{"id":60237,"date":"2022-01-24T08:20:45","date_gmt":"2022-01-24T06:20:45","guid":{"rendered":"\/?p=60237"},"modified":"2023-10-13T00:18:44","modified_gmt":"2023-10-12T22:18:44","slug":"cookiebot-dsgvo","status":"publish","type":"post","link":"https:\/\/www.lhr-law.de\/en\/magazin\/datenschutzrecht\/cookiebot-dsgvo\/","title":{"rendered":"VG Wiesbaden: Cookie-Dienst Cookiebot verst\u00f6\u00dft gegen DSGVO"},"content":{"rendered":"
\"Cookiebot
vegefox.com – stock.adobe.com<\/figcaption><\/figure>\n

Die Verwendung des Cookie-Dienstes \u201eCookiebot\u201c verst\u00f6\u00dft gegen die Datenschutz-Grundverordnung (DSGVO)<\/a>. Das hat das Verwaltungsgericht Wiesbaden entschieden. <\/em><\/p>\n

Bei dem Tool erfolge eine rechtswidrige \u00dcbermittlung personenbezogener Daten in die USA (VG Wiesbaden, Beschluss v. 1.12.2021, Az. <\/em>6 L 738\/21<\/a>.WI<\/em>).<\/em><\/p>\n

Die Hochschule RheinMain verwendete auf ihrer Internetseite die Dienste \u201eG[\u2026] Tag Manager\u201c und \u201eCookiebot\u201c. Ersterer Dienst soll die Einbindung fremder Dienste und damit Code-Fragmente in eine Website erleichtern. \u201eCookiebot\u201c erlaubt nach eigenen Angaben, die Einwilligung der Nutzer einer Website in die Cookie-Verwendung einzuholen. Der Dienst \u00fcberwacht eingesetzte Cookies und blockiert solche Cookies, f\u00fcr die keine Zustimmung erteilt wurde.<\/p>\n

\u00dcbermittlung personenbezogener Daten in die USA<\/h2>\n

Der Antragsteller in dem Verfahren vor dem VG Wiesbaden erkundigte sich im Onlinekatalog der Hochschulbibliothek auf der Website regelm\u00e4\u00dfig \u00fcber Fachliteratur. Er gab im Verfahren an, festgestellt zu haben, dass dabei seine personenbezogenen Daten in unzul\u00e4ssiger Weise an Dritte \u00fcbermittelt w\u00fcrden. Der Antragsteller mahnte die Hochschule daraufhin ab und verlangte die Abgabe einer Unterlassungserkl\u00e4rung.<\/p>\n

Individuelle Suchprofile und Browser-Fingerprinting<\/h2>\n

Der Antragsteller gab an, dass bei dem Dienst \u201eG[\u2026] Tag Manager\u201c seine IP-Adresse bei jedem Seitenaufruf an Server des Unternehmens G. \u00fcbermittelt werde, ohne dass er darin eingewilligt habe. Daneben lese G. weitere Informationen \u00fcber die Hard- und Software des Nutzer-Endger\u00e4tes aus und k\u00f6nne diese auswerten. Dies betreffe Informationen \u00fcber aufgerufene Internetseiten, Betriebssystem und -version, Browsertyp und -version, die eingestellte Sprache und Farbzahl, die Art des Bildschirms und dessen Aufl\u00f6sung, die Unterst\u00fctzung von Skriptsprachen sowie installierte Schriftarten von Plugins. Kombiniert ergebe sich aus diesen Informationen ein einmaliger Fingerabdruck des Nutzers. Damit k\u00f6nne G. auch Surfprofile erstellen.<\/p>\n

Datenweitergabe bei Anfangsverdacht jeglicher Straftat m\u00f6glich<\/h2>\n

Auch bei \u201eClickbot\u201c, so der Antragsteller, w\u00fcrden diese Daten \u00fcbermittelt. Die Zieldomain des Dienstes verweise jedoch auf einen Server mit einer IP-Adresse, die auf ein in den USA ans\u00e4ssiges Cloud-Hosting-Unternehmen registriert sei. Auch wenn sich der Server selbst m\u00f6glicherweise au\u00dferhalb der EU befinde, habe das US-Unternehmen Zugriff darauf, so dass der US-amerikanische Cloud Act gelte. Nach diesem k\u00f6nnten US-Regierungsbeh\u00f6rden personenbezogene Daten bei US-Unternehmen einseitig anfordern, ohne Gerichtsbeschluss und ohne Rechtshilfeabkommen. Dies widerspreche den Art. 7<\/a>, 8<\/a>, 11<\/a> und 52 Abs. 1<\/a> der Charta der Grundrechte der Europ\u00e4ischen Union und der Auslegung dieser Normen durch den EuGH, argumentierte der Antragsteller. Danach sind beh\u00f6rdliche Zugriffe auf Verkehrsdaten n\u00e4mlich nur bei einem Verdacht schwerer Kriminalit\u00e4t gestattet und unterliegen dem Vorbehalt des Richters oder einer unabh\u00e4ngigen Beh\u00f6rde. Die Hochschule setze den Antragsgegner als Verantwortliche der Gefahr unbefugter Datenzugriffe aus. Dies stelle eine Verletzung der Vertraulichkeit nach Art. 32 Abs. 1<\/a> lit. b Datenschutz-Grundverordnung (DSG-VO) dar.<\/p>\n

