Cookiebot Vg Wiesbaden

Coo­kie-Bot darf nicht ver­wen­det werden

VG Wies­ba­den, Beschluss vom 01.12.2021, Az. 6 L 738/21 WI

Wich­tig zu wis­sen: Ent­schei­dung zu Cookie-Bot

Nach einer Ent­schei­dung des Ver­wal­tungs­ge­rich­tes Wies­ba­den (Beschluss vom 1.12.201, Az. 6 L 738/21 WI) (Pres­se­mit­tei­lung vom 06.12.2021) dür­fen sol­che Con­sent-Manage­ment-Tools nicht genutzt werden,

  • bei denen Daten (z. B. die IP-Adres­se) an ein Dritt­land (hier: USA) über­mit­telt werden,
  • in dem Dritt­land kein ange­mes­se­nes Daten­schutz­ni­veau vor­han­den ist,
  • der Nut­zer nicht aus­drück­lich auf die Risi­ken hin­ge­wie­sen wurde
  • und erst dann wirk­sam in die Ver­ar­bei­tung ein­ge­wil­ligt hat.

Das Gericht ver­weist u. a. auf die Risi­ken für die per­so­nen­be­zo­ge­nen Daten, die von US-ame­ri­ka­ni­schen Unter­neh­men auf euro­päi­schen Ser­vern gespei­chert wer­den, durch den sog. Cloud-Act (sie­he unten).

Das Gericht hat­te die Ver­wen­dung des Web-Tools Coo­kie-Bot des däni­schen Anbie­ters Cybot zu bewer­ten und kam zu dem Ergeb­nis, dass die Ver­wen­dung die­ses Tools nicht recht­mä­ßig sei.

Folgt man kon­se­quent der Rechts­auf­fas­sung der Ver­wal­tungs­rich­ter, ist die Ver­wen­dung von Diens­ten US-ame­ri­ka­ni­scher Unter­neh­men, die ihre Daten in Euro­pa spei­chern nur schwer­lich rechts­kon­form dar­stell­bar.

Wel­che 5 Din­ge müs­sen jetzt bei Coo­kie Ver­wal­tungs­tools erle­digt werden?

  1. Prü­fen Sie, ob auf Ihrer Web­site ein Con­sent-Manage­ment-Tool zur Ver­wal­tung der Nut­zer­ein­wil­li­gun­gen ein­ge­setzt wird – ins­be­son­de­re Coo­kie-Bot -, das Daten auf Ser­vern hos­tet, auf die US-Behör­den Zugriff haben kön­nen (Stich­wort: CLOUD Act) oder ob es ver­gleich­ba­rer Anwen­dun­gen auch von EU-Unter­neh­men gibt, die kei­ne US-ame­ri­ka­ni­sche Mut­ter haben und damit nicht dem CLOUD Act unter­wor­fen sind.
  2. Bei ande­ren Anwen­dun­gen prü­fen Sie noch­mals, ob die­se im Ein­klang mit den Emp­feh­lun­gen der Auf­sichts­be­hör­den, also spe­zi­ell mit Abschluss eines Ver­ar­bei­tungs­ver­tra­ges nach den EU-Stan­dard­ver­trags­klau­seln, genutzt werden.
  3. Prü­fen Sie, ob die von Ihnen ver­wen­de­ten Diens­te ggf. auf web­ba­sier­te Ser­vices (Goog­le Dri­ve, Ama­zon AWS usw.) zugrei­fen – also im Ver­ar­bei­tungs­pro­zess US-ame­ri­ka­ni­sche Anbie­ter ein­ge­bun­den sind.
  4. Ach­ten Sie dar­auf, dass der Trans­fer von Daten in Dritt­län­der (z. B. USA) unter den Vor­aus­set­zun­gen der Art. 44 ff. DSGVO erfolgt.
  5. Beob­ach­ten Sie die Ent­wick­lung: Denn nach dem Urteil des EuGH (Schrems II) ist noch vie­les unklar.

P.S.: Die Hoch­schu­le Rhein­Main (www​.hs​-rm​.de) hat das Tool Coo­kie-Bot bis­her (14.12.2021) nicht von der Web­sei­te ent­fernt. Wir kön­nen daher davon aus­ge­hen, dass der Rechts­streit in die nächs­te Run­de geht …

P.S.S.: Der Ver­wal­tungs­ge­richts­hof Hes­sen (Beschl. v. 17.01.2022, Az. 10 B 2486/21) hat, dass die erst­in­stanz­li­che Ent­schei­dung des Ver­wal­tungs­ge­rich­tes Wies­ba­den auf­ge­ho­ben wird. Die Fra­ge der Ver­ein­bar­keit des Coo­kie-Con­sent-Tools Coo­kie-Bot sei mit der DSGVO nicht für ein ver­wal­tungs­ge­richt­li­ches Eil­ver­fah­ren geeig­net. Nun muss das Ver­wal­tungs­ge­richt noch­mals im Haupt­sa­che­ver­fah­ren ent­schei­den. Die Hoch­schu­le Rhein­Main (www​.hs​-rm​.de) hat das Tool Coo­kie-Bot immer noch nicht (18.02.2022) von der Web­sei­te entfernt.

