Cookie-Bot darf nicht verwendet werden
VG Wiesbaden, Beschluss vom 01.12.2021, Az. 6 L 738/21 WI
Wichtig zu wissen: Entscheidung zu Cookie-Bot
Nach einer Entscheidung des Verwaltungsgerichtes Wiesbaden (Beschluss vom 1.12.201, Az. 6 L 738/21 WI) (Pressemitteilung vom 06.12.2021) dürfen solche Consent-Management-Tools nicht genutzt werden,
- bei denen Daten (z. B. die IP-Adresse) an ein Drittland (hier: USA) übermittelt werden,
- in dem Drittland kein angemessenes Datenschutzniveau vorhanden ist,
- der Nutzer nicht ausdrücklich auf die Risiken hingewiesen wurde
- und erst dann wirksam in die Verarbeitung eingewilligt hat.
Das Gericht verweist u. a. auf die Risiken für die personenbezogenen Daten, die von US-amerikanischen Unternehmen auf europäischen Servern gespeichert werden, durch den sog. Cloud-Act (siehe unten).
Das Gericht hatte die Verwendung des Web-Tools Cookie-Bot des dänischen Anbieters Cybot zu bewerten und kam zu dem Ergebnis, dass die Verwendung dieses Tools nicht rechtmäßig sei.
Folgt man konsequent der Rechtsauffassung der Verwaltungsrichter, ist die Verwendung von Diensten US-amerikanischer Unternehmen, die ihre Daten in Europa speichern nur schwerlich rechtskonform darstellbar.
Welche 5 Dinge müssen jetzt bei Cookie Verwaltungstools erledigt werden?
- Prüfen Sie, ob auf Ihrer Website ein Consent-Management-Tool zur Verwaltung der Nutzereinwilligungen eingesetzt wird – insbesondere Cookie-Bot -, das Daten auf Servern hostet, auf die US-Behörden Zugriff haben können (Stichwort: CLOUD Act) oder ob es vergleichbarer Anwendungen auch von EU-Unternehmen gibt, die keine US-amerikanische Mutter haben und damit nicht dem CLOUD Act unterworfen sind.
- Bei anderen Anwendungen prüfen Sie nochmals, ob diese im Einklang mit den Empfehlungen der Aufsichtsbehörden, also speziell mit Abschluss eines Verarbeitungsvertrages nach den EU-Standardvertragsklauseln, genutzt werden.
- Prüfen Sie, ob die von Ihnen verwendeten Dienste ggf. auf webbasierte Services (Google Drive, Amazon AWS usw.) zugreifen – also im Verarbeitungsprozess US-amerikanische Anbieter eingebunden sind.
- Achten Sie darauf, dass der Transfer von Daten in Drittländer (z. B. USA) unter den Voraussetzungen der Art. 44 ff. DSGVO erfolgt.
- Beobachten Sie die Entwicklung: Denn nach dem Urteil des EuGH (Schrems II) ist noch vieles unklar.
P.S.: Die Hochschule RheinMain (www.hs-rm.de) hat das Tool Cookie-Bot bisher (14.12.2021) nicht von der Webseite entfernt. Wir können daher davon ausgehen, dass der Rechtsstreit in die nächste Runde geht …
P.S.S.: Der Verwaltungsgerichtshof Hessen (Beschl. v. 17.01.2022, Az. 10 B 2486/21) hat, dass die erstinstanzliche Entscheidung des Verwaltungsgerichtes Wiesbaden aufgehoben wird. Die Frage der Vereinbarkeit des Cookie-Consent-Tools Cookie-Bot sei mit der DSGVO nicht für ein verwaltungsgerichtliches Eilverfahren geeignet. Nun muss das Verwaltungsgericht nochmals im Hauptsacheverfahren entscheiden. Die Hochschule RheinMain (www.hs-rm.de) hat das Tool Cookie-Bot immer noch nicht (18.02.2022) von der Webseite entfernt.
Hintergrundwissen: CLOUD Act
Der CLOUD-Act (Clarifying Lawful Overseas Use of Data Act) existiert seit März 2018 und ergänzt den „Stored Communications Act (SCA)“ von 1986.
Durch den CLOUD-Act werden US-amerikanische Anbieter elektronischer Kommunikations- und Remote-Computing-Dienste, wie Internet-Provider, Cloud Anbieter usw. verpflichtet, US-Behörden einen Zugriff auf gespeicherte Daten (personenbezogene Daten und andere Daten z.B. Geschäftsgeheimnisse) zu ermöglichen, auch wenn die Daten nicht in den USA gespeichert werden.
Hintergrund war, dass Microsoft Daten in Irland speichert und sich gegen den Zugriff von US-Behörden der Zugriff auf die Daten, insbesondere E‑Mails, wehrte.
Ein US-Berufungsgericht entschied 2016 in der Rechtssache „Microsoft Corp. gegen die Vereinigten Staaten“, dass Durchsuchungsbefehle nach dem „Stored Communications Act (SCA)“ von 1986 keine extraterritoriale Reichweite haben, also außerhalb der USA keine Wirkung entfalten können. Durch den SCA waren u.a. US-Provider verpflichtet worden, gespeicherte Daten an US-Behörden offenzulegen.
Neben Microsoft verweigerten auch Apple und andere Unternehmen die Herausgabe der Daten nach dem SCA.
Durch die Ergänzung des SCA in 2018 durch den CLOUD-Act wurde eine Reichweite geschaffen worden, die über das Territorium der USA hinausgeht und die Anbieter verpflichtet, die Daten herauszugeben, die sie im Besitz, Gewahrsam oder unter Kontrolle haben.
Zudem kann den Unternehmen verboten werden, den Eigentümer der Daten über die Abfrage und den Zugriff auf die Daten zu informieren. Faktisch ist dann kein Rechtsschutz durch den betroffenen Nutzer möglich, da dieser von der Online-Durchsuchung überhaupt keine Kenntnis hat.
Durch den CLOUD-Act werden zudem Rechtshilfeabkommen mit anderen Ländern unterlaufen. Dieses ist aber gewollte, denn Rechtshilfeabkommen erfordern ein strukturiertes, z.T. auch zeitaufwändiges Verfahren, in das die zuständigen nationalen Gerichte der betroffenen Person eingebunden sind bzw. werden.
So gilt seit 2003 in Strafsachen das Abkommen zwischen der Europäischen Union und den Vereinigten Staaten von Amerika (Mutual Leagal Assistance in Criminal Matters Treaty, MLAT)
Nach dem CLOUD-Act kann aber ein US-Behörde entscheiden, auf wessen Daten sie zugreifen will, ohne dass es dem Betroffenen möglich ist, sich dagegen zu wehren. Auch die betroffenen Staaten erfahren im Zweifel nicht, dass auf Daten ihrer Bürger zugegriffen wird bzw. wurde.