Site icon Privacy-Security-Consulting

VG Wiesbaden: Cookiebot, der Google Tag Manager, CDNs und der Datentransfer in die USA

Banner: Wir sind da, wenn Sie uns brauchen

Update:
Der hess. Verwaltungsgerichtshof hat aufgrund der Bedeutung des Falles und der Komplexität das Urteil des VG Wiesbaden außer Kraft gesetzt.

Es ist zwar “nur” eine vorläufige Anordnung, die das Verwaltungsgericht Wiesbaden am 1.12.2021 erlassen hat, aber diese hat es gleich in mehrfacher Hinsicht in sich.
Worum war es im verhandelten Fall gegangen?
Die Hochschule Rhein-Main hatte auf Ihrer Website unter hs-rm.de, die unter anderem einen Onlinekatalog der Hochschulbibliothek für die Recherche nach Fachliteratur ermöglichte, sowohl den Google Tag Manager, als auch das Consent-Tool Cookiebot eingebunden.
Am 26.5.2021 mahnte der Antragsteller die Hochschule ab und forderte diese auf, eine strafbewehrte Unterlassungserklärung bezüglich der Dienste Google Tag Manager und Cookiebot zu unterzeichnen.
Nach dem 7.6.2021 verzichtete die Hochschule auf den Einsatz des Google Tag Managers und teilte dies dem Antragsteller schriftlich mit. Zugleich lehnte die Hochschule die Abgabe einer strafbewehrten Unterlassungserklärung ab. Das Consent-Tool Cookiebot wurde weiter eingesetzt. Am 8.6.2021 hat deshalb der Antragsteller um einstweiligen Rechtsschutz nachgesucht.

Mit dem Verzicht der Hochschule auf den Einsatz des Google Tag Managers war die Situation nicht bereinigt.

Das Verwaltungsgericht Wiesbaden untersagte mit dem Beschluss vom 01.12.2021 (Az: 6 L 738/21.WI) den weiteren Einsatz des Consent-Tools Cookiebot mit sofortiger Wirkung bis zur Entscheidung in der Hauptsache. Die Begründung des Beschlusses ist ausgesprochen lesenswert und es wird spannend zu beobachten, ob das Urteil in der Hauptsache gleich lauten wird.

Sie wissen nicht, ob Ihr Shop oder Website DSGVO-konform ist?

Ein unabhängiges Datenschutz-Audit gibt Aufschluss und ergänzt Ihre Pflichtdokumentation.

Der Beschluss

Nach dem Verzicht der Hochschule auf den Einsatz des Google Tag Managers stand lediglich das Begehren, den Einsatz von Cookiebot zu untersagen, im Raum. Der Beschluss des VG Wiesbaden im Wortlaut:

Im Übrigen ist der Antrag des Antragstellers zulässig und begründet. Die Antragsgegnerin ist verpflichtet, die Einbindung des Dienstes „C[xxx]bot“ zum Zweck des Einholens von Einwilligungen auf ihrer Website www.hs-rm.de zu beenden, da die Einbindung mit der rechtswidrigen Übermittlung von personenbezogener Daten der Webseitennutzer und damit insbesondere des Antragstellers einhergeht.

https://rewis.io/service/pdf/urteile/2tj-01-12-2021-6-l-73821wi.pdf

Die Begründung des Gerichts ist umfassender Natur und trifft insgesamt die Problematik des Drittstaatentransfers nach dem Schrems II-Urteil des Europäischen Gerichtshofs.

Die Entscheidungsgründe

Zunächst stellte das Gericht fest, dass zur Erbringung des Dienstes durch den Cookiebot-Anbieter Cybot unter anderem die ungekürzte IP-Adresse an den US-amerikanischen Dienstleister Akamai Technologies übertragen wird. Der Dienstleister bietet CDN-Dienstleistungen zum Schutz von Websites beispielsweise gegen DDOS-Attacken an. Die Argumentation der Verteidigung, es würden lediglich gekürzte und anonymisierte IP-Adressen übertragen, wurde seitens des Gerichts für nicht zutreffend gehalten:

