Drücke „Enter”, um zum Inhalt zu springen.
Ausprobieren
Online Webseiten-Check
sofort das Ergebnis sehen
Auf meiner Webseite sind externe Links mit dem Symbol gekennzeichnet. Datenschutzhinweise · Wissensartikel

Nutzung von Cookiebot auf Webseiten ist laut Verwaltungsgericht Wiesbaden rechtswidrig.

10

Das VG Wiesbaden hat im Beschluss vom 01.12.201 (Az.: 6 L 738/21.WI) festgestellt, dass Cookiebot nicht eingesetzt werden darf. Konkret ging es um die Webseite der Hochschule RheinMain (HSRM).

Update

Die u.g. Pressemitteilung des Gerichts wurde überarbeitet. Bisher war explizit von Cookiebot die Rede, wie folgender Screenshot der Originalmeldung zeigt:

Ursprüngliche Mitteilung des VG Wiesbaden (Auszug)

Jetzt hat das VG Wiesbaden den Sachverhalt geöffnet und spricht grundsätzlich von Cookie-Diensten. Es sind also noch mehr Dienste betroffen als Cookiebot. Dass Cookiebot vom Beschluss erfasst wird, kann ich auch aufgrund meiner direkten Kenntnisnahme der ersten Pressemitteilung sicher sagen. Auch im Beschluss sind Hinweise auf Cookiebot zu finden.

Nun beschäftigt sich auch der Verwaltungsgerichtshof Hessen mit dem Sachverhalt.

Sachverhalt

Mit Pressemitteilung vom 06.12.2021 stellte das VG Wiesbaden fest, dass das sogenannte Cookie-Tool Cookiebot faktisch nicht eingesetzt werden darf. Dies gilt wohl so lange, wie Cookiebot sich des Dienstleisters Akamai aus den USA bedient und zwar in untrennbarer Weise.

Cookiebot soll Webseitenbetreibern dabei helfen, Einwilligungen von Besuchern von Webseiten einzuholen, bevor einwilligungspflichtige Datenverarbeitungen stattfinden. Konkret geht es hierbei auch um Cookies, wie der Name Cookiebot suggeriert. Allerdings gibt es weitere Vorgänge, die einer Einwilligung bedürfen.

Dass Cookiebot aus meiner Sicht in der Praxis ungeeignet ist, Einwilligungen rechtskonform einzuholen, hatte ich bereits mehrfach festgestellt. Hier sind ein paar meiner Beiträge dazu:

Wenn ein Dienst wie Cookiebot zur Abfrage einer Einwilligung selber einer Einwilligung bedarf, ist dieser Dienst faktisch nicht nutzbar bzw. aus meiner Sicht sinnlos. Andere mögliche Rechtsgrundlagen aus Art. 49 DSGVO scheiden hier regelmäßig aus.

Die Gründe, warum das VG Wiesbaden Cookiebot als rechtswidrig einstuft, sind insbesondere folgende. Ich schreibe das hier in meinen eigenen Worten, ohne Anspruch zu erheben, dass das VG Wiesbaden es genau so gemeint hat. Das gleiche gilt für meine oben gemachten Aussagen. Die obige Pressemitteilung des Gerichts kann jeder bei Bedarf gerne zusätzlich lesen.

Cookiebot verarbeitet personenbezogene Daten und gibt sie an einen Dienstleister in den USA weiter. Dieser Dienstleister speichert diese personenbezogenen Daten. Das ist schon mal nicht gut (vgl. das Schrems II Urteil). Damit wird nämlich gegen die Grundsätze der Art. 44 ff DSGVO verstoßen. Es fehlt hier in der Praxis an einer Einwilligung. Wie soll diese Einwilligung auch eingeholt werden, wenn Cookiebot das eigentlich bewerkstelligen sollte?

Die Datenweitergabe von Cookiebot an Akamai, einen Dienstleister mit Sitz in den USA, scheint untrennbar mit Cookiebot verknüpft. Cookiebot kann nach meinem Wissen nur in dieser Konstellation eingebunden werden und nicht anders.

So wie ich es sehe, kann aber nicht einmal eine Einwilligung für Cookiebot eingeholt werden, die konform zu Art. 49 DSGVO wäre. Ebenso scheiden wohl regelmäßig die anderen Rechtsgrundlagen aus ebendiesem Artikel aus.

Außerdem verarbeitet Cookiebot weitere Daten, die meiner Meinung nach technisch nicht notwendig sind, beispielsweise den User-Agent (exakte Browser-Version, Betriebssystem). Ob das für den Gerichtsentscheid relevant war, kann ich auf die Schnelle nicht beurteilen. Jedenfalls bietet Cookiebot nach meinem Wissen keinen AVV an, weil Cookiebot glaubt, kein Auftragsverarbeiter zu sein, weil Cookiebot glaubt, keine personenbezogenen Daten zu verarbeiten. Zumindest das letzte Argumentationsglied erscheint fragwürdig, somit womöglich auch der Rest des Glaubens, dem Cookiebot anhaftet.

