § 15 Abs. 3 S. 1 TMG.⁵ Eine Einwilligung ist nur dann nicht nötig, wenn eine Webseite keine oder nur technisch erforderliche Cookies einsetzt, was in der Praxis nicht allzu häufig vorkommt.⁶

Zum Zwecke der Einholung der Einwilligung werden Consent-Management-Plattformen eingesetzt. Das Transparency and Consent Framework (TCF) des Interactive Advertising Bureau definiert den Begriff „Consent Management Platform“ (CMP) als „company or organisation that centralises and manages transparency for, and consent and objections of the end user“.⁷

Beim ersten Öffnen einer Webseite zeigt die CMP ein Banner⁸ („Cookie Consent Banner⁹ oder „Cookie-Banner“), um die Einwilligung in die Verwendung von Cookies einzuholen.¹⁰ Der Zutritt zu der Webseite wird den Nutzern versperrt, wenn sie in Bezug auf die Datenverarbeitung nicht irgendeine Auswahl treffen.¹¹ Die Consent-Management-Plattform speichert die Angaben dann, um bei erneutem Aufruf der Webseite die Einwilligung nicht noch einmal abzufragen. Hat der Nutzer oder sein verwendeter Browser seit seinem letzten Seitenbesuch jedoch die Cookies gelöscht, muss die Abfrage erneut durchgeführt werden.¹²

Auf dem Markt sind derzeit eine Reihe von Consent-Management-Systemen verfügbar, die damit werben, TTDSG-, DSGVO- und ePrivacy-konform zu sein. Je nach Gestaltung der Consent-Management-Plattform stimmen Nutzer jedoch meist einem Bündel an (ungewissen) Einwilligungen und berechtigten Interessen zu.¹³ In der Vergangenheit stand daher vermehrt die Unzulänglichkeit der über eine CMP eingeholten Einwilligung in die Weitergabe von Daten an Werbepartner im Mittelpunkt von Rechtsstreitigkeiten. Dieser Beitrag beleuchtet die zentralen rechtlichen Probleme im Zusammenhang mit dem Einsatz von CMP.

Zunächst lohnt sich ein Blick auf die höchstrichterlichen Meilensteine der Cookie-Rechtsprechung. Denn selbst nach der Einführung der DSGVO war die Verwendung von Cookies ohne explizite Einwilligung des Users rechtlich noch zulässig oder wurde zumindest von den Aufsichtsbehörden geduldet. Erst mit Inkrafttreten der ePrivacy-RL (RL 2002/58/EG) 2002, zuletzt geändert durch die Cookie-RL 2009 (RL 2009/136/EG), wurde eine diesbezügliche Regulierung initiiert. Zwecks Umsetzung in nationales Recht führte der deutsche Gesetzgeber neue Regelungen im Telekommunikationsgesetz (TKG) und im Telemediengesetz (TMG) ein.¹⁴

Die höchstrichterliche Rechtsprechung hat vor diesem Hintergrund mit ihren Urteilen „Planet49“¹⁵ und „Cookie-Einwilligung II“¹⁶ sodann grundsätzliche Maßstäbe zum Einsatz von Cookies aufgestellt, die letztlich zu einer datenschutzrechtlichen Metamorphose vieler Webseiten in Puncto „Cookie Consent“ geführt haben.¹⁷ Der EuGH hat hierbei in seiner Entscheidung in der Sache „Planet49“¹⁸ die formellen Anforderungen an einen wirksamen Cookie Consent näher definiert.¹⁹ In dem zugrundeliegenden Streitfall hatte der BGH in der Revisionsinstanz die maßgeblichen Fragen zur Auslegung von u.a. Art. 5 Abs. 3 ePrivacy-RL sowie Art. 6 Abs. 1 lit. a DSGVO dem EuGH zur Vorabentscheidung vorgelegt. In seinem Planet49-Urteil stellte der EuGH hierzu wegweisende Grundsätze auf. So hat der EuGH entschieden, dass der Einsatz von Cookies zur Analyse des Nutzungsverhaltens im Internet und zum Ausspielen von Werbung die Einwilligung des Nutzers erfordere. Einwilligungen nach Art. 5 Abs. 3 ePrivacy-RL müssten seit Geltung der DSGVO den Anforderungen an die Einwilligungserteilung nach Art. 4 Nr. 11 und Art. 6 Abs. 1 lit. a DSGVO entsprechen.²⁰ Für eine wirksame Einwilligung i.S.v. Art. 5 Abs. 3 ePrivacy-RL²¹ genüge ein vorangekreuztes Kästchen nicht mehr. Diese Anforderungen würden unabhängig davon gelten, ob mit den betreffenden Cookies personenbezogene Daten oder nur sonstige Daten ohne Personenbezug im Endgerät des Nutzers gespeichert oder abgerufen werden.²² Der Webseiten-Betreiber habe seinerseits dem Nutzer bestimmte Informationen bereitzustellen. Dies umfasse insbesondere Angaben zur Funktionsdauer der Cookies sowie dazu, ob Dritte Zugriff auf die mit den Cookies gespeicherten oder abgerufenen Informationen erhalten können.²³

