Cookiebot – gar nicht so „Hygge“?

Viele Webseitenbetreiber setzen den Cookie-Einwilligungsbanner Cookiebot ein, da dieser schnell und einfach konfiguriert, als auch kostengünstig ist. Die beliebte Lösung des dänischen Unternehmens Cybot A/S hat nun ohne eigenes Zutun für Aufsehen gesorgt, nachdem das Verwaltungsgericht Wiesbaden der Hochschule RheinMain die Einbindung des Cookie-Dienstes in einer einstweiligen Anordnung untersagt hat.

Die „hochgradig konfigurierbare Einwilligungsoberfläche informiert die Besucher Ihrer Website über die Verwendung von Cookies und bittet um die Zustimmung zum Setzen von Cookies in ihrem Webbrowser, und das alles mit minimalen Auswirkungen auf die allgemeine Benutzerfreundlichkeit“, so heißt es auf der unternehmenseigenen Webseite.

Das Problem:

Die Hochschule hätte Cookiebot auf ihrer Website in der Weise eingebunden, so dass personenbezogene oder -beziehbare Daten (einschließlich der vollständigen IP-Adresse der Besucher) an Server übermittelt werden, die ein externes Unternehmen betreibt. Diese Server stehen nun leider in den USA. Hierdurch entsteht ein Bezug zu einem unsicheren Drittland, da die USA seit der sogenannten Schrems II Entscheidung als eben ein solches gelten.

Die Schrems II Entscheidung & Cloud Act

Im Juli 2020 hat der EuGH ein Urteil gefällt, das weitreichende Folgen für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittstaaten und somit auch in den USA hat. Durch die sog. Schrems II Entscheidung wurde der Angemessenheitsbeschluss der Europäischen Kommission, der sogenannte „Privacy Shield“, aufgehoben. Dieser besagte, dass ein der Europäischen Datenschutzgrundverordnung (DSGVO) angemessenes Schutzniveau unter bestimmten Umständen auch für die Daten über natürliche Personen auch in den USA gegeben ist. Daher war auch ein datenschutzkonformer Datentransfer zwischen den USA und der Europäischen Union (EU) möglich.

Der „Cloud Act“ als US-amerikanisches Gesetz wurde bereits 2018 erlassen, und gestattet US-Behörden den Zugriff auf gespeicherte Daten US-amerikanischer IT-Firmen und Cloud-Provider, und das auch außerhalb der USA. Cloud steht in diesem Fall als Abkürzung für Clarifying Lawful Overseas Use of Data. Aus Sicht der US-Regierung war der Cloud Act erforderlich geworden, da es keine klare Rechtsgrundlage für die Herausgabe von Daten, die außerhalb der USA gespeichert sind, gab. Unternehmen wie Microsoft gingen gegen diese Anordnung vor, da sie nach geltendem Recht nur Daten an die Behörden herausgeben müssten, wenn diese in den USA gespeichert seien. Microsoft sah hier – nicht unbegründet – die Gefahr, dass natürliche Personen ihre Persönlichkeitsrechte nicht wahrnehmen können. Möglicherweise hatte man auch das eigene Europageschäft vor Augen. Das Verfahren ging bis vor das höchste US-amerikanische Gericht, den US Supreme Court, und wurde nach Erlass des Cloud Acts ohne Urteil beendet. Ein Standort innerhalb der EU schützt somit nicht automatisch vor dem Datenzugriff von US-amerikanischer Seite.

Bei der Hochschule RheinMain fände keine Unterrichtung über die mit der Übermittlung verbundenen möglichen Risiken durch den sog. Cloud-Act statt.

USA vs. Europa

Der Cloud Act und die DSGVO sind wie Feuer und Wasser. Jegliche Datenweitergabe auf Grundlage des US-Gesetzes steht in grundsätzlichem Widerspruch zu den DSGVO-Prinzipien. Denn nach Artikel 48ff. DSGVO dürfen Daten nur unter sehr eng gesetzten Voraussetzungen in ein Drittland übermittelt werden. Das ist beispielsweise dann der Fall, wenn ein spezielles Rechtshilfeabkommen existiert. Das ist bislang zwischen der EU und den USA nicht der Fall. Eine Möglichkeit wäre alternativ eine informierte Einwilligung. Doch wie soll der Nutzer in die Nutzung eines Einwilligungs-Tools einwilligen? Dieses Paradoxon ist nicht zu lösen.

Was bedeutet das?

Somit ist die Verarbeitung der unzulässig und die Hochschule sei verpflichtet, die Einbindung des Dienstes Cookiebot auf ihrer Webseite zu beenden, da diese mit der rechtswidrigen Übermittlung personenbezogener Daten der Webseitennutzer und damit insbesondere des Antragstellers einhergehe.

Weiter wird ausgeführt, dass aus einer Kombination eines den Webseiten-Besucher identifizierenden Keys, welcher im Browser des Benutzers abgelegt - sprich gespeichert - wird, und mit der übermittelten vollständigen IP-Adresse des Besuchers, dieser durchaus eindeutig identifizierbar sei. Aber auch ohne den Personenbezug wird durch die Übermittlung gegen das seit dem 1.12.2021 geltende TTDSG verstoßen.

Ein weiteres Problem kann entstehen, wenn Sie als Webseitenbetreiber, also als Verantwortlicher, Cookiebot einsetzen und keinen Vertrag zur Auftragsverarbeitung mit der Cybot A/S geschlossen haben. Leider wird dieser standardmäßig von den Kopenhagenern nicht angeboten.

Was ist zu tun?

Der erste Schritt sollte für einen jeden Webseitenbetreibenden sein, zu prüfen, ob auf der eigenen Website oder gar auf mehreren Webseiten möglicherweise ebenfalls das Web-Tool Cookiebot eingesetzt wird. Cookiebot ist bei europäischen Unternehmen sehr weit verbreitet, da es Multilingualität unterstützt ausdrücklich mit DSGVO-Compliance geworben wird. Falls Cookiebot bei Ihnen im Einsatz ist, gilt es zu überlegen, ob es Alternativen gibt, die nicht im Widerspruch zu der DSGVO oder der Schrems II Entscheidung stehen und bei Ihnen eingesetzt werden können. Wichtig ist dabei, wie oben ausgeführt, dass diese keinen US-Bezug aufweisen.

P.S.: „Hygge“ entstammt der norwegischen Sprache, in der der Begriff so etwas wie „das Wohlbefinden“ & „Gemütlichkeit“ bedeutet. Der Begriff ist auch im dänischen weit verbreitet.