Symbolbild für Cookiebot

Cookiebot-Urteil: Das müssen Sie jetzt über Cookiebot wissen

Der Einsatz von Cookiebot ist untersagt – das hat das Verwaltungsgericht Wiesbaden in einem Eilverfahren beschlossen. Der Cloud-basierte Anbieter macht es möglich, Cookie-Einwilligungen einzuholen. Was das Urteil im Cookiebot Fall bedeutet und wie es dazu kommen konnte, erfahren Sie hier. 

2022-02-16

Logo

[Update 20.04.2022] Der Verwaltungsgerichtshof Hessen, hat die erstinstanzliche Entscheidung des VG Wiesbaden in Sachen Cookiebot wieder aufgehoben. Der Hochschule Rhein-Main wurde im Eilverfahren der Einsatz von Cookiebot auf deren Website untersagt. Ein Eilverfahren ist ein einstweiliger Rechtsschutz, um in besonderen Situationen schnell Klarheit für Betroffene zu schaffen. Der Verwaltungsgerichtshof Hessen hob die Entscheidung des VG Wiesbaden aus formellen Gründen auf, da die Frage nach der Datenschutzkonformität von Cookiebot nicht für ein Eilverfahren geeignet ist. Darüber entschieden werden soll im Hauptsacheverfahren. 

Der Einsatz von Cookiebot ist untersagt - das hat das Verwaltungsgericht Wiesbaden in einem Eilverfahren beschlossen. Bei Cookiebot handelt es sich um eine Consent Management Plattform, die prinzipiell auf jeder Plattform eingesetzt werden kann. Der Cloud-basierte Anbieter macht es möglich, Cookie-Einwilligungen einzuholen. Was das Urteil im Cookiebot Fall bedeutet und wie es dazu kommen konnte, erfahren Sie hier. 

Das „cookiebot“-Urteil und seine Auswirkungen

Das sogenannte „cookiebot“-Urteil sorgt derzeit bei vielen Unternehmen für Aufregung. Im Urteil untersagt das VG Wiesbaden im Eilverfahren die weitere Nutzung des Dienstes Cookiebot, welchen eine Hochschule in Wiesbaden für das Einholen von Cookie-Einwilligungen nutzte. Aber worum ging es in diesem Fall genau? Im Laufe des Verfahrens wurden mehrere datenschutzrechtliche Aspekte thematisiert. 
Einerseits die Verantwortlichkeiten der Parteien, die Art und Weise, in der IP-Adressen von Webseitenbesuchern weitergegeben wurden (anonym und nicht anonym) oder auch der google tag manager, welcher ebenfalls umfangreiche Datenverarbeitungen ermöglicht, aber nach kurzer Zeit abgeschaltet und damit in dem Prozess nicht mehr näher betrachtet wurde. 
Letztendlich aber drehte sich alles um den Drittlandtransfer: 
Der Anbieter des Dienstes „Cybot“ nutzt für die Abfrage des Einwilligungsskripts Server des Anbieters „akamai“ – einem Unternehmen mit zumindest verbundinternen Beziehungen in die USA. Das Skript läuft über die Domain consent.cookiebot.com von „akamai“. Dabei wird die IP-Adresse des Webseitenbesuchers zuzüglich weiterer technischer Daten der Betroffenen in die USA transferiert.
Entgegen der Auffassung der Hochschule gab sie nicht lediglich anonymisierte IP-Adressen weiter, sondern es wurden die vollständigen IP-Adressen durch „Cybot“ verarbeitet. Dies bestätigte nicht nur der Anbieter selbst – gestützt wurde die Aussage auch durch die hessische Aufsichtsbehörde, nach deren Einschätzung regelmäßig vollständige IP-Adressen (zum Beispiel für den störungsfreien Betrieb der Dienste) protokolliert werden. IP-Adressen stellen ein personenbezogenes Datum dar, sodass die Verarbeitung der vollständigen IP-Adresse jedenfalls datenschutzrelevant ist.

Wer ist verantwortlich?

Wenngleich nicht alle Facetten der Verantwortlichkeit am Ende geklärt wurden, so stand doch zumindest für das Gericht fest, dass die Hochschule bereits durch die Auswahl des Anbieters Cookiebot eine Verantwortlichkeit übernimmt. Obwohl Datenübermittlungen in die USA erst später erfolgen, können Betroffene Ihre Rechte auch gegenüber der Hochschule als Verantwortlichen geltend machen. Webseitenbetreiber müssen solche Drittlandtransfers daher grundsätzlich berücksichtigen und sich zurechnen lassen.

