Cookiebot: Gericht untersagt Einsatz des Consent-Managers
Das Verwaltungsgericht Wiesbaden fällte jüngst ein überraschendes Urteil: Die Richtenden untersagten der Hochschule Rhein-Main das Verwenden des Consent-Managers Cookiebot mit der Begründung, deutsche Websites dürften keine US-Cookies setzen. Ein Beschluss, der weitreichende Konsequenzen haben könnte – und genau auf diese blicken wir, nachdem wir Ihnen einen Überblick über die Situation spendiert haben.
Consent-Manager Cookiebot – worum geht’s?
Spätestens seit Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) sind Cookies ein heiß diskutiertes Thema – mit Beiträgen wie „Cookies & Co.: Tracking Ihrer Seitenbesucher“ oder „Zukunft der Cookies: Tracking im Wandel“ haben auch wir in den letzten Jahren dazu beitragen können, die aktuellen Diskussionen verständlich aufzubereiten. Mit dem im Dezember in Kraft getretenen Regelungen im neuen TTDSG konnte die Gesetzgebenden zu diesem leidigen Thema endlich Klarheit schaffen.
Um den Anforderungen aus den Datenschutzgesetzen Rechnung zu tragen, nutzen viele Website-Betreibende sogenannte Consent-Manager: Tools, mit denen sich Banner zur Cookie-Einwilligung erstellen lassen, also Einwilligungsmanagement-Werkzeuge. Einer dieser Consent-Manager ist Cookiebot. Hinter diesem Cookiebanner steckt der dänische Anbieter CYBOT A/S.
Cookiebot macht es Website-Betreibenden recht einfach: Das Tool scannt die Website auf bestehende Cookies und Besuchende werden in festzulegenden Intervallen gefragt, welche Cookies sie erlauben und welche blockiert werden sollen. Cookiebot geht dabei auf regionale Anforderungen ein: Für Besuchende aus der EU/ dem EWR werden Vorgaben der DSGVO umgesetzt, für Besuchende aus anderen Regionen wahlweise entsprechende Gesetzesvorgaben.
Im Eilverfahren: Worum drehte sich der Gerichtsentscheid?
Die antragstellende Partei – ein regelmäßiger Besucher der Internetseite der Hochschule Rhein-Main, der sich dort nach Fachliteratur erkundigt – stellte bei einem Besuch der Hochschul-Seite fest, dass für den Cookiebanner Cookiebot eingesetzt wurde. Eine technische Untersuchung im verwendeten Browser zeigte dem Antragsteller, dass offenbar seine IP-Adresse durch Cookiebot an „consent.cookiebot.com“ gesendet wurde – und weiter auf Server des Cloud-Hosters Akamai Technologies Inc. mit Sitz in den USA. Cookiebot-Entwickler Cybot nutzt also das CDN (Content Delivery Network – ein Server-Verbund, der den Datenzugriff beschleunigt und dadurch Serverüberlastungen verhindern kann) von Akamai. Problematisch ist hierbei das US-Gesetz Cloud Act, bei dem für US-Behörden sehr breitgefächerte Abfragemöglichkeiten existieren – selbst dann, wenn sich der betroffene Server innerhalb der EU befände.
Vergeblich soll der Website-Besucher die Hochschule aufgefordert haben, den Cookiebanner von Cookiebot von der Internetpräsenz zu entfernen. Es folgte ein Unterlassungsantrag, dem mit einem Eilverfahren vor dem Verwaltungsgericht Wiesbaden am 01.12.2021 stattgegeben wurde. Die Folge: Die Hochschule Rhein-Main darf Cookiebot auf ihrer Präsenz www.hs-rm.de nicht länger einbinden.
Die Richter:innen begründeten ihr Urteil damit, dass sich die Akamai-Zentrale im US-Bundesstaat Massachusetts befände, was zur Folge habe, dass Cookiebot gemäß DSGVO unzulässig Daten in Drittstaaten übermittle. Der Cloud-Act, der Dienstanbietende aus den USA verpflichte, „sämtliche in ihrem Besitz, Gewahrsam oder ihrer Kontrolle“ befindlichen Daten offenzulegen, gelte auch für Akamai – gänzlich unabhängig vom Speicherort jener Daten.
