Website-Compliance

Gerichtsbeschluss verbietet Einbindung von Consent-Tool Cookiebot

13. Dezember 2021

Inhalt der Seite

    Verwaltungsgericht untersagt Nutzung von Cookiebot

    Personenbezogene Daten deutscher Internetnutzer dürfen nicht ohne ausdrückliche Einwilligung in Länder mit geringeren Datenschutzstandards übermittelt werden – das gilt auch für die Einbindung von Cookie Bannern (Consent Mangement). Der wegweisende Gerichtsbeschluss ist nicht nur für die betroffene Consent-Management-Plattform Cookiebot ein schwerer Schlag.

    Begründet wurde das mit dem Einsatz des Content-Delivery-Networks Akamai (also einem amerikanischen Dienstleister des in Dänemark ansässigen Hersteller Cybot), mit dem Inhalte der Website weltweit effizienter bereitgestellt werden können.

    Der Neubewertung liegt ein Einverfahrens-Beschluss des Verwaltungsgerichts Wiesbaden vom 01.12.2021 (Az.: 6 L 738/21.WI) zugrunde. Ein Nutzer, der die Internetseite der Hochschule RheinMain nutzte, hatte die Einbindung der Consent Management Plattform „Cookiebot“ auf dieser Seite bemängelt und einen Unterlassungsantrag gestellt.

    Er sah darin einen Verstoß gegen deutsches Datenschutzrecht, weil Nutzerdaten – in diesem Fall die vollständige IP-Adresse – an Server des in den USA tätigen Anbieter-Mutterkonzerns des von Cookiebot genutzten Dienstleisters übermittelt würden. Die USA gelten als Drittland außerhalb der EU mit einem geringeren Datenschutzniveau als der DSGVO.

    Einbindung der Consent Management Plattform untersagt

    Das Verwaltungsgericht sah diesen Sachverhalt ebenso und untersagte der Hochschule den Einsatz von Consent-Management-Plattformen, die mit der rechtswidrigen Übermittlung personenbezogener Daten der Webseitennutzer und damit insbesondere des Antragstellers einhergehen.

    Aus einer Kombination eines den Webseiten-Besucher identifizierenden Keys, der im Browser des Nutzers gespeichert werde, und der übermittelten vollständigen IP-Adresse sei der Endnutzer eindeutig identifizierbar. Die Übermittlung personenbezogener Daten in ein Drittland ist jedoch nach der sogenannten Schrems-II-Entscheidung des Europäischen Gerichtshofes nur nach ausdrücklicher Zustimmung des Nutzers zulässig.

    Die Nutzer der Website werden jedoch im Cookie-Tool weder auf die Datenübermittlung in die USA und die damit verbundenen Risiken („Cloud Act“) hingewiesen noch um ihre Einwilligung dazu gebeten. Es liegt also ein Verstoß gegen Art. 48 DSGVO vor. Zudem ist die Datenübermittlung in ein Drittland nach Überzeugung des Gerichts für den Betrieb der Hochschulwebseite nicht notwendig.

    Auch wenn die Hochschule die Daten nicht selbst übermittelt, ist sie laut Beschluss durch den Einsatz des gewählten Tools für deren Übermittlung in ein Drittland mit geringerem Datenschutzniveau verantwortlich – wenn auch nicht für die Weiterverwendung der Daten durch den Dienst. Das Gericht erließ daher eine einstweilige Verfügung an die Hochschule, den Dienst nicht weiter auf ihrer Webseite zu verwenden. Hiergegen kann die Hochschule bis zum 15. Dezember 2021 Beschwerde vor dem Verwaltungsgerichtshof in Kassel erheben.

    Insights from the outside: Welche Daten sammelt Ihre Website?

    Nutzen Sie den # 1 Cookie-Scanner der COOKIEBOX GmbH für ein kostenlosen Website-Check Ihrer Domain! In 1 Minute erhalten Sie einen detallierten Datenschutz-Risikobericht – und sehen auf einem Blick, welche Cookies, Pixel, Tags, Third-Party-Services auf Ihrer Website im Einsatz sind.

    Cookie Einstellungen
    Cookiebox Website Check 2

    Auswirkungen des Beschlusses

    Auch wenn der Ausgang des Hauptverfahrens noch aussteht, ist davon auszugehen, dass weitere Klagen gegen Website-Betreiber folgen werden, die die Weitergabe persoenbezogener (bzw. personenbeziehbarer) Daten nicht unterbindet respektive die Einwilligung hierzu gemäß DSGVO und TTDSG einholt.

    • hilfe

      Wie können wir Ihnen helfen?

    Wir helfen Ihnen bei Fragen zu unseren Produkten oder zum Thema Datenschutz gerne weiter:

    joerg-ter-beek-datenschutzexperte-mitauszeichnung-in-berlin

    Fazit

    Was Sie nun bei der Benutzung von Consent-Tools beachten sollten

    Betreiber deutscher Webseiten sollten also die Zusammenarbeit mit in Drittländern angesiedelten Consent-Management-Plattformen, insbesondere den USA, sofort einstellen und durch rein in der EU tätige Anbieter ersetzen – selbst wenn die betreffenden Server in der EU stehen oder wie in diesem Fall mit Werbeaussagen wie „DSGVO-konform“ beworben werden.

    Mit Anbietern von Consent-Tools wie auch mit anderen Content-Delivery-Networks sollten grundsätzlich EU-rechtskonforme Auftragsverarbeitungsverträge abgeschlossen werden.