Weitere Kritikpunkte: SCC und Cookie-Key

Zwischen der Hochschule und „Cybot“ wurden keine Standardvertragsklauseln (SCC) abgeschlossen, nur zwischen „Cybot“ und „akamai“. Daher lag keine Rechtsgrundlage für die Drittlandübermittlung der IP-Adressen gem. Art. 44 ff. DSGVO vor. Daneben wurde zusätzlich zu der IP-Adresse auch noch ein sogenannter Cookie-Key übermittelt, der Daten enthielt, die eine Personenbeziehbarkeit des Cookie-Keys begründeten. Gemeinsam mit der IP-Adresse waren auch diese Daten auf eine bestimmte Person zurückführbar. Die Notwendigkeit der Verarbeitung all dieser Daten soll nicht zwingend gegeben sein, sodass es hier schon an der Zulässigkeit scheitern könnte. Ebenso erfolgte gegenüber den Betroffenen kein Hinweis auf diesen Drittlandtransfer, eine Einwilligung wurde nicht eingeholt.

Was können Sie jetzt tun?

Unternehmen sollten Kontakt mit ihren jeweiligen Consent-Management-Dienstleistern aufnehmen, unabhängig davon, ob cookiebot oder ein anderes Tool genutzt wird. Dabei sollten sie fragen, ob auch in ihrer Konstellation ein Drittlandtransfer – ähnlich der hier beschriebenen Konstellation – stattfindet, denn auch für diesen wären sie datenschutzrechtlich verantwortlich. Solche Transfers sind grundsätzlich zu vermeiden. Im Zweifel sollten Sie den Wechsel zu einem Dienstleister ohne einen solchen Transfer in Betracht ziehen.
Zudem müssen Vorgehensweisen wie beim Cookie-Key Verfahren genauer betrachtet und sich am Gebot der Datensparsamkeit und der Zweckbindung orientiert werden. Beachten Sie, dass gegebenenfalls auch diese Daten in Kombination personenbezogen und damit datenschutzrechtlich relevant sein können.


Wenn Sie sich nicht sicher sind, ob Ihr Unternehmen bei dem Thema Cookies datenschutzkonform aufgestellt ist oder ob Sie das Cookiebot-Urteil vielleicht sogar selbst betrifft, können Sie uns gerne jederzeit kontaktieren! Wir finden eine passende Lösung für Ihr Unternehmen und helfen Ihnen, Ihr Datenschutzmanagement einfach und sicher zu gestalten.
 

 

Autor: Team datenschutzexperte.de
Artikel veröffentlicht am 16.02.2022

Bitte beachten Sie: Allgemeine Beiträge können eine datenschutzrechtliche Beratung im Einzelfall nicht ersetzen. Für die Richtigkeit und Vollständigkeit unsere Blogbeiträge können wir keine Gewähr übernehmen. Inhalte beziehen sich immer auf die Rechts- und Faktenlage zum Zeitpunkt der Veröffentlichung und sind deshalb zum Zeitpunkt des Aufrufs möglicherweise nicht mehr aktuell.

In den von uns erstellten Artikeln, Leitfäden, Checklisten, Whitepaper und anderen Beiträgen wird aus Gründen der besseren Lesbarkeit das generische Maskulinum verwendet. Wir möchten betonen, dass sowohl weibliche als auch anderweitige Geschlechteridentitäten dabei ausdrücklich mitgemeint sind, soweit es für die Aussage erforderlich ist.

Portraits unserer Datenschschutzexperten Dominik Fünkner, Dorothea Teichman, Nathalie Dold und Hauke Gerdey
Portraits unserer Datenschschutzexperten Dominik Fünkner, Dorothea Teichman, Nathalie Dold und Hauke Gerdey

Wir managen Ihren Datenschutz

Unsere zertifizierten Datenschutzbeauftragten helfen Ihnen, Datenschutzvorgaben sicher und pragmatisch umzusetzen. Profitieren Sie von unserem Knowhow aus über 2000 Kundenprojekten in über 50 Branchen.

Aktuelle Beiträge zum Thema Datenschutz

Wir freuen uns auf Ihre Anfrage!

Telefon:

+49 89 / 250 039 220

Öffnungszeiten:

Mo. - Fr.: 09:00 - 18:00 Uhr