Das Verwaltungsgericht Wiesbaden untersagt das Betreiben eines Consent-Dienstes (= stellt Cookiebanner bereit), weil dieser auf Servern eines Unternehmens betrieben wird, dessen Unternehmenszentrale sich in den USA befindet. Im Wortlaut die Pressemitteilung:
Der Cookie-Dienst verarbeite die vollständige IP-Adresse der Endnutzer auf Servern eines Unternehmens, dessen Unternehmenszentrale sich in den USA befinde. Hierdurch entstehe ein Drittland-Bezug, nämlich zu den USA, welcher im Hinblick auf die sog. Schrems II-Entscheidung des Europäischen Gerichtshofs so unzulässig sei. Die Nutzer der Webseite […] würden nicht um ihre Einwilligung für eine Datenübermittlung in die USA gebeten werden. […] Zwar übermittle nicht [der Betreiber der Website] selbst die Daten in die USA, [er] sei aber dennoch die für die Datenübermittlung verantwortliche Stelle. Sie entscheide durch das Einbinden auf ihrer Webseite darüber, dass die Erhebung und Übermittlung durch den Cookie-Dienst erfolge. Sie entscheide auch mittelbar über den Zweck der Verarbeitung, da sie in Kenntnis der Zwecke, die der eingebundene Dienst angebe, sich für oder gegen die Verwendung entscheiden könne.
Im konkreten Fall ist der beanstandende Service „Cookiebot“, es würde mich aber wundern, wenn nicht viele andere Services ähnliche Probleme haben. Sehr viele Websites, Plattformen, Web-Applikationen und sogar lokal installierte Apps nutzen Server von Google, Akamai, Amazon oder sonstige Systeme und datenverarbeitende Dienste, die von Firmen betrieben werden, deren Unternehmenszentrale sich in den USA befindet. – Sind nicht auch Google und Microsoft (mit Workspace und Office 365) datenverarbeitende Services, deren Unternehmenszentralen in den USA angesiedelt sind. 🤔
Es wird spannend, sehr spannend, welche Auswirkungen dieses Urteil in naher Zukunft haben wird.