In einem Eilverfahren hat das Verwaltungsgericht Wiesbaden am 01.12.2021 den Einsatz von Cookiebot untersagt. Bei Cookiebot handelt es sich um eine Consent-Management-Plattform, welche die Einholung von Einwilligungen in das Setzen von Cookies ermöglicht („Cookie-Banner“). Die Plattform wird von dem dänischen Softwareanbieter Cybot bereitgestellt. Die Begründung der einstweiligen Untersagung durch das Verwaltungsgericht findet sich im Volltext hier.
Überraschende Entscheidung
Nach unserer ersten Einschätzung ist der Gerichtsbeschluss überraschend. Folgende Punkte sind zur Einordnung des Beschlusses zu berücksichtigen:
- Der Beschluss ist in einem Eilverfahren getroffen worden, möglicherweise kommt es also im Laufe des Verfahrens noch zu einer anderen Entscheidung.
- Verwaltungsgerichte bilden die unterste Ebene der Verwaltungsgerichtsbarkeit. Gegen ihre Anordnungen sind regelmäßig Rechtsmittel zulässig.
- Grundsätzlich könnte diese Rechtsauffassung sehr weitreichende Konsequenzen haben.
Die folgenden Argumente liegen dem Beschluss – kurz zusammengefasst – zu Grunde:
Im Grundsatz stützt sich das Gericht darauf, dass ungekürzte IP-Adressen von Webseitennutzern an Cookiebot übermittelt werden. Cookiebot bedient sich dabei weiterer Dienstleister, die ihren Sitz in den USA haben. Somit komme es zur Datenübermittlung in ein Drittland ohne angemessenes Datenschutzniveau, wobei auf Grund des sog. Cloud-Acts ein Zugriff von US-amerikanischen Sicherheitsbehörden auf die Daten nicht ausgeschlossen werden könne. Instrumente, die dazu führten, dass das Datenschutzniveau als angemessen betrachtet werden kann, seien nicht unternommen worden. Insbesondere seien keine Standardvertragsklauseln zwischen dem Webseitenbetreiber und dem Anbieter von Cookiebot abgeschlossen worden.
Zudem enthalte der von Cookiebot gesetzte Cookie vermutlich auch ein Pseudonym, welches im Zusammenspiel mit der IP-Adresse zu einer Identifikation des Nutzers führen könne.
Weite Kreise
Folgt man dieser Rechtsansicht, könnte man das Ergebnis auch auf andere Sachverhalte übertragen, z. B. auf:
- Captchas von Anbietern aus Drittländern
- Scriptbibliotheken von Anbietern aus Drittländern
- Externe Schriftarten von Anbietern aus Drittländern
- Google Tag Manager (dieser war ursprünglich auch Gegenstand des Eilverfahrens, da der Einsatz aber rechtzeitig eingestellt wurde, wurde darüber nicht mehr entschieden)
- Content-Delivery-Netzwerke von Anbietern aus Drittländern
Wenn ein Einwilligungs-Banner einwilligungspflichtig ist“
Es bleibt fraglich, ob sich die Rechtsansicht des Verwaltungsgerichts durchsetzt. Sollte dies der Fall sein, könnten die o. g. Dienste ggf. nur noch mit ausdrücklicher Einwilligung des Nutzers eingesetzt werden, die sich auch auf die Übermittlung in ein unsicheres Drittland erstrecken muss (Art. 49 Abs. 1 lit. a DSGVO). Für eine solche Einwilligung bedarf es regelmäßig eines Einwilligungs-Banners, in dessen Text über die Risiken der Datenübermittlung aufgeklärt wird. Wenn jedoch schon die Darstellung des Einwilligungs-Banners selbst eine einwilligungsbedürftige Datenverarbeitung ist (weil US-Dienstleister darin involviert sind), stellt dies ein Problem dar.
Möglicherweise würde sich im vorliegenden Fall die Rechtslage auch anders darstellen, wenn der Anbieter von Cookiebot (Cybot) bereit wäre, die EU-Standardvertragsklauseln mit dem US-Dienstleister abzuschließen und in einem sog. Transfer Impact Assessment (TIA) festgestellt würde, dass das Schutzniveau für die Art der Daten (IP-Adresse, Cookie-Pseudonym) ausreicht. Ggf. wurde ein solcher Vertrag auch schon geschlossen – an dieser Stelle ist der Sachverhalt unklar. Hier besteht im vorliegenden Fall aus unserer Sicht noch eine Menge Spielraum. Dem VG Wiesbaden zufolge spiele es allerdings keine Rolle, ob Cybot mit dem genutzten Dienstleister Standarddatenschutzklauseln abgeschlossen habe, solange diese keine ergänzenden Schutzmaßnahmen gegen unzulässige Datenübermittlungen in die USA enthielten. Darauf, welche Maßnahmen dies sein können, ging das Gericht jedoch nicht weiter ein.
