Oikein

Tärkeä tuomio: Palveluntarjoaja ”Cookiebot” rikkoo tietosuojaa


PÄIVITYS: Tämä artikkeli on julkaistu 6. joulukuuta 2021. Tällä välin VGH Kassel kumosi VG Wiesbadenin päätöksen Cookiebotia vastaan: Ei kuitenkaan siksi, että Cookiebotin käyttö olisi nyt julistettu lailliseksi, vaan puhtaasti menettelyllisistä syistä (ei ollut kiireellistä antaa väliaikainen määräys ja tuomioistuin ensimmäisessä oikeusasteessa ei ollut toimivaltaa). Emme tiedä, onko Cookiebotia vastaan ​​nyt nostettu pääasiallinen oikeusjuttu.


Wiesbadenin hallinto-oikeus päätti uraauurtavassa päätöksessä , että Palveluntarjoaja Cookiebot ei ole tietosuojan mukainen . Prosessissa RheinMain-ammattikorkeakoulua kiellettiin käyttämästä palveluntarjoajaa omilla verkkosivuillaan.

Kuvakaappaus Wiesbadenin hallinto-oikeuden verkkosivustolta Cookiebot-päätöksestä

Tausta

Asia Wiesbadenin hallintotuomioistuimessa (Az.: 6 L 738/21.WI) käsitteli pohjimmiltaan sitä, käyttääkö RheinMainin ammattikorkeakoulu GDPR-yhteensopivaa evästebanneria verkkosivustollaan www.hs-rm.de vai ei. Viime kädessä pääkysymys tässä on, voiko verkkosivusto todella olla GDPR-yhteensopiva, jos käytetään Cookiebot-työkalua.

Päätös

Tuomioistuin on nyt vastannut tähän kysymykseen kieltävästi: RheinMain University -sivustolla ei ole lupaa käyttää Cookiebotin evästebanneria – tuomioistuin julistaa tämän vuoksi Cookiebotin palveluntarjoajan olevan tietosuojan mukainen.

Yliopisto on velvollinen lopettamaan ”Cookiebot”-palvelun integroinnin verkkosivuillaan, koska se liittyy sivuston käyttäjien ja siten erityisesti hakijan henkilötietojen laittomaan siirtoon .

Hessenin hallintotuomioistuin, VG Wiesbaden

Perustelut

Evästebannerien tarjoajana Cookiebot käsittelee henkilötietoja, kuten vierailijan IP-osoitetta tai selaintietoja. Tämän tietojenkäsittelyn palvelimet sijaitsevat palveluntarjoajalta, jonka yrityksen pääkonttori on Yhdysvalloissa (Cookiebot vuokraa nämä palvelimet). Tämä johtaa viittaukseen kolmanteen maahan, jota ei voida hyväksyä Euroopan yhteisöjen tuomioistuimen niin sanotun Schrems II -tuomion osalta. Tämä tarkoittaa, että tiedot lähetetään yritykselle, jossa niitä ei ole riittävästi suojattu Yhdysvaltain viranomaisten, kuten NSA:n tai FBI:n, pääsyltä.

Yksinkertaisesti sanottuna: Cookiebotin käytön ja siihen liittyvän tiedonsiirron kautta Yhdysvaltoihin Yhdysvaltojen viranomaiset pääsivät käsiksi eurooppalaisten käyttäjien tietoihin. Cookiebotin käyttö ei näin ollen ole laillista ja siksi se on poistettava yliopiston verkkosivuilta.

Seuraukset

Tuomio on uraauurtava ja vaikuttaa siten myös Cookiebot WordPress -laajennukseen ja välillisesti myös muihin palveluntarjoajiin: Ensimmäisessä pienessä testissä löysimme yhdysvaltalaiset palvelut käytössä kaikilla tärkeillä CMP:illä ja evästebannereiden tarjoajilla:

Usercentrics, SourcePoint, OneTrust, Didomi, CookieFirst, Iubenda, CookieHub, CookieYes ja muut käyttävät myös palveluita, kuten Amazon AWS, Google Cloud, Microsoft Azure, Cloudfront, Akamai ja muita yhdysvaltalaisten yritysten palveluita.

Yhdellä iskulla periaatteessa 90 % saksalaisista ja kansainvälisistä verkkosivustoista ei voinut olla GDPR-yhteensopivia, ja toimia on kiireellisesti.

meidän suosituksemme

Siksi on parempi luottaa consentmanager : Olemme (aina) luottaneet puhtaasti eurooppalaisiin palveluntarjoajiin, joilla ei ole juuria Yhdysvalloissa. Kaikki tiedot säilytetään yksinomaan EU:ssa – ilman Schrems II -rikkomuksista johtuvien kieltojen, varoitusten ja sakkojen riskiä, kuten nyt Cookiebotin tapauksessa.


lisää kommentteja

Kenraali

Uutiskirje 09/2024

Uudet ominaisuudet: Data Subject Rights (DSR) -työkalu GDPR:n mukaan niillä, joita asia koskee (kuten verkkosivuston vierailijoilla, asiakkailla tai muilla henkilöillä, joiden tietoja käsitellään) on tiettyjä oikeuksia. Tämä sisältää erityisesti sen, että he voivat tiedustella oikeuksistaan ​​ja saada tietoa käsitellyistä tiedoista. Oikeudet sisältävät mm. Uuden DSR-työkalumme avulla voit nyt antaa asianosaisille yksinkertaisen tavan vaatia nämä oikeudet: […]
consentmanager logo with the text ‘consentmanager is a Google CMP Gold Partner’ on the left side. Gold medal with a ribbon next to a shield with the text ‘Certified CMP Partner’ in Google brand colours.
Uusi

consentmanager saavuttaa kultaisen aseman Googlen CMP-kumppanina

consentmanager on sertifioitu Gold Tier CMP -kumppaniksi Google Consent Management Platform (CMP) -kumppaniohjelmassa. Meille myönnettiin tämä asema seuraavien kriteerien perusteella: Uusin kehitys Google CMP -kumppaniohjelmassa tuo merkittäviä etuja asiakkaillemme. Nyt voit integroida suostumusbannerisi Google Adsiin, Google Analyticsiin ja Google Tag Manageriin suoraan tilisi Google Tag -käyttöliittymästä . Uusia tasoja Google CMP -kumppaniohjelmassa Googlen CMP-kumppaniohjelma luokittelee […]