Auftragsverarbeitung unter Cookiebot

Verarbeitet ein Unternehmen personenbezogene Daten im Auftrag, so ist hierfür ein Auftragsverarbeitungsvertrag (AVV) nötig. Die rechtlichen Rahmenbedingungen hierfür sind in der EU-Datenschutz-Grundverordnung (DSGVO) festgelegt.

Folgende Inhalte müssen in einem Auftragsverarbeitungsvertrag beachtet werden:

  1. Regelungen zum Gegenstand und Dauer des Auftrags
  2. Umfang, Art, Zweck, Art der Daten und Betroffenenkreis
  3. TOM nach § 9 BDSG
  4. Regelungen zur Berichtigung, Löschung und Sperrung von Daten im Auftrag
  5. Regelungen zu den Pflichten des Auftragnehmers nach dem BDSG (genannt in § 11 Abs. 4 BDSG)
  6. Regelungen zu Unterauftragsverhältnissen
  7. Regelungen zu Kontrollrechten des Auftraggebers und entsprechenden Duldungspflichten des Auftragnehmers
  8. Regelungen zu Informationspflichten des Auftragnehmers bei Verstößen gegen Datenschutzvorschriften oder Pflichten gegenüber dem Auftraggeber
  9. Weisungsrecht (insbesondere das Recht zu ergänzenden Weisungen)
  10. Regelungen zur Rückgabe bzw. Löschung von Daten nach Auftragsbeendigung

Beispiel Cookiebot / Cybot

Cookiebot ist ein Consent Tool der Firma Cybot aus Dänemark. Da hier personenbezogene Daten verarbeitet werden, ist nach unserer Ansicht hierfür ein Auftragsverarbeitungsvertrag (AVV) mit Cybot abzuschließen. Allerdings stellt der Anbieter Cybot keine AVV zur Verfügung. Da es aktuell keine Möglichkeit gibt, Cybot auf die Pflichten der DSGVO vertraglich zu verpflichten, verbleiben die Risiken und auch die Haftung beim Auftraggeber.

Wird Cookiebot als Consent Tool eingesetzt, werden natürlich auch IP-Adressen von Betroffenen durch die Webseite an Cookiebot weitergeleitet und dort im Sinne der DSGVO verarbeitet.

Webseitenbetreiber haften für Datenschutzvorfälle

Da Cookiebot aktuell keine Möglichkeit einer vertraglichen Regelung über einen Auftragsverarbeitungsvertrag bietet, verbleibt die vollständige Haftung beim Webseitenbetreiber.

Wenn dann Cybot einen weiteren Auftragsverarbeiter beauftragt, so muss er hierfür weder den Webseitenbetreiber um Erlaubnis fragen (Art. 28 Abs. 2 DSGVO), noch informieren. Natürlich haftet der Webseitenbetreiber gegenüber Betroffenen vollständig und allein.

Drittlandtransfer

Das Verwaltungsgericht Wiesbaden hat in einem aufsehenerregenden Urteil bereits im Dezember 2021 Cookiebot für unzulässig erklärt, da der Dienst widerrechtlich Daten in ein Drittland transferiert.

Nun wurde das Urteil durch die nächste Instanz aufgehoben. Dies war jedoch nur wegen einer verfahrenstechnischen Frage möglich. Alle offenen Fragen zum Datenschutz wird das nächste Verfahren klären.

Wir beobachten das Thema weiterhin für Sie.

Quelle:

rewis.io/urteile/urteil/2tj-01-12-2021-6-l-73821wi/
openjur.de/u/2384957.html

Hier erfahren Sie mehr.

Ich berate Sie gerne und freue mich auf Ihre Fragen.

Head of Compliance

Markus Vatter