Hochschule RheinMain darf auf ihrer Webseite nicht den Dienst „Cookiebot“ nutzen – so titelte das Verwaltungsgericht Wiesbaden in einer Pressemitteilung am 6.12.2021
Cookiebot:
Auf der Website https://www.hs-rm.de/de/ - dem Webauftritt der Hochschule Rhein-Main - wird ein Consent-Tool für die Verwaltung der Einwilligungen zur Setzung von Cookies verwendet, und zwar „Cookiebot“.
Dieses Applet auf der Website, das bei Aufruf erscheint, ermöglicht die Einholung der Einwilligung der Besucher der Webseite sowie auch die Dokumentation.
Auch eine Überwachung der eingesetzten Cookies und das Blockieren der Cookies, für welche eine Einwilligung vom Websitebesucher nicht erteilt wird, ist möglich.
Der Beschluss im Eilverfahren:
Das Verwaltungsgericht Wiesbaden hat mit einem Beschluss vom 01.12.2021 (6 L 738/21.WI) in einem Eilverfahren einem Antrag einer betroffenen Person auf Untersagung wegen Verletzung der Bestimmungen der DSGVO stattgegeben.
Es wurde dem Verantwortlichen (der Hochschule RheinMain) durch eine einstweilige Anordnung untersagt, den genannten Dienst „Cookiebot“ auf der Website zur Einholung von Einwilligungen in der Weise einzubinden, dass personenbezogene oder -beziehbare Daten des Antragstellers (einschließlich dessen IP-Adresse) an Server übermittelt werden, die von einem externen Unternehmen betrieben werden.
Die Begründung:
Im Rahmen der Nutzung von Cookiebot werden personenbezogene Daten (insbes. IP-Adressen) übermittelt.
Aus der Kombination eines den Webseiten-Besucher identifizierenden Keys, der im Browser des Nutzers gespeichert werde, und der übermittelten vollständigen IP-Adresse sei der Endnutzer eindeutig
identifizierbar. (Ansicht des VG Wiesbaden)
Das VG Wiesbaden führt dazu aus (Hervorhebungen durch den Verfasser):
„Cookiebot“ verarbeite die vollständige IP-Adresse der Endnutzer auf Servern eines Unternehmens, dessen
Unternehmenszentrale sich in den USA befinde.
Hierdurch entstehe ein Drittland-Bezug, nämlich zu den USA, welcher im Hinblick auf die sog. Schrems II-Entscheidung des Europäischen Gerichtshofs so
unzulässig sei.
Die Nutzer der Webseite der Hochschule würden nicht um ihre Einwilligung für eine Datenübermittlung in die USA gebeten werden.
Es fände auch keine Unterrichtung über die mit der Übermittlung verbundenen möglichen Risiken durch den sog. Cloud-Act statt.
Eine solche Datenübermittlung sei auch nicht für das Betreiben der Webseite der Hochschule erforderlich.“
Durch die Entscheidung Cookiebot auf der Website zu verwenden, entscheidet der Websitebetreiber über den Einsatz der Mittel und den Zweck der Verarbeitung und ist damit Verantwortlicher für die Datenübermittlung in die USA.
Ein Rechtsmittel ist binnen zwei Wochen möglich; wir werden Sie auf dem Laufenden halten.
Hier stellen sich insbes Fragen der Datenübermittlung in die USA und der Abwicklungen. Auf der Website von Cookiebot findet sich der Betreiber des Dienstes mit Cybot A/S, einer Gesellschaft aus Kopenhagen, Dänemark.
Kommentar schreiben