Nyhetsbrev 12/2021

TTDSG är bara några dagar gammalt när den första domen kommer med råge: Cookie-bannerleverantören ”Cookiebot” förklarades olaglig av förvaltningsdomstolen i Wiesbaden. I ett kortfattat förfarande beordrades RheinMain University of Applied Sciences att sluta använda tjänsten.

Bakgrund: Cookiebot använder servrar som finns i Europa, men eftersom dessa servrar tillhör en amerikansk leverantör gäller USA:s molnlag här. Detta gör det möjligt för amerikanska myndigheter att komma åt servrarna. Data som lagras på dessa servrar är därför inte säker och Cookiebot lagrar därför inte denna data på ett GDPR-kompatibelt sätt. Användningen av Cookiebot är i slutändan olaglig.

Domen är banbrytande och påverkar därmed även indirekt andra leverantörer: I ett första litet test fann vi amerikanska tjänster som används av alla viktiga CMP:er och cookie-banner-leverantörer: Usercentrics, SourcePoint, OneTrust, Didomi, CookieFirst, Iubenda, CookieHub, CookieYes och andra också använda tjänster som Amazon AWS, Google Cloud, Microsoft Azure, Cloudfront, Akamai och andra amerikanska företagstjänster. Som en logisk slutsats från ”Cookiebot-domen” är även dessa företags cookielösningar olagliga.

Inget kommer dock att förändras för samtyckeshanterarens kunder: Vi har alltid förlitat oss på rena europeiska leverantörer utan ett registrerat kontor i USA och utan amerikanska moderbolag. consentmanager påverkas därför inte av Cookiebot-domen.

Log4j – Sårbarhet?

En sårbarhet i ett mycket använt Java-bibliotek som heter Log4j orsakade också uppståndelse denna månad. En sista kontroll pågår fortfarande, eftersom vi inte använder några Java-baserade komponenter hos consentmanager, antar vi för närvarande att consentmanager-systemen fortfarande är säkra.

Fler nya funktioner och ändringar

I synnerhet har vi den här månaden slutfört många små punkter från vår färdplan. De viktigaste gäller temainställningar, blockeringsfixar, säkerhetsfunktioner, rapportering och mer.