In einem wegweisenden Urteil hat das Verwaltungsgericht Wiesbaden den Anbieter Cookiebot für illegal erklärt. In dem Verfahren wurde der Hochschule RheinMain untersagt, den Anbieter auf der eigenen Webseite zu verwenden.
Der Hintergrund
Bei dem Verfahren vor dem Verwaltungsgericht Wiesbaden (Az.: 6 L 738/21.WI) ging es im Grunde darum, ob die Hochschule RheinMain auf ihrer Webseite www.hs-rm.de einen DSGVO-konformen Cookie Banner einsetzt oder nicht. Hierbei geht es letztlich insbesondere um die Frage, ob eine Webseite überhaupt DSGVO-konform werden kann, wenn Sie das Tool „Cookiebot“ verwendet.
Die Entscheidung
Die Antwort auf diese Frage hat das Gericht nun verneint: Die Webseite der RheinMain Hochschule darf den Cookie Banner von Cookiebot nicht einsetzen – das Gericht erklärt den Anbieter Cookiebot damit für illegal.
Die Hochschule sei verpflichtet, die Einbindung des Dienstes „Cookiebot“ auf ihrer Webseite zu beenden, da diese mit der rechtswidrigen Übermittlung personenbezogener Daten der Webseitennutzer und damit insbesondere des Antragstellers einhergehe.
Verwaltungsgericht Hessen, VG Wiesbaden
Die Begründung
Als Anbieter von Cookie Bannern, verarbeitet Cookiebot personenbezogene Daten, etwa die IP-Adresse oder Browserinformationen der Besucher. Die Server für diese Datenverarbeitung stehen dabei bei einem Anbieter, dessen Unternehmenszentrale sich in den USA befindet (Cookiebot mietet diese Server). Hierdurch ergibt sich ein Drittland-Bezug, welcher im Hinblick auf das sogenannte Schrems II Urteil des Europäischen Gerichtshofes unzulässig ist. Dadurch werden also Daten an ein Unternehmen gesendet, bei dem der Zugriff durch US-Behörden wie NSA oder FBI nicht ausreichend geschützt ist.
Einfach Formuliert: Durch den Einsatz von Cookiebot könnten US-Behörden auf Daten von Europäischen Nutzern zugreifen. Der Einsatz von Cookiebot ist damit illegal und daher von der Webseite der Hochschule zu entfernen.
Die Folgen
Das Urteil ist wegweisend und betrifft damit auch das Cookiebot WordPress Plugin und indirekt auch weitere Anbieter: In einem ersten kleinen Test haben wir bei allen wichtigen CMPs und Cookie-Banner Anbietern US-Dienste im Einsatz gefunden:
Usercentrics, SourcePoint, OneTrust, Didomi, CookieFirst, Iubenda, CookieHub, CookieYes und andere verwenden ebenfalls Dienste wie Amazon AWS, Google Cloud, Microsoft Azure, Cloudfront, Akamai und andere Dienste von US Unternehmen.
Mit einem Schlag sind daher im Grunde 90% der deutschen und internationalen Webseiten nicht DSGVO-konform und es besteht dringender Handlungsbedarf.
Unsere Empfehlung
Vertrauen Sie daher besser auf consentmanager: Wir setzen (schon immer) auf rein europäische Anbieter ohne Wurzeln in den USA. Alle Daten werden ausschließlich in der EU gehostet – ohne Gefahr für Verbote, Abmahnungen und Bußgelder wegen Schrems-II Verstößen wie es nun bei Cookiebot der Fall ist.
