Cookiebot nicht erlaubt

Hallo zusammen, ich glaube zahlreiche von den Foren Teilnehmern haben heute zwiegespalten reagiert, als das VG Wiesbaden die Nutzung der ConsentManagementPlatform CookieBot untersagte.

https://www.dr-bahr.com/news/datenschutzrecht/cookie-tool-cookiebot-verstoesst-gegen-dsgvo-und-ist-verboten.html

Ich verstehe den Gedanken mit den Drittlandstransfer und ja es ist wichtig - aber dass man die Einwilligung für Cookies einholt ist auch wichtig und gerade KMUs werden das Tool oft genutzt haben und nun Probleme haben.

Wie ist eure Meinung - ich denke man sollte hier Vorsichtig sein, aber erstmal abwarten ob Berufung eingereicht wird.

Mein Mitleid mit den Marketingabteilungen ist gering, eher so bei Null. Die Problematik ist nun nicht wirklich neu.

Mir hat der Beschluss ein spontanes Grinsen entlockt. Die Meldungen dazu sind reichlich irreführend. Das VG hat nicht die Nutzung von Cookiebot oder Consent-Management oder das Setzen von US-Cookies untersagt. Das VG hat die Nutzung von US-Diensten ohne Einwilligung in die Datenübermittlung in die USA untersagt. Das ist ein Unterschied, aber als Aufhänger eben nicht wirklich geeignet. Das VG verweist auf die Datenübermittlungen gem. Art.49 DSGVO und sieht die rechtlichen Anforderungen nicht erfüllt. Das Problem mit solchen Einwilligungsmanagern ist, dass vor der Einwilligung in sonstige Webseitencookies eine Datenübermittlung stattfindet, die ebenso einwilligungspflichtig ist. Das übliche Einbinden fremder Scripte - ob Googles Tag Manager oder Cybots Manager sei dahingestellt - übergeht diese Anforderung, wenn bereits mit dem Aufruf einer solchen Webseite Daten in Drittstaaten übermittelt werden. Und Cookiebot verarbeitet die IP, setzt selbst Cookies und nutzt dafür das CDN von Akamai (US-Unternehmens).

Wenn der Beschluss in der Hauptverhandlung bestätigt wird, dann hätte das recht weitgehende Konsequenzen. Es beträfe alle fremd eingebundenen Inhalte einer Webseite: Reichweitenmessung, Webfonts, irgendwelche Manager usw. Also all die 42 Adressen, die beim Besuch 1 Webseite angesurft werden und eine Übermittlung in Drittstaaten beinhalten oder für deren Verarbeitung kein berechtigtes Interesse geltend gemacht werden kann.

Aber haderner hat Recht. Nach dem Schrems-II-Urteil war es nur eine Frage der Zeit (und längst überfällig), bis solch ein Fall zugunsten der Einwilligung entschieden wird. Da sind die die, die es sich einfach machen wollten, wohl zu kurz gesprungen. Ich bin gespannt, wann die ersten Webseiten eine Einstiegsseite ohne fremden Inhalt vorschalten, um eine Einwilligung für sämtliche fremde Inhalte der eigentlichen Webseite einzuholen … und welcher Anbieter dafür einen Einstiegsseitenbot (Homebot?) anbietet. Vermutlich wird man dann einige Seiten überhaupt nicht mehr besuchen können, die Methode “Friss oder stirb” ist ja schon im Einsatz.

Pressemitteilung des VG:
https://verwaltungsgerichtsbarkeit.hessen.de/pressemitteilungen/cookie-dienst

Online gibt es den Beschluss bisher nur hier:
https://rewis.io/urteile/urteil/2tj-01-12-2021-6-l-73821wi/

Über den Google Tag Manager hatten wir schon mal gesprochen:
https://forum.bfdi.bund.de/t/google-tag-manager-bei-seitenaufruf-user-consent/835

3 „Gefällt mir“

Das dauert jetzt wieder, bis jede einzelne Website ein höchstrichterliches Urteil bekommt, dass ihr Cookie-Banner so nicht geht. Dann drehen sie ein bisschen (immer noch nicht korrekt) und lassen sich auch das verbieten.

D., der nur bei einem der vielen Auftritte, die er betreut Cookies hat. Weil es angeblich ganz wichtig ist, genau zu wissen… Auch wenn die Akzeptanz nicht hoch sein wird und man vom Rest nur “Matomo” bzw. opt-out weiß. Auch nicht extern, sondern selbst umgesetzt.

D., der nur bei… sagen wir 25 % Vorsatz /Wagemut unterstellt. Meistens läuft irgendwas mit, weil die Agenturen das halt so machen, und die werden schon wissen, was sie tun. (Wissen sie nicht. Man müsste die Vergütung zurückfordern, weil sie ihren Kunden unerwünschte Eier ins Nest legen. Dann spricht es sich vielleicht mal rum.)

D., der viele Banner gesehen hat, die raus mussten, weil außer der ausgelagerten Einwilligungsabfrage selbst nichts einzuwilligen gewesen wäre.

