Von Matthias Krahé | Dez 22, 2021 | Blog

 

Das Verwaltungsgericht Wiesbaden hat der Hochschule RheinMain untersagt, auf Ihrer Webseite einen Cookie-Dienst zu nutzen: Das Cookie-Consent-Plugin übermittelt ungefragt personenbezogene Daten auf Server in den USA – und verstößt damit gegen die Datenschutz-Grundverordnung (DSGVO).

Wir erklären dir die Hintergründe und was das jetzt für deine Webseite bedeutet. Und: Wir stellen dir unsere selbstentwickelte Lösung vor, mit der wir als Digitalagentur die Probleme mit Cookies & Co. für unsere Kund:innen in den Begriff bekommen.

Wie kam es zu dem Gerichtsverfahren über Cookie-Dienste?

Dem Urteilstext nach hatte ein Nutzer des Onlinekatalogs der Bibliothek der Hochschule RheinMain festgestellt, dass die Webseite seine personenbezogenen Daten ungefragt an Dritte übermittelte. Daraufhin mahnte er die Verstöße bei der Hochschule ab – und forderte die Abgabe einer „strafbewehrten Unterlassungsverpflichtung“ bezüglich von zwei externen Diensten auf. Die im Urteil mehr oder weniger erfolgreich unkenntlich gemachten Namen der Dienste, können wir dir nur wie folgt wiedergeben: „G[xxx] Tag Manager“ und „C[xxx]bot“.

Der Fall landete vor dem Verwaltungsgericht Wiesbaden, das in einem Eilverfahren ein Urteil gefällt hat, das Webseitenbetreiber wie Datenschützer gleichermaßen beschäftigt.

Was hat das Verwaltungsgericht Wiesbaden zu den Cookie-Diensten entschieden?

Das Gericht untersagte der Hochschule RheinMain, auf Ihrer Website die betroffenen Cookie-Dienste einzusetzen, da sie ungefragt die vollständige IP-Adresse der Endnutzer an Server in den USA übermitteln.

Dieser sogenannte Drittland-Bezug sei im Hinblick auf die sogenannte Schrems II-Entscheidung des Europäischen Gerichtshofs unzulässig. Die Nutzer der Webseite seien nicht nach einer Einwilligung für eine Datenübermittlung in die USA gefragt worden. Die Cookie-Dienste informieren auch nicht über dadurch entstehende mögliche Risiken durch den sogenannten Cloud-Act. Darüber hinaus sei die Datenübermittlung nicht für das Betreiben der Webseite der Hochschule erforderlich.

Und jetzt kommt das Wichtigste: Auch wenn die Hochschule RheinMain die Daten nicht selbst in die USA übermittele, sei sie aber dennoch die verantwortliche Stelle.

Das heißt: Nach dem aktuellen Urteil verstoßen die Cookie-Dienste gegen die Datenschutz-Grundverordnung (DSGVO). Gegen den Beschluss des Verwaltungsgerichts kann die Hochschule noch innerhalb von zwei Wochen nach dem 6. Dezember Beschwerde einlegen. In diesem Fall wird der Hessische Verwaltungsgerichtshof in Kassel die nächste Entscheidung treffen müssen.

Wenn du das Urteil in kompakter Form nachlesen möchtest, empfehlen wir dir die Pressemitteilung des Amtsgerichts Wiesbaden. Das komplette Urteil im Wortlaut haben wir für dich auf dem Rechtsportal REWIS gefunden.

Was kannst du jetzt mit deiner Webseite tun, um dich vor solchen Klagen zu schützen?

Das Thema Cookie-Consent und Datenschutz wurde mit diesem Urteil noch eine Stufe komplizierter. Wenn du für deine Webseite bislang auf externe Dienste und Plattformen für dein Consent Management vertraust, solltest du jetzt ganz genau hinschauen: Speichern diese oder ihre Partner personenbezogene Daten auf Servern in den USA oder anderen Drittländern, ohne in ihren Cookie-Bannern deine Besucher:innen um Erlaubnis zu fragen?

