Fréttabréf 12/2021

TTDSG er aðeins nokkurra daga gamalt þegar fyrsti dómurinn kemur með hvelli: Kökuborðaveitan „Cookiebot“ var lýst ólögleg af stjórnsýsludómstólnum í Wiesbaden. Í stuttu máli var RheinMain University of Applied Sciences skipað að hætta að nota þjónustuna.

Bakgrunnur: Cookiebot notar netþjóna sem staðsettir eru í Evrópu, en þar sem þessir netþjónar tilheyra bandarískum þjónustuaðila gilda bandarísk skýjalög hér. Þetta gerir bandarískum yfirvöldum kleift að fá aðgang að netþjónunum. Gögn sem geymd eru á þessum netþjónum eru því ekki örugg og Cookiebot geymir því ekki þessi gögn í samræmi við GDPR. Notkun Cookiebot er að lokum ólögleg.

Dómurinn er byltingarkenndur og hefur því óbeint áhrif á aðra þjónustuveitendur: Í fyrsta litlu prófi fundum við bandaríska þjónustu sem notuð er af öllum mikilvægum CMPs og vefkökuborðaveitum: Usercentrics, SourcePoint, OneTrust, Didomi, CookieFirst, Iubenda, CookieHub, CookieYes og fleiri líka nota þjónustu eins og Amazon AWS, Google Cloud, Microsoft Azure, Cloudfront, Akamai og aðra bandaríska fyrirtækjaþjónustu. Sem rökrétt niðurstaða af „Cookiebot-dómnum“ eru kökulausnir þessara fyrirtækja einnig ólöglegar.

Hins vegar mun ekkert breytast fyrir viðskiptavini samþykkisstjóra: Við höfum alltaf reitt okkur á eingöngu evrópska þjónustuaðila án skráðrar skrifstofu í Bandaríkjunum og án bandarískra móðurfélaga. Consentmanager hefur því ekki áhrif á Cookiebot-dóminn.

Log4j – Varnarleysi?

Það olli einnig uppnámi í þessum mánuði var varnarleysi í víðnotuðu Java bókasafni sem heitir Log4j. Endanleg athugun stendur enn yfir, þar sem við notum enga Java-undirstaða íhluti hjá consentmanager, gerum við eins og er ráð fyrir að consentmanager kerfin séu enn örugg.

Fleiri nýir eiginleikar og breytingar

Sérstaklega höfum við í þessum mánuði klárað marga litla punkta úr vegvísinum okkar. Þær helstu varða þemastillingar, lokunarleiðréttingar, öryggiseiginleika, skýrslugerð og fleira.