Uutiskirje 12/2021
TTDSG on vain muutaman päivän ikäinen, kun ensimmäinen tuomio tulee kovaa: Wiesbadenin hallintotuomioistuin julisti evästebannereiden tarjoajan ”Cookiebot” laittomaksi. Yhteenvetomenettelyssä RheinMainin ammattikorkeakoulu määrättiin lopettamaan palvelun käyttö.

Taustaa: Cookiebot käyttää Euroopassa sijaitsevia palvelimia, mutta koska nämä palvelimet kuuluvat yhdysvaltalaiselle palveluntarjoajalle, Yhdysvaltain pilvilakia sovelletaan tähän. Tämä antaa Yhdysvaltain viranomaisille mahdollisuuden käyttää palvelimia. Näille palvelimille tallennetut tiedot eivät siksi ole turvallisia, eikä Cookiebot siksi tallenna näitä tietoja GDPR-yhteensopivalla tavalla. Cookiebotin käyttö on viime kädessä laitonta.
Tuomio on uraauurtava ja vaikuttaa siten epäsuorasti myös muihin palveluntarjoajiin: Ensimmäisessä pienessä testissä löysimme kaikki tärkeät CMP:t ja evästebanneritoimittajat käyttämät yhdysvaltalaiset palvelut: Usercentrics, SourcePoint, OneTrust, Didomi, CookieFirst, Iubenda, CookieHub, CookieYes ja muut myös käyttää palveluita, kuten Amazon AWS, Google Cloud, Microsoft Azure, Cloudfront, Akamai ja muita yhdysvaltalaisten yritysten palveluita. Loogisena johtopäätöksenä ”Cookiebot-tuomion” perusteella näiden yritysten evästeratkaisut ovat myös laittomia.
Mikään ei kuitenkaan muutu suostumusmanager-asiakkaiden osalta: Olemme aina luottaneet puhtaasti eurooppalaisiin palveluntarjoajiin, joilla ei ole rekisteröityä toimipaikkaa Yhdysvalloissa tai yhdysvaltalaisia emoyhtiöitä. Cookiebot-tuomio ei näin ollen vaikuta suostumushallintaan.
Log4j – Haavoittuvuus?
Tässä kuussa kohua aiheutti myös laajalti käytetyn Java-kirjaston Log4j haavoittuvuus. Viimeinen tarkistus on vielä kesken, koska emme käytä Java-pohjaisia komponentteja suostumusmanagerissa, oletamme tällä hetkellä, että suostumusmanager-järjestelmät ovat edelleen turvallisia.
Lisää uusia ominaisuuksia ja muutoksia
Erityisesti tässä kuussa olemme saaneet päätökseen monia pieniä kohtia tiekarttamme. Tärkeimmät koskevat teema-asetuksia, estokorjauksia, suojausominaisuuksia, raportointia ja paljon muuta.