АКТУАЛИЗАЦИЯ: Тази статия е публикувана на 6 декември 2021 г. Междувременно решението на VG Wiesbaden срещу Cookiebot беше отменено от VGH Kassel: Но не защото използването на Cookiebot вече беше обявено за законно, а по чисто процедурни причини (нямаше спешност за издаване на временна заповед и съдът на първа инстанция не е била компетентна). Не знаем дали вече е заведено основно дело срещу Cookiebot.
В новаторско решение Административният съд на Висбаден реши, че Доставчикът Cookiebot не отговаря на изискванията за защита на данните . В този процес на Университета за приложни науки RheinMain беше забранено да използва доставчика на собствения си уебсайт.
Фонът
Производството пред Административния съд на Висбаден (Az.: 6 L 738/21.WI) беше основно за това дали Университетът за приложни науки RheinMain използва съвместим с GDPR банер за бисквитки на своя уебсайт www.hs-rm.de или не. В крайна сметка основният въпрос тук е дали даден уебсайт може действително да бъде съвместим с GDPR, ако се използва инструментът „Cookiebot“.
Решението
Сега съдът отговори отрицателно на този въпрос: Уебсайтът на университета RheinMain няма право да използва банера за бисквитки на Cookiebot – следователно съдът обявява, че доставчикът Cookiebot не отговаря на изискванията за защита на данните.
Университетът е длъжен да прекрати интегрирането на услугата „Cookiebot“ в своя уебсайт, тъй като това е свързано с незаконно предаване на лични данни на потребителите на уебсайта и по-специално на кандидата.
Административен съд на Хесен, VG Wiesbaden
Разсъжденията
Като доставчик на банери за бисквитки, Cookiebot обработва лични данни, като IP адрес или информация за браузъра на посетителя. Сървърите за тази обработка на данни се намират при доставчик, чиято централа на компанията е в САЩ (Cookiebot наема тези сървъри). Това води до позоваване на трета държава, което е недопустимо по отношение на така нареченото решение Schrems II на Съда на Европейските общности. Това означава, че данните се изпращат до компания, където не са адекватно защитени от достъп от страна на властите на САЩ като NSA или FBI.
Казано по-просто: чрез използването на Cookiebot и свързаното с него прехвърляне на данни към САЩ, американските власти биха могли да получат достъп до данни от европейски потребители. Следователно използването на Cookiebot не е законно и следователно трябва да бъде премахнато от уебсайта на университета.
Последствията
Решението е новаторско и по този начин също засяга плъгина Cookiebot WordPress и косвено и други доставчици: В първия малък тест открихме, че услугите в САЩ се използват във всички важни CMP и доставчици на банери за бисквитки:
Usercentrics, SourcePoint, OneTrust, Didomi, CookieFirst, Iubenda, CookieHub, CookieYes и други също използват услуги като Amazon AWS, Google Cloud, Microsoft Azure, Cloudfront, Akamai и други услуги от американски компании.
С един замах основно 90% от немските и международни уебсайтове не могат да бъдат съвместими с GDPR и има спешна нужда от действие.
нашата препоръка
Следователно е по-добре да се доверите на consentmanager : Ние (винаги) сме разчитали на чисто европейски доставчици без корени в САЩ. Всички данни се хостват изключително в ЕС – без риск от забрани, предупреждения и глоби поради нарушения на Schrems II, какъвто е сега случаят с Cookiebot.