Disclaimer: Habe diesen Artikel als Laie geschrieben und erarbeitet und dient rein der Info.
Laut dem aktuellen Gerichtsurteil des Verwaltungsgerichtes Wiesbaden darf das Cookiebot Banner nicht mehr auf deutschen Seiten eingesetzt werden. Dies könnte weitreichende Folgen haben, für viele Webseiten.
Laut dem aktuellen Urteil darf die staatliche Hochschule RheinMain dieses Banner nicht mehr auf der Internetseite www.hs-rm.de einsetzen, das wurde in einem Eilverfahren festgelegt. Der Cookiebot bittet Nutzer um Einwilligung in die Speicherung von Cookies auf ihrem Endgerät. Das juristische Problem: Dabei werden Daten der Webseiten-Besucher zu Servern eines US-Unternehmens übertragen.
Ein Nutzer der Webseite hatte festgestellt, dass der Einwilligungsmanager des Cookiebot Banners Daten, wie etwa die IP-Adresse, in die USA schickt.Das Problem an der Sache ist, dass dies nach dem US-Gesetz dem dortigen Cloud-Act unterliegt. Der Unterlassungserklärung wurde demnach statt gegeben.
Der Cloud-Act vereinfacht es den US-Amerikanischen Behörden einen weitreichenden Einblick in die Daten, die auf Servern in der USA gespeichert sind. Da sich Akamais Zentrale im US-Bundesstaat Massachusetts befindet, führt dies dazu, dass dies nach der Datenschutz-Grundverordnung (DSGVO) zu einer unzulässigen Übermittlung (Az. 6 L 738/21.WI) von Daten führt. Dies ist auch laut der Schrems II Entscheidung des EuGH unzulässig.
Dabei liegt die Verantwortung bei dem Betreiber der Webseite. Der Cookiebot Banner lässt den Nutzer der Webseite im unklaren wo die Daten hingehen und bietet auch keine Möglichkeit für ein Opt-Out. Verantwortlich für die Datenerhebung ist laut Gericht immer der Webseitenbetreiber.
Die Richter erkennen rechtfertigungsbedürftige Datenübertragung bereits dann, wenn die Konzernmutter eines Cloud-Anbieters in den USA sitzt. Dies ist nicht nur bei Akamai der Fall, sondern auch bei anderen Cloud-Größen wie Amazon, Microsoft, Google, Apple und Cloudflare. Sollte der Beschluss im Hauptverfahren bestätigt und in der Folge rechtskräftig werden, dürfte er weit über die Hochschule und den Cookiebot hinauswirken.
Heise.de
Problem an der ganzen Sache ist wohl das die Hochschule auf die Standardvertragsklausel, die zwischen Cybot und Akamai geschlossen wurde, berufen hatte. Laut der Klausel werden nur die anonymisierte IP, Datum und Uhrzeit der Zustimmung, Nutzeragent des Browsers, die URL, ein anonymer, zufälliger und verschlüsselter Schlüssel sowie der Einwilligungsstatus übermittelt.
Laut dem Antragsteller würden wohl Klardaten verarbeitet, nur die Datenübermittlung sei verschlüsselt. Dies würde laut der Schrems II Entscheidung, keine ausreichende Verschlüsselung sein, der hessische Datenschutzbeauftragte bestätigte das. Das Gericht verwies auf eine Erklärung Cybots, wonach die IP-Adresse nicht anonymisiert werde.
Die Hochschule hat nun zwei Wochen Zeit eine Beschwerde gegen den Eilantrag einzulegen.
Wie das Urteil ausfallen wird, wird erst im Hauptverfahren klar. Nur es dazu kommt, wird dies Auswirkungen haben, auf alle möglichen Webseiten, soziale Netzwerke, dem reCAPTCHA Dienst, YouTube usw.
Quelle: heise.de