PÄIVITYS: Tämä artikkeli on julkaistu 6. joulukuuta 2021. Tällä välin VGH Kassel kumosi VG Wiesbadenin päätöksen Cookiebotia vastaan: Ei kuitenkaan siksi, että Cookiebotin käyttö olisi nyt julistettu lailliseksi, vaan puhtaasti menettelyllisistä syistä (ei ollut kiireellistä antaa väliaikainen määräys ja tuomioistuin ensimmäisessä oikeusasteessa ei ollut toimivaltaa). Emme tiedä, onko Cookiebotia vastaan nyt nostettu pääasiallinen oikeusjuttu.
Wiesbadenin hallinto-oikeus päätti uraauurtavassa päätöksessä , että Palveluntarjoaja Cookiebot ei ole tietosuojan mukainen . Prosessissa RheinMain-ammattikorkeakoulua kiellettiin käyttämästä palveluntarjoajaa omilla verkkosivuillaan.
Tausta
Asia Wiesbadenin hallintotuomioistuimessa (Az.: 6 L 738/21.WI) käsitteli pohjimmiltaan sitä, käyttääkö RheinMainin ammattikorkeakoulu GDPR-yhteensopivaa evästebanneria verkkosivustollaan www.hs-rm.de vai ei. Viime kädessä pääkysymys tässä on, voiko verkkosivusto todella olla GDPR-yhteensopiva, jos käytetään Cookiebot-työkalua.
Päätös
Tuomioistuin on nyt vastannut tähän kysymykseen kieltävästi: RheinMain University -sivustolla ei ole lupaa käyttää Cookiebotin evästebanneria – tuomioistuin julistaa tämän vuoksi Cookiebotin palveluntarjoajan olevan tietosuojan mukainen.
Yliopisto on velvollinen lopettamaan ”Cookiebot”-palvelun integroinnin verkkosivuillaan, koska se liittyy sivuston käyttäjien ja siten erityisesti hakijan henkilötietojen laittomaan siirtoon .
Hessenin hallintotuomioistuin, VG Wiesbaden
Perustelut
Evästebannerien tarjoajana Cookiebot käsittelee henkilötietoja, kuten vierailijan IP-osoitetta tai selaintietoja. Tämän tietojenkäsittelyn palvelimet sijaitsevat palveluntarjoajalta, jonka yrityksen pääkonttori on Yhdysvalloissa (Cookiebot vuokraa nämä palvelimet). Tämä johtaa viittaukseen kolmanteen maahan, jota ei voida hyväksyä Euroopan yhteisöjen tuomioistuimen niin sanotun Schrems II -tuomion osalta. Tämä tarkoittaa, että tiedot lähetetään yritykselle, jossa niitä ei ole riittävästi suojattu Yhdysvaltain viranomaisten, kuten NSA:n tai FBI:n, pääsyltä.
Yksinkertaisesti sanottuna: Cookiebotin käytön ja siihen liittyvän tiedonsiirron kautta Yhdysvaltoihin Yhdysvaltojen viranomaiset pääsivät käsiksi eurooppalaisten käyttäjien tietoihin. Cookiebotin käyttö ei näin ollen ole laillista ja siksi se on poistettava yliopiston verkkosivuilta.
Seuraukset
Tuomio on uraauurtava ja vaikuttaa siten myös Cookiebot WordPress -laajennukseen ja välillisesti myös muihin palveluntarjoajiin: Ensimmäisessä pienessä testissä löysimme yhdysvaltalaiset palvelut käytössä kaikilla tärkeillä CMP:illä ja evästebannereiden tarjoajilla:
Usercentrics, SourcePoint, OneTrust, Didomi, CookieFirst, Iubenda, CookieHub, CookieYes ja muut käyttävät myös palveluita, kuten Amazon AWS, Google Cloud, Microsoft Azure, Cloudfront, Akamai ja muita yhdysvaltalaisten yritysten palveluita.
Yhdellä iskulla periaatteessa 90 % saksalaisista ja kansainvälisistä verkkosivustoista ei voinut olla GDPR-yhteensopivia, ja toimia on kiireellisesti.
meidän suosituksemme
Siksi on parempi luottaa consentmanager : Olemme (aina) luottaneet puhtaasti eurooppalaisiin palveluntarjoajiin, joilla ei ole juuria Yhdysvalloissa. Kaikki tiedot säilytetään yksinomaan EU:ssa – ilman Schrems II -rikkomuksista johtuvien kieltojen, varoitusten ja sakkojen riskiä, kuten nyt Cookiebotin tapauksessa.