Was das Urteil änderte
Vielleicht sind Ihnen „Cookies“ ein Begriff. Diese sind Daten, die in Ihrem Browser auf einer Website zwischengespeichert werden. Ihr Sinn und Zweck ist das Nutzererlebnis, da Ihre „Surfangewohnheiten“ gespeichert und an den Website-Betreiber weitergegeben werden, wodurch beispielsweise Passwörter etc. gespeichert werden können, wird die Website erneut besucht.
Die Cookiebot Consent Management-Plattform, kurz CMP, ist eine sogenannte Plug-and-Play-Lösung für die Datenschutzkonformität, die aus Dänemark stammt, wobei Cookies und Tracker auf einer Website erkannt und die Einwilligungen der Endnutzer verwaltet werden.
Im Dezember 2021 gab es ein Urteil des Verwaltungsgerichts Wiesbaden zu Cookiebot. Dabei untersagte das Gericht den fortwährenden Einsatz der Plattform.
Funktionen von Cookiebot
Doch zunächst einmal dazu, was Cookiebot ist, beziehungsweise welche Funktionen es erfüllt.
CMP scannt die eigene Website einmal pro Monat, um für jedes Cookie, das auf der Seite gefunden wird, eine Bezeichnung zu erstellen. Diese Bezeichnungen sind dann abrufbar und sind Ihnen vielleicht als aufploppender Banner bekannt. Sie sind jedoch auch als Einzelbericht für den Betreiber ersichtlich.
Die CMP zeigt eben ein Dialogfeld an, wird eine Website besucht, die Cookiebot benutzt. Hierbei kann die Auswahl konfiguriert werden und informiert den Besucher über die Nutzung der Cookies. Sind die Cookie-Nutzungen einmal akzeptiert, muss es dabei nicht bleiben, denn CMP umfasst auch ein Widget, dass auf einer Position der Website schwebt und den Nutzern eine Änderung ermöglicht. Ist die Änderung nicht erwünscht, so werden die Einstellungen der Nutzer 12 Monate lang gespeichert und anschließend, bei Nutzung der Website, erneut angefragt.
Durch Cookiebot wird Nutzern ermöglicht, komplett zu steuern, welche Cookies auf der Website landen und bietet dabei die Möglichkeit, bei allen Cookie-Anbietern unter vier Arten von Cookies zu wählen.
Das Urteil
Wie bereits erwähnt erfolgte das Urteil des VG Wiesbaden zu Cookiebot im Dezember 2021, wobei dieses eine vorläufige Anordnung erließ, dass die Nutzung der CMP auf der Website der Hochschule Rhein Main untersagte. Doch was ist bis dahin geschehen und was war die Ursache?
Besagte Hochschule nutzte auf der hauseigenen Website Cookiebot. Zentraler und relevantester Punkt des Verfahrens war der Drittlandtransfer, wobei Daten wie beispielsweise die IP-Adresse der Nutzer in die USA geleitet wurden. Dabei wurden die vollständigen IP-Adressen der Nutzer und nicht nur anonymisierte verarbeitet, was durch „Cybot“, den Cookiebot-Anbieter, selbst bestätigt wurde. IP-Adressen sind personenbezogene Daten im Sinne der Europäischen Datenschutzgrundverordnung.
Die Hochschule trug dabei laut dem Verwaltungsgericht eine Teilverantwortung, was allein durch die Auswahl des Anbieters begründet wurde.
Zudem existierte für die Drittlandübermittlung keine Rechtsgrundlage, da keine Standardvertragsklauseln zwischen Cybot und der Hochschule geschlossen wurden. Dies fand lediglich zwischen Cybot und „akamai“ statt, dem Unternehmen, an das die Daten transferiert wurden. Nicht nur die IP-Adresse, auch andere Daten können so auf Einzelpersonen zurückgeführt werden.