Einige wesentliche Fragen für den Einsatz von Cookies ließ der EuGH offen. So lässt sich der Entscheidung weder entnehmen, dass sämtliche Cookies eine Einwilligung erfordern, noch welche Arten von Cookies einwilligungspflichtig sind. Insbesondere hatte der EuGH auch nicht darüber zu entscheiden, ob Tracking- oder Werbecookies stets als nicht unbedingt erforderlich i.S.d. Art. 5 Abs. 3 S. 2 ePrivacy-RL anzusehen sind. Aus der Entscheidung geht lediglich hervor, welchen Wirksamkeitsanforderungen die Einwilligung genügen muss, falls eine solche einzuholen ist.²⁴ Demnach ist nur noch die Verwendung technisch notwendiger Cookies ohne Einwilligung zulässig. Für alle anderen Cookies ist eine explizite Einwilligung erforderlich.

Mit dem Cookie-Einwilligung-II-Urteil hat sich der BGH sodann den Positionen des EuGH erwartungsgemäß angeschlossen. Entsprechend ist es Webseitenbetreibern untersagt, sog. Tracking- oder Marketing-Cookies auf den Endgeräten der Nutzer zu platzieren, ohne zuvor deren aktive Einwilligung eingeholt zu haben. Die Rechtmäßigkeit des Cookie-Einsatzes beurteile sich nach § 15 Abs. 3 S. 1 TMG, der als richtlinienkonforme Umsetzung von Art. 5 Abs. 3 ePrivacy-RL in deutsches Recht zu sehen sei. Hierbei sei § 15 Abs. 3 S. 1 TMG richtlinienkonform dahingehend auszulegen, dass Tracking-Cookies zur Bildung individueller Nutzungsprofile zwecks interessenbasierter Werbung der Einwilligung bedürfen.²⁵

Seit dem 01.12.2021 gilt nun das TTDSG. Die entsprechenden Regelungen im TTDSG ersetzen seitdem die datenschutzrechtlichen Regelungen des TMG bis zum Inkrafttreten der ePrivacy-VO. Mit dem neuen Gesetz existiert nun auch eine explizite Regelung für den Einsatz von Cookies bei Websites und Apps (vgl. dazu § 25 TTDSG).²⁶ An den oben genannten Grundsätzen hat sich jedoch nichts geändert.²⁷ Was genau die neue Reglung des § 25 TTDSG nun erlaubt, ist unklar.²⁸

So gibt die Auslegung der „unbedingten Erforderlichkeit“ in § 25 Abs. 2 Nr. 2 TTDSG Anlass für zahlreiche Diskussionen in der Praxis. Die Auslegung dieses Merkmals ist deshalb von elementarer Bedeutung, weil für nicht unbedingt erforderliche Cookies, Einwilligungen eingeholt werden müssen. Diese müssen dann nicht nur dauerhaft gespeichert werden. Es muss auch eine Widerrufsmöglichkeit bestehen. Diese organisatorischen Vorgaben stellen Webseitenanbieter vor enorme Herausforderungen.²⁹

