Entdecken Sie den neuen Google Consent Mode v2! Jetzt mehr erfahren »
Recht

Wichtiges Urteil: Anbieter „Cookiebot“ verstößt gegen Datenschutz


UPDATE: Dieser Artikel wurde am 6. Dezember 2021 veröffentlicht. In der Zwischenzeit wurde die gegen Cookiebot ergangene Entscheidung des VG Wiesbaden vom VGH Kassel aufgehoben: Allerdings nicht, weil der Einsatz von Cookiebot nun doch für rechtmäßig erklärt worden sei, sondern aus rein verfahrensrechtlichen Gründen (es habe keine Eilbedürftigkeit für den Erlass einer einstweiligen Anordnung bestanden und das erstinstanzliche Gericht sei nicht zuständig gewesen). Ob gegen Cookiebot mittlerweile Hauptsacheklage eingereicht wurde, ist uns nicht bekannt.


In einer wegweisenden Entscheidung hat das Verwaltungsgericht Wiesbaden festgestellt, dass der Anbieter Cookiebot nicht datenschutzkonform ist. In dem Verfahren wurde der Hochschule RheinMain untersagt, den Anbieter auf der eigenen Webseite zu verwenden.

Bildschirmaufnahme von der Homepage des Verwaltungsgerichts Wiesbaden über das Cookiebot-Urteil

Der Hintergrund

Bei dem Verfahren vor dem Verwaltungsgericht Wiesbaden (Az.: 6 L 738/21.WI) ging es im Grunde darum, ob die Hochschule RheinMain auf ihrer Webseite www.hs-rm.de einen DSGVO-konformen Cookie Banner einsetzt oder nicht. Hierbei geht es letztlich insbesondere um die Frage, ob eine Webseite überhaupt DSGVO-konform sein kann, wenn das Tool „Cookiebot“ eingesetzt wird.

Die Entscheidung

Die Antwort auf diese Frage hat das Gericht nun verneint: Die Webseite der RheinMain Hochschule darf den Cookie Banner von Cookiebot nicht einsetzen – das Gericht erklärt den Anbieter Cookiebot damit für nicht datenschutzkonform.

Die Hochschule sei verpflichtet, die Einbindung des Dienstes „Cookiebot“ auf ihrer Webseite zu beenden, da diese mit der rechtswidrigen Übermittlung personenbezogener Daten der Webseitennutzer und damit insbesondere des Antragstellers einhergehe.

Verwaltungsgericht Hessen, VG Wiesbaden

Die Begründung

Als Anbieter von Cookie Bannern, verarbeitet Cookiebot personenbezogene Daten, etwa die IP-Adresse oder Browserinformationen der Besucher. Die Server für diese Datenverarbeitung stehen dabei bei einem Anbieter, dessen Unternehmenszentrale sich in den USA befindet (Cookiebot mietet diese Server). Hierdurch ergibt sich ein Drittland-Bezug, welcher im Hinblick auf das sogenannte Schrems II Urteil des Europäischen Gerichtshofes unzulässig ist. Dadurch werden also Daten an ein Unternehmen gesendet, bei dem sie vor dem Zugriff durch US-Behörden wie NSA oder FBI nicht ausreichend geschützt sind.

Einfach Formuliert: Durch den Einsatz von Cookiebot und durch die damit verbundene Übertragung der Daten in die USA könnten US-Behörden auf Daten von Europäischen Nutzern zugreifen. Der Einsatz von Cookiebot ist damit nicht rechtmäßig und daher von der Webseite der Hochschule zu entfernen.

Die Folgen

Das Urteil ist wegweisend und betrifft damit auch das Cookiebot WordPress Plugin und indirekt auch weitere Anbieter: In einem ersten kleinen Test haben wir bei allen wichtigen CMPs und Cookie-Banner Anbietern US-Dienste im Einsatz gefunden:

Usercentrics, SourcePoint, OneTrust, Didomi, CookieFirst, Iubenda, CookieHub, CookieYes und andere verwenden ebenfalls Dienste wie Amazon AWS, Google Cloud, Microsoft Azure, Cloudfront, Akamai und andere Dienste von US Unternehmen.

Mit einem Schlag könnten im Grunde 90% der deutschen und internationalen Webseiten nicht DSGVO-konform sein und es besteht dringender Handlungsbedarf.

Unsere Empfehlung

Vertrauen Sie daher besser auf consentmanager: Wir setzen (schon immer) auf rein europäische Anbieter ohne Wurzeln in den USA. Alle Daten werden ausschließlich in der EU gehostet – ohne Gefahr für Verbote, Abmahnungen und Bußgelder wegen Schrems-II Verstößen wie es nun bei Cookiebot der Fall ist.


Weitere Beiträge

Webinar-GCM-v2-with-Google-and-consentmanager
Allgemein, Neues, Videos

Webinar: Google Consent Mode v2 mit Google und consentmanager

Nehmen Sie an unserem exklusiven Webinar teil, das von consentmanager in Zusammenarbeit mit Google am 12. Juni 2024 um 11:00 Uhr CET veranstaltet wird. Aufgrund der hohen Nachfrage nach Informationen zu den neuesten Google-Anforderungen wird dieses Webinar Ihnen helfen, den Google Consent Mode v2 besser zu verstehen. Dennis Gingele von Google und Jan Winkler von […]
Image for the anniversary of the GDPR on 25 May with
Recht

6 Jahre DSGVO: Eine Feier ihrer weitreichenden Wirkung

Wir nähern uns dem sechsten Jahrestag 25.05.2024 der Datenschutz-Grundverordnung (DSGVO), die seit ihrem Inkrafttreten am 25. Mai 2018 die Datenschutzstandards weltweit beeinflusst hat. Die DSGVO hat nicht nur die Sicherheit und Verwaltung personenbezogener Daten grundlegend verändert, sondern auch die Rechte des Einzelnen gestärkt und die Verantwortlichkeiten von Organisationen klarer definiert. Die Datenschutz-Landschaft vor der DSGVO Vor […]

CMP

Ihre Fragen zu CMP & Co.

Wenn Sie sich nicht sicher sind, ob Sie ein CMP brauchen oder nicht, treten Sie gern in Kontakt mit uns – wir werden Ihnen helfen die richtige Lösung für Ihr Unternehmen zu finden.