Damit wird einmal mehr deutlich, dass es keine gute Idee ist, den Werbeaussagen von Anbietern wie Cookiebot zu vertrauen.

Cookiebot ist faktisch nicht nutzbar.

Meine Schlussfolgerung aus dem Beschluss des Vg Wiesbaden.

Es ist auch keine gute Idee, ein sogenanntes Wunder-Tool einzubinden und zu hoffen, alles wird gut. Das ist Bullshit. Nahezu jede Webseite, die ein sogenanntes Cookie Tool nutzt, ist rechtswidrig und wäre eine Abmahnung wert. Das zeigen jedenfalls meine ständigen Untersuchungen. Mir sind manche besuchten Webseiten übrigens eine Abmahnung wert. Wir sehen uns!

Bitte nutzen Sie datenschutzfreundliche Dienste. So wird eine nervige Einwilligungsabfrage überflüssig. Möglichkeiten und Lösungen beschreibe und nenne ich auf Dr. DSGVO ausführlich.

Wer Daten an Google, Akamai und andere schickt, sollte sich Rücklagen für Rechtsstreitigkeiten bilden. Oder es am besten sein lassen, Daten ohne Rechtsgrundlage zu verarbeiten. Gesetze einzuhalten, wäre auch mal ein Ansatz.

Gegen den Beschluss des VG Wiesbaden kann von der Antragsgegnerin binnen zwei Wochen Beschwerde eingelegt werden. Wie auch immer, es ist bereits ein wichtiger Schritt für den Datenschutz.

An dem Verfahren war ich als Sachverständiger beteiligt.

Übrigens haben sich Cookiebot und UserCentrics zusammengeschlossen.

Quelle: https://usercentrics.com/de/presse/usercentrics-und-cookiebot-schliessen-sich-zusammen/. Meldung laut Quelle vom 01.09.2021

Soweit ich weiß, nutzt UserCentrics die Google Cloud. Google ist ein Anbieter mit Hauptsitz in den USA, soweit mir bekannt ist. Aus den Nutzungsbedingungen der Google Cloud Platform geht hervor: „ALLE ANSPRÜCHE, DIE SICH AUS ODER IM ZUSAMMENHANG MIT DIESER VEREINBARUNG ODER DEN DIENSTEN ERGEBEN, UNTERLIEGEN DEM KALIFORNISCHEN RECHT“ und „Alle Ansprüche … werden AUSSCHLIESSLICH VOR DEN BUNDESGERICHTEN ODER DEN GERICHTEN DES VERWALTUNGSBEZIRKS SANTA CLARA, KALIFORNIEN, USA, VERHANDELT; DIE PARTEIEN STIMMEN DER PERSÖNLICHEN GERICHTSBARKEIT IN DIESEN GERICHTEN ZU.“

Wer über ein neues Consent Tool nachdenkt, nutzt vielleicht lieber eines, welches beherrschbar ist.

Wer schreibt hier?
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. Im Jahr 2017 bin ich zum Datenschutz gekommen. Mir sind juristische Gegebenheiten nicht fremd. Ich versuche, meine Ergebnisse durch Betrachtung von Technik und Recht zu gewinnen. Das scheint mir jedenfalls absolut notwendig, wenn es um digitalen Datenschutz geht. Über neue Beiträge werden Sie informiert, wenn Sie meinen Newsletter abonnieren. Über Ihre Unterstützung für meine unabhängige Berichterstattung würde ich mich besonders freuen.
Bitte nutzen Sie bei Verwendung meiner Ergebnisse die Quellenangabe oder verlinken Sie gut wahrnehmbar auf diesen Artikel:
Einen Kurzlink oder eine Bestätigung für Ihre Quellenangabe erhalten Sie kurzfristig auf Anfrage. Ein Teilen oder Verteilen dieses Beitrags ist natürlich ohne weiteres möglich und gewünscht.

Kommentare von Lesern

Die Kommentare drücken die Meinungen der jeweiligen Kommentargeber aus
  1. Anonymous

    Was sollte man nun machen, wenn man Cookiebot im Einsatz hat? Klar, das Tool wechseln, oder ganz auf ein Tool verzichten. Sind weitere Schritte notwendig? Evtl. rechtliche Schritte da eine Datenschutzverletzung vorliegt?

    • Dr. DSGVO

      Eine Datenpanne, falls Sie das meinen, müssen Sie nicht melden, wenn ganz allgemeine Datenschutzverletzungen vorliegen über das Einbinden sogenannten Cookie-Tools mit Übertragung der IP-Adresse o.ä. der Besucher Ihrer Webseite an unsichere Drittstaaten wie die USA.

