[Update 20.04.2022] Der Verwaltungsgerichtshof Hessen, hat die erstinstanzliche Entscheidung des VG Wiesbaden in Sachen Cookiebot wieder aufgehoben. Der Hochschule Rhein-Main wurde im Eilverfahren der Einsatz von Cookiebot auf deren Website untersagt. Ein Eilverfahren ist ein einstweiliger Rechtsschutz, um in besonderen Situationen schnell Klarheit für Betroffene zu schaffen. Der Verwaltungsgerichtshof Hessen hob die Entscheidung des VG Wiesbaden aus formellen Gründen auf, da die Frage nach der Datenschutzkonformität von Cookiebot nicht für ein Eilverfahren geeignet ist. Darüber entschieden werden soll im Hauptsacheverfahren.
Der Einsatz von Cookiebot ist untersagt - das hat das Verwaltungsgericht Wiesbaden in einem Eilverfahren beschlossen. Bei Cookiebot handelt es sich um eine Consent Management Plattform, die prinzipiell auf jeder Plattform eingesetzt werden kann. Der Cloud-basierte Anbieter macht es möglich, Cookie-Einwilligungen einzuholen. Was das Urteil im Cookiebot Fall bedeutet und wie es dazu kommen konnte, erfahren Sie hier.
Das „cookiebot“-Urteil und seine Auswirkungen
Das sogenannte „cookiebot“-Urteil sorgt derzeit bei vielen Unternehmen für Aufregung. Im Urteil untersagt das VG Wiesbaden im Eilverfahren die weitere Nutzung des Dienstes Cookiebot, welchen eine Hochschule in Wiesbaden für das Einholen von Cookie-Einwilligungen nutzte. Aber worum ging es in diesem Fall genau? Im Laufe des Verfahrens wurden mehrere datenschutzrechtliche Aspekte thematisiert.
Einerseits die Verantwortlichkeiten der Parteien, die Art und Weise, in der IP-Adressen von Webseitenbesuchern weitergegeben wurden (anonym und nicht anonym) oder auch der google tag manager, welcher ebenfalls umfangreiche Datenverarbeitungen ermöglicht, aber nach kurzer Zeit abgeschaltet und damit in dem Prozess nicht mehr näher betrachtet wurde.
Letztendlich aber drehte sich alles um den Drittlandtransfer:
Der Anbieter des Dienstes „Cybot“ nutzt für die Abfrage des Einwilligungsskripts Server des Anbieters „akamai“ – einem Unternehmen mit zumindest verbundinternen Beziehungen in die USA. Das Skript läuft über die Domain consent.cookiebot.com von „akamai“. Dabei wird die IP-Adresse des Webseitenbesuchers zuzüglich weiterer technischer Daten der Betroffenen in die USA transferiert.
Entgegen der Auffassung der Hochschule gab sie nicht lediglich anonymisierte IP-Adressen weiter, sondern es wurden die vollständigen IP-Adressen durch „Cybot“ verarbeitet. Dies bestätigte nicht nur der Anbieter selbst – gestützt wurde die Aussage auch durch die hessische Aufsichtsbehörde, nach deren Einschätzung regelmäßig vollständige IP-Adressen (zum Beispiel für den störungsfreien Betrieb der Dienste) protokolliert werden. IP-Adressen stellen ein personenbezogenes Datum dar, sodass die Verarbeitung der vollständigen IP-Adresse jedenfalls datenschutzrelevant ist.
Wer ist verantwortlich?
Wenngleich nicht alle Facetten der Verantwortlichkeit am Ende geklärt wurden, so stand doch zumindest für das Gericht fest, dass die Hochschule bereits durch die Auswahl des Anbieters Cookiebot eine Verantwortlichkeit übernimmt. Obwohl Datenübermittlungen in die USA erst später erfolgen, können Betroffene Ihre Rechte auch gegenüber der Hochschule als Verantwortlichen geltend machen. Webseitenbetreiber müssen solche Drittlandtransfers daher grundsätzlich berücksichtigen und sich zurechnen lassen.
Weitere Kritikpunkte: SCC und Cookie-Key
Zwischen der Hochschule und „Cybot“ wurden keine Standardvertragsklauseln (SCC) abgeschlossen, nur zwischen „Cybot“ und „akamai“. Daher lag keine Rechtsgrundlage für die Drittlandübermittlung der IP-Adressen gem. Art. 44 ff. DSGVO vor. Daneben wurde zusätzlich zu der IP-Adresse auch noch ein sogenannter Cookie-Key übermittelt, der Daten enthielt, die eine Personenbeziehbarkeit des Cookie-Keys begründeten. Gemeinsam mit der IP-Adresse waren auch diese Daten auf eine bestimmte Person zurückführbar. Die Notwendigkeit der Verarbeitung all dieser Daten soll nicht zwingend gegeben sein, sodass es hier schon an der Zulässigkeit scheitern könnte. Ebenso erfolgte gegenüber den Betroffenen kein Hinweis auf diesen Drittlandtransfer, eine Einwilligung wurde nicht eingeholt.
Was können Sie jetzt tun?
Unternehmen sollten Kontakt mit ihren jeweiligen Consent-Management-Dienstleistern aufnehmen, unabhängig davon, ob cookiebot oder ein anderes Tool genutzt wird. Dabei sollten sie fragen, ob auch in ihrer Konstellation ein Drittlandtransfer – ähnlich der hier beschriebenen Konstellation – stattfindet, denn auch für diesen wären sie datenschutzrechtlich verantwortlich. Solche Transfers sind grundsätzlich zu vermeiden. Im Zweifel sollten Sie den Wechsel zu einem Dienstleister ohne einen solchen Transfer in Betracht ziehen.
Zudem müssen Vorgehensweisen wie beim Cookie-Key Verfahren genauer betrachtet und sich am Gebot der Datensparsamkeit und der Zweckbindung orientiert werden. Beachten Sie, dass gegebenenfalls auch diese Daten in Kombination personenbezogen und damit datenschutzrechtlich relevant sein können.
Wenn Sie sich nicht sicher sind, ob Ihr Unternehmen bei dem Thema Cookies datenschutzkonform aufgestellt ist oder ob Sie das Cookiebot-Urteil vielleicht sogar selbst betrifft, können Sie uns gerne jederzeit kontaktieren! Wir finden eine passende Lösung für Ihr Unternehmen und helfen Ihnen, Ihr Datenschutzmanagement einfach und sicher zu gestalten.
Autor: Team datenschutzexperte.de
Artikel veröffentlicht am 16.02.2022
