Nyhedsbrev 12/2021

TTDSG er kun et par dage gammel, da den første dom kommer med et brag: Cookiebannerudbyderen “Cookiebot” blev erklæret ulovlig af den administrative domstol i Wiesbaden. I en kortfattet sag blev RheinMain University of Applied Sciences beordret til at stoppe med at bruge tjenesten.

Baggrund: Cookiebot bruger servere placeret i Europa, men da disse servere tilhører en amerikansk udbyder, gælder US Cloud Act her. Dette gør det muligt for de amerikanske myndigheder at få adgang til serverne. Data gemt på disse servere er derfor ikke sikre, og Cookiebot gemmer derfor ikke disse data på en GDPR-kompatibel måde. Brugen af Cookiebot er i sidste ende ulovlig.

Dommen er banebrydende og påvirker dermed også indirekte andre udbydere: I en første lille test fandt vi amerikanske tjenester brugt af alle vigtige CMP’er og cookie banner udbydere: Usercentrics, SourcePoint, OneTrust, Didomi, CookieFirst, Iubenda, CookieHub, CookieYes m.fl. bruge tjenester som Amazon AWS, Google Cloud, Microsoft Azure, Cloudfront, Akamai og andre amerikanske virksomhedstjenester. Som en logisk konklusion fra “Cookiebot-dommen” er disse virksomheders cookieløsninger også ulovlige.

Intet vil dog ændre sig for consentmanager-kunder: Vi har altid været afhængige af rent europæiske udbydere uden registreret kontor i USA og uden amerikanske moderselskaber. consentmanager er derfor ikke påvirket af Cookiebot-dommen.

Log4j – Sårbarhed?

En sårbarhed i et meget brugt Java-bibliotek kaldet Log4j vakte også opsigt denne måned. Et sidste tjek er stadig i gang, da vi ikke bruger nogen Java-baserede komponenter hos consentmanager, vi antager i øjeblikket, at consentmanager-systemerne stadig er sikre.

Flere nye funktioner og ændringer

Specielt i denne måned har vi afsluttet mange små punkter fra vores køreplan. De vigtigste vedrører temaindstillinger, blokeringsrettelser, sikkerhedsfunktioner, rapportering og mere.