Cookiebot – VG Wiesbaden verbietet Hochschule die Nutzung des Dienstes

Mit Cookiebot werden von den Nutzern Einwilligungen u.a. für die Nutzung von Cookies, eingeholt. Die Hochschule RheinMain darf diesen Dienst nicht mehr einsetzen, da sie damit nach einer Entscheidung des Verwaltungsgerichts Wiesbaden vom 1. Dezember 2021 gegen die Datenschutz-Grundverordnung verstößt (Az.: 6 L 738/21.WI).

Die Hochschule RheinMain hat Cookiebot in ihre Webseite eingebunden. Der Dienst holt zunächst die Einwilligung der User in die Nutzung von Cookies ein. Dann überwacht er die Cookies, zu deren Nutzung die Einwilligung vorliegt und blockiert die Cookies, die der Nutzer abgelehnt hat.

Im Wege des Eilverfahrens hat der Antragsteller verlangt, dass die Hochschule diesen Dienst nicht mehr nutzen darf. Mit Erfolg. Das VG Wiesbaden hat dem Antrag stattgegeben und es der Hochschule im Wege der einstweiligen Anordnung untersagt, diesen Dienst weiter einzubinden. Dies begründete das Gericht damit, dass durch Cookiebot personenbezogene oder -beziehbare Daten des Nutzers einschließlich seiner IP-Adresse ermittelt und an Server externer Unternehmen übermittelt werden. Durch die personenbezogenen Daten und die vollständig übermittelte IP-Adresse sei der Nutzer eindeutig identifizierbar, so das Gericht.

Cookiebot verarbeite diese Daten und die IP-Adresse auf Servern eines Unternehmens in den USA. Dieser Drittland-Bezug zu den USA sei aufgrund der sog. Schrems II-Entscheidung des EuGH unzulässig. Zumal die Nutzer der Webseite keine Einwilligung für die Übermittlung ihrer Daten in die USA erteilt hätten, führte das VG Wiesbaden weiter aus. Darüber hinaus würden die User weder über diese Datenübermittlung informiert, noch sei sie für das Betreiben der Webseite überhaupt erforderlich, machte das Gericht klar.

Durch die Einbindung von Cookiebot in die Homepage ermögliche die Hochschule die Datenübermittlung in die USA und sei daher auch dafür verantwortlich. Dies gelte auch für den weiteren Umgang mit den Daten. Die Hochschule dürfe diesen Dienst daher nicht mehr nutzen, entschied das VG Wiesbaden im Wege der einstweiligen Anordnung. Mit der Übermittlung der Daten an ein Drittland sei gegen die DSGVO verstoßen worden.

„Die Entscheidung kann weitreichende Folgen haben. Webseiten-Betreiber sollten sicherstellen, wie ihr Cookie-Dienst mit den gespeicherten Daten umgeht und ob die Regelungen zum Datenschutz eingehalten werden. Dies kann möglicherweise auch für weitere Dienste wie Google Tag Manager oder Captchas von Anbietern aus Drittländern gelten“, sagt Rechtsanwalt Florian Hitzler. Zudem können bei Verstößen gegen die DSGVO empfindliche Bußgelder drohen.

Wir helfen Ihnen gerne Ihren Webauftritt rechtssicher zu gestalten.