Im Jahr 2021 hat das Verwaltungsgericht Wiesbaden ein Urteil gefällt, das die deutsche Datenschutz-Landschaft erschüttert hat: Der Einsatz von Cookiebot (jetzt Usercentrics) auf einer öffentlichen Website wurde als rechtswidrig eingestuft.
2024 wurde diese Position bestätigt. Und die Konsequenzen betreffen nicht nur Cookiebot — sondern jeden Cookie-Consent-Manager, der Daten über US-Server leitet.
Was ist passiert?
Das Urteil (VG Wiesbaden, Beschluss vom 01.12.2021 — 6 L 738/21.WI)
Ein Bürger klagte gegen die Verwendung von Cookiebot auf der Website der Hochschule RheinMain. Das Gericht stellte fest:
- Cookiebot sammelt personenbezogene Daten (IP-Adressen, Consent-Daten, Browserdaten)
- Diese Daten werden über Akamai CDN (US-Unternehmen) geroutet
- Es besteht ein Drittland-Transfer in die USA ohne ausreichende Schutzmaßnahmen
- Schrems II macht diesen Transfer rechtswidrig
Die Kernaussage
Ein Cookie-Consent-Tool, das selbst personenbezogene Daten in ein Drittland überträgt, widerspricht dem Zweck des Datenschutzrechts.
Das Gericht nannte es eine "datenschutzrechtliche Bankrotterklärung" — ein Tool, das Datenschutz-Compliance sicherstellen soll, selbst aber gegen den Datenschutz verstößt.
Warum betrifft dich das?
Wenn du Cookiebot/Usercentrics nutzt
Usercentrics (die Firma hinter Cookiebot) hat seitdem Maßnahmen ergriffen und bietet EU-Hosting an. Aber: Die Infrastruktur nutzt weiterhin teilweise CDN-Dienste mit US-Bezug. Prüfe genau:
- Werden Consent-Daten ausschließlich auf EU-Servern verarbeitet?
- Nutzt der Service Akamai, Cloudflare oder AWS CloudFront (US-Unternehmen)?
- Gibt es einen Auftragsverarbeitungsvertrag (AVV) mit EU-Rechtsgrundlage?
Wenn du andere Consent-Manager nutzt
Das Urteil gilt analog für jeden Consent-Manager, der:
- Daten über US-CDNs routet
- IP-Adressen an US-Server überträgt
- Keine vollständige EU-Datenverarbeitung gewährleistet
Betroffen können sein:
- OneTrust (US-Unternehmen)
- TrustArc (US-Unternehmen)
- CookieYes (Cloud-basiert, Routing prüfen)
- Quantcast Choice (US-Unternehmen)
Was ist die Lösung?
Option 1: EU-gehostete Consent-Manager
Diese Tools verarbeiten alle Daten ausschließlich in der EU:
| Tool | EU-Hosting | Open Source | Preis |
|---|---|---|---|
| Borlabs Cookie | ✅ (WordPress-Plugin, lokal) | ❌ | ab €49/Jahr |
| Real Cookie Banner | ✅ (WordPress-Plugin, lokal) | Teilweise | ab €49/Jahr |
| Complianz | ✅ (WordPress-Plugin, lokal) | ✅ (Basis) | Kostenlos / ab €45/Jahr |
| Klaro! | ✅ (Self-hosted) | ✅ | Kostenlos |
Option 2: Self-Hosted Cookie Consent
Der sicherste Weg: Cookie-Consent komplett auf deinem eigenen Server hosten.
// Vereinfachtes Beispiel: Self-hosted Cookie Consent
const consentManager = {
init() {
if (!this.hasConsent()) {
this.showBanner();
}
},
hasConsent() {
return document.cookie.includes("consent=accepted");
},
accept() {
document.cookie = "consent=accepted;max-age=31536000;path=/;SameSite=Strict";
this.loadAnalytics();
this.hideBanner();
},
reject() {
document.cookie = "consent=rejected;max-age=31536000;path=/;SameSite=Strict";
this.hideBanner();
}
};
Option 3: DSGVO-Monitoring-Tool nutzen
Anstatt blind einem Consent-Manager zu vertrauen, scanne deine Website regelmäßig auf tatsächliche Datenschutzverstöße:
- Welche externen Requests werden vor Consent geladen?
- Werden Google Fonts, Analytics oder Pixel ohne Zustimmung ausgelöst?
- Ist das Cookie-Banner korrekt implementiert?
Checkliste: Ist dein Consent-Manager sicher?
- [ ] Consent-Daten werden ausschließlich auf EU-Servern gespeichert
- [ ] Kein US-CDN (Akamai, CloudFront, Cloudflare) für Consent-Script
- [ ] AVV mit dem Anbieter abgeschlossen
- [ ] "Ablehnen"-Button genauso prominent wie "Akzeptieren"
- [ ] Consent-Log wird gespeichert (Nachweis der Einwilligung)
- [ ] Keine Cookies vor expliziter Zustimmung gesetzt
- [ ] Consent widerrufbar (Link im Footer)
Fazit
Das VG-Wiesbaden-Urteil war ein Weckruf. Cookie-Consent-Manager, die selbst Daten in die USA übertragen, sind ein strukturelles Datenschutzproblem. Die Lösung: EU-gehostete Tools oder Self-Hosting.
Weiterführende Ressourcen
👉 DSGVO-Audit-Checkliste (66 Punkte) — Prüfe deine WordPress-Website auf alle DSGVO-Anforderungen inkl. Cookie-Consent, Datenschutzerklärung, Hosting und mehr: Jetzt downloaden auf Gumroad
👉 Kostenloser Website-Scan — Wir prüfen deine Website auf DSGVO-Verstöße (Cookies, Google Fonts, Tracking vor Consent): guard.nevki.de
👉 Mehr DSGVO-Guides — Aktuelle Artikel zu Datenschutz, NIS2 und WordPress-Compliance: nevik.de
Stand: März 2025 | Keine Rechtsberatung
🛠️ Services & Produkte
Brauchst du Hilfe mit DSGVO, WordPress oder NIS2?
| Service | Preis | Link |
|---|---|---|
| DSGVO Komplett-Audit | €149 | Jetzt buchen |
| NIS2 Compliance Audit | €299 | Jetzt buchen |
| IT-Beratung (1 Stunde) | €99 | Termin buchen |
| NIS2 + DSGVO Bundle | €499 | Jetzt buchen |
Kostenlose Tools:
- 🔍 DSGVO Website-Check — Prüfe deine Website kostenlos
- 📋 DSGVO-Checkliste (66 Punkte) — €19 Download
Fragen? → hi@nevik.de
Top comments (0)