Verwaltungsgericht verbietet die Nutzung von "Cookiebot"

Auswirkungen auch auf andere Cloud-Dienste wie Google, Amazon oder Microsoft?

Beschluss Verwaltungssgericht Wiesbaden zu Cookiebot Software

Der Beschluss des Verwaltungsgerichts (VG) Wiesbaden (Beschluss vom 01.12.2021 - Az. 6 L 738/21.WI) zur Verwendung der Cookie-Management-Plattform (sog. „Cookie Banner“) „Cookiebot“ beschäftigt derzeit die Datenschutzrechtler in ganz Deutschland. Es ist die erste Entscheidung in Deutschland, die einen Datentransfer untersagt, weil personenbezogene Daten in der EU über einen Cloud-Anbieter fließen, der lediglich seinen Sitz in den USA hat. Denn nach Ansicht des VG Wiesbaden soll eine Übermittlung personenbezogener Daten in die USA – hier IP-Adressen – schon dann vorliegen, wenn das US-Unternehmen oder ein deutsches Tochterunternehmen die Daten auf Servern in der EU verarbeitet und lediglich das abstrakte Risiko besteht, dass Daten aufgrund des sog. Cloud-Acts an die USA „ausgeliefert“ werden müssen.

Datenschutzverletzung durch Einsatz von Cookiebot

Am 1. Dezember 2021 wurde der Hochschule RheinMain im Eilverfahren untersagt, auf der Website www.hs-rm.de weiterhin „Cookiebot“ zur Einholung von Einwilligungen einzusetzen. Zur Begründung wurde angeführt, Cookiebot erhebe von den Nutzern der jeweiligen Webseiten personenbezogene Daten wie die vollständige IP-Adresse und speichere diese u. a. auf EU-Servern der Firma Akamai Technologies, die ihren Hauptsitz in den USA habe. Damit riskiere sie jedoch den unbefugten Datenzugriff durch US-Behörden auf Grundlage des US-Cloud-Acts. Der US-Cloud-Act gibt US-Behörden die Möglichkeit des Zugriffs auf Server von US-Unternehmen, auch wenn diese außerhalb der USA und ggf. von Tochterunternehmen betrieben werden.

Das VG Wiesbaden sah nun in diesem rein potenziellen Zugriff von US-Behörden eine Datenschutzverletzung, denn die Nutzer würden im Hinblick auf diesen Datentransfer nicht zu einer gesonderten Einwilligung aufgefordert werden und auch die Datenschutz-Informationen von Cookiebot würden über einen solchen möglichen Datentransfer nicht im genügenden Maße informieren.

VG Wiesbaden: Schon die Möglichkeit des Zugriffs der US-Behörden stellt einen Drittlandtransfer dar

Eine Vereinbarung für den Drittlandtransfer mit Hilfe der EU-Standarddatenschutzklauseln zwischen dem Anbieter (Cybot) des “Cookiebot” und dem US-Amerikanischen Cloud-Dienstleister Akamai Technologies genüge laut dem VG Wiesbaden nicht. Der EuGH habe in seiner sogenannten Schrems II Entscheidung klar festgestellt, dass "zusätzliche technische Maßnahmen", wie z.B. eine Verschlüsselung, vor dem Datenexport durch den Verantwortlichen ergriffen werden müssen (siehe dazu unseren Artikel „EuGH kippt transatlantisches Datenschutzabkommen“ vom 12. August 2020 )

Brisant ist dabei, dass die Begründung des Beschlusses auch Auswirkungen auf andere Cloud-Dienste von US-Providern wie Google, Microsoft (mit seinen 365-Diensten), Amazon oder Salesforce haben könnten. Jegliche Verarbeitung personenbezogener Daten im Bereich der elektronischen Kommunikation des Cloud-Computing, die unter Beteiligung eines US-Unternehmens stattfinden, stünden damit unter dem Damoklesschwert des Cloud-Acts und wären als Drittlandtransfer zu behandeln. Genau das macht den Beschluss so „gefährlich“ aber aus unserer Sicht auch angreifbar. Es ist nicht bekannt, ob seitens der Hochschule RheinMain Beschwerde eingelegt worden ist. Angesichts der aus unserer Sicht fragwürdigen, weil sehr weitreichenden Begründung, wäre dies aber zu empfehlen.

