Cookie-Banner Verbot: Cookiebot nicht datenschutzkonform!

Florian Decker
Fachanwalt für gewerblichen Rechtsschutz
Angestellter Rechtsanwalt
Kanzlei Rechtsanwälte Dr. Schultheiß

Aktuell ist in den Medien von einem Verbot des Cookie-Banners „Cookiebot“ zu lesen. Anlass für diese Berichte, ist eine Entscheidung der 6. Kammer des Verwaltungsgerichts Wiesbaden (Beschluss vom 01.12.2021 – Az. 6 L 738/21.WI). Das Gericht hatte hierin der Hochschule RheinMain untersagt, den Dienst „Cookiebot“ auf der Website zu nutzen. Wir erläutern was es mit diesem Beschluss auf sich hat.

Was ist Cookiebot?

Cookiebot ist ein Consent-Tool (auch Cookie-Banner genannt) des dänischen Unternehmens Cybot. Dieses hat sich 2021 mit dem deutschen Unternehmen Usercentrics zusammengeschlossen. Die Kernfunktion von Cookie-Bannern wie Cookiebot, ist das Einholen einer Einwilligung (daher kommt auch die treffendere Bezeichnung als „Consent-Tools“) der Websitebesucher, etwa zum Setzen von Cookies.

Was ist passiert?

Die Hochschule RheinMain nutzte auf ihrer Website den Cookie-Banner von Cookiebot (wie zahlreiche andere Website-Betreiber in Deutschland). Die weitere Nutzung wurde der Hochschule seitens des VG Wiesbaden in einem Eilverfahren am 01.12.2021 untersagt. Begründet wurde dies damit, dass Cookiebot von den Websitenutzern personenbezogene Daten, wie die vollständige IP-Adresse, erhebt und diese auf EU-Servern des US-amerikanischen Unternehmens Akamai Technologies Inc. 145 Broadway, Cambridge, Massachusetts 02142, USA speichert.

Akamai Technologies, Inc. betreibt ein sogenanntes Content-Delivery-Network (kurz CDN). Hierbei wird die Website nicht auf einem einzelnen Server gehostet, sondern über ein Netzwerk von räumlich verteilten, ggf. miteinander verbundenen und weltweit positionierten Servern ausgeliefert. Verwendet wird der Server, der sich am nächsten zum jeweiligen Nutzer befindet, was zur Stabilität und Schnelligkeit eines Dienstes erheblich beitragen kann, daher werden derartige CNDs von vielen Diensten genutzt.

Hiermit wird jedoch riskiert, dass ein unbefugter Zugriff durch US-Behörden auf Grundlage des sogenannten CLOUD Acts stattfindet, worin das VG Wiesbaden eine Datenschutzverletzung sah.

Was ist der CLOUD Act?

Durch den CLOUD Act (Clarifying Lawful Overseas Use of Data Act) werden US-amerikanischen Behörden ermächtigt, auf Unternehmens- und Kundendaten von Cloud- und Kommunikationsanbietern zuzugreifen, auch wenn diese außerhalb der USA gespeichert werden und dort von Tochterunternehmen betrieben werden, solange es sich bei dem (Mutter)Unternehmen um ein US-Unternehmen (mit Sitz in den USA bzw. dem US-amerikanischen Recht unterliegend) handelt.

Bedeutet: Auch wenn ein Dienst wie Microsoft, Google, Amazon AWS oder Akamai die Daten ausschließlich auf Servern innerhalb der EU speichern, können US-Behörden unter den Voraussetzungen des CLOUD Acts, auf dort gespeicherte, personenbezogene Daten von EU-Bürgern zugreifen.

Warum war die Hochschule RheinMain und nicht Cookiebot der „Schuldige“?