      Am besten gar kein Consent Tool nutzen. Dazu am besten keine kritischen Tools nutzen. Oder wenn einwilligungspflichtige Dienste, dann nur die, von denen bekannt ist, welche Datenverarbeitungen sie vornehmen. Damit scheiden m.E. sämtliche Dienste von Google aus (die braucht übrigens auch kaum eine Webseite, prozentual gesehen).

    • Dr. DSGVO

      Vielen Dank, den Artikel habe ich daraufhin überarbeitet.

  2. Anonymous

    Hallo Herr Meffert,
    die URL der Pressemitteilung hat sich geändert, der obige Link ist nicht mehr gültig. Hier die aktuelle URL:
    https://verwaltungsgerichtsbarkeit.hessen.de/pressemitteilungen/cookie-dienst
    Danke für den Artikel! Ich bin gespannt, welche Auswirkungen das Urteil auf anderen Webseiten haben wird, die Cookiebot oder ähnliche Dienste einsetzen.
    Beste Grüße!

    Anmerkung der Redaktion: Zu diesem Kommentar kam ein Nachtrag, dass der Link aufgrund eines lokalen Caches im Browser des Kommentierenden veraltet war. Im obigen Beitrag war der Link bereits aktuell.

  3. Tom W.

    Die Frage, die sich mir als Entwickler jetzt stellt ist:
    Es wird stets geurteilt, was nicht geht. Was nicht getan werden soll. Was lt. Gerichten unzulässig ist.

    Mir fehlt allerdings zunehmend eine Art Handreiche, was denn überhaupt noch möglich ist, i.B. nach den Schrems-Urteilen und der neuerlichen Entscheidung des VG Wiesbaden. Sehe ich mich nach ausschließlich im DSGVO-Raum operierenden Diensten um, wird es dünn, außer ich befasse mich künftig auch mit dem Aufbau eines eigenen CDN für Seiten, die ich entwickle und betreue. Da kann man sich zwar rein fuchsen, aber für den Otto-Normal-Bürger sind das die sprichtwörtlichen “böhmischen Dörfer”.

    Insgesamt wirkt es, als wolle man eine Aufgabe von Tools erreichen, deren Anbieter nicht im DSGVO-Raum zu finden sind – also doch wieder eher wirtschaftliche Interessen, die vor dem eigentlichen Interesse des Datenschutzes zu erkennen sind?

    • Dr. DSGVO

      In Wirklichkeit ist es ganz einfach. Das Prinzip gilt für alle Lebensbereiche:
      Wer nicht weiß, ob etwas richtig oder falsch ist, lässt es bleiben, bis die Antwort auf die Rechtmäßigkeit gefunden wurde. Das kann durch Fragen kompetenter Berater erreicht werden, oft auch durch eigene Recherche (beim digitalen Datenschutz gibt es allerdings sehr viel Unwissen im Netz, auch bei sogenannten Beratern).

      Wenn die USA ein Geheimdienststaat sind, und das ist anscheinend der Fall, dann haben unrechtmäßige Übermittlungen personenbezogener Daten dorthin zu unterbleiben. Es ist also extrem einfach. Google u.a. sind m.E. das Problem, nicht die DSGVO. Ich übertrage selber keine Daten in die USA. Warum müssen es dann andere von Deutschland aus tun?

      Auf Dr. DSGVO finden Sie zahlreiche datenschutzfreundliche Alternativen für häufige Fragestellungen.

  4. Anonymous

    Die ganze Cookie Thematik und deren geforderte Einwilligung auf Webseiten ist doch vollkommen an der Realität vorbei und bringt überhaupt nicht das was es bringen soll – Schutz für den Verbraucher / Internetsurfer.
    Was macht den der/die 60 – 80 Jährige, wenn solch eine Cookie-Meldung auftaucht? Er klickt auf OK, weil es ihm sein Enkel so gesagt hat (richtigerweise, denn sonst funktionieren vielleicht Teile der Webseite nicht).
    Und was passiert als nächstes? Es kommt “Dürfen wir Sie über Neuigkeiten benachrichtigen?” und zack – schon hat der Opa oder die OMA Pushbenachrichtigungen abonniert und wird zugeballert mit Nachrichten.

    • Dr. DSGVO

      Danke für Ihre Rückmeldung!

      Ich sehe es anders: Wenn es Firmen wie Google oder Facebook nicht gäbe, gäbe es auch weniger Probleme und weniger nervige Cookie Popups.

      Bitte richten Sie Ihre Beschwerde gegen Internetkonzerne oder gegen Unternehmen, die auf deren Webseiten Dienste dieser Konzerne ohne Rechtsgrundlage einbinden.

Schreiben Sie einen Kommentar

Ihre Mail-Adresse wird nicht veröffentlicht.

Nächster Beitrag

Cookies und das TTDSG: Welche Cookies sind ohne Einwilligung erlaubt?