Rechtswidrige \u00dcbermittlung der ungek\u00fcrzten IP-Adresse<\/h2>\n

Das VG Wiesbaden entschied, dass die Hochschule den Einsatz von \u201eClickbot\u201c zu beenden habe. Die Einbindung des Dienstes gehe einher \u201emit der rechtswidrigen \u00dcbermittlung von personenbezogener Daten der Webseitennutzer\u201c. Zur \u00dcberzeugung des Gerichtes habe die Hochschule auf ihrer Webseite die IP-Adresse des Antragstellers, die ein personenbezogenes Datum darstelle, ungek\u00fcrzt gespeichert und verarbeitet. Dies ergebe sich aus den Angaben des \u201eClickbot\u201c-Anbieters sowie dem Auftragsverarbeitungsvertrag zwischen dem \u201eClickbot\u201c-Anbieter und dessen Cloud-Host in den USA. Dieser beinhalte die Regelung, dass der Cloud-Host in den USA personenbezogene Daten verarbeitet, die in Protokolldateien gespeichert werden. Zu den Daten geh\u00f6rten \u201eunter anderem die IP-Adresse der Endbenutzer, die URLs der besuchten Websites mit Zeitstempeln mit zugeh\u00f6riger IP-Adresse, der geografische Standort basierend auf der IP-Adresse sowie Telemetriedaten\u201c, so der Beschluss. Es seien \u201epersonenbezogene Daten des Antragstellers in unsichere Drittl\u00e4nder \u00fcbermittelt\u201c worden, wo das \u201esp\u00e4tere Auffinden und L\u00f6schen dieser Daten unm\u00f6glich sei\u201c.<\/p>\n

\u00d6ffentlich-rechtlicher Unterlassungsanspruch gegeben<\/h2>\n

Da der Einsatz des Dienstes im Rahmen der \u00d6ffentlichkeitsarbeit der Hochschule nach \u00a7 12 Abs. 5 S. 4, Abs. 6 S. 1 des Hessischen Hochschulgesetzes erfolgte, sah das Gericht darin eine hoheitliche Ma\u00dfnahme. Dem Antragsteller stehe deshalb ein \u00f6ffentlich-rechtlicher Unterlassungsanspruch gem\u00e4\u00df \u00a7 1004 BGB<\/a> analog i. V. m. Art. 79 Abs. 1<\/a> und Art. 5 Abs. 1 lit. a DS-GVO<\/a> zu.<\/p>\n

Der Beschluss aus Hessen d\u00fcrfte f\u00fcr einige Webseitenbetreiber \u00fcberraschend gekommen sein. Er d\u00fcrfte dazu f\u00fchren, dass einige ihren Internetauftritt noch einmal auf Herz und Nieren pr\u00fcfen m\u00fcssen, was die Konformit\u00e4t mit europ\u00e4ischem Datenschutzrecht<\/a> anbelangt. Die Hochschule RheinMain setzte \u201eCookiebot\u201c bei Reaktionsschluss dieses Beitrags jedenfalls noch auf ihrer Webseite ein. Gegen den Beschluss des VG Wiesbaden konnte die Hochschule Beschwerde vor dem Hessischen Verwaltungsgerichtshof erheben. Der Beschluss war also noch nicht rechtskr\u00e4ftig.<\/p>\n

Update: Nutzung der Cookiebot CMP weiterhin erlaubt<\/h2>\n

Inzwischen wurde die einstweilige Anordnung des Verwaltungsgerichts Wiesbaden endg\u00fcltig aufgehoben. Die staatliche Hochschule RheinMain darf den Dienst Cookiebot weiterhin auf ihrer Website nutzen. Das hat der Hessische Verwaltungsgerichtshof am 17. 1. 2022 entschieden (Hessischer VGH, Beschluss v. 17. 1. 2022, Az. 10 B 2486\/21<\/a>).<\/p>\n","protected":false},"excerpt":{"rendered":"

Die Verwendung des Cookie-Dienstes \u201eCookiebot\u201c verst\u00f6\u00dft gegen die Datenschutz-Grundverordnung (DSGVO). Das hat das Verwaltungsgericht Wiesbaden entschieden. Bei dem Tool erfolge eine rechtswidrige \u00dcbermittlung personenbezogener Daten in die USA (VG Wiesbaden, Beschluss v. 1.12.2021, Az. 6 L 738\/21.WI). Die Hochschule RheinMain verwendete auf ihrer Internetseite die Dienste \u201eG[\u2026] Tag Manager\u201c und \u201eCookiebot\u201c. Ersterer Dienst soll die […]<\/p>\n","protected":false},"author":86,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"content-type":"","footnotes":""},"categories":[8],"tags":[17191],"class_list":["post-60237","post","type-post","status-publish","format-standard","hentry","category-datenschutzrecht","tag-dsgvo","topic_category-datenschutzrecht"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.lhr-law.de\/en\/wp-json\/wp\/v2\/posts\/60237","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.lhr-law.de\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.lhr-law.de\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.lhr-law.de\/en\/wp-json\/wp\/v2\/users\/86"}],"replies":[{"embeddable":true,"href":"https:\/\/www.lhr-law.de\/en\/wp-json\/wp\/v2\/comments?post=60237"}],"version-history":[{"count":1,"href":"https:\/\/www.lhr-law.de\/en\/wp-json\/wp\/v2\/posts\/60237\/revisions"}],"predecessor-version":[{"id":65576,"href":"https:\/\/www.lhr-law.de\/en\/wp-json\/wp\/v2\/posts\/60237\/revisions\/65576"}],"wp:attachment":[{"href":"https:\/\/www.lhr-law.de\/en\/wp-json\/wp\/v2\/media?parent=60237"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.lhr-law.de\/en\/wp-json\/wp\/v2\/categories?post=60237"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.lhr-law.de\/en\/wp-json\/wp\/v2\/tags?post=60237"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}