Update
(Den ursprünglichen Artikel zum VG Wiesbaden bezüglich Cookibot finden Sie unter dem Update „Was ist passiert“)
Der Hessische Verwaltungsgerichtshof (Hessischer VGH, Beschluss vom 17.01.2022 – 10 B 2486/21) hat das Urteil des VG Wiesbaden inzwischen aufgehoben, mit der Begründung, dass das Verfahren zu komplex sei, als das es in einem Eilverfahren entschieden werden könne.
Das bedeutet nicht, dass das Thema insgesamt beendet ist. Vielmehr ist damit nur gesagt, dass das ganze Thema in einem Hauptsacheverfahren geklärt werden muss, welches bereits anhängig ist und auf dessen Entscheidung nun alle geduldig warten.
Cookiebot hat ebenfalls eine Stellungnahme hierzu abgegeben. Darin heißt es:
„Wir untersuchen aktiv die in der einstweiligen Anordnung aufgeworfenen Fragen und arbeiten eng mit Rechtsberatern zusammen. Unsere Priorität ist es, ein fundiertes Verständnis dieses Falles und der nächsten Verfahrensschritte zu entwickeln. Unser oberstes Ziel ist es, sicherzustellen, dass unsere Kundinnen und Kunden unsere Lösung weiterhin mit vollstem Vertrauen nutzen können.“
–>
Das VG Wiesbaden hat in einem Eilverfahren am 01.12.2021 (Az. 6 L 738/21.WI) beschlossen, dass der Einsatz von Cookiebot datenschutzrechtlich unzulässig sein soll.
Was ist passiert?
Ein Webseitenbetreiber hat sich an die neuen Vorgaben gehalten und für die Nutzung von Cookies den Dienst Cookiebot verwendet, um die erforderlichen Einwilligungen einzuholen. Es werden offenbar die ungekürzten IP-Adressen der Webseiten-Besucher an Cookiebot gesendet, die ihren Sitz in den USA haben. Und wie wir seit Schrems II (EuGH Entscheidung) wissen, ist die USA kein sicheres Drittland, weshalb die Übermittlung nur mit Einwilligungen erfolgen darf.
Dies hat offenbar einem Betroffenen nicht gefallen. Er habe festgestellt, dass seine personenbezogenen Daten in unzulässiger Weise an Dritte übermittelt werden würden.
Und so nahm das Ganze seinen Lauf und landete im Eilverfahren vor Gericht.
Warum ist es wichtig, zu erwähnen, dass die Sache im Eilverfahren entschieden wurde?
Das Gericht prüft nicht in der gebotenen Tiefe den Sachverhalt, sondern schaut sich nur die Glaubhaftmachungen der Parteien an und entscheidet dann „vorläufig“.
Was hat das VG Wiesbaden entschieden?
Das Gericht bemängelt, dass eine ungekürzte IP-Adresse des Webseiten-Nutzers an Cookiebot übermittelt werde. Insgesamt würden folgende personenbezogenen Daten verarbeitet:
- IP Adresse der Endnutzer,
- die URLs der besuchten Websites mit Zeitstempeln mit zugehöriger IP-Adresse,
- der geografische Standort basierend auf der IP-Adresse sowie Telemetriedaten.
Was bedeutet das?
Die Übermittlung in Drittländer ist nur dann zulässig, wenn von den jeweiligen Nutzern Einwilligungen vorliegen würden, Standardvertragsklauseln abgeschlossen worden sind und eine Transfer Impact Assessment Dokumentation angelegt werden würde, aus der hervor geht, dass das Schutzniveau für die Art der Daten ausreicht.
Mit anderen Worten: Das Gericht vertritt die Ansicht, dass für die Nutzung des Einwilligungs-Banners eine Einwilligung des Nutzers eingeholt werden müsse. Also bedarf es einer Einwilligung zur Einholung der Einwilligung.
Ergebnis
Der Webseitenbetreiber sollte sich, um ganz sicher zu gehen, einen anderen Anbieter für die Cookie-Banner suchen. Die Nutzung von Cookiebot ist derzeit, jedenfalls nach einer eiligen Auffassung des VG Wiesbaden, unzulässig.
