Das Verwaltungsgericht (VG) Wiesbaden hat mit Beschluss vom 01.12.2021, Az. 6 L 738/21 den Einsatz des Cookie-Management Tools ‚Cookiebot‘ untersagt.
Bei Cookiebot handelt es sich um einen der vielen Anbieter eines Cookie-Management-Tools, auch Cookie-Consent-Tool genannt. Entsprechend soll Cookiebot es ermöglichen, eine datenschutzkonforme Einwilligung der Nutzer einer Webseite in die Verwendung der einegsetzten Cookies wie Tracking- und Marketing-Cookies einzuholen.
Das VG Wiesbaden hat einem Websitebertreiber nunmehr jedoch im Wege der einstweiligen Anordnung untersagt, den Dienst Cookiebot auf seiner Website zum Zweck des Einholens von Einwilligungen dergestalt einzubinden, dass personenbezogene oder -beziehbare Daten der Nutzer an einen von externen Unternehmen betriebenen Server übermittelt werden.
Hintergrund für das Verbot war der, dass Cookiebot ein Tool des Content-Delivery-Networks Akamai Technologies Inc. einsetzt, welche widerrum in den USA sitzt. Zu den an Akami übermittelten Daten gehörte unter anderem die IP-Adresse der Endbenutzer, die URLs der besuchten Websites mit Zeitstempeln mit zugehöriger IP-Adresse, der geografische Standort basierend auf der IP-Adresse sowie Telemetriedaten.
Als US-amerikanisches Unternehmen unterliege Akami dem US-amerikanischen Cloud-Act, einem US-amerikanischen Bundesgesetz vom 6.2.2018, so das VG WIesbaden. Nach diesem seien US-Anbieter elektronischer Kommunikations- oder Remote-Computing-Dienste dazu verpflichtet, sämtliche in ihrem Besitz, Gewahrsam oder ihrer Kontrolle („posession, custody or control“) befindlichen Daten offenzulegen und zwar unabhängig davon, ob die Daten innerhalb oder außerhalb der USA gespeichert seien.
Die an Akami übermittelte, ungekürzte IP-Adresse stelle ein personenbezogenes Datum dar, denn die IP-Adresse ermöglicht die genaue Identifizierung der Nutzer (vgl. EuGH, Urteil vom 19.10.2016 – C-582/14; BGH, Urteil vom 16.5.2017 – VI ZR 135/13.)
Die Nutzer der Webseite würden hingegen nicht um ihre Einwilligung für eine Datenübermittlung in die USA gebeten werden. Es fände auch keine Unterrichtung über die mit der Übermittlung verbundenen möglichen Risiken durch den sog. Cloud-Act statt. Eine solche Datenübermittlung sei auch nicht für das Betreiben der Webseite erforderlich.
Damit sei der Einsatz von Cookiebot insgesamt nicht datenschutzkonform.
Haben Sie Fragen zum dsgvo-konformen Einsatz von Cookie-Consent-Tools?
Kontaktieren Sie uns gerne, wir helfen.
Unkompliziert – schnell – verständlich.
ITjur
Anne Sulmann