Handlungsempfehlungen für Nutzer von Cookiebot

Der Beschluss vergrößert das Haftungsrisiko für Webseitenbetreiber. In einem ersten Schritt empfehlen wir zu prüfen, ob Sie auf der eigenen Webseite möglicherweise ebenfalls den Dienst Cookiebot einsetzen. Cookiebot ist gerade bei deutschen Unternehmen und Organisationen sehr beliebt, da ausdrücklich mit DSGVO-Compliance geworben wird. Soweit Sie Cookiebot einsetzen, sollten Sie nach der nun vorliegenden Entscheidung des VG Wiesbaden Alternativ-Dienste in Betracht ziehen, die auf Servern gehostet werden, die ausschließlich im Zugriffsbereich von EU-Unternehmen liegen, also keinen US-Bezug aufweisen.

Kontakt
Ihre Ansprechpartner an unseren Standorten:
Münster
LL.M.
Chris Brauckmann, externer Datenschutzbeauftragter und Auditor (TÜVcert.)
+49 (0)251 48261-0
 

Solidaris Rechtsanwaltsgesellschaft mbH

Münster
RA
Alexander Gottwald, EMBA, externer Datenschutzbeauftragter (GDDcert. EU)
+49 (0)251 48261-173
 

Solidaris Rechtsanwaltsgesellschaft mbH

Gottwald

Alexander Gottwald

  • Studium der Rechtswissenschaft in Frankfurt am Main und Münster
  • seit 2016 Rechtsanwalt
  • 2016 EMBA – Executive Master of Business Management, Betriebswirtschaftliches Masterprogramm der Westfälischen Wilhelms-Universität Münster
  • seit 2016 bei der Solidaris
  • 2017 – Ausbildung zum zertifizierten Datenschutzbeauftragten bei der Gesellschaft
    für Datenschutz und Datensicherheit (GDDcert. EU)

Aktivitäten

  • Lehrauftrag an der Hochschule FOM in Münster u.a. in dem Bachelor-Studiengang Wirtschafts-Informatik

Schwerpunkte

  • Gesellschafts-, Vereins- und Stiftungsrecht 
  • Steuer- und Gemeinnützigkeitsrecht 
  • Individual- und Kollektivarbeitsrecht 
  • Allg. Zivilrecht und Vertragsrecht 
  • IT-Recht und Datenschutz
  • Externer Datenschutzbeauftragter

Veröffentlichungen in der Fachpresse
2019

  • Datenschutz im MVZ: Health&Care Management, 12/2019, S. 60.
  • Datenschutz - ein Perspektivwechsel: PflegeManagement, 4-5/2019, S. 14-15.
  • Die Tücken der E-Mail-Verschlüsselung: BRAK Magazin, 1/2019, S. 6.
  • Erstmalig hohes Bußgeld: Health&Care Management, 2/2019, S.56.


Veröffentlichungen in der Fachpresse
2018

  • Richtlinie kurzfristig umsetzen: Wohlfahrt intern, 6/2018, S. 39. 
  • Datenschutz erhält mehr Gewicht: neue Caritas, 2/2018, S. 24.
  • Kirchen beschließen Novellierung des Datenschutzes: Health&Care Management Newsletter, 1/2018

Veröffentlichungen in der Fachpresse
2017

  • Freifunk für alle: Sozialwirtschaft, 9-10/2017, S. 36-37.
  • Neue Regeln für Befristungen: Sozialwirtschaft, 6/2017, S. 30-31.