Microsoft ber ábyrgð á því að geyma vafrakökur án samþykkis notanda. Í nýlegum úrskurði dagsettum 23. júlí 2024 , komst héraðsdómstóllinn í Frankfurt am Main að því að Microsoft beri ábyrgð á því að sanna að endanotendur hafi gefið ótvírætt samþykki sitt áður en vafrakökur eru geymdar í tækjum þeirra, jafnvel þótt vafrakökur sem notaðar séu háðar rekstraraðilum vefsíðunnar.
Ákvörðunin snýr að „Microsoft Advertising“ þjónustunni, auglýsingavettvangi sem gerir rekstraraðilum vefsíðna kleift að birta notendum auglýsingar í leitarniðurstöðum „Microsoft Search Network“. Þessir auglýsendur nota vafrakökur til að mæla árangur auglýsingaherferða sinna.
Í skilmálum og skilyrðum Microsoft Advertising kemur fram að rekstraraðilar vefsíðna beri ábyrgð á því að fá samþykki til að setja vafrakökur þegar þeir nota auglýsingaþjónustu Microsoft. Hins vegar tók dómstóllinn fram að þetta leysir Microsoft ekki undan skyldu sinni til að tryggja að endanotendur hafi gefið samþykki sitt áður en vafrakökur eru settar í tæki þeirra.
Þessi ákvörðun staðfestir að enn er ekki hægt að hunsa samþykki hins skráða fyrir notkun á vafrakökum. Samkvæmt GDPR geta jafnvel minniháttar brot leitt til sekta allt að 10 milljónir evra eða, ef um fyrirtæki er að ræða, allt að 2% af heimsveltu þess á fyrra fjárhagsári, hvort sem er hærra. Þar sem stafræn reglugerð stækkar í ESB og ný lög eins og DSA og gervigreindarlögin taka gildi, er notkun skýrra samþykkisaðferða bara fyrsta skrefið.