Wiesbadenin hallintotuomioistuin julisti uraauurtavalla tuomiolla Cookiebotin laittomaksi. Prosessissa RheinMain-ammattikorkeakoulua kiellettiin käyttämästä palveluntarjoajaa omilla verkkosivuillaan.
Tausta
Wiesbadenin hallintotuomioistuimessa (Az.: 6 L 738/21.WI) käydyssä oikeudenkäynnissä oli pohjimmiltaan kysymys siitä, käyttääkö RheinMainin ammattikorkeakoulu DSGVO-yhteensopivaa evästebanneria verkkosivustollaan www.hs-rm.de vai ei. Viime kädessä tässä on kysymys siitä, voiko verkkosivustosta tulla GDPR-yhteensopiva ollenkaan, jos käytät ”Cookiebot”-työkalua.
Päätös
Oikeus on nyt vastannut tähän kysymykseen kieltävästi: RheinMain-ammattikorkeakoulun verkkosivuilla ei ole lupaa käyttää Cookiebot-evästebanneria – tuomioistuin julistaa siten Cookiebotin tarjoajan laittomaksi.
Yliopisto on velvollinen lopettamaan ”Cookiebot”-palvelun integroinnin verkkosivuillaan, koska se liittyy sivuston käyttäjien ja siten erityisesti hakijan henkilötietojen laittomaan siirtoon .
Hessenin hallintotuomioistuin, VG Wiesbaden
Perustelut
Evästebannerien tarjoajana Cookiebot käsittelee henkilötietoja, kuten vierailijan IP-osoitetta tai selaintietoja. Tämän tietojenkäsittelyn palvelimet sijaitsevat palveluntarjoajalta, jonka yrityksen pääkonttori on Yhdysvalloissa (Cookiebot vuokraa nämä palvelimet). Tämä johtaa viittaukseen kolmanteen maahan, jota ei voida hyväksyä Euroopan yhteisöjen tuomioistuimen niin sanotun Schrems II -tuomion osalta. Tämä tarkoittaa, että tiedot lähetetään yritykselle, jossa Yhdysvaltain viranomaisten, kuten NSA:n tai FBI:n, pääsyä ei ole suojattu riittävästi.
Yksinkertaisesti muotoiltu: Cookiebotin avulla Yhdysvaltain viranomaiset voivat päästä käsiksi eurooppalaisten käyttäjien tietoihin. Cookiebotin käyttö on siksi laitonta, ja siksi se tulee poistaa yliopiston verkkosivuilta.
Seuraukset
Tuomio on uraauurtava ja vaikuttaa siten myös Cookiebot WordPress -laajennukseen ja välillisesti myös muihin palveluntarjoajiin: Ensimmäisessä pienessä testissä löysimme yhdysvaltalaiset palvelut käytössä kaikilla tärkeillä CMP:illä ja evästebannereiden tarjoajilla:
Usercentrics, SourcePoint, OneTrust, Didomi, CookieFirst, Iubenda, CookieHub, CookieYes ja muut käyttävät myös palveluita, kuten Amazon AWS, Google Cloud, Microsoft Azure, Cloudfront, Akamai ja muita yhdysvaltalaisten yritysten palveluita.
Yhdellä iskulla 90 % saksalaisista ja kansainvälisistä verkkosivustoista ei periaatteessa ole GDPR-yhteensopivia, ja toimenpiteitä tarvitaan kiireesti.
meidän suosituksemme
Siksi on parempi luottaa suostumusmanageriin: Luotamme (aina) puhtaasti eurooppalaisiin palveluntarjoajiin, joilla ei ole juuria Yhdysvalloissa. Kaikki tiedot säilytetään yksinomaan EU:ssa – ilman Schrems II -rikkomuksista johtuvien kieltojen, varoitusten ja sakkojen riskiä, kuten nyt Cookiebotin tapauksessa.
