Usercentrics Cookiebot – (jetzt) DSGVO-konform? - datenschutz notizen

Es war schon ein kleiner Paukenschlag, als das Verwaltungsgericht Wiesbaden am 01.12.2021 im Eilverfahren den Einsatz der Consent-Management-Plattform „Cookiebot“ aufgrund datenschutzrechtlicher Aspekte auf der Webseite der Hochschule RheinMain untersagte.

Begründung

Ungekürzte IP-Adressen von Webseitennutzern werden Cookiebot übermittelt und Cookiebot bedient sich weiterer Dienstleister, die ihren Sitz in den USA haben. Somit komme es zur Datenübermittlung in ein Drittland ohne angemessenes Datenschutzniveau, wobei auf Grund des sog. Cloud-Acts ein Zugriff von US-amerikanischen Sicherheitsbehörden auf die Daten nicht ausgeschlossen werden könne.

Zur Vertiefung empfehlen wir unseren Blogbeitrag vom 09.12.2021.

Die Untersagung wurde im Januar 2022 vom Hessischen Verwaltungsgerichtshof (Az.: 10 B 2486/21) aufgehoben. Ursächlich für die Aufhebung war allerdings der formelle Fehler, dass sich die Frage der Vereinbarkeit der Consent-Management-Plattform „Cookiebot“ mit der DSGVO nicht für ein verwaltungsgerichtliches Eilverfahren eignet.

Seitdem ist viel Zeit vergangen, sodass sich ein Blick auf Cookiebot und dessen Rechtskonformität lohnt.

Auftragsverarbeitung

Die Bereitstellung von Cookiebot, zur Einholung von Einwilligungen in das Setzen von nicht-erforderlichen Cookies bzw. das Ausführen nicht-erforderlicher Skripte sowie die Erbringung von Support-Dienstleistungen stellt zweifelsfrei eine Auftragsbearbeitung dar. Einen insoweit erforderlichen Vertrag zur Auftragsbearbeitung hält die Usercentrics A/S (Usercentrics), das Unternehmen, das hinter Cookiebot steht, auf seiner Webseite bereit.

Subdienstleister

Schaut man sich diesen Vertrag an, findet man auf Seite 14 (Annex 2) eine Auflistung der Subdienstleister, derer sich Usercentrics bedient:

Microsoft Ireland Operations Ltd, Dublin (Irland)
BunnyWay, d.o.o. (Slowenien)
Akamai Technologies, Inc. (USA)

Auf die Einbindung der Akamai Technologies, Inc. (Akamai) stützte seinerseits der VG Wiesbaden seine Entscheidung im Eilverfahren. Akamai ist ein CDN-Provider. CDN steht für Content Delivery Network. Darunter ist eine geografisch verteilte Gruppe von Servern zu verstehen, die zusammenarbeiten, um eine schnelle Übertragung von Ressourcen, die zum Laden von Internetinhalten erforderlich sind, zu ermöglichen.

Durch den Aufruf einer Webseite, die Cookiebot nutzt, wurde automatisch eine Verbindung zum CDN-Provider aufgebaut, die IP-Adresse des anfragenden Devices übermittelt, und das Cookie-Banner ausgespielt, sodass es auf der Webseite angezeigt wird.

Auch hier ist Usercentrics aktiv geworden: In Ihrem Blog wird beschrieben, wie Cookiebot zu konfigurieren ist, damit der Datenfluss nicht mehr über den US-amerikanischen CDN-Provider Akamai erfolgt. Hier gibt es verschiedene Möglichkeiten. Die einfachste ist, bei der Verwendung des cookiebot-Skriptes, die Zeile

src=“https://consent.cookiebot.com/uc.js“

in

src=“https://consent.cookiebot.eu/uc.js“

zu ändern. Dann verbleiben, so die Aussage von Usercentrics, die Daten innerhalb der EU.

Ist auch EU drin, wo EU draufsteht?

Geht man über die Whois-Suche, beispielsweise über https://www.whois.com, und gibt dort den Namen „consent.cookiebot.eu“ ein, löst sich dieser zum Namen „prod-consenteu.b-cdn.net“ auf. Weitergehende Informationen sind erst einmal nicht verfügbar. Um diese zu erhalten wird man auf einen Dienstleister in den USA verwiesen.

Klingt erstmal nicht nach EU

Im nächsten Schritt kann man sich den Weg der Datenpakete durch das Internet ansehen. Mit dem Befehl „tracert“ können unter Windows Informationen über den Weg von Datenpaketen im Netzwerk abgerufen werden. Um diesen Weg im Netz zu ermitteln, wird untersucht, über welche Router im Internet die versendeten Pakete letztendlich zum adressierten Host gelangen und wie viele Stationen hierzu passiert werden. Um die Route zum Server prod-consenteu.b-cdn.net zu ermitteln, muss über die Windows-Eingabeaufforderung der Befehl: „tracert prod-consenteu.b-cdn.net“ eingegeben werden. Dieser liefert dann folgendes Ergebnis:

Gibt man nun die IP-Adresse des 11. Hop (138.199.37.229) bei https://www.iplocation.net/ ein, erhält man folgende Information:

Standort des/der Server(s) ist somit Frankfurt/ Main (Deutschland).

Schaut man sich den 11. Hop der Traceroute noch einmal genauer an, fällt einem die ULR bunnyinfra.net auf. Ein Blick in den Annex 2 des Auftragsverarbeitungsvertrages, in dem die Subdienstleister aufgeführt sind, lässt eine Verbindung zur BunnyWay, d.o.o. (Slowenien) vermuten. Die Beschreibung der Dienstleistung der BunnyWay, d.o.o. passt zu dem Ergebnis der Traceroute: Hierbei handelt es sich um den CDN-Provider der Cookiebot-Nutzer, die sich für die Nutzung des EU-CDN-Providers entschieden haben.

Fazit

Usercentrics hat bezüglich eines datenschutzkonformen Einsatzes der Consent-Management-Plattform „Cookiebot“ stark nachgebessert. Der Nutzer der Plattform hat es nunmehr selbst in der Hand, die Argumente, die das VG Wiesbaden für das Nutzungsverbot herangezogen hatte, durch entsprechende Konfiguration zu entkräften. Sofern noch nicht geschehen, sind folgende Maßnahmen zu ergreifen:

Abschluss des Vertrages zur Auftragsverarbeitung mit Usercentrics
Wechsel zur EU-Lösung bzgl. des CDN-Providers

Kleiner Disclaimer: Bei der Prüfung handelt es sich lediglich um eine Momentaufnahme. Die Zuordnung von Domainname zu IP-Adresse kann sich theoretisch jederzeit ändern.

Dr. Sebastian Ertel | 28. April 2023 | Allgemein | Consent-Management-Plattform, Cookiebanner, Cookiebot, Datenübermittlung außerhalb der EU, Drittland, Usercentrics