Cookiebot: Webseitenbetreiber haften, weil Cookiebot oft nicht DSGVO-konform ist und keinen AVV anbietet

Kategorien: Datenschutz und Consent Tools

Viele Webseiten nutzen Cookiebot, auch wenn dieses Consent Tool in der Praxis regelmäßig zu rechtlichen Mängeln auf Webseiten führt. Mit dem Anbieter von Cookiebot (Cybot) sollte zur Haftungsbegrenzung ein AVV abgeschlossen werden. Das ist aber anscheinend weder möglich noch von Cybot gewünscht.

Einleitung

Cookiebot ist ein sogenanntes Consent Tool der Firma Cybot aus Dänemark. Dieser Beitrag soll zeigen, warum es für Betreiber von Webseiten, die Cookiebot nutzen, wichtig ist, einen Auftragsverarbeitungsvertrag (AVV) mit Cybot abgeschlossen zu haben. Außerdem wird gezeigt, dass Cybot gar kein Interesse zu haben scheint, einen AVV anzubieten oder gar einen abschließen zu müssen. Dann nämlich müsste Cybot Pflichten erfüllen, die etwas mit Datenschutz zu tun haben. In Wirklichkeit scheint Cookiebot aber gar kein Datenschutzprodukt zu sein, sondern nur ein Produkt, so meine Meinung, die auf Aussagen von Cybot, Fakten und Praxistests basiert.

Hier eine Werbeanzeige von Cybot, die man beim Suchen nach dem Begriff Cookiebot in der Google Suchmaschine findet:

Cookiebot ist also angeblich vollständig DSGVO-konform. Es hat etwas gedauert, bis ich diesen Text weiterschreiben konnte, weil mich nach dem Leser dieser Werbeaussagen eine gewisse Heiterkeit überfiel, die anschließend von Traurigkeit und Leere abgelöst wurde.

Fast alles, was in den ersten beiden Sätzen der Werbeanzeige geschrieben steht, entspricht nicht den Fakten. Ich bezeichne so etwas als wissentliche Falschaussage. Belege dafür finden sich in diesem Beitrag, aber auch in den Beiträgen im untersten Abschnitt „Auch interessant“, vor allem im Praxistest. Ein Blick auf die deutschsprachige Webseite von Cookiebot (cookiebot.com/de) jedenfalls zeigt direkt, dass dort Datenschutzverstöße vorhanden sind. Anscheinend kann oder will Cookiebot verbindliche Datenschutzregeln nicht einhalten.

Ein Beleg, warum Cookiebot nicht DSGVO-konform ist: In der Cookiebot Hilfe (https://www.cookiebot.com/de/help/) wird so getan, als ob man einfach wählen kann, was einem lieber ist: „Sie können die automatische Cookie-Blockierung deaktivieren und stattdessen eine manuelle Implementierung von Cookiebot CMP vornehmen, indem Sie unserem Leitfaden zur manuellen Implementierung folgen.“

Dies ist falsch, denn:

1. Eine automatische Cookie-Blockierung kann nicht zuverlässig funktionieren, wie man jederzeit beweisen kann.
2. Es geht nicht nur um Cookies, wenn es um die Frage einer Einwilligung geht. Das weiß Cookiebot aber anscheinend nicht oder will nicht verraten, wie es richtig ist. Mehr Infos finden Sie im Gesetzestext der DSGVO oder auf meiner Webseite.

Cookiebot Probleme sind deswegen vorprogrammiert.

Wie funktioniert Cookiebot?

Die Funktionsweise von Consent Tools wie Cookiebot ist meistens gleich. Grob gesagt, passiert folgendes:

1. Ein Cookie Scanner untersucht eine Webseite
2. Dabei wird versucht, die Vorgänge zu finden, die aufgrund von Cookies einwilligungspflichtig sind
3. Hierfür erstellt das Consent Tool ein Script, welches versucht, die kritischen Vorgänge bis zur Nutzereinwilligung zu unterdrücken
4. Besucht jemand eine Webseite, die ein Consent Tool wie Cookiebot nutzt, wird ein Popup angezeigt
5. In diesem Popup wird eine Einwilligung abgefragt
6. Willigt der Nutzer ein,

a) werden die eingewilligten Vorgänge freigeschaltet,
b) wird die Einwilligung abgespeichert

Soweit die Theorie. In der Praxis funktioniert das nicht, was ich mehrfach bewiesen habe. Das soll aber hier nicht das Thema sein. Bitte nehmen Sie diese Tatsache aber dennoch zur Kenntnis: Mit Tools wie Cookiebot scheitert in den meisten Fällen das Vorhaben, eine Webseite DSGVO-konform machen zu wollen. Cybot selbst hält Datenschutzgesetze auf deren eigener Webseite nicht ein. Warum soll dann gerade ein Tool von Cybot geeignet sein, andere Webseiten DSGVO-konform zu machen?