Die Hochschule RheinMain übermittle hier nun selbst keine personenbezogenen Daten ins EU-Ausland; sie war allerdings dennoch die für die Datenübermittlung verantwortliche Stelle:

„Die Antragsgegnerin ist für diese Datenverarbeitung auch verantwortlich i. S. d. Art. 24, Art. 4 Ziff. 7 DS-GVO. Demnach ist Verantwortlicher die Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Dies ist vorliegend der Fall. Indem die Antragsgegnerin sich dafür entscheidet, den Dienst auf ihrer Webseite einzusetzen […] Für die Erhebung und Übermittlung an Z, die unmittelbar durch die Einbindung des Dienstes auf der Webseite der Antragsgegnerin ausgelöst werden, ist sie verantwortlich.“

Was bedeutet das „Cookiebot Verbot“ für Websitebetreiber?

Einfach formuliert, tragen Sie als Websitebetreiber das Risiko dafür, dass die Dienste auf Ihrer Website DSGVO-konform sind.

Es klingt paradox, dass die Hochschule RheinMain durch die Verwendung eines Consent-Tools die Datenschutzvorgaben einhalten wollte und dadurch quasi dem Fuchs den Hühnerstall anvertraut hat. Dennoch ist die Entscheidung des Gerichts wohl rechtlich folgerichtig.

Nun bindet diese Entscheidung zunächst einmal nur die an dem Verfahren Beteiligten. Es mag sein, dass andere regional zuständige Datenschutzbehörden oder andere Gerichte die Lage abweichend beurteilen. Allerdings besteht, was das VG Wiesbaden hier jdf. deutlich gemacht hat, für alle Websitebetreiber beim Einsatz von Cookiebot die Gefahr, von der für sie zuständigen Behörde in ähnlicher Weise angegangen zu werden.

Wie reagierte Cookiebot und die Hochschule RheinMain?

Auf der Website der Hochschule RheinMain wird (Stand: 29.01.2022) immer noch der Dienst Cookiebot verwendet. Cookiebot äußerte sich am 22.12.2021 in einer Stellungnahme, welche hier abgerufen werden kann.

Hätte der Abschluss der Standardvertragsklauseln geholfen?

Diverse Juristen gehen davon aus, dass die Verwendung des Dienstes „Cookiebot“ zulässig gewesen wäre, wenn die Hochschule RheinMain entsprechende Standartvertragsklauseln mit dem Dienstanbieter abgeschlossen hätte. Dabei handelt es sich um Klauseln, die von der Europäischen Kommission herausgegeben werden. Verwendet werden die Standardvertragsklauseln, um Verträge mit US-Anbietern über die Übermittlung personenbezogener Daten in die USA zu schließen.

Es ist unklar, ob dies vorliegend geschehen ist, da innerhalb des Beschlusses des VG Wiesbaden nicht hierauf eingegangen wurde.

Jedoch teilen wir die Einschätzung nicht, dass Standardvertragsklauseln hier den Einsatz rechtskonform hätten werden lassen. Denn der EuGH hat zwar innerhalb seiner „Schrems II Entscheidung“ bestätigt, dass die Standardvertragsklauseln weiterhin zulässig sind, jedoch zeitgleich die Datenschutzbehörden aufgefordert, einzelfallbezogen zu überprüfen, ob die Standardvertragsklauseln in dem Zielland überhaupt eine Wirkung entfalten können.

Das bedeutet verkürzt, dass auch ein Vertrag mit Standardvertragsklauseln schwer bis überhaupt nicht durchsetzbar ist, wenn in dem Zielland der Daten, kein der EU gleichwertiges Datenschutzniveau vorhanden ist. Unserer Auffassung nach, muss man dies bei den USA annehmen. Aktuell fehlt für die USA ein Angemessenheitsbeschluss. Gleiches gilt für entsprechende Garantien zwischen der EU und den USA. Der Schutz der Nutzerdaten kann im Zielland USA (und auf Servern, die außerhalb der USA von US-Unternehmen betrieben werden) auf Grund von FISA (Foreign Intelligence Surveillance Act – kurz FISA; zu Deutsch etwa „Gesetz zur Überwachung in der Auslandsaufklärung“, ein Gesetz, das die Auslandsaufklärung und Spionageabwehr der Vereinigten Staaten regelt)  sowie des CLOUD Acts nicht gewährleistet werden, da aktuell kein der EU gleichwertiges Datenschutzniveau vorhanden ist und keine Garantien im Hinblick auf das Unterbleiben von Zugriffen auf die übermittelten Daten durch staatliche Stellen gegeben sind.

