Das Verwaltungsgericht Wiesbaden f\u00e4llte j\u00fcngst ein \u00fcberraschendes Urteil: Die Richtenden untersagten der Hochschule Rhein-Main das Verwenden des Consent-Managers Cookiebot mit der Begr\u00fcndung, deutsche Websites d\u00fcrften keine US-Cookies setzen. Ein Beschluss, der weitreichende Konsequenzen haben k\u00f6nnte \u2013 und genau auf diese blicken wir, nachdem wir Ihnen einen \u00dcberblick \u00fcber die Situation spendiert haben.<\/p>\n
Sp\u00e4testens seit Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) sind Cookies ein hei\u00df diskutiertes Thema \u2013 mit Beitr\u00e4gen wie \u201eCookies & Co.: Tracking Ihrer Seitenbesucher\u201c<\/a> oder \u201eZukunft der Cookies: Tracking im Wandel\u201c<\/a> haben auch wir in den letzten Jahren dazu beitragen k\u00f6nnen, die aktuellen Diskussionen verst\u00e4ndlich aufzubereiten. Mit dem im Dezember in Kraft getretenen Regelungen im neuen TTDSG<\/a> konnte die Gesetzgebenden zu diesem leidigen Thema endlich Klarheit schaffen.<\/p>\n Um den Anforderungen aus den Datenschutzgesetzen Rechnung zu tragen, nutzen viele Website-Betreibende sogenannte Consent-Manager: Tools, mit denen sich Banner zur Cookie-Einwilligung erstellen lassen, also Einwilligungsmanagement-Werkzeuge. Einer dieser Consent-Manager ist Cookiebot. Hinter diesem Cookiebanner steckt der d\u00e4nische Anbieter CYBOT A\/S<\/a>.<\/p>\n Cookiebot macht es Website-Betreibenden recht einfach: Das Tool scannt die Website auf bestehende Cookies und Besuchende werden in festzulegenden Intervallen gefragt, welche Cookies sie erlauben und welche blockiert werden sollen. Cookiebot geht dabei auf regionale Anforderungen ein: F\u00fcr Besuchende aus der EU\/ dem EWR werden Vorgaben der DSGVO umgesetzt, f\u00fcr Besuchende aus anderen Regionen wahlweise entsprechende Gesetzesvorgaben.<\/p>\n Die antragstellende Partei \u2013 ein regelm\u00e4\u00dfiger Besucher der Internetseite der Hochschule Rhein-Main, der sich dort nach Fachliteratur erkundigt \u2013 stellte bei einem Besuch der Hochschul-Seite fest, dass f\u00fcr den Cookiebanner Cookiebot eingesetzt wurde. Eine technische Untersuchung im verwendeten Browser zeigte dem Antragsteller, dass offenbar seine IP-Adresse durch Cookiebot an \u201econsent.cookiebot.com\u201c gesendet wurde \u2013 und weiter auf Server des Cloud-Hosters Akamai Technologies Inc. mit Sitz in den USA. Cookiebot-Entwickler Cybot nutzt also das CDN (Content Delivery Network \u2013 ein Server-Verbund, der den Datenzugriff beschleunigt und dadurch Server\u00fcberlastungen verhindern kann) von Akamai. Problematisch ist hierbei das US-Gesetz Cloud Act, bei dem f\u00fcr US-Beh\u00f6rden sehr breitgef\u00e4cherte Abfragem\u00f6glichkeiten existieren \u2013 selbst dann, wenn sich der betroffene Server innerhalb der EU bef\u00e4nde.<\/p>\n Vergeblich soll der Website-Besucher die Hochschule aufgefordert haben, den Cookiebanner von Cookiebot von der Internetpr\u00e4senz zu entfernen. Es folgte ein Unterlassungsantrag, dem mit einem Eilverfahren vor dem Verwaltungsgericht Wiesbaden am 01.12.2021 stattgegeben wurde<\/a>. Die Folge: Die Hochschule Rhein-Main darf Cookiebot auf ihrer Pr\u00e4senz www.hs-rm.de<\/a> nicht l\u00e4nger einbinden.<\/p>\n Die Richter:innen begr\u00fcndeten ihr Urteil damit, dass sich die Akamai-Zentrale im US-Bundesstaat Massachusetts bef\u00e4nde, was zur Folge habe, dass Cookiebot gem\u00e4\u00df DSGVO unzul\u00e4ssig Daten in Drittstaaten \u00fcbermittle. Der Cloud-Act, der Dienstanbietende aus den USA verpflichte, \u201es\u00e4mtliche in ihrem Besitz, Gewahrsam oder ihrer Kontrolle\u201c befindlichen Daten offenzulegen, gelte auch f\u00fcr Akamai \u2013 g\u00e4nzlich unabh\u00e4ngig vom Speicherort jener Daten.<\/p>\n Es geht also um den Datentransfer in die USA; diese gelten seit dem vielbeachteten \u201eSchrems II\u201c-Urteil als unsicheres Drittland, da kein Angemessenheitsbeschluss gem. Art. 45 DSGVO vorliegt. Daten\u00fcbermittlungen k\u00f6nnen auf Garantien gem. Art. 46 DSGVO fu\u00dfen; hier sind die Standardvertragsklauseln zu nennen, bei deren Verwendung jedoch gepr\u00fcft werden muss, ob im Drittland ein vergleichbares Datenschutzniveau besteht oder ob weitere Ma\u00dfnahmen notwendig werden (Lesetipp zum Thema: \u201eDrittland\u00fcbermittlung: TIA und neue Standardvertragsklauseln\u201c<\/a>). Dem Gericht fehlte ein Rechtshilfeabkommen nach Art. 48 DSGVO, sodass als Alternative lediglich eine Einwilligung von Nutzenden infrage k\u00e4me \u2013 solche l\u00e4gen jedoch nicht vor.<\/p>\n Weiter betonte das Gericht, dass die Hochschule aus datenschutzrechtlicher Sicht verantwortliche Stelle im Sinne des Art. 4 Nr. 7 DSGVO sei: Die Hochschule h\u00e4tte sich f\u00fcr oder gegen Cookiebot auf der hauseigenen Website entscheiden k\u00f6nnen \u2013 und somit auch f\u00fcr oder gegen die Datenverarbeitung zu von Cybot und Akamai definierten Zwecken.<\/p>\n Die vorl\u00e4ufige Entscheidung, die das Verwaltungsgericht Wiesbaden hier getroffen hat, \u00fcberraschte die Branche \u2013 nicht zuletzt deshalb, weil Verwaltungsgerichte die unterste Ebene der Verwaltungsgerichtbarkeit bilden. Es w\u00e4re also durchaus denkbar, dass der Rechtsbeistand der Hochschule – oder auch der von Cybot – Rechtsmittel einlegt. Hinzu kommt die Tatsache, dass diese Entscheidung weitreichende Konsequenzen haben k\u00f6nnte: Wird das Urteil m\u00f6glicherweise auf Captchas von Anbietenden aus Drittl\u00e4ndern ausgeweitet? Wie wird k\u00fcnftig mit anderen CDN-Diensten aus Drittl\u00e4ndern umgegangen? Sind auch weitere Website-Plugins von dieser Entscheidung betroffen? Werden Einwilligungsmanagement-Tools am Ende einwilligungspflichtig?<\/p>\nIm Eilverfahren: Worum drehte sich der Gerichtsentscheid?<\/h3>\n
VG Wiesbaden vs. Cookiebot: Ein Urteil mit Folgen<\/h3>\n