Aber jetzt mal langsam - ich bin auch der erste, der die ganze Werbeprofilierung mittels Tracking abschaffen würde - allerdings liegt es hier doch etwas anders:

Da nutzt jemand einen Dienst, um gesetzestreu die Einwilligung von einwilligungsbedürftigen Diensten abfragen zu können (ohne den Sinn von Einwilligungen in diesem Kontext diskutieren zu wollen!).

Er sucht sich einen Dienstleister in Dänemark, der auch noch bestätigt, dass keine Daten die EU verlassen.

Wo in diesem Kontext Cookies und Drittland-Transfer eine Rolle spielen, hat noch niemand sauber aufzeigen können. Mir ist es bislang jedenfalls nicht klar.

Die einzige Alternative wäre nun, das CMP selbst zu programmieren. Und was da dann rauskommt, wenn jede Marketing-Agentur das Programmieren anfängt, können wir uns denken …

2 „Gefällt mir“

Das Gericht erläutert es im oben verlinkten Beschluss ab Rn.36.

Ich stimme @bdsb zu.

Ich kenne einige KMU (sagen wir Handwerker, Mittelstand etc) die sich extra einen EU Anbieter gesucht haben und nicht auf Usercentrics gehen wollten, da dieser viel zu teuer ist und für KMU nicht bezahlbar und dann dass.

Versteht mich nicht falsch ich sehe es genauso kritisch das Daten in die USA gehen ohne Sicherheiten. Trotzdem honoriere ich die Bemühungen der Unternehmen. Und kleine Unternehmen können eben keine großen Summen ausgeben (wie bei TOMs denke ich sind Implementierungskosten ein Faktor). und ja es ist nix neues. Daher stimme ich auch @haderner, @Domasla und @anzolino zu.

Was hat das alles noch mit risikobasiertem Ansatz zu tun?
Die “schlimme Information”, auf die aufgrund der potenziellen Anwendbarkeit eines US-Acts zugegriffen werden könnte, ist der Datensatz mit dem Inhalt, dass zu einer gewissen IP-Adresse eine Markierung (Kennung/Key) gespeichert wurde. Und ja, potenziell wird das sogar in den USA gespeichert (Akamai). Der dänische Anbieter hat Verträge, die übrigens gesetzlich vorgeschrieben sind. Hat das Gericht die eben mal so als nichtig weggewischt?
Besagte Daten müssen ja ein aberwitziges Risiko für die betroffene Person darstellen!
Hoffentlich hat die Person nicht von ihrem Android-Handy aus gesurft … Oder gilt dessen Anschalten etwa als Generaleinwilligung in alles, was so ein (Google-)Android-Handy auch immer zu versenden gedenkt - und stellt deshalb kein Risiko dar? Ach nein, ein datenschutzbewusster Mensch würde niemals ein Smartphone (mit Betriebssystem und App-Store eines US-Herstellers) oder einen Standard-PC (es sei denn, mit “gereinigtem” Linux) benutzen, wie das vllt. 95% der Bevölkerung tun würden.
Bitte nicht missverstehen, ich will hier mitnichten all das relativieren und klein reden, was da an Mängeln an der heutigen (normalen) Konstruktion des Internets aufgezeigt wurde! Ich sehe nur nicht die Zweckdienlichkeit des Ansatzes. Wie gesagt, hier wurde nicht ausschweifendes Tracking angeprangert…
Es soll tatsächlich bedingungslos die illusorische Fiktion gelten, dass jeder jeden Bestandteil der Internetkommunikation vorab danach aussortieren können soll, ob da potenziell in x’ter Instanz jemand individuell Unerwünschtes Kenntnis von der IP-Adresse nehmen könnte. Und vor allem: jedes Angebot im Internet soll dafür so aufgebaut sein, dass diese Steuerung (Einwilligung oder nicht) auch unter engsten individuellen Ausschlussbedingungen durchsetzbar ist.
Ach so, ja, innerhalb EU ist ja alles gut. Da besteht kein Grund zur Annahme, dass Unerwünschtes dabei sein kann, weshalb auf diese Steuerung nur so viel Wert gelegt werden muss, sobald Drittland-Datenverkehr möglich ist.
[Bitte nicht antworten, wer Ironie und Sarkasmus nicht erkennen kann.]

Vor dem Risiko steht die Rechtmäßgkeit. Hier die Argumentation des Gerichts zur Rechtsgrundlage und Verantwortlichkeit. Was ist daran falsch? In welchem Punkt irrt das Gericht? Wie lauten die Gegenargumente?

