Mikilvægur dómur: Veitandi „Cookiebot“ lýstur ólöglegur

Í tímamótadómi úrskurðaði stjórnsýsludómstóllinn í Wiesbaden þjónustuveituna Cookiebot ólöglega. Í því ferli var RheinMain University of Applied Sciences bannað að nota þjónustuveituna á eigin vefsíðu.

Bakgrunnurinn

Málsmeðferðin fyrir stjórnsýsludómstólnum í Wiesbaden (Az.: 6 L 738/21.WI) snerist í grundvallaratriðum um það hvort RheinMain University of Applied Sciences notar DSGVO-samhæfðan kökuborða á vefsíðu sinni www.hs-rm.de eða ekki. Að lokum snýst þetta um spurninguna um hvort vefsíða geti jafnvel orðið GDPR samhæft ef þú notar „Cookiebot“ tólið.

Ákvörðunin

Dómstóllinn hefur nú svarað þessari spurningu neitandi: Vefsíða RheinMain University of Applied Sciences er óheimilt að nota Cookiebot kökuborðann – dómstóllinn lýsir því yfir að veitandinn Cookiebot sé ólöglegur.

Háskólanum er skylt að slíta samþættingu „Cookiebot“ þjónustunnar á vefsíðu sinni þar sem það tengist ólöglegri miðlun persónuupplýsinga um notendur vefsíðunnar og þar með sérstaklega umsækjanda.

Stjórnsýsludómstóllinn í Hessen, VG Wiesbaden

Rökstuðningurinn

Sem veitandi vefkökuborða vinnur Cookiebot persónuupplýsingar, svo sem IP tölu eða vafraupplýsingar gesta. Netþjónarnir fyrir þessa gagnavinnslu eru staðsettir hjá þjónustuveitanda sem hefur höfuðstöðvar fyrirtækisins í Bandaríkjunum (Cookiebot leigir þessa netþjóna). Þetta leiðir til þess að vísað er til þriðja lands sem er óheimilt með tilliti til svokallaðs Schrems II dóms Evrópudómstólsins. Þetta þýðir að gögn eru send til fyrirtækis þar sem aðgangur bandarískra yfirvalda eins og NSA eða FBI er ekki nægilega varinn.

Einfaldlega orðað: Með því að nota Cookiebot gætu bandarísk yfirvöld fengið aðgang að gögnum frá evrópskum notendum. Notkun Cookiebot er því ólögleg og ætti því að fjarlægja hana af vefsíðu háskólans.

Afleiðingarnar

Dómurinn er byltingarkenndur og hefur því óbeint áhrif á aðra þjónustuveitendur: Í fyrsta litlu prófi fundum við bandaríska þjónustu í notkun hjá öllum mikilvægum CMP- og vefkökuborðaveitum:

Usercentrics, SourcePoint, OneTrust, Didomi, CookieFirst, Iubenda, CookieHub, CookieYes og fleiri nota einnig þjónustu eins og Amazon AWS, Google Cloud, Microsoft Azure, Cloudfront, Akamai og aðra þjónustu frá bandarískum fyrirtækjum.

Í einni svipan samræmast 90% þýskra og alþjóðlegra vefsíðna ekki GDPR og brýn þörf er á aðgerðum.

tilmæli okkar

Það er því betra að treysta samþykkisstjóra: Við treystum (alltaf) á eingöngu evrópska þjónustuveitendur án rætur í Bandaríkjunum. Öll gögn eru hýst eingöngu í ESB – án hættu á bönnum, viðvörunum og sektum vegna Schrems II brota, eins og nú er raunin með Cookiebot.