Copy
 VG Wiesbaden: Cookiebot verstößt gegen die DSGVO
Inhalt des Newsletters im Browser anzeigen
Abmeldung vom Newsletter

VG Wiesbaden: Cookiebot verstößt gegen die DSGVO

Liebe Leserinnen und liebe Leser,


wer Cookies auf Webseiten nutzt, kommt um den Einsatz von Cookie-Management-Plattformen (CMP) kaum herum.

Eine der bekanntesten heißt Cookiebot und wurde aktuell von dem Verwaltungsgericht Wiesbaden wegen des Einsatzes eines US-Dienstleisters für DSGVO-widrig befunden.

Da ich zu dieser Sache viele Rückfragen erhalten habe und sie nicht nur Cookiebot, sondern alle Ihre Dienstleister betreffen könnte, erläutere ich die Entscheidung und schätze das praktische Risiko ein.
 
Und wenn Sie nach dem Lesen des Newsletters ein bisschen schmunzeln möchten, dann melden Sie sich z.B. beim "EU-Login" der EU-Kommission an. Dort hat man scheinbar keine Probleme damit, Ihre Daten zu Loginzwecken an Facebook, Google oder Twitter weiterzuleiten. Ist natürlich auch außerhalb der Jurisdiktion deutscher Gerichte. 😉

In diesem Sinne,
Ihr Dr. Thomas Schwenke 


Inhalte des Newsletters:

1. Cookiebot verboten? Eine rechtliche Einschätzung.
2. Cookies und 15% Gutschein für den Datenschutz-Generator.

Cookiebot verboten? Eine rechtliche Einschätzung

Das VG Wiesbaden hat der Hochschule RheinMain untersagt, die Cookie-Management-Plattform Cookiebot einzusetzen.


Begründet wurde das mit dem Einsatz des Content-Delivery-Networks Akamai (also eines Anbieters mit dem Inhalte online effizienter bereitgestellt werden können).

Akamai wurde hier zwar mittels der deutschen Tochter tätig, aber das Mutterunternehmen sitzt in den USA.

In den USA gilt der „Cloud Act“, der US-Sicherheitsbehörden erlaubt, von US-Unternehmen die Herausgabe von Daten auch dann zu verlangen, wenn sie in der EU verarbeitet werden.

Daher ist das Datenschutzniveau lt. des Gerichts nicht gewährleistet und Nutzer hätten einwilligen müssen (Art. 44, 49 DSGVO). Einwilligungen seien jedoch nur in Einzelfahren, aber nicht bei Massenverfahren, wie hier möglich.

Ferner sei die Hochschule für diese (potenzielle) US-Datenverarbeitung (mit)verantwortlich.
 

Ist die Entscheidung richtig?


Zu dieser Entscheidung ist zunächst anzumerken, dass sie in einem einstweiligen Verfahren erfolgt ist. D.h. es fand noch kein Hauptverfahren statt, wobei in diesem m.E. auch der EuGH zur Auslegung der behandelten Probleme befragt werden müsste. 

Folglich ist es also ähnlich wie bei Facebook-Seiten, die an sich auch schon von 10 Jahren von Gerichten für unzulässig befunden wurden, aber dennoch online sind, während die Gerichtsverfahren immer noch laufen.

D.h. es ist kein Urteil, es ist eine vorläufig Einschätzung. Erst wenn die Hochschule gegen die vorläufige Entscheidung vorgeht, dann findet ein Klageverfahren statt. 
 

Welche Punkte sind unklar?


Eine Überprüfung der Entscheidung wäre auch notwendig, denn hier sind viele Punkte gar nicht so klar, wie das Gericht es sieht.
  • Zum einen, ob IP-Adressen als personenbezogene Daten verarbeitet werden.
  • Ob ein Content-Delivery-Network der DSGVO unterfällt oder dem Telekommunikationsgesetz.
  • Wie hoch das Risiko für die Einwilligenden ist und ob Standardvertragsklauseln als Sicherheitsmaßnahme nicht ausreichen würden und Einwilligungen nur ausnahmsweise in Frage kommen.
  • Ob man für den Drittlandtransfer (mit)verantwortlich ist.
Zusammenfassend kann die Entscheidung genauso gut als abwegig betrachtet werden, wie man ihr auch zustimmen kann.
 