Hier geht es um die Frage, ob Cookiebot ein Auftragsverarbeiter für den Betreiber der Webseite ist oder sein kann. Statt Betreiber müsste man exakter vom Verantwortlichen sprechen, welcher allerdings oft mit dem Betreiber identisch ist.

Was ist ein Auftragsverarbeiter?

Der Begriff des Auftragsverarbeiters ist in Art. 4 Nr. 8 DSGVO definiert. Ein Auftragsverarbeiter ist „eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet“.

Die Frage, was ein Verantwortlicher ist und wo Datenverarbeitung bereits beginnt, habe ich in einer Untersuchung zum Begriff der Datenerhebung genauer betrachtet.

Beim Besuch einer Webseite fallen potentiell immer personenbezogene Daten an. Begründung:

1. Das Internet-Protokoll TCP erfordert die Übertragung die IP-Adresse des Nutzers beim Aufruf einer Webseite
2. Die IP-Adresse ist ein personenbezogenes Datum (dies haben EuGH und BGH festgestellt)
3. Die Datenverarbeitung findet bereits beim Erhalt der IP-Adresse im Server, der die Webseite ausliefert, statt

Bindet eine Webseite nun ein Cookiebot Script ein, wird zwangsweise aufgrund des Internet-Protokolls TCP die IP-Adresse des Nutzers durch die Webseite zu Cookiebot weitergeleitet und dort im Sinne der DSGVO verarbeitet.

Weiterhin wird der sogenannte „Key“ eines Nutzers von Cookiebot verwaltet. Dieser Key wird dazu genutzt, um eine zuvor erteilte Einwilligung nachweisen zu können, wenn eine betroffene Person dies verlangt (vgl. Art. 7 Abs. 1 DSGVO). Der Key wird immer zusammen mit der IP-Adresse übertragen und ist alleine deshalb schon ein personenbezogenes Datum. Akamai erklärt, dass die IP-Adresse des Endnutzers in Server-Protokollen gespeichert wird.

Ferner ist der Key eindeutig und eignet sich somit bestens zur Identifikation von einzelnen Nutzern (vgl. Art. 4 Nr. 1 DSGVO). Die Article 29 Working Party der EU, der Vorgänger des Europäischen Datenschutzausschusses EDPB, schreibt in ihrer Opinion 4/2007, dass natürliche Personen als identifizierbar gelten, sofern sie von anderen Personen einer Gruppe unterschieden werden können. Dies ist mit einem Cookiebot-Key offensichtlich möglich.

Der Webseiten-Betreiber als Verantwortlicher für die Webseite ist also verantwortlich dafür, dass Cookiebot personenbezogene Daten des Nutzers erhält. Der Betreiber der Webseite beauftragt Cookiebot damit, eine Einwilligungsabfrage zu realisieren.

Brauchen Sie einen AVV für Cookiebot?

Nein, brauchen Sie nicht. Aber wenn Sie keinen AVV mit Cybot als Anbieter von Cookiebot abschließen, weitet sich Ihre Haftung dadurch unnötig aus. Sie haften also mehr, wenn kein AVV abgeschlossen wurde, als wenn ein AVV vorliegt. Ein AVV wird zu Ihren Gunsten abgeschlossen und nicht, weil es zwingend vorgeschrieben ist.

Wer Cookiebot nicht als Auftragsverarbeiter in die Pflicht nimmt, ist also erst einmal ganz alleine dafür verantwortlich, was mit den Daten der Webseiten-Besucher bei Cookiebot passiert. Cybot als Anbieter von Cookiebot hat nur Vorteile, wenn Sie keinen AVV mit Cybot abschließen!

Schließen Sie einen AVV mit Cybot ab, hat das Vorteile für Sie und Nachteile für Cybot. Anscheinend möchte Cybot diese Nachteile nicht. Deshalb bietet Cybot für Cookiebot nach meiner Kenntnis keinen AVV an. Das ist Ihr Problem, nicht das von Cybot. Der einzige Weg, dieses Problem zu beseitigen, ist, auf Cookiebot zu verzichten. Ich rate alleine schon aus diesem einen Grund dazu, Cookiebot nicht zu verwenden.

