UPPFÆRT: Þessi grein var birt 6. desember 2021. Í millitíðinni var ákvörðun VG Wiesbaden gegn Cookiebot hnekkt af VGH Kassel: Hins vegar ekki vegna þess að notkun Cookiebot hefði nú verið lýst lögleg, heldur af hreinum málsmeðferðarástæðum (það var ekki brýnt að gefa út bráðabirgðaúrskurð og dómstóll skv. fyrsta dómstig hafði enga lögsögu). Við vitum ekki hvort aðalmál hefur nú verið höfðað gegn Cookiebot.
Í tímamótaákvörðun ákvað stjórnsýsludómstóllinn í Wiesbaden að Þjónustuveitan Cookiebot er ekki í samræmi við gagnavernd . Í því ferli var RheinMain University of Applied Sciences bannað að nota þjónustuveituna á eigin vefsíðu.
Bakgrunnurinn
Málsmeðferðin fyrir stjórnsýsludómstólnum í Wiesbaden (Az.: 6 L 738/21.WI) snerist í grundvallaratriðum um það hvort RheinMain University of Applied Sciences notar GDPR-samhæfða kökuborða á vefsíðu sinni www.hs-rm.de eða ekki. Að lokum er aðalspurningin hér hvort vefsíða geti í raun verið í samræmi við GDPR ef „Cookiebot“ tólið er notað.
Ákvörðunin
Dómstóllinn hefur nú svarað þessari spurningu neitandi: Vefsíða RheinMain háskólans má ekki nota vafrakökuborða Cookiebot – dómstóllinn lýsir því yfir að veitandinn Cookiebot standist ekki gagnavernd.
Háskólanum er skylt að slíta samþættingu „Cookiebot“ þjónustunnar á vefsíðu sinni þar sem það tengist ólöglegri miðlun persónuupplýsinga um notendur vefsíðunnar og þar með sérstaklega umsækjanda.
Stjórnsýsludómstóllinn í Hessen, VG Wiesbaden
Rökstuðningurinn
Sem veitandi vefkökuborða vinnur Cookiebot persónuupplýsingar, svo sem IP tölu eða vafraupplýsingar gesta. Netþjónarnir fyrir þessa gagnavinnslu eru staðsettir hjá þjónustuveitanda sem hefur höfuðstöðvar fyrirtækisins í Bandaríkjunum (Cookiebot leigir þessa netþjóna). Þetta leiðir til þess að vísað er til þriðja lands sem er óheimilt með tilliti til svokallaðs Schrems II dóms Evrópudómstólsins. Þetta þýðir að gögn eru send til fyrirtækis þar sem þau eru ekki nægilega vernduð fyrir aðgangi bandarískra yfirvalda eins og NSA eða FBI.
Einfaldlega sagt: Með notkun Cookiebot og tilheyrandi gagnaflutningi til Bandaríkjanna gætu bandarísk yfirvöld fengið aðgang að gögnum frá evrópskum notendum. Notkun Cookiebot er því ekki lögleg og þarf því að fjarlægja hana af vefsíðu háskólans.
Afleiðingarnar
Dómurinn er byltingarkenndur og hefur þar með einnig áhrif á Cookiebot WordPress viðbótina og óbeint einnig á aðra þjónustuveitendur: Í fyrsta litlu prófi fundum við bandaríska þjónustu í notkun hjá öllum mikilvægum CMPs og vefkökuborðaveitum:
Usercentrics, SourcePoint, OneTrust, Didomi, CookieFirst, Iubenda, CookieHub, CookieYes og fleiri nota einnig þjónustu eins og Amazon AWS, Google Cloud, Microsoft Azure, Cloudfront, Akamai og aðra þjónustu frá bandarískum fyrirtækjum.
Í einni svipan gátu í grundvallaratriðum 90% þýskra og alþjóðlegra vefsíðna ekki verið í samræmi við GDPR og brýn þörf er á aðgerðum.
tilmæli okkar
Það er því betra að treysta consentmanager : Við höfum (alltaf) reitt okkur á hreina evrópska þjónustuaðila án rætur í Bandaríkjunum. Öll gögn eru hýst eingöngu í ESB – án hættu á bönnum, viðvörunum og sektum vegna Schrems II brota, eins og nú er raunin með Cookiebot.