Hin­ter­grund­wis­sen: CLOUD Act

Der CLOUD-Act (Cla­ri­fy­ing Lawful Over­se­as Use of Data Act) exis­tiert seit März 2018 und ergänzt den „Stored Com­mu­ni­ca­ti­ons Act (SCA)“ von 1986.

Durch den CLOUD-Act wer­den US-ame­ri­ka­ni­sche Anbie­ter elek­tro­ni­scher Kom­mu­ni­ka­ti­ons- und Remo­te-Com­pu­ting-Diens­te, wie Inter­net-Pro­vi­der, Cloud Anbie­ter usw. ver­pflich­tet, US-Behör­den einen Zugriff auf gespei­cher­te Daten (per­so­nen­be­zo­ge­ne Daten und ande­re Daten z.B. Geschäfts­ge­heim­nis­se) zu ermög­li­chen, auch wenn die Daten nicht in den USA gespei­chert werden.

Hin­ter­grund war, dass Micro­soft Daten in Irland spei­chert und sich gegen den Zugriff von US-Behör­den der Zugriff auf die Daten, ins­be­son­de­re E‑Mails, wehrte.

Ein US-Beru­fungs­ge­richt ent­schied 2016 in der Rechts­sa­che „Micro­soft Corp. gegen die Ver­ei­nig­ten Staa­ten“, dass Durch­su­chungs­be­feh­le nach dem „Stored Com­mu­ni­ca­ti­ons Act (SCA)“ von 1986 kei­ne extra­ter­ri­to­ria­le Reich­wei­te haben, also außer­halb der USA kei­ne Wir­kung ent­fal­ten kön­nen. Durch den SCA waren u.a. US-Pro­vi­der ver­pflich­tet wor­den, gespei­cher­te Daten an US-Behör­den offenzulegen.

Neben Micro­soft ver­wei­ger­ten auch Apple und ande­re Unter­neh­men die Her­aus­ga­be der Daten nach dem SCA.

Durch die Ergän­zung des SCA in 2018 durch den CLOUD-Act wur­de eine Reich­wei­te geschaf­fen wor­den, die über das Ter­ri­to­ri­um der USA hin­aus­geht und die Anbie­ter ver­pflich­tet, die Daten her­aus­zu­ge­ben, die sie im Besitz, Gewahr­sam oder unter Kon­trol­le haben.

Zudem kann den Unter­neh­men ver­bo­ten wer­den, den Eigen­tü­mer der Daten über die Abfra­ge und den Zugriff auf die Daten zu infor­mie­ren. Fak­tisch ist dann kein Rechts­schutz durch den betrof­fe­nen Nut­zer mög­lich, da die­ser von der Online-Durch­su­chung über­haupt kei­ne Kennt­nis hat.

Durch den CLOUD-Act wer­den zudem Rechts­hil­fe­ab­kom­men mit ande­ren Län­dern unter­lau­fen. Die­ses ist aber gewoll­te, denn Rechts­hil­fe­ab­kom­men erfor­dern ein struk­tu­rier­tes, z.T. auch zeit­auf­wän­di­ges Ver­fah­ren, in das die zustän­di­gen natio­na­len Gerich­te der betrof­fe­nen Per­son ein­ge­bun­den sind bzw. werden.

So gilt seit 2003 in Straf­sa­chen das Abkom­men zwi­schen der Euro­päi­schen Uni­on und den Ver­ei­nig­ten Staa­ten von Ame­ri­ka (Mutu­al Lea­gal Assis­tance in Cri­mi­nal Mat­ters Trea­ty, MLAT)

Nach dem CLOUD-Act kann aber ein US-Behör­de ent­schei­den, auf wes­sen Daten sie zugrei­fen will, ohne dass es dem Betrof­fe­nen mög­lich ist, sich dage­gen zu weh­ren. Auch die betrof­fe­nen Staa­ten erfah­ren im Zwei­fel nicht, dass auf Daten ihrer Bür­ger zuge­grif­fen wird bzw. wurde.