Verwaltungsgericht Wiesbaden untersagt Verwendung des Dienstes mittels einstweiliger Anordnung.
Der Dienst des in Dänemark ansässigen Unternehmens Cybot A/S ermöglicht es, die Einwilligung der Nutzer einer Webseite zu den dort betriebenen Cookies einzuholen. Er überwacht die eingesetzten Cookies und blockiert solche Cookies, für die eine Zustimmung nicht erteilt wurde.
Obwohl Cookiebot sein Dienst mit einer „DSGVO-konformen Zustimmungslösung für Cookies und Online-Tracking“ bewirbt, sah es das Verwaltungsgericht in Wiesbaden anders und hat im Eilverfahren mit Beschluss vom 01.12.2021 dem Antrag stattgegeben, den Dienst, der an der Hochschule RheinMain genutzt wurde, nicht weiter betreiben zu dürfen.
Der Antragssteller monierte, dass durch Cookiebot-CMP, Daten wie seine IP-Adresse auf amerikanische Server des Akamai Technologie Unternehmens übertragen würden und mittels US Cloud Act, die Möglichkeit bestehe, dass US-Behörden Zugriff auf diese personenbezogenen Daten erhalten könnten.
Die Hochschule berief sich auf eine Standardvertragsklausel, die zwischen Cybot und Akamai abgeschossen worden sein soll, in der beschrieben wird, dass nur eine „anonymisierte“ Internetkennung übermittelt wird. Dagegen gestellt wurde jedoch, dass durch den Akamai-Server offenkundig Klardaten verarbeitet werden und es sich somit höchstens um eine Transportverschlüsselung handeln könnte. Nach dem Schrems-II Urteil stellt dies aber keine ausreichende Schutzmaßnahme dar, welches durch den hessischen Datenschutzbeauftragten bestätigt wurde.
Die Hochschule kann innerhalb einer zweiwöchigen Frist Beschwerde gegen diesen Eilbeschluss einreichen, eine endgültige Regelung wird aber wohl erst im Hauptverfahren gefällt.
Wie auch immer die finale Entscheidung ausfällt, wird diese nicht nur für den Cookie Consent Manager Konsequenzen haben, ebenfalls wird hier Google Analytics, reCAPTCHA, YouTube und andere Online-Funktionen von US-Anbietern in den Fokus geraten.