Datenschutz-Nachrichten

Vorsicht: Gericht untersagt Cookiebot-Nutzung!

Vorsicht: Gericht untersagt Cookiebot-Nutzung!

Von Timo Schutt 17. Dezember 2021

Cookiebot ist eigentlich ein sinnvolles Tool

Vorsicht bei der Nutzung des beliebten Plugins Cookiebot! Das Plugin ist ja eigentlich zur Erfüllung von Datenschutzanforderungen gedacht. Denn es ermöglicht die Einblendung eines Cookie-Banners (besser: Einwilligungs-Banner). Ein solches Banner braucht fast jede Webseite. Der Grund:  Alle nicht technisch notwendigen Cookies brauchen eine Einwilligung des Users. Das ist jetzt auch in dem seit dem 01.12.2021 geltenden TTDSG und hier dem § 25 TTDSG ausdrücklich geregelt. Und Cookiebot ermöglicht es auch, die eingesetzten Cookies zu überwachen und solche Cookies zu blockieren, für die eine Zustimmung nicht erteilt wurde. Alles in allem also eine gute und wichtige Sache.

Sie fragen sich jetzt sicher: Und warum ist die Nutzung von Cookiebot ein Problem?

Gericht verbietet Nutzung von Cookiebot

Das Verwaltungsgericht (VG) Wiesbaden hat in einem Beschluss vom 01.12.2021 der Hochschule RheinMain untersagt, den Dienst „Cookiebot“ auf ihrer Website einzubinden.

Gegenstand des Verfahrens war das Begehren des Antragstellers, es der Hochschule RheinMain zu untersagen, auf ihrer Website „Cookiebot“ einzubinden. Es handelte sich um ein Eilverfahren. Es ging also um den Erlass einer Einstweiligen Anordnung, die in der Regel ohne mündliche Verhandlung ergeht.

Das Gericht hat mit dem, Beschluss dem Antrag stattgegeben und der Hochschule im Wege der einstweiligen Anordnung untersagt, den Dienst Cookiebot auf ihrer Website zum Zweck des Einholens von Einwilligungen in der Weise einzubinden, dass personenbezogene oder -beziehbare Daten des Antragstellers (einschließlich dessen IP-Adresse) an Server übermittelt werden, die von einem externen Unternehmen betrieben werden.

Die Hochschule sei verpflichtet, die Einbindung von Cookiebot auf ihrer Webseite zu beenden, da diese mit der rechtswidrigen Übermittlung personenbezogener Daten der Webseitennutzer und damit insbesondere des Antragstellers einhergehe. Es lägen personenbezogene Daten vor. Aus einer Kombination eines den Webseiten-Besucher identifizierenden Keys, der im Browser des Nutzers gespeichert werde, und der übermittelten vollständigen IP-Adresse sei der Endnutzer eindeutig identifizierbar.

[Quelle: Pressemitteilung des VG Wiesbaden Nr. 17/2021 v. 06.12.2021]

Worin liegt jetzt konkret die rechtliche Problematik?

Problem des US-Datentransfers (Schrems II lässt grüßen)

Das Problem hier ist der so genannte US-Datentransfer, der seit der so genannten Schrems II-Entscheidung des Europäischen Gerichtshofs (EuGH) sehr problematisch ist.

Cookiebot verarbeitet nämlich die vollständige IP-Adresse der Endnutzer. Und das geschieht auf Servern eines Unternehmens, dessen Unternehmenszentrale sich in den USA befindet. Dadurch entsteht ein Drittland-Bezug, nämlich zu den USA. Der wiederum ist im Hinblick auf die Schrems II-Entscheidung des EuGH – zumindest so – unzulässig. Die Nutzer der Webseite der Hochschule wurden jedenfalls nicht um ihre gesonderte Einwilligung für eine Datenübermittlung in die USA gebeten. Die ist aber nach Artikel 49 Absatz 1 Buchstabe a) DSGVO erforderlich (wenn keine andere Rechtsgrundlage für den Drittland-Transfer besteht).

Daneben merkte das Gericht an, dass auch keine Unterrichtung über die mit der Übermittlung verbundenen möglichen Risiken durch den so genannten Cloud-Act stattfindet. Nach diesem US-Gesetz dürfen US-Behörden auch auf Daten von US-Unternehmen zugreifen, die nicht in den USA gespeichert werden. Also können auch in der EU liegende Daten herausverlangt werden. Das ist nach EU-Recht ohne Rechtsschutzmöglichkeit nicht zulässig.

Die durch Cookiebot stattfindenden Datenübermittlungen seien auch nicht für das Betreiben der Webseite der Hochschule erforderlich, so die Richter.

Zwar übermittle nicht die Hochschule selbst die Daten in die USA. Sie sei aber dennoch die für die Datenübermittlung verantwortliche Stelle. Denn sie entscheide durch das Einbinden auf ihrer Webseite darüber, dass die Erhebung und Übermittlung durch Cookiebot erfolge. Und dadurch entscheide sie auch mittelbar über den Zweck der Verarbeitung, da sie in Kenntnis der Zwecke, die der eingebundene Dienst angebe, sich für oder gegen die Verwendung entscheiden könne. Hiergegen spreche auch nicht, dass sie für nachfolgende Vorgänge, wie der Verwendung der Daten durch den Dienst, nicht mehr verantwortlich sei.

Mein Fazit

Das Beispiel zeigt eindrücklich: Wenn Sie ein Plugin, ein Tool, eine Drittanbieter-Anwendung oder ähnliches einsetzen, dann achten Sie darauf, ob damit ein Datentransfer aus der EU bzw. dem EWR (Europäischer Wirtschafstraum) hinaus verbunden ist. Ist das der Fall, dann suchen Sie besser nach einer EU-Alternative. Gibt es keine EU-Alternative, dann setzen Sie sich mit mir in Verbindung. Ich prüfe für Sie, ob und wie der Datentransfer rechtssicher durchführbar ist bzw. erläutere die Risiken und gebe Ihnen eine Empfehlung.

Was solche Plugins für Cookie-Banner angeht: Wenn das Plugin selbst wieder einen Datentransfer durchführt, der problematisch ist, dann lassen Sie die Finger weg. Es gibt einige vernünftige Plugins für solche Banner zur Auswahl, die solche Probleme nicht auslösen. Achten Sie auch hier auf einen EU-Anbieter, falls möglich.

Timo Schutt
Datenschutzbeauftragter & Datenschutzberater
Fachanwalt für IT-Recht