6. Dezember 2021, 22:38
Lesezeit: ca. 2 Min

Told-you-so-Moment mit Cookiebot

Heute hat das VG Wiesbaden bekannt gegeben, im Eilverfahren der Hochschule Rhein-Main die Nutzung von Cookiebot untersagt zu haben (Az.: 6L 738/21.WI).1

Der dänische Anbieter hinter Cookiebot ist in der Branche kein Unbekannter und wirbt mit dem windigen Versprechen, DSGVO-konforme Cookie-Zustimmungen von Website-Besuchern einzuholen. Kompletter Humbug wie das Gericht treffend feststellt:

Cookiebot verarbeite die vollständige IP-Adresse der Endnutzer auf Servern eines Unternehmens, dessen Unternehmenszentrale sich in den USA befinde. Hierdurch entstehe ein Drittland-Bezug, nämlich zu den USA, welcher im Hinblick auf die sog. Schrems II-Entscheidung des Europäischen Gerichtshofs so unzulässig sei. Die Nutzer der Webseite (…) würden nicht um ihre Einwilligung für eine Datenübermittlung in die USA gebeten werden. Es fände auch keine Unterrichtung über die mit der Übermittlung verbundenen möglichen Risiken durch den sog. Cloud-Act statt.

Genau zu diesem Anbieter gab es vor zwei Jahren einen Mailwechsel mit einem externen Datenschutzbeauftragten, der Datenschutz leider nach Aktenlage betrieb und von den technischen Grundlagen vorsichtig formuliert etwas entfernter war. Seiner Meinung nach sei Cookiebot entgegen meiner Einwände und technischer Fakten unbedenklich.

Das Resultat: Eine Fehlberatung und Einladung für mißliebige Mitbewerber, Mitarbeiter oder Website-Besucher. Der betroffene Kunde ist nun gut beraten, seine fertige Website anzupassen und erneut Geld und Zeit reinzustecken, was vor zwei Jahren final hätte gelöst sein können.

Es gibt für einfache Websites ohne Online-Shop, Forum oder Kundenbereich technisch keinen Grund, Cookies zu setzen und ungefragt die persönlichen Daten an Drittanbieter zu übermitteln. Das VG Wiesbaden schreibt unmißverständlich:

Eine solche Datenübermittlung sei auch nicht für das Betreiben der Webseite (…) erforderlich.

Wer einen weiteren Drittanbieter einsetzt, der mit einem zusätzlichen Cookie und zusätzlicher Datenverarbeitung verspricht, Datenschutz zu betreiben, der hat den Sinn von Datenminimierung und Privacy by Design and Default nicht verstanden.

Danke für den heutigen Told-you-so-Moment mit dem mir bekannten und hier natürlich ungenannten, externen Datenschutzbeauftragten. Vielleicht liest er ja mit.

In diesem Sinne,
Tomas Jakobs


  1. https://verwaltungsgerichtsbarkeit.hessen.de/pressemitteilungen/hochschule-rheinmain-darf-auf-ihrer-webseite-nicht-den-dienst-%E2%80%9Ecookiebot%E2%80%9C-nutzen ↩︎

© 2021 Tomas Jakobs - Impressum und Datenschutzhinweis