Sie behauptet zwar, dass lediglich eine anonymisierte IP-Adresse übermittelt werde, bei der die letzten drei Ziffern auf Null gesetzt würden. Dem steht aber die anderslautende Erklärung von Cy. selbst entgegen. Selbst wenn der Dienst C[xxx]bot nur bei erstmaligem Laden die ungekürzte IP- Adresse überträgt, handelt es sich hierbei dennoch um eine datenschutzrechtlich beachtliche Verarbeitung. Bereits das Erheben und Übermitteln personenbezogener Daten stellt gemäß Art. 4 Ziff. 2 DS-GVO eine Verarbeitung dar.

https://rewis.io/service/pdf/urteile/2tj-01-12-2021-6-l-73821wi.pdf

Die Übermittlung personenbezogener Daten in die USA kann nach dem Schrems II – Urteil des EuGH nur unter der Voraussetzung zusätzlicher Garantien und Maßnahmen zum Abschluss eines Vertrages, basierend auf den Standardvertragsklauseln der EU (SCCs) erfolgen. Diese Voraussetzung lag im Falle der Datenübermittlung durch Cybot, den Consent-Tool Anbieter, nicht vor. Folglich war die Datenübermittlung allenfalls legal unter der Voraussetzung des Art. 49 Abs. 1 Satz 1 lit. a-f und Satz 2 möglich. Das Vorliegen dieser Rechtfertigungsgründe wurde durch das VG Wiesbaden verneint.

Zudem wurden nach Auffassung des Gerichts weitere Daten, darunter ein Cookie-Key übertragen, die eine personalisierte Auswertung und Profilbildung ermöglichen würden.

Der Key kann demnach eindeutig dem Webseiten-Nutzer und dessen Cookie-Präferenzen zugeordnet werden, anderenfalls könnte der Dienst den Webseiten-Nutzer und seine ehemals angegebenen Cookie-Präferenzen nicht in Verbindung bringen. Gemeinsam mit der ebenfalls übermittelten (siehe oben) ungekürzten IP-Adresse des Webseiten-Nutzers ist dieser durch C[xxx]bot damit eindeutig identifizierbar. Der Key mag insofern „anonym“ sein, als er nicht mit dem Namen des Endnutzers in Verbindung gebracht werden kann. Eine Individualisierung mithilfe der übrigen vorhandenen Daten über den Endnutzer schließt dies aber nicht aus, weil der Nutzer aufgrund der Speicherung des Keys identifiziert werden kann, auch wenn sein Name nicht bekannt ist.

https://rewis.io/service/pdf/urteile/2tj-01-12-2021-6-l-73821wi.pdf

Werden CDNs und Dienste wie der Google Tag Manager oder Cookiebot zum unkalkulierbaren Risiko?

Wir hatten schon in der Vergangenheit mehrfach darauf hingewiesen, dass der Einsatz von Systemen und Diensten in Drittstaaten nur unter eng begrenzten Voraussetzungen erfolgen sollte. Im Kontext einer global vernetzten Online-Ökonomie ist es für Unternehmen nahezu unmöglich, auf den Transfer personenbezogener Daten insbesondere in die USA zu verzichten. Die Argumentation des Wiesbadener Gerichts, dass beim Einsatz von Consent-Tools alternative europäische Varianten zur Verfügung stehen, die ohne derartigen Datentransfer auskommen, ist nachvollziehbar. Schwierig wird es jedoch beim Einsatz von Diensten, wie beispielsweise den von Akamai angebotenen CDN-Dienstleistungen zur Erhöhung der Datensicherheit. Zumindest aktuell dürfte eine derartige Sicherheitsinfrastruktur in Europa zu vertretbaren Konditionen kaum zu finden sein. Unternehmen sind gut beraten, sämtliche Verarbeitungsprozesse auf einen kritischen Prüfstand zu stellen und datenschutzrechtlich unproblematischere Alternativen zu prüfen.

Update: Wir haben 20 Onlineshops führender Unternehmen auf die Umsetzung rechtlicher Verpflichtungen nach DSGVO und TTDSG geprüft und waren erstaunt. (Mehr dazu lesen)

Angebot
Sie haben Fragen? In einem kostenfreien telefonischen Erstgespräch evaluieren wir Ihren möglichen Beratungsbedarf. Nutzen Sie einfach unser Formular auf dieser Seite oder rufen uns gleich an.


Diese Seite verwendet die Shariff-Lösung der Ct.
Ihre Daten werden erst dann an Dritte übertragen, wenn Sie auf den entsprechenden Button klicken.

Herzlichen Dank fürs Teilen und Bekanntmachen dieser Seite.

Exit mobile version