AKTUALIZACJA: ten artykuł został opublikowany 6 grudnia 2021 r. W międzyczasie decyzja VG Wiesbaden przeciwko Cookiebotowi została unieważniona przez VGH Kassel: Jednakże nie dlatego, że użycie Cookiebota zostało uznane za legalne, ale ze względów czysto proceduralnych (nie było potrzeby wydawania zarządzenia tymczasowego w trybie pilnym, a sąd pierwsza instancja nie miała jurysdykcji). Nie wiemy, czy przeciwko Cookiebotowi został już złożony pozew główny.
W przełomowym wyroku Sąd Administracyjny w Wiesbaden stwierdził, że Dostawca Cookiebot nie przestrzega zasad ochrony danych . W tym czasie Wyższa Szkoła Zawodowa RheinMain została zabroniona korzystania z usługodawcy na własnej stronie internetowej.
Tło
Postępowanie przed Sądem Administracyjnym w Wiesbaden (Az.: 6 L 738/21.WI) dotyczyło zasadniczo tego, czy Wyższa Szkoła Zawodowa w RheinMain używa na swojej stronie internetowej www.hs-rm.de bannera cookie zgodnego z DSGVO, czy nie. Ostatecznie chodzi o pytanie, czy strona internetowa może w ogóle stać się zgodna z RODO, jeśli użyjesz narzędzia „Cookiebot”.
Decyzja
Sąd odpowiedział teraz na to pytanie przecząco: Witryna Wyższej Szkoły Zawodowej RheinMain nie może używać banera cookie Cookiebot – sąd orzekł w ten sposób, że dostawca Cookiebot jest nielegalny.
Uczelnia jest zobowiązana do zakończenia integracji usługi „Cookiebot” na swojej stronie internetowej, gdyż wiąże się to z nielegalnym przekazywaniem danych osobowych użytkowników serwisu , a tym samym w szczególności aplikanta.
Sąd Administracyjny Hesji, VG Wiesbaden
Rozumowanie
Jako dostawca banerów plików cookie, Cookiebot przetwarza dane osobowe, takie jak adres IP lub informacje o przeglądarce odwiedzającego. Serwery do tego przetwarzania danych znajdują się u dostawcy, którego siedziba znajduje się w USA (Cookiebot wynajmuje te serwery). Skutkuje to odniesieniem się do państwa trzeciego, co jest niedopuszczalne w odniesieniu do tzw. wyroku Europejskiego Trybunału Sprawiedliwości Schrems II. Oznacza to, że dane są wysyłane do firmy, gdzie nie są odpowiednio chronione przed dostępem organów amerykańskich, takich jak NSA czy FBI.
Prosto sformułowane: za pomocą Cookiebot władze USA mogą uzyskać dostęp do danych użytkowników europejskich. Korzystanie z Cookiebot jest zatem nielegalne i dlatego należy je usunąć ze strony internetowej uczelni.
Konsekwencje
Wyrok jest przełomowy i tym samym wpływa również na wtyczkę Cookiebot WordPress, a pośrednio także na innych dostawców: W pierwszym małym teście znaleźliśmy usługi w USA używane we wszystkich ważnych CMP i dostawcach banerów cookie:
Usercentrics, SourcePoint, OneTrust, Didomi, CookieFirst, Iubenda, CookieHub, CookieYes i inne również korzystają z usług takich jak Amazon AWS, Google Cloud, Microsoft Azure, Cloudfront, Akamai i innych usług firm amerykańskich.
Za jednym zamachem 90% niemieckich i międzynarodowych witryn internetowych zasadniczo nie jest zgodnych z RODO i istnieje pilna potrzeba działania.
nasza rekomendacja
Dlatego lepiej zaufać administratorowi zgody: (zawsze) polegamy na całkowicie europejskich dostawcach bez korzeni w USA. Wszystkie dane są przechowywane wyłącznie w UE – bez ryzyka banów, ostrzeżeń i kar z powodu naruszeń Schrems II, jak ma to miejsce obecnie w przypadku Cookiebot.