DEV Community

Nevik Schmidt
Nevik Schmidt

Posted on

Cookiebot ist illegal? Was das VG-Wiesbaden-Urteil für deine Website bedeutet

#gdpr #webdev #privacy #germany

Cookiebot ist illegal? Was das VG-Wiesbaden-Urteil für deine Website bedeutet

Im Dezember 2021 hat das Verwaltungsgericht Wiesbaden (Az. 6 L 738/21.WI) ein Urteil gefällt, das die gesamte Cookie-Consent-Branche erschüttert hat: Der Einsatz von Cookiebot auf Websites der öffentlichen Hand wurde für rechtswidrig erklärt.

Aber was bedeutet das für private Unternehmen? Und gibt es Alternativen?

Was ist passiert?

Das VG Wiesbaden stellte fest:

  1. Cookiebot überträgt personenbezogene Daten in die USA — konkret IP-Adressen der Website-Besucher
  2. Die Übertragung erfolgt an Akamai-Server in den USA
  3. Nach dem Schrems-II-Urteil des EuGH fehlt eine valide Rechtsgrundlage für diese Übertragung
  4. Cookiebot fungiert als eigenständiger Verantwortlicher, nicht nur als Auftragsverarbeiter

Das Kernproblem 

Besucher → Deine Website → Cookiebot-Script lädt
                            → IP-Adresse geht an Akamai (USA)
                            → DSGVO-Verstoß BEVOR Consent gegeben wird
Enter fullscreen mode Exit fullscreen mode

Das Paradoxe: Ein Tool, das Datenschutz-Compliance sicherstellen soll, verursacht selbst einen DSGVO-Verstoß — und zwar bevor der Nutzer überhaupt zustimmen oder ablehnen kann.

Gilt das auch für Unternehmen?

Das Urteil betraf konkret eine öffentliche Stelle (Hochschule). Für private Unternehmen ist die Rechtslage etwas anders, aber:

Risikofaktoren, die auch für Unternehmen gelten:

  • ⚠️ Datenübertragung in die USA bleibt problematisch
  • ⚠️ Vor-Consent-Datenverarbeitung ist grundsätzlich nicht erlaubt
  • ⚠️ Abmahnungen durch Datenschutz-Aktivisten nehmen zu
  • ⚠️ Aufsichtsbehörden prüfen zunehmend Cookie-Consent-Tools

Was sich seit dem Urteil geändert hat:

  • Das EU-US Data Privacy Framework (Juli 2023) bietet eine neue Rechtsgrundlage für US-Transfers
  • Cookiebot hat Teile der Infrastruktur nach Europa verlagert
  • Aber: Das Framework könnte erneut vom EuGH gekippt werden ("Schrems III")

Die 5 größten Probleme mit Cloud-basierten Consent-Tools

1. Vor-Consent-Datenverarbeitung

Das Consent-Script selbst überträgt bereits Daten, bevor der Nutzer zustimmt. Das ist ein strukturelles Problem.

2. Third-Party-Abhängigkeit

Wenn Cookiebot/Usercentrics/OneTrust ausfällt, ist dein Cookie-Banner weg — aber deine Cookies laufen weiter.

3. Kosten

Professionelle Cloud-Consent-Tools kosten €10-100/Monat pro Domain. Bei mehreren Websites summiert sich das schnell.

4. Performance-Impact

Externe Scripts verlangsamen deine Website. Jedes Consent-Tool fügt 50-200ms zur Ladezeit hinzu.

5. Vendor Lock-in

Dein Consent-Zustand liegt beim Anbieter. Wechsel = alle Consents verloren.

Die Alternative: Self-Hosted Consent Management

Was wäre, wenn dein Cookie-Banner:

  • Keine Daten an Dritte sendet?
  • 100% auf deinem Server läuft?
  • Kostenlos ist (Open Source)?
  • Schneller lädt (kein externes Script)?
  • DSGVO-konform by Design ist?

So funktioniert Self-Hosted Consent: 

// Consent-Logik läuft komplett auf deinem Server
// Keine externen Requests, keine US-Transfers

// 1. Cookie-Banner anzeigen
showConsentBanner({
  categories: ['essential', 'analytics', 'marketing'],
  storage: 'localStorage', // Bleibt auf dem Gerät
  server: 'https://deine-domain.de/consent'
});

// 2. Consent speichern (lokal + optional auf eigenem Server)
saveConsent({
  analytics: true,
  marketing: false
});

// 3. Scripts nur nach Consent laden
if (hasConsent('analytics')) {
  loadScript('matomo.js'); // Self-hosted Analytics
}
Enter fullscreen mode Exit fullscreen mode

Checkliste: Ist dein Consent-Tool sicher?

Kriterium ✅ Gut ❌ Kritisch
Hosting EU/Self-hosted USA/Cloud
Vor-Consent-Daten Keine IP-Adressen
Drittanbieter-Requests 0 1+
Kosten Kostenlos/Einmalig Monatlich
Ausfallsicherheit Hoch (self-hosted) Abhängig vom Anbieter
DSGVO-Konformität By Design Nachträglich

Meine Empfehlung

  1. Prüfe jetzt, welche externen Requests dein Cookie-Banner macht (Browser DevTools → Network Tab)
  2. Dokumentiere die Datenflüsse in deiner Datenschutzerklärung
  3. Evaluiere Self-Hosted-Alternativen — es gibt gute Open-Source-Lösungen
  4. Teste die Ladezeit mit und ohne externes Consent-Tool

Fazit

Das VG-Wiesbaden-Urteil war ein Weckruf. Auch wenn sich die rechtliche Lage durch das EU-US Data Privacy Framework etwas entspannt hat — das Grundproblem bleibt: Cloud-basierte Consent-Tools sind ein Datenschutz-Risiko by Design.

Die sicherste Lösung ist ein Self-Hosted-Ansatz, der keine Daten an Dritte überträgt.

Ich baue guard.nevki.de — ein DSGVO-Monitoring-Tool, das Websites auf Datenschutz-Verstöße prüft. 100% EU-Hosting, keine US-Transfers. Wenn du wissen willst, ob deine Website betroffen ist, schau vorbei.

Nutzt du Cookiebot oder ein anderes Cloud-Consent-Tool? Ich bin gespannt auf eure Erfahrungen in den Kommentaren.

Top comments (0)