ΕΝΗΜΕΡΩΣΗ: Αυτό το άρθρο δημοσιεύθηκε στις 6 Δεκεμβρίου 2021. Εν τω μεταξύ, η απόφαση του VG Wiesbaden κατά της Cookiebot ανατράπηκε από το VGH Kassel: Ωστόσο, όχι επειδή η χρήση του Cookiebot είχε πλέον κηρυχθεί νόμιμη, αλλά για καθαρά διαδικαστικούς λόγους (δεν ήταν επείγον να εκδοθεί προσωρινή διαταγή και το δικαστήριο του πρωτόδικος δεν είχε δικαιοδοσία). Δεν γνωρίζουμε αν έχει πλέον κατατεθεί κύρια αγωγή κατά της Cookiebot.
Σε μια πρωτοποριακή απόφαση , το Διοικητικό Δικαστήριο του Βισμπάντεν έκρινε ότι η Ο πάροχος Cookiebot δεν συμμορφώνεται με την προστασία δεδομένων . Στη διαδικασία, απαγορεύτηκε στο Πανεπιστήμιο Εφαρμοσμένων Επιστημών RheinMain να χρησιμοποιεί τον πάροχο στον δικό του ιστότοπο.
Το φόντο
Η διαδικασία ενώπιον του Διοικητικού Δικαστηρίου του Wiesbaden (Az.: 6 L 738/21.WI) αφορούσε βασικά εάν το Πανεπιστήμιο Εφαρμοσμένων Επιστημών RheinMain χρησιμοποιεί ένα banner cookie συμβατό με τον GDPR στον ιστότοπό του www.hs-rm.de ή όχι. Τελικά, το κύριο ερώτημα εδώ είναι εάν ένας ιστότοπος μπορεί πράγματι να είναι συμβατός με το GDPR εάν χρησιμοποιηθεί το εργαλείο «Cookiebot».
Η απόφαση
Το δικαστήριο απάντησε πλέον αρνητικά σε αυτήν την ερώτηση: Ο ιστότοπος του Πανεπιστημίου RheinMain δεν επιτρέπεται να χρησιμοποιεί το banner cookie του Cookiebot – επομένως το δικαστήριο δηλώνει ότι ο πάροχος Cookiebot δεν συμμορφώνεται με την προστασία δεδομένων.
Το πανεπιστήμιο υποχρεούται να τερματίσει την ενσωμάτωση της υπηρεσίας «Cookiebot» στον ιστότοπό του, καθώς συνδέεται με την παράνομη διαβίβαση προσωπικών δεδομένων των χρηστών του ιστότοπου και άρα ειδικότερα του αιτούντος.
Διοικητικό Δικαστήριο της Έσσης, VG Wiesbaden
Το σκεπτικό
Ως πάροχος banner cookie, το Cookiebot επεξεργάζεται προσωπικά δεδομένα, όπως τη διεύθυνση IP ή τις πληροφορίες προγράμματος περιήγησης του επισκέπτη. Οι διακομιστές για αυτήν την επεξεργασία δεδομένων βρίσκονται σε έναν πάροχο του οποίου η έδρα της εταιρείας βρίσκεται στις ΗΠΑ (το Cookiebot νοικιάζει αυτούς τους διακομιστές). Αυτό οδηγεί σε αναφορά σε τρίτη χώρα, η οποία είναι απαράδεκτη όσον αφορά τη λεγόμενη απόφαση Schrems II του Ευρωπαϊκού Δικαστηρίου. Αυτό σημαίνει ότι τα δεδομένα αποστέλλονται σε μια εταιρεία όπου δεν προστατεύονται επαρκώς από την πρόσβαση από αρχές των ΗΠΑ, όπως η NSA ή το FBI.
Με απλά λόγια: Μέσω της χρήσης του Cookiebot και της σχετικής μεταφοράς δεδομένων στις ΗΠΑ, οι αρχές των ΗΠΑ μπορούσαν να έχουν πρόσβαση σε δεδομένα από ευρωπαίους χρήστες. Συνεπώς, η χρήση του Cookiebot δεν είναι νόμιμη και ως εκ τούτου πρέπει να αφαιρεθεί από τον ιστότοπο του πανεπιστημίου.
Οι συνέπειες
Η κρίση είναι πρωτοποριακή και επομένως επηρεάζει επίσης την προσθήκη Cookiebot WordPress και έμμεσα και άλλους παρόχους: Σε μια πρώτη μικρή δοκιμή, βρήκαμε τις υπηρεσίες των ΗΠΑ σε χρήση σε όλους τους σημαντικούς παρόχους CMP και cookie banner:
Τα Usercentrics, SourcePoint, OneTrust, Didomi, CookieFirst, Iubenda, CookieHub, CookieYes και άλλα χρησιμοποιούν επίσης υπηρεσίες όπως Amazon AWS, Google Cloud, Microsoft Azure, Cloudfront, Akamai και άλλες υπηρεσίες από εταιρείες των ΗΠΑ.
Με μια πτώση, ουσιαστικά το 90% των γερμανικών και διεθνών ιστοσελίδων δεν θα μπορούσε να είναι συμβατό με το GDPR και υπάρχει επείγουσα ανάγκη δράσης.
η σύστασή μας
Επομένως, είναι καλύτερα να εμπιστεύεστε consentmanager : βασιζόμαστε (πάντα) σε αμιγώς ευρωπαίους παρόχους χωρίς ρίζες στις ΗΠΑ. Όλα τα δεδομένα φιλοξενούνται αποκλειστικά στην ΕΕ – χωρίς τον κίνδυνο απαγορεύσεων, προειδοποιήσεων και προστίμων λόγω παραβιάσεων του Schrems II, όπως συμβαίνει τώρα με το Cookiebot.