Mir hat der Beschluss ein spontanes Grinsen entlockt. Die Meldungen dazu sind reichlich irreführend. Das VG hat nicht die Nutzung von Cookiebot oder Consent-Management oder das Setzen von US-Cookies untersagt. Das VG hat die Nutzung von US-Diensten ohne Einwilligung in die Datenübermittlung in die USA untersagt. Das ist ein Unterschied, aber als Aufhänger eben nicht wirklich geeignet. Das VG verweist auf die Datenübermittlungen gem. Art.49 DSGVO und sieht die rechtlichen Anforderungen nicht erfüllt. Das Problem mit solchen Einwilligungsmanagern ist, dass vor der Einwilligung in sonstige Webseitencookies eine Datenübermittlung stattfindet, die ebenso einwilligungspflichtig ist. Das übliche Einbinden fremder Scripte - ob Googles Tag Manager oder Cybots Manager sei dahingestellt - übergeht diese Anforderung, wenn bereits mit dem Aufruf einer solchen Webseite Daten in Drittstaaten übermittelt werden. Und Cookiebot verarbeitet die IP, setzt selbst Cookies und nutzt dafür das CDN von Akamai (US-Unternehmens).
Wenn der Beschluss in der Hauptverhandlung bestätigt wird, dann hätte das recht weitgehende Konsequenzen. Es beträfe alle fremd eingebundenen Inhalte einer Webseite: Reichweitenmessung, Webfonts, irgendwelche Manager usw. Also all die 42 Adressen, die beim Besuch 1 Webseite angesurft werden und eine Übermittlung in Drittstaaten beinhalten oder für deren Verarbeitung kein berechtigtes Interesse geltend gemacht werden kann.
Aber haderner hat Recht. Nach dem Schrems-II-Urteil war es nur eine Frage der Zeit (und längst überfällig), bis solch ein Fall zugunsten der Einwilligung entschieden wird. Da sind die die, die es sich einfach machen wollten, wohl zu kurz gesprungen. Ich bin gespannt, wann die ersten Webseiten eine Einstiegsseite ohne fremden Inhalt vorschalten, um eine Einwilligung für sämtliche fremde Inhalte der eigentlichen Webseite einzuholen … und welcher Anbieter dafür einen Einstiegsseitenbot (Homebot?) anbietet. Vermutlich wird man dann einige Seiten überhaupt nicht mehr besuchen können, die Methode “Friss oder stirb” ist ja schon im Einsatz.
Pressemitteilung des VG:
https://verwaltungsgerichtsbarkeit.hessen.de/pressemitteilungen/cookie-dienst
Online gibt es den Beschluss bisher nur hier:
https://rewis.io/urteile/urteil/2tj-01-12-2021-6-l-73821wi/
Über den Google Tag Manager hatten wir schon mal gesprochen:
https://forum.bfdi.bund.de/t/google-tag-manager-bei-seitenaufruf-user-consent/835