Hinzu kommt, dass Einwilligungen durch Cookie-Consent-Banner eingeholt werden müssen (§ 25 Abs. 1 Satz 1 TTDSG) und deren konkrete Gestaltung weitere spezifische Unklarheiten aufweist.³⁰ So stellt sich beispielsweise die Frage, ob die Nutzung einer Internetseite von einer Einwilligung in das Setzen von Cookies und anderer Trackingmechanismen abhängig gemacht werden darf.³¹ Vor diesem Hintergrund wird auch zunehmend kontrovers über den Einsatz von „Nudging“ und „Choice-Architekturen“ diskutiert. Dies betrifft etwa die Farben, mit denen ein Button hinterlegt werden darf.³² Im Mittelpunkt der Diskussion steht die Frage, ob die Entscheidungsfreiheit des Nutzers noch angenommen werden kann, wenn Webseiten so gestaltet sind, dass eine Ablehnung von Cookies auf unterschiedliche Weise erschwert wird. ³³ Kritisch zur Frage der Entscheidungsfreiheit eines verständigen Internetnutzers sind in diesem Zusammenhang sogenannte „Dark Patterns“³⁴ zu betrachten, die darauf ausgelegt sind, den Aufwand der Nicht-Einwilligung zu maximieren, so dass Nutzer aus Überforderung die Einwilligung erklären. Rechtsdogmatisch führt dies zur Unwirksamkeit der Einwilligung.³⁵ Mangels entsprechender Vorgaben scheint es auf die Instrumentarien der Aufsichtsbehörden anzukommen. So hat der Europäische Datenschutzausschuss (EDSA) in seiner Sitzung v. 14.3.2022 Leitlinien³⁶ zu Dark Patterns in Schnittstellen von Social-Media-Plattformen angenommen. Diese Leitlinien sollen zukünftig sowohl Nutzern als auch Anbietern praktische Empfehlungen an die Hand geben, bestimmte Designs von Anwendungen zu erkennen und zu vermeiden, die das Verhalten von Nutzern unangemessen und unter Verstoß gegen die DSGVO beeinflussen, um sie zu bestimmten Entscheidungen zu bewegen.³⁷

In Anbetracht der Unsicherheiten beim Einsatz von Consent-Management-Plattformen gibt das neue TTDSG zwar Anlass zur Freude. So hat der Gesetzgeber mit § 26 TTDSG entgegen den Erwartungen³⁸ nunmehr eine entsprechende Vorschrift für anerkannte Dienste zur Einwilligungsverwaltung in das Gesetz aufgenommen. Anbieter, die nutzerfreundliche und wettbewerbskonforme Verfahren zur Einwilligungsverwaltung einsetzen, können sich künftig derartige Systeme anerkennen lassen. Die Mindestanforderungen an derartige Dienste – diese müssen unabhängig und ohne wirtschaftliche Verwertungsinteressen im Hinblick auf die von Nutzern verarbeiteten Daten agieren – sind in § 26 Abs. 1 Nr. 2 TTDSG verankert.³⁹ Die Ausgestaltung der näheren Anforderungen an die Anerkennung der Anbieter soll jedoch nach § 26 Abs. 2 TTDSG durch Rechtsverordnung erfolgen.

Trotz Einführung des § 26 TTDSG sind Webseitenbetreiber, die mehr als nur technisch erforderliche Cookies oder andere Tracking Tools einsetzen möchten, daher jedenfalls bis zur Verfügbarkeit der PIMS auf derzeit am Markt verfügbare Consent-Management-Lösungen⁴⁰ angewiesen. Hierbei ist selbst bei bekannten Consent-Management-Plattformen – wie die Eilentscheidung des Verwaltungsgerichts Wiesbaden⁴¹ gezeigt hat – ein rechtskonformer Einsatz nicht zwingend gesichert.