Es geht also um den Datentransfer in die USA; diese gelten seit dem vielbeachteten „Schrems II“-Urteil als unsicheres Drittland, da kein Angemessenheitsbeschluss gem. Art. 45 DSGVO vorliegt. Datenübermittlungen können auf Garantien gem. Art. 46 DSGVO fußen; hier sind die Standardvertragsklauseln zu nennen, bei deren Verwendung jedoch geprüft werden muss, ob im Drittland ein vergleichbares Datenschutzniveau besteht oder ob weitere Maßnahmen notwendig werden (Lesetipp zum Thema: „Drittlandübermittlung: TIA und neue Standardvertragsklauseln“). Dem Gericht fehlte ein Rechtshilfeabkommen nach Art. 48 DSGVO, sodass als Alternative lediglich eine Einwilligung von Nutzenden infrage käme – solche lägen jedoch nicht vor.
Weiter betonte das Gericht, dass die Hochschule aus datenschutzrechtlicher Sicht verantwortliche Stelle im Sinne des Art. 4 Nr. 7 DSGVO sei: Die Hochschule hätte sich für oder gegen Cookiebot auf der hauseigenen Website entscheiden können – und somit auch für oder gegen die Datenverarbeitung zu von Cybot und Akamai definierten Zwecken.
VG Wiesbaden vs. Cookiebot: Ein Urteil mit Folgen
Die vorläufige Entscheidung, die das Verwaltungsgericht Wiesbaden hier getroffen hat, überraschte die Branche – nicht zuletzt deshalb, weil Verwaltungsgerichte die unterste Ebene der Verwaltungsgerichtbarkeit bilden. Es wäre also durchaus denkbar, dass der Rechtsbeistand der Hochschule – oder auch der von Cybot – Rechtsmittel einlegt. Hinzu kommt die Tatsache, dass diese Entscheidung weitreichende Konsequenzen haben könnte: Wird das Urteil möglicherweise auf Captchas von Anbietenden aus Drittländern ausgeweitet? Wie wird künftig mit anderen CDN-Diensten aus Drittländern umgegangen? Sind auch weitere Website-Plugins von dieser Entscheidung betroffen? Werden Einwilligungsmanagement-Tools am Ende einwilligungspflichtig?
Der Cookiebot-Entwickler Cybot selbst erklärt in einem Statement, „die in der einstweiligen Verfügung aufgeworfenen Fragen“ aktiv zu untersuchen und dabei „eng mit Rechtsberatern“ zusammenzuarbeiten. Man möchte „ein fundiertes Verständnis dieses Falles […] entwickeln“. Weiter heißt es: „Wir sind der Auffassung, dass das Urteil auf einer unzutreffenden Darstellung des Sachverhalts beruht. Bisher waren wir formell nicht an dem Verfahren beteiligt, sind ihm nun aber beigetreten.“ Diese Aussage lässt in der Tat vermuten, dass mit dem vorläufigen Urteil noch nicht das letzte Wort gesprochen wurde. So sei Cybot „nun in der Lage, weitere Informationen bereitzustellen und dem Gericht ein detaillierteres und vollständigeres Bild unserer CMP-Lösung und der digitalen Datenschutzlandschaft zu vermitteln.“
Wir stehen also nun, wo die grundsätzliche Cookie-Diskussion ein Ende nimmt, weil ein Rechtsrahmen vorhanden ist, vor einer neuen Grauzone – wieder müssen Gerichte erst Entscheidungen treffen. Was sollen Website-Betreibende tun? Unser Tipp: Setzen Sie eigene Cookie-Banner ein, müssen Sie nicht aktiv werden. Setzen Sie auf Cookiebot, wäre es angeraten, sich über mögliche Alternativen zu informieren. Prüfen Sie auch, wenn Sie Consent-Manager von anderen Anbietenden einsetzen, ob diese nicht ihre Firmenzentrale in Drittländern haben oder Sub-Dienstleistende einsetzen, die womöglich in Drittländern sitzen.