UPPDATERING: Denna artikel publicerades den 6 december 2021. Under tiden upphävdes VG Wiesbadens beslut mot Cookiebot av VGH Kassel: Dock inte för att användningen av Cookiebot nu hade förklarats laglig, utan av rent processuella skäl (det var inte brådskande att utfärda ett interimistiskt beslut och domstolen första instans hade ingen jurisdiktion). Vi vet inte om en huvudstämning nu har väckts mot Cookiebot.
I ett banbrytande beslut fastställde förvaltningsdomstolen i Wiesbaden att Leverantören Cookiebot är inte dataskyddskompatibel . I processen förbjöds RheinMain University of Applied Sciences att använda leverantören på sin egen webbplats.
Bakgrunden
Förfarandet inför förvaltningsdomstolen i Wiesbaden (Az.: 6 L 738/21.WI) handlade i grunden om huruvida RheinMain University of Applied Sciences använder en GDPR-kompatibel cookie-banner på sin webbplats www.hs-rm.de eller inte. Ytterst handlar det här om frågan om en webbplats överhuvudtaget kan bli GDPR-kompatibel om du använder verktyget ”Cookiebot”.
Beslutet
Domstolen har nu svarat nekande på denna fråga: RheinMain University of Applied Sciences webbplats får inte använda Cookiebot-cookiebannern – domstolen förklarar därmed leverantören Cookiebot som olaglig.
Universitetet är skyldigt att avsluta integrationen av tjänsten ”Cookiebot” på sin webbplats, eftersom detta är förknippat med olaglig överföring av personuppgifter från webbplatsanvändarna och därmed i synnerhet den sökande.
Hessens förvaltningsdomstol, VG Wiesbaden
Resonemanget
Som leverantör av cookie-banners behandlar Cookiebot personuppgifter, såsom IP-adress eller webbläsarinformation för besökaren. Servrarna för denna databehandling finns hos en leverantör vars företagshuvudkontor ligger i USA (Cookiebot hyr dessa servrar). Detta resulterar i en hänvisning till ett tredjeland, vilket är otillåtet med hänsyn till den så kallade Schrems II-domen från EU-domstolen. Det innebär att data skickas till ett företag där tillgången från amerikanska myndigheter som NSA eller FBI inte är tillräckligt skyddad.
Enkelt formulerat: Genom att använda Cookiebot kunde amerikanska myndigheter komma åt data från europeiska användare. Användningen av Cookiebot är därför olaglig och bör därför tas bort från universitetets hemsida.
Konsekvenserna
Domen är banbrytande och påverkar därmed även plugin-programmet Cookiebot WordPress och indirekt även andra leverantörer: I ett första litet test fann vi amerikanska tjänster som används hos alla viktiga CMP:er och cookie-banner-leverantörer:
Usercentrics, SourcePoint, OneTrust, Didomi, CookieFirst, Iubenda, CookieHub, CookieYes och andra använder också tjänster som Amazon AWS, Google Cloud, Microsoft Azure, Cloudfront, Akamai och andra tjänster från amerikanska företag.
I ett slag är 90 % av tyska och internationella webbplatser i princip inte GDPR-kompatibla och det finns ett akut behov av åtgärder.
vår rekommendation
Det är därför bättre att lita på consentmanager: Vi förlitar oss (alltid) på rena europeiska leverantörer utan rötter i USA. All data lagras exklusivt i EU – utan risk för förbud, varningar och böter på grund av Schrems II-överträdelser, som nu är fallet med Cookiebot.