Im Verfahren vor dem VG Wiesbaden begehrte der Antragsteller ein Verbot der Einbindung des Cookie-Dienstes „Cookiebot“ auf der Webseite der Antragsgegnerin, einer öffentlich-rechtlichen Hochschule. Die Antragsgegnerin hatte auf ihrer Website ein Cookie-Banner des von einem Unternehmen mit Sitz in Dänemark angebotenen Dienstes „Cookiebot“ mit Sitz in Dänemark eingebunden, mit dem sie die Einwilligungen ihrer Webseitenbesucher zur Verwendung von Analysetools einholte. Das Cookie-Banner wurde hierbei von einem Content Delivery Network (CDN) bzw. Cloud-Hosting-Unternehmen des US-Unternehmens Akamai Technologies Inc. geladen, das seinen Sitz in den USA hat, wo auch der Server-Standort ist. Für die technisch notwendige Verbindung zu den Servern wurde die ungekürzte IP-Adresse des Webseitennutzers an den Server von Akamai in den USA übertragen. Akamai unterliegt als US-Unternehmen dem US Cloud Act.⁴² US-Behörden könnten danach auf die verarbeiteten Daten zugreifen.Aufgrund des US-Cloud Act war daher ein auf die Herausgabe personenbezogener Daten, zu denen auch IP-Adressen gehören, gerichtetes Verlangen denkbar. Für den Nutzer war dieser Aspekt maßgeblich, denn er sah sich der Gefahr eines Zugriffs auf seine personenbezogenen Daten durch US-amerikanische Sicherheitsbehörden ausgesetzt. Der Antragsteller wehrte sich im einstweiligen Rechtsschutz deshalb u. a. gegen die hierdurch erfolgende Übertragung seiner IP-Adresse ohne seine Einwilligung in die USA.

Das VG Wiesbaden hat in seinem Beschluss vom 1.12.2021 dem Antrag stattgegeben und der Antragsgegnerin im Wege der einstweiligen Anordnung untersagt, den Dienst „Cookiebot“ zum Zweck des Einholens von Einwilligungen so einzubinden, dass personenbezogene oder –personenbeziehbare Daten des Antragstellers, einschließlich dessen IP-Adresse, an von Unternehmen des Akamai Technologies Inc.-Konzerns betriebene Server, einschließlich dem Server „consent.cookiebot.com“, übermittelt werden. Der VG Wiesbaden sah es als erwiesen an, dass entgegen den Angaben der Antragsgegnerin nicht die anonymisierte, sondern die vollständige IP-Adresse der Webseitenbesucher in die USA übermittelt werde, und zwar ohne hierfür eine Einwilligung abzufragen.

Eine datenschutzrechtlich beachtliche Verarbeitung liege auch vor, wenn der Dienst des Cookie-Banners nur bei erstmaligem Laden die IP-Adresse an den Server übertrage. Es könne auch dahinstehen, ob konkreter Vertragspartner von „Cookiebot“ die US-Muttergesellschaft Akamai Technologies Inc. oder die deutsche Tochtergesellschaft von Akamai sei, da sich die Unternehmenszentrale jedenfalls in den USA befindet und daraus die Drittlandsübermittlung folge. Denn als US-amerikanisches Unternehmen unterliege die Muttergesellschaft dem US-Cloud-Act, der US-Anbieter elektronischer Kommunikation dazu verpflichten kann, sämtliche in ihrem Besitz befindlichen Daten gegenüber autorisierten staatlichen Stellen der USA offen zu legen, unabhängig vom Ort der Erhebung oder Speicherung der Daten. Eine solche Übermittlung von personenbezogenen Daten auf der Grundlage einer Entscheidung einer ausländischen Verwaltungsbehörde dürfe allerdings gemäß Art. 48 DSGVO nur erfolgen, wenn sie auf eine in Kraft befindliche internationale Übereinkunft zwischen dem ersuchenden Drittland und der Europäischen Union oder einem Mitgliedstaat gestützt werden könne. Eine solche internationale Übereinkunft zwischen der EU und den USA existiere jedoch seit der Schrems II Entscheidung des EuGH⁴³ nicht mehr. Die Voraussetzungen der Art. 44 ff. DSGVO seien jedenfalls nicht eingehalten, so dass der Datentransfer datenschutzrechtlich unzulässig sei.

