I en banbrytande dom förklarade förvaltningsdomstolen i Wiesbaden leverantören Cookiebot olaglig. I processen förbjöds RheinMain University of Applied Sciences att använda leverantören på sin egen webbplats.
Bakgrunden
Förfarandet inför förvaltningsdomstolen i Wiesbaden (Az.: 6 L 738/21.WI) handlade i grunden om huruvida RheinMain University of Applied Sciences använder en GDPR-kompatibel cookie-banner på sin webbplats www.hs-rm.de eller inte. Ytterst handlar det här om frågan om en webbplats överhuvudtaget kan bli GDPR-kompatibel om du använder verktyget ”Cookiebot”.
Beslutet
Domstolen har nu svarat nekande på denna fråga: RheinMain University of Applied Sciences webbplats får inte använda Cookiebot-cookiebannern – domstolen förklarar därmed leverantören Cookiebot som olaglig.
Universitetet är skyldigt att avsluta integrationen av tjänsten ”Cookiebot” på sin webbplats, eftersom detta är förknippat med olaglig överföring av personuppgifter från webbplatsanvändarna och därmed i synnerhet den sökande.
Hessens förvaltningsdomstol, VG Wiesbaden
Resonemanget
Som leverantör av cookie-banners behandlar Cookiebot personuppgifter, såsom IP-adress eller webbläsarinformation för besökaren. Servrarna för denna databehandling finns hos en leverantör vars företagshuvudkontor ligger i USA (Cookiebot hyr dessa servrar). Detta resulterar i en hänvisning till ett tredjeland, vilket är otillåtet med hänsyn till den så kallade Schrems II-domen från EU-domstolen. Det innebär att data skickas till ett företag där tillgången från amerikanska myndigheter som NSA eller FBI inte är tillräckligt skyddad.
Enkelt formulerat: Genom att använda Cookiebot kunde amerikanska myndigheter komma åt data från europeiska användare. Användningen av Cookiebot är därför olaglig och bör därför tas bort från universitetets hemsida.
Konsekvenserna
Domen är banbrytande och påverkar därmed även plugin-programmet Cookiebot WordPress och indirekt även andra leverantörer: I ett första litet test fann vi amerikanska tjänster som används hos alla viktiga CMP:er och cookie-banner-leverantörer:
Usercentrics, SourcePoint, OneTrust, Didomi, CookieFirst, Iubenda, CookieHub, CookieYes och andra använder också tjänster som Amazon AWS, Google Cloud, Microsoft Azure, Cloudfront, Akamai och andra tjänster från amerikanska företag.
I ett slag är 90 % av tyska och internationella webbplatser i princip inte GDPR-kompatibla och det finns ett akut behov av åtgärder.
vår rekommendation
Det är därför bättre att lita på consentmanager: Vi förlitar oss (alltid) på rena europeiska leverantörer utan rötter i USA. All data lagras exklusivt i EU – utan risk för förbud, varningar och böter på grund av Schrems II-överträdelser, som nu är fallet med Cookiebot.
