Update: Untersagung wurde zurückgenommen
Um das dänische Unternehmen Usercentrics A/S, ehemals Cybot A/S, das den beliebten Dienst zur Zustimmung oder Ablehnung von Cookies anbietet, ist seit dem vorläufigen Verbot viel passiert. Das Gerichtsverfahren läuft zwar noch in der Hauptsache, die Umstände haben sich jedoch grundlegend geändert. Cybot gehört inzwischen zu Usercentrics.
Cookiebot ermöglicht es, die nach Art. 6 Abs. 1 a) DSGVO und § 25 TTDSG nötige Einwilligung der Nutzer einer Webseite zu den dort verwendeten Cookies einzuholen. Es überwacht die eingesetzten Cookies, blockiert solche, für die eine Zustimmung nicht erteilt wurde und hilft Seitenbetreibern, die DSGVO-Pflichten zur Aufklärung der Benutzer zu erfüllen, indem es halbautomatisch Cookie-Beschreibungen generiert und so die Einwilligungen ausreichend „informiert“ erfolgen können.
Vorgeworfen wurde Cybot seine Zusatzfunktion als „Content-Delivery-Network“ (CDN). Ein solcher Inhaltslieferdienst (hier Akamai, USA) verteilt die Anfragen an eine Netzseite weltweit jeweils auf die Rechner, die gerade am schnellsten antworten können oder leitet Anfragen auch nach inhaltlichen Vorgaben um. Dies wurde hier zur Gretchenfrage, weil die Entscheidung, wohin die Anfragen gesendet werden, ohne Not in den USA gefällt wurde, das für das EU-Datenschutzrecht als unsicheres Drittland zählt. Das widersprach wahrscheinlich dem Verhältnismäßigkeitsprinzip, da es nicht das mildeste Mittel war.
Obwohl Cookiebot seinen Dienst mit einer „DSGVO-konformen Zustimmungslösung für Cookies und Online-Tracking“ bewarb, sah es das Verwaltungsgericht in Wiesbaden anders und hatte im Eilverfahren 6 L 738/21 mit Beschluss vom 01.12.2021 der Hochschule Rhein-Main die Nutzung des Dienstes vorläufig untersagt. Das sah Cookiebot jedoch grundlegend anders und hat sich am Prozess beteiligt. Inzwischen hat der Verwaltungsgerichtshof Hessen dies mit Entscheidung 10 B 2486/21 vom 17.01.2022 aus formalen Gründen vorläufig widerrufen. Das endgültige Urteil steht damit eigentlich noch aus, wird aber wahrscheinlich nicht mehr ergehen, weil sich die Sachlage grundlegend geändert hat.
Usercentrics hat inzwischen sein CDN so umgebaut, dass Anfragen für europäische Seiten grundsätzlich vorab von der slowenischen Firma BunnyWay, d.o.o. in Europa bearbeitet werden und die Drittlandproblematik damit entschärft. Zudem hat Usercentrics im Oktober 2022 einen neuen Auftragsverarbeitungsvertrag (AVV, englisch Data Processing Agreement, DPA) veröffentlicht, den wir nach den formalen Kriterien der deutschen Datenschutzkonferenz (DSK) geprüft haben. Ob die TOM ausreichend sind, lässt sich nicht allgemeingültig feststellen, die restlichen Teile des Vertrages erfüllen jedoch nach unserer Ansicht derzeit grundsätzlich die Kriterien der Checkliste der DSK vom 30. Juni 2022.
Natürlich kann man darüber hinaus mit Cookiebot weiterhin Seiten weltweit ausspielen. Dann aber erhält nach Wahl des Auftraggebers wieder Akamai aus den USA die Daten. Für weltweite Anfragen über sichere Länder hinaus kann Cookiebot das mildeste Mittel sein, so dass eine Verhältnismäßigkeit der Verarbeitung im unsicheren Drittland hier wahrscheinlich gegeben ist. Allerdings ist dazu ergänzend noch eine Risikofolgeabschätzung für unsichere Drittländer (englisch TIA) nötig.
Ursprünglicher Artikel vom 14.09.2021 von Markus Vatter, neuer Sachstand im Februar 2023 von Florian Thomas Hofmann