Auch sei die Antragsgegnerin für diese Datenverarbeitung im Sinne des Art. 24, Art. 4 Ziffer 7 DSGVO verantwortlich. Verantwortlicher i.S.d. DSGVO sei die Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheide. Durch die Einbindung des Dienstes auf ihrer Website, entscheide die Antragsgegnerin darüber, dass die Erhebung und Übermittlung der personenbezogenen Daten der Webseitennutzer erfolge, die auch auf den Servern von Akamai stattfinden.

Der Beschluss wurde sodann vom VGH Hessen aufgehoben.⁴⁴ Der VGH Hessen bezog sich dabei auf die prozessualen Voraussetzungen der Regelungsanordnung gem. § 123 Abs. 1 Satz 2 VwGO, die er als nicht gegeben erachtete, so dass die Eilentscheidung letztlich aus formalen Gründen aufgehoben wurde.

Die Entscheidung ist insgesamt eine konsequente Fortführung wichtiger vorangegangener Entscheidungen von BGH und EuGH und vor diesem Hintergrund wenig überraschend. So wird die Übertragung von IP-Adressen von der höchstrichterlichen deutschen und europäischen Rechtsprechung seit längerem als Weitergabe von personenbezogenen Daten aufgefasst, weil sie über den Internet-Anschluss einzelnen Personen zugeordnet werden können.⁴⁵

Dies gilt auch im Hinblick auf die Verantwortlichkeit des Webseitenbetreibers im Sinne des Art. 24, Art. 4 Ziffer 7 DSG-VO.⁴⁶ Dieser ist für die Datenverarbeitung verantwortlich, weil er über die Mittel der Datenverarbeitung mit Einbindung des Cookie-Banners entscheidet. Für die Verantwortlichkeit kommt es nicht darauf an, dass jeder Verantwortliche Zugang zu den betreffenden personenbezogenen Daten habe.⁴⁷

Hervorzuheben ist insbesondere, dass sich das Gericht vor dem Hintergrund der Schrems II Entscheidung des EuGH⁴⁸ als erstes deutsches Gericht mit den Grenzen des Drittstaatentransfers auseinandergesetzt hat. Im Mittelpunkt stand die Frage, ob europäische Anwender als verantwortliche Stellen im Sinne des Art. 24, Art. 4 Ziffer 7 DSG-VO weiter uneingeschränkt Dienstleistungen von Anbietern mit engen wirtschaftlichen Verbindungen zu den USA nutzen können, ohne dabei gegen die DSGVO zu verstoßen.⁴⁹

Mit dem Schrems II-Urteil hat der EuGH „zu einem erneuten Paukenschlag in Sachen Datenschutz ausgeholt“⁵⁰ und den EU-US Privacy Shield für unwirksam erklärt. Personenbezogene Daten können seitdem nicht mehr auf Grundlage eines Angemessenheitsbeschlusses in die USA übertragen werden. Auch stellte der EuGH dabei klar, dass ein bloßes Vereinbaren von Standardvertragsklauseln ohne tatsächliche und überprüfbare Einhaltung im Einzelfall keine hinreichende Garantie i. S. d.  Art. 46 Abs. 2 lit. c DSGVO biete. Hier bedürfe es zukünftig einer zweistufigen Prüfung, bei der auch das Datenschutzniveau im Drittland zu bewerten sei. Mit dem Urteil erhöhte der EuGH die Anforderungen an den Transfer personenbezogener Daten in andere Drittländer enorm, was zu einer Neuordnung globaler Datenströme führen könnte.⁵¹

Der Beschluss des VG Wiesbaden ist nicht nur auf Zuspruch gestoßen. Diskutiert wurde zunächst die Frage, inwieweit die DSGVO auf den zu beurteilenden Vorgang überhaupt anwendbar ist.⁵² So wird vertreten, dass die Weitergabe der IP-Adresse an ein Cloud-Hosting-Unternehmen Teil einer TK-Dienstleistung sein könnte, deren Zulässigkeit sich auf Grund der Bereichsausnahme für die ePrivacy-RL in Art. 95 DSGVO nach dem TTDSG zu richten hätte.⁵³