Da „Cookiebot by Usercentrics“ mit der Darstellung der Fakten bei dem Urteil nicht zufrieden war, trat es dem Verfahren bei und ging in Berufung. Das Berufungsgericht hob die vorläufige Anordnung am 17.01. 2022 auf, da der Anordnungsgrund seitens Antragssteller nicht glaubhaft gemacht werden konnte, womit das vorläufige Verfahren abgeschlossen ist und das Hauptsacheverfahren noch ansteht. Der Ausgang ist somit noch ungewiss.
Was dies möglicherweise für Sie und Ihr Unternehmen bedeutet
Vielleicht nutzen Sie in Ihrem Unternehmen ebenfalls die CMP. Zum Beispiel könnte Cookiebot für Ihre WordPress Seite genutzt werden.
Empfehlenswert ist es daher für Unternehmen, die über ausreichend Ressourcen verfügen, das Consent-Manangement selbst zu betreiben, wobei auch hier darauf geachtet werden muss, dass Cloud-Server, die die Cookies speichern, nicht von US-Anbietern betrieben werden, sowohl nicht im direkten Auftragsverhältnis als auch nicht im Unterauftragsverhältnis. Denn das Urteil in der Hauptsache des Verfahrens ist noch nicht gefallen, weswegen unbedingt auf die Vermeidung solcher Konfliktpunkte mit dem Gesetz geachtet werden sollte.
Ist das Eigenmanagement nicht möglich, so sollte sich nach Cookiebot Alternativen umgesehen werden, die nicht an eine US-Firma personenbezogene Daten transferieren.
Falls bereits ein Consent-Dienstleister gegeben ist, so sollte zu diesem Kontakt aufgenommen werden, um herauszufinden, ob ähnliche Drittlandtransfers wie im Cookiebot-Verfahren getätigt werden und wenn ja, sollte alles darangesetzt werden, diese zu vermeiden.
Hilfe bei Unsicherheiten bezüglich der DSGVO
Die DSGVO, also die Europäische Datenschutzgrundverordnung erlegt vielen Unternehmen der EU hohe Auflagen in Sachen Datenschutz auf. Diese Richtlinie dient als Vorgabe für nationale Datenschutz-Regelungen und sanktioniert Verstöße in hohem Maße, die Unternehmen hart treffen können.
Solche Verstöße, wie die aktuell umstrittenen mit Cookiebot, sollten also vermieden werden. Gibt es in Ihrem Unternehmen eben solche Unsicherheiten mit der Rechtslage, sollten Sie sich gegebenenfalls Hilfe von außerhalb, in Form eines externen Datenschutzbeauftragten, holen, wenn Sie dies nicht sogar, laut der DSGVO, müssen.
Ein externer Datenschutz Experte wird für Sie die Rechtslage im Blick halten und entbindet Sie von der Last, sich mit rechtlichen Fragen herumschlagen zu müssen.
Fazit
Da die CMP von vielen Website-Betreibern genutzt wird, um das Surferlebnis für Besucher der Seite und auch die Arbeit für sich selbst zu erleichtern, ist das Cookiebot-Urteil für viele Menschen von hoher Relevanz.
Die einstweilige Anordnung, die durch das Verwaltungsgericht in Wiesbaden erlassen wurde, wurde zwar vom Berufungsgericht wieder aufgehoben, jedoch steht die Verhandlung in der Hauptsache noch aus. Das endgültige Urteil dieses Verfahrens wird maßgebend für alle künftigen Fälle von Datenmissbrauch durch Consent-Management-Plattformen sein.
Bereits jetzt lässt sich jedoch sagen, dass es zumindest nicht so weitergehen kann, wie es bisher der Fall war und es wichtig ist, diese rechtliche Komponente im Blick zu behalten. Denn personenbezogene Daten unrechtmäßig an US-Firmen weiterzuleiten, wird langfristig nicht mehr funktionieren, nachdem das Thema eine solche öffentlichkeitswirksame Gestalt angenommen hat.
Immerce GmbH
Kemptener Straße 9
87509 Immenstadt
Ansprechpartner: Frank Müns
Web: www.immerce-consulting.de
Tel: +49 8323 – 209 99 40
