Der Anbieter des genutzten Cookie-Dienstes hat einen Firmensitz in Dänemark. Auf seiner Website heißt es:
Der Schutz der Privatsphäre muss ein integraler Bestandteil jeder einzelnen Website sein.
Cookiebot CMP verwirklicht diese Vision mit drei einfach zu implementierenden, vollautomatischen Kernfunktionen: Cookie-Zustimmung, Cookie-Überwachung und Cookie-Kontrolle.
Dieses Tool soll helfen, eine Website DSGVO-konform zu gestalten und setzt dafür ein Cookie, das sich merken soll, ob der*die Websitebesucher*in ausgewählt hat, dass er*sie Cookies erlaubt oder eben nicht. Das ist legitim und goldrichtig, denn nur so kann eine Website rechtssicher betreten werden, wenn diese Cookies verwendet.
Heikel ist die Datenverarbeitung in den USA
Was man bei einem dänischen Anbieter so zunächst nicht vermuten würde und was rechtlich nicht einwandfrei ist, beschreibt das Verwaltungsgericht Wiesbaden:
Der Cookie-Dienst verarbeite die vollständige IP-Adresse der Endnutzer auf Servern eines Unternehmens, dessen Unternehmenszentrale sich in den USA befinde. Hierdurch entstehe ein Drittland-Bezug, nämlich zu den USA, welcher im Hinblick auf die sog. Schrems II-Entscheidung des Europäischen Gerichtshofs so unzulässig sei. Die Nutzer der Webseite der Hochschule würden nicht um ihre Einwilligung für eine Datenübermittlung in die USA gebeten werden. Es fände auch keine Unterrichtung über die mit der Übermittlung verbundenen möglichen Risiken durch den sog. Cloud-Act statt. Eine solche Datenübermittlung sei auch nicht für das Betreiben der Webseite der Hochschule erforderlich.
Zwar übermittle nicht die Hochschule selbst die Daten in die USA. Sie sei aber dennoch die für die Datenübermittlung verantwortliche Stelle. Sie entscheide durch das Einbinden auf ihrer Webseite darüber, dass die Erhebung und Übermittlung durch den Cookie-Dienst erfolge. Sie entscheide auch mittelbar über den Zweck der Verarbeitung, da sie in Kenntnis der Zwecke, die der eingebundene Dienst angebe, sich für oder gegen die Verwendung entscheiden könne. Hiergegen spreche auch nicht, dass sie für nachfolgende Vorgänge, wie der Verwendung der Daten durch den Dienst, nicht mehr verantwortlich sei.
Das VG Wiesbaden hat der Websitebetreiberin im Wege der einstweiligen Anordnung nunmehr untersagt, diesen Cookie-Dienst auf ihrer Website zum Zweck des Einholens von Einwilligungen in der Weise einzubinden,
(VG Wiesbaden, Beschluss vom 01.12.2021, 6 L 738/21.WI)
Fazit
Das Gericht stellt fest:
- Ein*e Websitebetreiber*in haftet ggf. für Datenschutzverletzungen, wenn er*sie sich nicht schlau macht, was sich hinter einer genutzten Software verbirgt.
- Cookies, die ohne Einwilligung von Seitenbesucher*innen und ohne wirkliche Notwendigkeit außerhalb der EU verarbeitet werden, sind nicht erlaubt.
1. Art. 79 Abs. 1 DS-GVO verweist nicht allein auf eine Verletzung der Rechte in Kapitel 3 der DS-GVO, sondern auf jede Verletzung von materiellem Datenschutzrecht. Die Norm entfaltet keine Sperrwirkung für weitere gerichtliche Rechtsbehelfe. Dies würde dem Effektivitätsgrundsatz des Europarechts sowie dem Recht auf einen „wirksamen“ gerichtlichen Rechtsbehelf nach Art. 79 DS-GVO widersprechen.
2. Da der Cookiedienst die vollständige IP-Adresse der Endnutzer auf Servern eines Unternehmens verarbeitet, dessen Unternehmenszentrale sich in den USA befindet, findet eine Datenübermittlung in ein Drittland, nämlich die USA, nach Art. 44 DS-GVO statt.
3. Die für eine Datenübermittlung in ein Drittland, für das eine internationale Übereinkunft nach Art. 48 DS-GVO nicht besteht, erforderlichen Voraussetzungen nach Art. 49 DS-GVO sind vorliegend nicht gegeben. Denn die Nutzer der Webseite werden nicht um ihre Einwilligung für eine Datenübermittlung in die USA gebeten und nicht über die damit verbundenen möglichen Risiken unterrichtet.
4. Die Datenübermittlung in die USA ist nicht aus wichtigen Gründen des öffentlichen Interesses notwendig, da für die Öffentlichkeit der Antragsgegnerin eine Datenübermittlung in die USA jedenfalls nicht erforderlich ist.
5. Die Antragsgegnerin ist die für die Datenübermittlung verantwortliche Stelle, da sie durch das Einbinden auf ihrer Webseite darüber entscheidet, dass die Erhebung und Übermittlung durch den Cookiedienst erfolgt. Sie entscheidet auch mittelbar über den Zweck der Verarbeitung, da sie in Kenntnis der Zwecke, die der eingebundene Dienst angibt, sich für oder gegen die Verwendung entscheiden kann. Hiergegen spricht auch nicht, dass sie für nachfolgende Vorgänge, wie die Verwendung der Daten durch den Dienst, nicht mehr verantwortlich ist.
6. Aus einer Kombination eines den Webseiten-Besucher identifizierenden Keys, der im Browser des Nutzers gespeichert wird, und der übermittelten vollständigen IP-Adresse ist der Endnutzer eindeutig identifizierbar. Diese Daten stellen in Kombination personenbeziehbare Daten dar.
Quelle: Pressemitteilung des VG Wiesbaden Nr. 17/2021 v. 06.12.2021
Sind mediageno-Websites von dem Urteil betroffen?
Nein. Wir arbeiten für die Cookie-Einwilligung mit dem Cookie-Consent-Tool „Borlabs Cookie“ des Anbieters Benjamin A. Bornschein (Made in Hamburg 😉 ).
Borlabs Cookie speichert keine personenbezogenen Daten und übermittelt keinerlei Daten über Besucher an Borlabs oder andere Unternehmen. Die Daten werden beim eigenen Webhoster gespeichert. Das Borlabs-Cookie-Plugin ist somit vom Beschluss des VG Wiesbadens nicht betroffen.
Welche Informationen werden im Cookie gespeichert?
Im Cookie borlabs-cookie werden folgende Informationen gespeichert:
- Cookie-Laufzeit
- Cookie-Version
- Domain und Pfad der WordPress Website
- Einwilligungen
- UID
Die UID ist eine per Zufall generierte ID und keine personenbezogene Information.