Denn als Betreiber:in einer Webseite bist du verantwortlich und siehst dich im schlimmsten Fall wie jetzt die Hochschule RheinMain Klagen gegenüber. 

Disclaimer

Dieser Blogartikel dient der allgemeinen Information und stellt keine Rechtsberatung im Einzelfall dar und kann und soll diese auch nicht ersetzen. Dein erster Ansprechpartner zum Thema Datenschutz sollte immer eine juristisch qualifizierte Person sein.

Wir sind uns der Problematik bewusst - Und haben eine Lösung

Unser Datenschutz-Team hat sich schon direkt im Juli 2020 nach der Schrems II-Entscheidung des europäischen Gerichtshofs mit der Problematik des Drittland-Themas und der technischen Notwendigkeit intensiv beschäftigt.

Auf der Suche nach rechtssicheren Lösungen und Diensten für Webseiten unserer Kund:innen merkten wir bald: Es gibt für den deutschen Markt anscheinend keine, die echte Rechtssicherheit bietet!

Das größte Problem sahen wir darin, dass Webseitenbetreiber durch die Plugins von Consent-Tools keine unmittelbare Kontrolle über die Datenbewegungen haben, aber die volle Verantwortung tragen.

Also haben wir mit der Entwicklung eines eigenen Consent-Tools für Cookies, Tracking und alle anderen Datenübermittlungen begonnen!

Das KEMWEB Consent-Tool: Eine lokale Lösung für volle Datenhoheit

Unsere Lösung unterscheidet sich vor allem in einer Eigenschaft von anderen Cookie-Diensten: Als integrierter Teil einer Webseite sendet unser Consent-Tool keinerlei Daten an Zweite und ermöglicht so volle Kontrolle über den Schutz der Daten von Besucher:innen!

Alle Nutzungsdaten werden lokal auf dem eigenen deutschen Server der Webseite verarbeitet und gespeichert. Es gibt keine versteckten Verbindungen, über die ungefragt personenbezogene Daten an externe Dienste und Server gesendet werden könnten.

Auch das Problem der sich häufig ändernden Datenschutzerklärungen von externen Diensten wie Google Analytics, Facebook Pixel, YouTube und vielen anderen Trackingquellen umgeht unsere Lösung denkbar einfach: Wir verlinken in unserem Banner zusätzlich zur Datenschutzerklärung immer direkt auf die entsprechenden externen Webseiten mit den aktuellen Datenschutzerklärungen.

Flexibel anpassbar für zukünftige Urteile

Nach Einschätzung unseres Datenschutz-Teams ist das ganze Thema Cookies, Tracking & Co. noch lange nicht abschließend juristisch geklärt. Bislang definieren die Gerichte immer sehr genau, was NICHT erlaubt ist – geben aber leider wenig bis gar keine Anleitung an die Hand, wie ihre Urteile in der Praxis umzusetzen sind.

Wir gehen davon aus, dass zukünftige Urteile zu DSGVO, ePrivacy, Schrems-II-Entscheidung, TTDSG und Cloud-Act noch viele weitere Trackingdienste in ihrer jetzigen Form einschränken werden. Davon ausgehend haben wir unser Consent-Tool so aufgebaut, dass es in seiner Funktionalität leicht anpassbar und erweiterbar ist.

Denn: Eine Datenschutzlösung muss sich immer wieder weiterentwickeln, um zukunftsfähige zu bleiben. Zusätzlich zum Consent-Tool arbeitet unser Team gerade an einem unabhängigen Webseiten-Scanner für ein sichereres Consent-Management. Dieser hat die „Superkraft“, jede URL mit einem Klick zu scannen und alle Daten von Besucher:innen zu finden, die ungefragt gesendet werden. Mit diesem Wissen lassen sich alle erforderlichen Maßnahmen ergreifen, um Abmahnungen und Klagen dauerhaft zu vermeiden. Mehr dazu erfährst du von uns in 2022!

Du hast Fragen zum Thema Cookies und willst mehr über unser Consent-Tool erfahren? Dann schreib uns für ein unverbindliches Beratungsgespräch mit Live-Demo!

Noch Fragen?
Wir sind für Sie da!
Max Antwerpes
|
Sales Manager