Wie hoch ist das praktische Risiko?


Wir hängen derzeit im Hinblick auf US-Daten-Transfers völlig in der Luft . Man kann zwar Standardvertragsklauseln abschließen und technische Schutzmaßnahmen durchführen. Da jedoch keiner sagen kann was wirklich richtig und falsch ist, können Gerichte praktisch in jede Richtung argumentieren und auf ihre persönlichen Präferenzen abstellen. D.h. ein anderes Gericht könnte auch anders entscheiden.

Wer sich diese Risiken ersparen will, sollte nicht nur Content-Delivery-Networks, sondern generell ausschließlich reine EU-Unternehmen nutzen. Ferner auch nur EU-Unternehmen, die selbst nur EU-Unternehmen einsetzen.

Oder um es kurz zu sagen: Das Risiko beim Einsatz von Cookiebot ist ähnlich hoch, wie das Risiko bei der Nutzung der Dienste von Microsoft, Google, Facebook oder Amazon. Und dieses Risiko wiederum kann man mittlerweile als ein unangenehmes, aber leider "übliches Geschäftsrisiko" bezeichnen.


Cookies und 15% Gutschein für den Datenschutz-Generator


Über die eingesetzten CMP und den Einsatz von Cookies müssen Sie auch in Ihrer Datenschutzerklärung informieren. In unserem Generator können Sie die gängigen Dienste auswählen. Zudem haben wir unsere Hinweise an das ab dem 01. Dezember geltende TTDSG angepasst.

Mit dem Gutscheincode "keks" erhalten Sie bis zum 16.12.2021 in unserem Lizenzshop einen Nachlass von 15% auf alle unsere Lizenzen, z.B. für die Erstellung von Datenschutzerklärungen oder Shop-AGB (kann im Warenkorb/Kasse eingegeben werden; nicht kombinierbar).
Dr. jur. Thomas Schwenke, LL.M. commercial (University of Auckland), Dipl.FinWirt (FH), ist Rechtsanwalt in Berlin, berät international Unternehmen sowie Agenturen im Datenschutz, Marketing- und Vertragsrecht, ist zertifizierter Datenschutzauditor und zertifizierter Datenschutzbeauftragter. Er gehört ferner zu den bekanntesten Marketinganwälten Deutschlands, ist Redner, Blogger und Podcaster sowie Buchautor. Website: https://drschwenke.de. Daneben betreibt Dr. Schwenke den Datenschutz-Generator.de, mit dem Datenschutzerklärungen, Impressen, Teilnahmebedingungen und andere Rechtsdokumente erstellt werden können.
Social Media Profile von Dr. Schwenke:
Twitter
Facebook
Website
Instagram
LinkedIn
Jetzt auch bei Spotify
Sie haben diese E-Mail erhalten, weil Sie sich für den Newsletter von Dr. Schwenke angemeldet oder dem Thema des Newsletters entsprechende Produkte und Leistungen erworben haben. Sie können dem Empfang weiterer E-Mails jederzeit widersprechen und Einwilligungen widerrufen Nutzen Sie hierzu den Abmeldelink am Ende dieser E-Mail. Hierfür entstehen keine weiteren Kosten, als die nach den Basistarifen (gesetzlich erforderlicher Hinweis gem. § 7 Abs. 3 UWG).
Rechtsanwaltskanzlei Dr. jur. Thomas Schwenke
LL.M. (University of Auckland), Dipl.FinWirt(FH)
Datenschutzbeauftragter TÜV Süd / Zertifikat-Nr.: 1346#311657914
Paul-Lincke-Ufer 42/43
10999 Berlin

Weitere geschäftliche Angaben im Impressum
Unsere Datenschutzerklärung.



Sie können hier Ihre E-Mail-Adresse ändern oder den Newsletter-Empfang kündigen.