Gericht verbietet die Nutzung des Cookie-Dienstes Cookiebot
Das Verwaltungsgericht in Wiesbaden hat die Nutzung des Cookie-Dienstes Cookiebot auf der Website einer hessischen Hochschule verboten. Wir erklären Ihnen die Hintergründe.
Im Dezember 2021 hat das VG Wiesbaden in einem Eilverfahren der Hochschule RheinMain die Nutzung der Plattform Cookiebot auf ihrer Website untersagt. Der Grund: Die Verwendung des „Cookiebots“ verstoße gegen die Datenschutzgrundverordnung (DSGVO). Bei dem Tool erfolge eine rechtswidrige Übermittlung personenbezogener Daten in die USA. (VG Wiesbaden, Beschluss v. 1.12.2021, Az. 6 L 738/21.WI). Zu diesen Daten gehöre unter anderem die IP-Adresse des Nutzers, die an Servern externer Unternehmen vermittelt werden. Dadurch sei der Nutzer eindeutig identifizierbar, so das Gericht.
Was ist Cookiebot?
Cookiebot ist eine Consent-Management-Plattform des dänischen Software- Anbieters Cybot, welche die Daten von Nutzern auf Servern verarbeitet. Darunter unter anderem die Einwilligung von Cookies. Mit anderen Worten: Cookiebot bittet die Besucher der Website darum, ihre Einwilligung zu geben, Cookies auf deren Endgerät zu speichern (Cookie-Bannern). Die Server dieser Plattform befinden sich allerdings in der USA und genau hier liegt das Problem. Denn diese Übermittlung verstößt seit der US-Privacy-Shield-Entscheidung des EuGH von 2020 gegen das EU-Recht.
Der Cookiebot-Fall: Das war passiert
Ein regelmäßiger Nutzer des Onlinekataloges der Hochschule RheinMain ist der Wiesbadener Rechtsanwalt Jonas Breyer, der schon in anderen gerichtlichen Datenschutzfällen aufgetreten ist. Der Rechtsanwalt nutzt die Online-Plattform der Hochschule RheinMain regelmäßig zu Recherchezwecken. Dabei war ihm Cookiebot aufgefallen. Breyer handelte sofort. Mit Einreichen des Eilverfahrens verlangte er, dass die Hochschule diesen Dienst nicht mehr nutzen darf und hatte Erfolg. Die Hochschule durfte Cookiebot vorerst nicht mehr einsetzen.
Bereits Mitte Dezember legte auch der Software-Anbieter und Cybot nebst der Hochschule RheinMain Beschwerde gegen den Beschluss ein. Aktuell wurde die einstweilige Anordnung vom hessischen Verwaltungsgerichtshof aufgehoben. Die Hauptentscheidung in diesem Fall ist jedoch noch nicht getroffen. Eine so komplexe Frage zur Nutzung von Consent-Management-Plattformen müsse in der Hauptsache geklärt werden, entschied das Gericht.
Zukünftige Entscheidungen im Fall Cookiebot
Wenn Sie auf Ihrer Website auch Cookiebot oder eine andere Plattform nutzen, die unter Umständen Daten in Drittländer speichert, sollten Sie jetzt handeln und nach Alternativen suchen. Zwar ging dieser Fall bis jetzt glimpflich für Cybot aus, jedoch werden mit großer Wahrscheinlichkeit weitere solche Fälle eintreten. Ebenso steht das komplette Urteil des Gerichtes noch aus.
Darüber hinaus könnte dieses Urteil enorme Konsequenzen für viele Websitebetreiber haben. Sollte die komplette Nutzung von Consent-Management-Plattform mit Servern in Drittländern verboten werden, fällt darunter beispielsweise auch der Google Tag Manager. Die Nutzung solcher Dienste ist dann nur noch mit ausdrücklicher Einwilligung der Nutzer möglich. Es wird jedoch schwer, diese Nutzung einzuholen, wenn die Abbildung des Einwilligungs-Banners selbst eine einwilligungsbedürftige Datenverarbeitung ist.