Cookie-Banner datenschutzrechlich unzulässig? Update zum VG Wiesbaden zum Einsatz von Cookiebot

Update

(Den ursprünglichen Artikel zum VG Wiesbaden bezüglich Cookibot finden Sie unter dem Update „Was ist passiert“)

Der Hessische Verwaltungsgerichtshof (Hessischer VGH, Beschluss vom 17.01.2022 – 10 B 2486/21) hat das Urteil des VG Wiesbaden inzwischen aufgehoben, mit der Begründung, dass das Verfahren zu komplex sei, als das es in einem Eilverfahren entschieden werden könne.

Das bedeutet nicht, dass das Thema insgesamt beendet ist. Vielmehr ist damit nur gesagt, dass das ganze Thema in einem Hauptsacheverfahren geklärt werden muss, welches bereits anhängig ist und auf dessen Entscheidung nun alle geduldig warten.

Cookiebot hat ebenfalls  eine Stellungnahme hierzu abgegeben. Darin heißt es:

„Wir untersuchen aktiv die in der einstweiligen Anordnung aufgeworfenen Fragen und arbeiten eng mit Rechtsberatern zusammen. Unsere Priorität ist es, ein fundiertes Verständnis dieses Falles und der nächsten Verfahrensschritte zu entwickeln. Unser oberstes Ziel ist es, sicherzustellen, dass unsere Kundinnen und Kunden unsere Lösung weiterhin mit vollstem Vertrauen nutzen können.“

–>

Das VG Wiesbaden hat in einem Eilverfahren am 01.12.2021 (Az. 6 L 738/21.WI) beschlossen, dass der Einsatz von Cookiebot datenschutzrechtlich unzulässig sein soll.

Aufgaben von Datenschutzbeauftragten

Was ist passiert?

Ein Webseitenbetreiber hat sich an die neuen Vorgaben gehalten und für die Nutzung von Cookies den Dienst Cookiebot verwendet, um die erforderlichen Einwilligungen einzuholen. Es werden offenbar die ungekürzten IP-Adressen der Webseiten-Besucher an Cookiebot gesendet, die ihren Sitz in den USA haben. Und wie wir seit Schrems II (EuGH Entscheidung) wissen, ist die USA kein sicheres Drittland, weshalb die Übermittlung nur mit Einwilligungen erfolgen darf.

Dies hat offenbar einem Betroffenen nicht gefallen. Er habe festgestellt, dass seine personenbezogenen Daten in unzulässiger Weise an Dritte übermittelt werden würden.

Und so nahm das Ganze seinen Lauf und landete im Eilverfahren vor Gericht.

Warum ist es wichtig, zu erwähnen, dass die Sache im Eilverfahren entschieden wurde?

Das Gericht prüft nicht in der gebotenen Tiefe den Sachverhalt, sondern schaut sich nur die Glaubhaftmachungen der Parteien an und entscheidet dann „vorläufig“.

Was hat das VG Wiesbaden entschieden?

Das Gericht bemängelt, dass eine ungekürzte IP-Adresse des Webseiten-Nutzers an Cookiebot übermittelt werde. Insgesamt würden folgende personenbezogenen Daten verarbeitet:

  • IP Adresse der Endnutzer,
  • die URLs der besuchten Websites mit Zeitstempeln mit zugehöriger IP-Adresse,
  • der geografische Standort basierend auf der IP-Adresse sowie Telemetriedaten.

Was bedeutet das?

Die Übermittlung in Drittländer ist nur dann zulässig, wenn von den jeweiligen Nutzern Einwilligungen vorliegen würden, Standardvertragsklauseln abgeschlossen worden sind und eine Transfer Impact Assessment Dokumentation angelegt werden würde, aus der hervor geht, dass das Schutzniveau für die Art der Daten ausreicht.

Mit anderen Worten: Das Gericht vertritt die Ansicht, dass für die Nutzung des Einwilligungs-Banners eine Einwilligung des Nutzers eingeholt werden müsse. Also bedarf es einer Einwilligung zur Einholung der Einwilligung.

Ergebnis

Der Webseitenbetreiber sollte sich, um ganz sicher zu gehen, einen anderen Anbieter für die Cookie-Banner suchen. Die Nutzung von Cookiebot ist derzeit, jedenfalls nach einer eiligen Auffassung des VG Wiesbaden, unzulässig.

Weitere Beiträge

DSA – Der Digital Service Act reguliert Online-Plattformen

Der Digital Service Act (DAS ersetzt in weiten Teilen die alte E-Commerce-Richtlinie, wie z.B. auch die Haftungsregelungen, erweitert diese und führt neue Pflichten insbesondere für die großen Online-Plattformen ein. Der DSA zielt darauf ab, die digitale Landschaft der Europäischen Union

Mehr lesen »

CRA – Cyber Resilienz Act Verordnung Nr. 2022/0272

Cybersicherheit für Digitale Produkte in der EU Die zunehmende Bedeutung der IT-Sicherheit und der Cyberrisiken im Finanzsektor verzahnt in diesem Kontext insbesondere auch das Thema Business Continuity Management, bzw. Notfallmanagement. Und nicht nur bedingt durch die zunehmende Digitalisierung des Bankgeschäfts und

Mehr lesen »

Online-Plattformen und ihre Haftung

Bei der Frage der Haftung lässt sich keine pauschale Aussage treffen. Und doch versuche ich nachfolgend, eine kurze Übersicht zu geben, worauf Plattformbetreiber achten müssen. Hosting-Provider Wenn Sie nur für andere Nutzer die Plattform zur Verfügung stellen, ansonsten aber keinen

Mehr lesen »
Nach oben scrollen