Was nun?
Im Fazit bleibt festzustellen: Möchte man derzeit ganz sicher gehen und einen Datenschutzverstoß – nach Auffassung des VG Wiesbaden – vermeiden, müsste man sich einen anderen Anbieter für das Cookie-Banner suchen (der ohne Datenübermittlung in Drittländer und ohne Einbindung von Dienstleistern mit dortigem Sitz arbeitet).
Das weitere Verfahren darf mit Spannung verfolgt werden. Ob sich die Einschätzung des Gerichts durchsetzt, wird abzuwarten sein.
17. Dezember 2021 @ 13:49
Es ist einfach nur noch lächerlich. Statt technologische Probleme mit echter Technologie zu lösen (keine Popups!) und damit vor allem eine Handvoll Anbieter zu regulieren, reguliert man mit Cookie Bannern jedes noch so kleine Unternehmen in der Tech-Idioten- und Digitalisierungswüste Deutschland.
Diese ganze Datenschutz-Gesetzgebung ist ein einziger Designfehler und scheitert im Ansatz, weil von jedem erwartet wird er solle und müsse sich fortlaufend mit Datenschutzfragen von sich laufend wandelnden Drittanbieterdiensten auseinandersetzen. Das ist eine weltfremde Erwartungshaltung. Es braucht klar verständliche, konkretisierte Standards und (technische) Handlungsanweisungen sowie auch technische Proxy-Lösungen, Open Source, für jeden.
Sorry, liebe Berufs-Datenschützer, ihr macht mit all dem Profit und am Ende erreicht ihr doch keinen durchdringenden Datenschutz-Impact. Zeit neue, smarte und technologische Ansätze zu entwickeln und die Energie mal wieder in die richtige Richtung zu lenken. Es tut mir Leid für euch, ihr werdet doch nur zum Narren gehalten mit alle diesen halbgaren Ansätzen. Die Regulierungswut gegen Mittelständler ist zudem nur weiterer Gegenwind in der Digitalisierung. Die großen Plattformen können ihre Marktanteile weiter ausbauen, während die mittelständischen Unternehmen mit rechtlichen und technologischen Dingen belagert werden, die sich nicht einmal im Ansatz durchdringen.
Neu denken, neu machen!
9. Dezember 2021 @ 13:50
Wenn man sich die nach wie vor eigenwilligen Einwilligungslösungen für Cookies so ansieht, haben wir noch einen sehr weiten Weg vor uns. Die „weiten Kreise“ sollten so weit eigentlich nicht sein, wenn man bei der Entscheidung bzgl. IP-Adressen von Anfang an mitgedacht hat. Haben aber viele nicht. Da wird munter und sorglos eingebunden was das Internet hergibt, dabei ist doch klar, dass Google & Co ihre CDNs nicht „für lau“ zur Verfügung stellen, sondern damit ebenfalls netzübergreifend Daten sammeln – mögliche Behördenzugriffe hin oder her, das kommt dann noch dazu. Munteres Tracking, Fingerprinting und, äh, Supercookie…ing… allerorten.
Und selbst wenn die Daten nicht in Drittländer abgeführt würden, es anonymisiert doch hier schon kaum einer IP-Adressen. Es *geht* auch anders. Es *gibt* Lösungen in der EU, wenn man danach sucht. Die müssen auch nicht irre teuer sein. Und wenn es keine gibt, dann muss man zumindest nicht direkt in die USA oder China schauen. KeyCDN hat seinen Sitz z. B. in der Schweiz.
Es macht mich persönlich mittlerweile echt wütend, wenn man enormen Aufwand betreibt, was ja auch ein Wettbewerbsnachteil ist, um so datenschutzkonform wie möglich zu arbeiten, sich vor jedem neuen Projekt den Kopf zerbricht wie man das sauber löst, und dann so viele andere einfach komplett drauf sch…
„Digital first, Bedenken second“. Jetzt wird bestimmt alles viel besser. Nicht.
9. Dezember 2021 @ 10:03
Ein schönes Beispiel wie Recht (DSGVO) für den Anwender praktisch nicht mehr sicher anwendbar ist. Am Ende bleibt da nur der Tenor, dass alles was an Daten „irgendwie“ in die USA übermittelt wird, „irgendwie“ gefährlich ist, obwohl es „irgendwie“ fast jeder macht. Dann ist das Alles auch noch politisch durchwirkt, „irgendwie“ mit CIA durch irgendwelche „Acts“ der US-Regierung. Es wird Zeit, das da mal endlich Klarheit reinkommt!
10. Dezember 2021 @ 13:59
Es wird Zeit, dass die Datenschutzbehörden geltendes Recht durchsetzen, damit der Wildwuchs an Datenschutzverstößen im Internet endlich mal eingedämmt wird. Solange das Recht nicht durchgesetzt wird, macht sich auf (fast) niemand die Mühe sich an geltendes Recht zu halten.