Besonders kritisch betrachtet wird der Umstand, dass das VG Wiesbaden von einer Daten-Übermittlung iSd Art. 44 ff. DSGVO in die USA ausgegangen ist. Das Gericht nimmt an, dass ein gem. Art. 48 DSGVO unzulässiger Drittlandstransfer in die USA vorliege, weil sich dort die Unternehmenszentrale des Cloud-Hosting-Dienstleisters befinde und dieser dem US-amerikanischen Cloud-Act unterliege. Dies gehe jedoch über die Auffassung des EuGH im Schrems-II-Urteil hinaus, der die Übermittlung an ein Drittland nicht auf Grund des möglichen Zugriffs durch dessen Behörden, sondern unabhängig davon als Gegenstand der DSGVO betrachtet hatte.⁵⁴

Nicht befasst hat sich das VG mit der Frage, ob ein Drittstaatentransfer durch die Standarddatenschutzklauseln gem. Art. 46 Abs. 2 lit. c DSGVO erlaubt sein könnte. Zu erörtern gewesen wäre dies insbesondere für die neuen Standarddatenschutzklauseln des Durchführungsbeschluss [EU] 2021/914 vom 4.6.2021.⁵⁵ Danach kommt es neben den nationalen Rechtsvorschriften im Drittstaat auch darauf an, wie die praktischen Erfahrungen mit der Anwendung dieser Vorschriften sind. Da die US-Behörden bereits bekundet hat, kein Interesse an den IP-Adressen von Webseitennutzern aus der EU zu haben, soll dies für ein geringes Risiko sprechen.⁵⁶ Ferner wird vertreten, dass die Anwendung des US-Cloud-Act weniger eindeutig sei als vom VG Wiesbaden angenommen, da nicht sicher sei, dass US-Behörden auf Daten zugreifen dürften, die unter der Kontrolle von EU-Unternehmenseinheiten stehen.⁵⁷

Trotz möglicherweise berechtigter Kritik an dem Urteil des VG Wiesbaden steht der Einsatz von Dienstleistern mit Verarbeitungsvorgängen in den USA unverändert im Lichte der Schrems II-Rechtsprechung des EuGH, so dass auch künftig nicht von einem Kurswechsel der Gerichte auszugehen sein dürfte.

Im Ergebnis hat die Entscheidung des VG Wiesbaden gezeigt, dass aktuell kein Anlass für Webseitenbetreiber besteht, sich beim Einsatz von Consent-Management- Dienstleistern mit Verarbeitungsvorgängen im Ausland, insbesondere in den USA, in Sicherheit zu wiegen. Beim Einsatz von entsprechenden Diensten ist Vorsicht geboten und ein prüfender Blick dahingehend, wo Verarbeitungsprozesse vorliegen und welche Art von Daten davon betroffen sind, daher zwingend. Dies gilt sowohl für Anbieter mit Sitz außerhalb der Europäischen Union als auch beim Einsatz von Hosting- oder Cloud-Dienstleistern in Drittstaaten als Unterauftragnehmer des Anbieters.⁵⁸ Eine Entscheidung mit vergleichbarer Konstellation hat kürzlich das LG München I gefällt.⁵⁹ Hierbei wurde die Einbindung des Dienstes Google „Fonts“ für unzulässig erklärt, weil auch hierdurch die vollständigen IP-Adressen der Webseitenbesucher an Google offengelegt werden.

Für die Praxis verschärft die jüngere Entwicklung in der Rechtsprechung trotz aller berechtigter Kritik die erhebliche Rechtsunsicherheit, die derzeit beim Einsatz von Dienstleistern mit Verarbeitungsvorgängen insbesondere in den USA besteht. Betroffen sind davon unzählige gängige Online-Angebote. Seitenbetreiber als Verantwortliche i.S.d. der DSGVO sind daher erheblichen rechtlichen Risiken ausgesetzt, auch wenn für sie oft kaum Einflussmöglichkeiten bestehen.⁶⁰ Die Risiken, die Webdienste mit Drittlanddatentransfer mit sich bringen, wollen daher gut abgewogen sein.