Aktuelles – Das VG Wiesbaden erklärt den Cookie-Consent-Manger Cookiebot für nicht datenschutzkonform
Entscheidung des VG Wiesbaden zum Thema Cookie-Consent-Management
Das Verwaltungsgericht Wiesbaden (VG Wiesbaden) hat am 01.12.2021 bei einer staatlichen Hochschule (Hochschule RheinMain) in einem Eilverfahren den Einsatz eines bekannten Cookie-Consent-Managers verboten: Das Tool bittet NutzerInnen darum, in die Cookie-Speicherung auf dem jeweiligen Endgerät einzuwilligen. Problematisch dabei ist, dass die Daten der Webseiten-BesucherInnen dadurch auf Server von US-Unternehmen übertragen werden. Betroffen ist der Dienst “Cookiebot”, eine Cookie-Management-Plattform, welche von der Firma Cybot aus Dänemark im Jahr 2012 entwickelt wurde.
Der Unterlassungsantrag wurde dabei von einem Bibliotheksnutzer gestellt, der sich regelmäßig bei der Hochschule nach Fachliteratur erkundigt. Dabei bemängelte er, dass nach der Einwilligung mehrere personenbezogene Daten, wie z.B. seine IP-Adresse, durch die Cookie-Management-Plattform an den Server eines US-amerikanischen Cloud-Unternehmens namens Akamai Technologies übermittelt wurden. Selbst wenn der Server des US-amerikanischen Unternehmens in Europa liegt ergibt sich folgende Problematik: Da US-Unternehmen durch den sog. Cloud-Act dazu verpflichtet sind, alle Daten auf Wunsch von US-amerikanischen Sicherheitsbehörden an diese herauszugeben, liegt ein gravierender Verstoß gegen Vorgaben der DSGVO vor Cookiebot bittet im konkreten Fall die NutzerInnen nicht nach einer Einwilligung für den Transfer von personenbezogenen Daten in die USA, auch zu den einschlägigen Risiken in Zusammenhang mit Drittland-Transfers würden entsprechende Informationen an die NutzerInnen fehlen. Außerdem verarbeitete der Akamai-Server offensichtlich personenbezogene Daten in Klarform. Nach der Schrems-II-Entscheidung ist eine solche Transportverschlüsselung, welche bei der Datenübermittlung in diesem Fall eingesetzt wurde, eine unzureichende Schutzmaßnahme.
Eine Vereinbarung für den Drittlandtransfer (sog. EU-Standarddatenschutzklauseln) zwischen dem Anbieter (Cybot) des Cookie-Consent-Managers “Cookiebot” und dem US-Amerikanischen Cloud-Dienstleisters Akamai Technologies genüge laut dem VG Wiesbaden nicht. Bereits die Verarbeitung von Klardaten mache deutlich, dass die Vorgaben aus dem Schrems II Urteil nicht eingehalten werden.
Diese Entscheidung steigert aktuell die Unsicherheit vieler Unternehmen. Denn sollte der Beschluss weiterhin standhalten, sind sehr viele Webseiten davon betroffen. Viele Webseiten deutscher und europäischer Unternehmen setzen seit jeher zahlreiche Dienste und Tools von Anbietern wie zum Beispiel Google, Facebook und Microsoft ein.
Es ist abwarten, welche Entscheidung auf europäischer Ebene seitens des Europäischen Gerichtshofs (EuGH) getroffen wird. Um auf der sicheren Seite zu sein, wird empfohlen, nur Dienste zu verwenden, welche eine dauerhafte Verschlüsselung der Daten gewährleisten.
Herr Dipl.-Jur. Serkan Taskin hat an der Westfälischen-Wilhelms-Universität (WWU) in Münster Rechtswissenschaften studiert und ist seit seinem Abschluss als externer Datenschutzbeauftragter und Consultant für Datenschutz tätig. Gleichzeitig besitzt Herr Taskin eine Zertifizierung als Datenschutzbeauftragter (TÜV Rheinland). Als externer Datenschutzbeauftragter und Consultant für Datenschutz unterstützt er Unternehmen aus verschiedenen Branchen in der Umsetzung datenschutzrechtlicher Vorgaben. Darüber hinaus ist Herr Taskin als Auditor für Konzerne, kleine und mittelgroße Unternehmen (KMU) sowie Startups tätig. Herr Taskin zeichnet sich durch seine juristische Expertise im Datenschutzrecht aus und konfiguriert die Umsetzung und Einhaltung des Datenschutzes derart, dass auch wirtschaftliche Interessen der Unternehmen dennoch berücksichtigt werden.