Rn 43

Keine der in Art. 49 Abs. 1 S. 1 und 2 DS-GVO genannten Bedingungen ist vorliegend erfüllt. Ein Nutzer der Webseite www.hs-rm.de wird unstreitig nicht um seine Einwilligung für die Übermittlung in die USA gebeten und auch nicht über die damit verbundenen möglichen Risiken unterrichtet (Art. 49 Abs. 1 S. 1 lit. a) DS-GVO). Die Übermittlung ist auch nicht aus wichtigen Gründen des öffentlichen Interesses notwendig (Art. 49 Abs. 1 S. 1 lit. d) DS-GVO). Unabhängig davon, ob die Öffentlichkeitsarbeit der Antragsgegnerin ein solches öffentliches Interesse darstellt, ist hierfür jedenfalls eine Datenübermittlung in die USA nicht erforderlich. Die übrigen der möglichen Bedingungen des Art. 49 Abs. 1 S. 1 DS-GVO sind offenkundig ebenfalls nicht einschlägig. Art. 49 Abs. 1 S. 2 DS-GVO findet bereits deshalb keine Anwendung, weil die Datenübermittlung bezüglich unzähliger Webseitennutzer stattfindet, also weder „nicht wiederholt erfolgt“, noch eine begrenzte Zahl von betroffenen Personen betrifft. Darauf, ob die „sonstigen Bestimmungen“ der DS-GVO, insbesondere Art. 5, 6 DS-GVO eingehalten sind, deren Voraussetzungen gemäß Art. 44 DS-GVO bei einer Datenübermittlung an ein Drittland ebenfalls vorliegen müssen, kommt es insoweit nicht mehr an.

Rn 44

Die Antragsgegnerin ist für diese Datenverarbeitung auch verantwortlich i. S. d. Art. 24, Art. 4 Ziff. 7 DS-GVO. […] Denn allein indem sie den Dienst auf ihre Webseite einbindet, entscheidet sie darüber, dass die Erhebung und Übermittlung der personenbezogenen Daten der Webseitennutzer, die auch auf den Servern von Ak. stattfinden, erfolgt. Sie entscheidet auch jedenfalls mittelbar über die Zwecke der Verarbeitung. Denn in Kenntnis der Angaben von Cy. und Ak., die sie spätestens im Laufe des vorliegenden Verfahrens erlangt hat, kann sie sich dafür oder dagegen entscheiden, dass der Dienst auf ihrer Webseite eingesetzt wird und damit eine Datenverarbeitung möglicherweise auch zu den von Cy. bzw. Ak. festgelegten Zwecken stattfindet, bzw. umgekehrt kann sie durch ein Entfernen des Dienstes dafür sorgen, dass die Datenverarbeitung zu diesen Zwecken nicht mehr stattfindet. Sie mag für nachfolgende Vorgänge, etwa die Speicherung und Verwendung durch Ak. nicht mehr mitverantwortlich sein, da es sich hierbei um eine andere Phase der Datenverarbeitung handelt (vgl. EuGH, Urteil vom 29.07.2019 - C-40/17 - Fashion-ID, Rn. 79, 84). Für die Erhebung und Übermittlung an Ak., die unmittelbar durch die Einbindung des Dienstes auf der Webseite der Antragsgegnerin ausgelöst werden, ist sie verantwortlich.

Für DSB und Verantwortliche ist evtl. auch dieser Punkt interessant:
Rn 18

Die Standardvertragsklausel, die zwischen Cy. A/S und Ak. Technologies abgeschlossen worden sein soll, legt die Antragsgegnerin als nicht ausgefüllten Blankovertrag der „Standardvertragsklauseln (Auftragsverarbeiter)“ bzw. im Originaltext Standard Contractual Clauses (Processors) vor

Danke für die Lesehilfe. Wenn sich die Diskussion darin erschöpfen soll, den Diskussionsgegenstand einfach nochmal vorzulesen, sehe ich den Mehrwert nicht mehr - dann können wir hier aufhören.

Dass die Einladung zur Diskussion trotz Hilfestellung so leicht zu überlesen ist, hätte ich nicht erwartet.

Vielleicht sollte man das Risiko, das einer betroffenen Person entstehen kann weniger für jede einzelne Übermittlung separat betrachten, sondern eher die Gesamtheit in einer Überwachungsgesamtrechnung betrachten. Wenn auf so gut wie jeder Website ein Dienst einer US-amerikanischen Firma verwendet wird, kann ein sehr umfassendes Profil gebildet werden. Ob dies geschieht, bleibt natürlich offen, jedoch besteht in jedem Fall ein Risiko.

Na ja, das war auch gemeint … wo ist das Risiko denn gewichtiger? Beim Einsatz von Cookiebot oder den allgegenwärtigen Virtualisierungsdiensten wie akamai, aws etc. oder vllt bei dem, was Smartphone Betriebssysteme bereits so abziehen, ohne dass man auch nur eine einzige Webseite besucht hat?

2 „Gefällt mir“

Ok, dann weiter im Text … mir geht’s nicht um das Urteil - an dem gibt es nichts zu deuteln. Es geht aber am Kern der Sache vorbei, an dieser Cookiebot Sache ein example zu statuieren, während die echt gewichtigen Datenschutz-Risiken fortbestehen (siehe anderen Beitrag, ich will mich nicht wiederholen).
Dabei wage ich gar nicht darüber nachzudenken, ob besagtes Urteil nicht vllt mit O365 geschrieben wurde.

1 „Gefällt mir“