Pflichten eines Auftragsverarbeiters

Ausnahmsweise erspare ich mir mal eine Recherche und vertraue auf die Auskünfte des Sächsischen Staatsministeriums des Innern, das die Pflichten eines Auftragsverarbeiters wie folgt benennt:

• die Pflicht zum Führen eines Verfahrensverzeichnisses (Art. 30 Abs. 2 DSGVO),
• die Pflicht zur Zusammenarbeit mit der Datenschutzaufsicht (Art. 31 DSGVO),
• das Ergreifen technischer und organisatorischer Maßnahmen der Datensicherheit (Art. 32 Abs. 1 DSGVO),
• die Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten (Art. 37 Abs. 1 DSGVO) und
• die Beschränkungen für den Datentransfer in Drittländer (Art. 44 DSGVO),
• die Pflicht den Verantwortlichen zu informieren, wenn Weisungen nach Ansicht des Auftragsverarbeiters gegen die Datenschutz-Grundverordnung oder andere Datenschutzbestimmungen verstoßen (Art. 28 Abs. 3 Satz 3 DSGVO),
• die Pflicht zur Meldung von Datenschutzverstößen an den Verantwortlichen (Art. 33 Abs. 2 DSGVO).

Das sind schon einige Pflichten. Jetzt kann man sich vielleicht vorstellen, warum sich Cybot aus der Verantwortung stehlen möchte, wie ich weiter unten zeige.

Wenn der Auftragsverarbeiter einen weiteren Auftragsverarbeiter in Anspruch nehmen möchte, so muss er hierfür den Verantwortlichen um schriftliche Erlaubnis fragen (Art. 28 Abs. 2 DSGVO), und mit dem Unterauftragsverarbeiter mindestens gleichwertige Datenschutzstandards vereinbaren.

Wenn ein Auftragsverarbeiter Mittel und Zweck der Verarbeitung entgegen der Datenschutz-Grundverordnung selbst bestimmt, wird er dadurch selbst Verantwortlicher (Art. 28 Abs. 10 DSGVO) und ist dann kein Auftragsverarbeiter mehr.

Nachweis der Einwilligung eines Nutzers

Der Nachweis der Einwilligung eines Nutzers mit Hilfe von Cookiebot ist nicht direkt ein Thema hinsichtlich des AVV, aber auch wichtig, falls Sie trotz der zahlreichen Gründe, kein Consent Tool einzusetzen, immer noch an Cookiebot hängen.

Hat jemand auf Ihrer Webseite mit Hilfe von Cookiebot seine Einwilligung für alle Datenverarbeitungsvorgänge gegeben, müssen Sie dies im Zweifel (etwa vor Gericht oder auf Anfrage des Nutzers) nachweisen können.

Dieser Nachweis kann nur gelingen, wenn Cookiebot die IP-Adresse des Nutzers zur Einwilligung speichern. Aber genau das tut Cookiebot angeblich nicht! Hierzu liegt mir eine schriftliche Stellungnahme von Cybot vor:

If a user questions if a valid consent was indeed obtained by you, you can ask the user to visit your cookie declaration on the website in question and share the unique consent ID and consent date with you, which they will find shown on the declaration (this information is automatically fetched locally from their consent cookie). From the consent log, which you can download from Cookiebot, you can then look up the user's consent details with the provided consent ID, date and domain name and thereby prove that valid consent has been obtained.

Zitat der Aussage von Cybot vom 29.04.2021, wie der Nachweis einer Nutzereinwilligung mit Cookiebot geführt werden soll

Der Nachweis durch einen Webseiten-Betreiber, dass ein Nutzer eine Einwilligung gegeben hat, erfordert also laut Cookiebot die Mitwirkung des Nutzers, der übrigens selbst um den Nachweis gebeten hat.

Der Nutzer soll laut Cookiebot die Consent ID, die im Cookie auf dem Endgerät des Nutzers gespeichert ist, selbst ermitteln. Die Consent ID ist eine angeblich von personenbezogenen Daten entkoppelte Information, mit der im Streitfall eine Einwilligung nachweisbar sein soll.

Cookiebot hat da was falsch verstanden: Nicht der Nutzer selbst muss den Nachweis für eine Einwilligung, die er gegeben haben soll, erbringen, sondern am besten Cookiebot soll das für den Auftraggeber tun!

Soweit ich weiß, ist es nicht verboten, dass ein Nutzer die Cookies auf seinem Endgerät löscht. Passiert dies, gibt es keine Consent ID mehr, die der Nutzer mitteilen könnte, selbst wenn er wollte. Weil Cookiebot angeblich auch keine IP-Adressen speichert, kann Cookiebot den Nachweis dummerweise aber auch nicht erbringen. Schade, schade. Bedauerlich aber nur für den Verantwortlichen für die Webseite, nicht für Cookiebot. Denn es gibt ja keinen AVV, der den verantwortlichen entlastet und Cybot belasten würde.

