1

Tool zur Einholung von Datenschutz-Einwilligungen wegen fehlender Einwilligung verboten …

Die Überschrift verspricht zunächst all denen Kopfschmerzen, die mit den Details des Datenschutzes noch nicht vertraut sind.

Was ist passiert?

Das Verwaltungsgericht Wiesbaden untersagt der Hochschule Rhein Main in einem Eilverfahren vorläufig den Einsatz des weit verbreiteten Tools zur Einholung von Datenschutz-Einwilligungen auf Webseiten „Cookiebot“.

Hintergrund der noch nicht rechtskräftigen Entscheidung ist, dass bei der Nutzung dieses Tools personenbezogene Daten, wie die IP-Adresse von Webseitenbesuchern, in die USA exportiert werden. Cookiebot nutzt Server in den USA. Für diese Übermittlung personenbezogener Daten der Webseitenbesucher würde keine Rechtsgrundlage bestehen. Im konkreten Fall hat die Hochschule weder eine Einwilligung eingeholt (eben dieses Tool ist ja für die Einholung von Einwilligung vorgesehen), noch über die Risiken des Datentransfers in die USA aufgeklärt.

Bisher gibt es zum Thema Datentransfer in Drittstaaten, die über kein ausreichendes Datenschutzniveau verfügen, keine weiteren praxisnahen und richtungsweisenden Gerichtsentscheidungen. Sollte sich die vom Verwaltungsgericht Wiesbaden getroffene Entscheidung bestätigen und durchsetzen, hat das nicht nur die offensichtliche Folge, dass Cookiebot nicht mehr von europäischen Unternehmen in derzeit üblicher Weise eingesetzt werden kann. Vielmehr wird der rechtmäßige Einsatz von ähnlichen Tools, die Daten in Drittstaaten transferieren, in Frage gestellt.

Eine ganze Reihe von in Unternehmen genutzte Dienstleistungen und Softwareprodukte – vor allem Cloud-Produkte – werden durch Anbieter außerhalb der EU angeboten. Oder Anbieter in der EU nutzen selbst als Teil Ihrer Leistungserbringung Dienstleistungen oder Cloudressourcen außerhalb der EU. Werden durch die Nutzung dieser Dienstleistungen und Produkte personenbezogene Daten in Drittstaaten transferiert, müssen die Auftraggeber spezielle gesetzliche Pflichten im Datenschutz erfüllen.

Was können Unternehmen jetzt machen?

  1.  Erstellen Sie eine Übersicht aller (IT-)Dienstleistungen und Cloudprodukte, die Ihr Unternehmen nutzt.
  2. Ermitteln Sie aus den Bestellungen/Verträgen oder über die Webseiten der jeweilige Anbieter, wo dieser Anbieter seinen Sitz hat.
  3. Prüfen Sie anhand der verfügbaren Dokumentationen oder durch eine Anfrage beim Anbieter, ob Daten außerhalb der EU gespeichert oder anderweitig verarbeitet werden.
  4. Viele Anbieter nutzen Subunternehmen, die auch außerhalb der EU sitzen können. Prüfen Sie diese ebenfalls oder beziehen Sie Subunternehmen in Ihre Anfrage beim Anbieter aktiv mit ein.

Haben Ihre Anbieter oder deren Subunternehmer ihren Sitz außerhalb der EU, oder werden Daten außerhalb der EU gespeichert oder darüber hinaus verarbeitet? Was jetzt?

  • Prüfen Sie, ob alternative Angebot Ihres Anbieters innerhalb der EU in Frage kommen
  • oder prüfen Sie ggf. ob ein Anbieterwechsel möglich ist
  • oder prüfen Sie, welche vertraglichen, organisatorischen oder technischen Maßnahmen erforderlich sind, damit Sie ihren Anbieter weiter rechtskonform einsetzen können.

Weiterführende Dokumente:

Link zur Empfehlung der EDPB für zusätzliche Maßnahmen

Link zur Orientierungshilfe des Landesdatenschutzbeauftragten BW

Link zur Gerichtsentscheidung

Bildquellen:

  • Kopfschmerz: (c) Damir Khabirov - stock.adobe.com