Was sind die Folgen des Cookiebot-Verbots?

Das bleibt abzuwarten. Die Hochschule RheinMain kann gegen den Beschluss Beschwerde einlegen (wovon auszugehen ist, da der Dienst weiterhin auf der Website verwendet wird). Der Hessische Verwaltungsgerichtshof in Kassel müsste dann entscheiden. Sobald es hierüber Neuigkeiten gibt, werden wir Sie informieren.

Das Urteil könnte einen erheblichen „Rattenschwanz“ nach sich ziehen. Es ist davon auszugehen, dass die Entscheidung Einfluss auf weitere US-amerikanische Dienste und Website-Tools haben dürfte.

Wir jedenfalls haben auch vor diesem Beschluss jedes Tool auf Herz und Nieren geprüft, um genau solche Umstände zu vermeiden. Erst kürzlich haben wir so eine Verbindung des Tools Videoask eben zu dem US-Unternehmen Akamai Technologies Inc. gefunden (den gesamten Bericht können Sie hier nachlesen).

Kann man nun keine US-Dienste mehr nutzen?

Doch. Es muss allerdings gewährleistet sein, dass eine entsprechende rechtssichere Gestaltung vorhanden ist. Will man einen US-Dienst oder einen europäischen Dienst, welcher sich eines US-Dienstes bedient (wie in diesem Fall) nutzen, bedarf es neben einer allgemeinen datenschutzrechtliche Rechtfertigung nach Art. 6 DSGVO, einer ergänzenden Rechtfertigung für den stattfindenden Drittlandsdatentransfer bzw. den möglichen Zugriff von Behörden eines Drittlandes, die sich aus Art. 44 ff. DSGVO ergeben muss.

Nach unserer, auch in ähnlichen Konstellationen mit US-Berührung vertretenen Auffassung, muss dies mittels Einholung einer ausdrücklichen, informierten Einwilligung des Nutzers, die vor dem Start der Datenverarbeitung durch einen Dienst abzugeben/einzuholen ist, möglich sein.

Dies erfordert einen entsprechen hinreichend informierenden Einwilligungstext, der den Nutzer auf die bestehenden Risiken hinweist, sowie eine ausführliche Erläuterung in der Datenschutzerklärung sowie die darauf folgende aktive Abgabe der Einwilligung. Es ist indes zu betonen, dass die Rechtslage und insbesondere die Folgen des Schrems-II-Entscheides des EuGH in dieser und vielen anderen Konstellationen noch immer nicht abschließend geklärt sind und sich erst mit der Zeit zeigen wird, wie Gerichte in entsprechenden Fällen entscheiden werden.

Ausgenommen hiervon sind jedoch Tracking-Dienste wie Google Analytics wenn man sich die Einschätzung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder in ihrer Orientierungshilfe vom 20.12.2021 ansieht: „Personenbezogene Daten, die im Zusammenhang mit der regelmäßigen Nachverfolgung von Nutzerverhalten auf Webseiten oder in Apps verarbeitet werden, können grundsätzlich nicht auf Grundlage einer Einwilligung nach Art. 49 Abs. 1 lit. a DS-GVO in ein Drittland übermittelt werden. Umfang und Regelmäßigkeit solcher Transfers widersprechen regelmäßig dem Charakter des Art. 49 DS-GVO als Ausnahmevorschrift und den Anforderungen aus Art. 44 S. 2 DS-GVO.“