Richtig wäre: Cookiebot speichert die Einwilligung des Nutzers zusammen mit dessen IP-Adresse ab. Will der Nutzer einen Nachweis, wird geschaut, was die IP-Adresse des Nutzers ist oder zum Zeitpunkt der nachzuweisenden Einwilligung gewesen ist. Hierfür gibt es Mittel und Wege und auch die Mitwirkungspflicht des Nutzers. Hierbei vergesse ich Dummerchen allerdings, dass Cookiebot ja angeblich gar keine IP-Adressen erheben will. Deswegen kann Cookiebot gar keinen halbwegs rechtssicheren Nachweis erbringen, dass ein Nutzer eine Einwilligung erteilt hat.

Auch der Betreiber einer Webseite kann den Nachweis einer erhaltenen Einwilligung nicht geben. Denn dafür hat er ja Cookiebot eingesetzt, eine angebliche Consent Management Platform (CMP), die aber anscheinend gar keine ist und keine sein will. Verwalten (management) bedeutet ja immer, irgend welche lästigen Pflichten haben zu müssen. Das ist anscheinend nichts für Cookiebot.

Cookiebot schreibt in seiner Datenschutzerklärung, dass IP-Adressen direkt nach Erhalt im Hauptspeicher durch Kürzen um drei Ziffern anonymisiert würden. Das erscheint unsinnig, denn IPv4 Adressen bestehen aus vier Bytes. Streicht man drei Stellen, bleibt ein Byte übrig. Dieses Byte hat keinen Nutzen, man könnte stattdessen die IP-Adresse auch gleich vollständig löschen.

Ferner schreibt Cookiebot in einem mir vorliegenden Schreiben, dass bei IPv4 Adressen 16 Bit gekürzt werden und bei IPv6 Adressen 96 Bit. Dies entspricht einer Kürzung von IPv4 Adressen um zwei Bytes (auf zwei verbleibende Bytes), bei IPv6-Adressen um 12 Bytes (auf zwei Bytes). In Gänze widerspricht diese Aussage vollständig dem, was in der Datenschutzerklärung vorzufinden ist.

Fazit

Cookiebot will angeblich keine personenbezogenen Daten erhoben haben und tut dies angeblich auch weiterhin nicht. Das ist Bullshit. Cookiebot will anscheinend keinen AVV abschließen, da Cybot daraus einige Pflichten entstehen würden, die einem wirtschaftlichen Betrieb im Wege zu stehen scheinen.

Sollte es mittlerweile möglich sein, mit Cybot einen Auftragsverarbeitungsvertrag abzuschließen, bin ich für einen Hinweis dankbar. Auch wenn oben etwas falsch dargestellt sein sollte, bitte ich um Hinweise. Gerne korrigiere ich diesen Beitrag, wenn etwas zu korrigieren ist.

Nachtrag Juli 2021

Wie mir bekannt wurde, wurde ein Betreiber einer Webseite abgemahnt, weil er Cookiebot einsetzte. Dabei wurden Daten mit Servern der Firma Akamai (USA) ausgetauscht. Dies ist ein Problem aufgrund von Art. 44 ff DSGVO. Der Betreiber der Webseite gab eine Unterlassungserklärung ab und verwendet seitdem Cookiebot nicht mehr.

Dass Akamai-Server verwendet werden, lässt sich über folgende Fakten und Aussagen von Cookiebot selbst belegen:

• IP-Adressen, die zum Abruf von Cookiebot-Scripten, die auf Webseiten eingebunden sind, aufgerufen werden, sind auf Akamai (USA) registriert.
• Die Antworten, die ein Abruf solcher Scripte liefert, enthalten im HEADER-Feld namens Server den Wert AkamaiNetStorage
• Beim Abruf der Scripte werden direkt Akamai-Server angesprochen, sagt Cookiebot. Eine Umleitung über Server anderer Anbieter findet nicht statt, sagt Cookiebot.

Auch interesant

Sie möchten eine DSGVO-konforme Webseite? Dann nutzen Sie möglichst kein Consent Tool. Cookiebot sollten Sie erst recht nicht nutzen. Hier finden Sie weitere Informationen, warum.

• Cookiebot laut VG Wiesbaden rechtswidrig
• Übersichtsartikel: Alle möglichen Gründe, Praxistests und Beweise zusammengefasst
• Praxistest populärer Cookie Tools (inkl. Cookiebot und anderen DSGVO-Versagern)
• Gründe für das Versagen von Consent Tools
• Checkliste für Einwilligungsabfragen

Wer datenschutzfreundliche Lösungen sucht, findet einige davon auf Dr. DSGVO. Wer keine solche Lösung für ein häufiges Problem findet, kann mich gerne anschreiben. Ein paar Dinge sind in Entwicklung, andere bedürfen erst Ihrer Eingabe.