Ret

Vigtig dom: Udbyderen “Cookiebot” erklæret ulovlig


I en banebrydende dom erklærede den administrative domstol i Wiesbaden udbyderen Cookiebot ulovlig. I processen blev RheinMain University of Applied Sciences forbudt at bruge udbyderen på sin egen hjemmeside.

Skærmbillede af Wiesbaden Administrative Courts hjemmeside om Cookiebot-dommen

Baggrunden

Sagen for den administrative domstol i Wiesbaden (Az.: 6 L 738/21.WI) handlede grundlæggende om, hvorvidt RheinMain University of Applied Sciences bruger et DSGVO-kompatibelt cookie-banner på sin hjemmeside www.hs-rm.de eller ej. I sidste ende handler det her om spørgsmålet om, hvorvidt en hjemmeside overhovedet kan blive GDPR-kompatibel, hvis du bruger “Cookiebot”-værktøjet.

Beslutningen

Retten har nu besvaret dette spørgsmål benægtende: RheinMain University of Applied Sciences hjemmeside må ikke bruge Cookiebot-cookie-banneret – retten erklærer således udbyderen Cookiebot for ulovlig.

Universitetet er forpligtet til at afslutte integrationen af “Cookiebot”-tjenesten på sin hjemmeside, da dette er forbundet med ulovlig videregivelse af personlige data fra hjemmesidens brugere og dermed i særdeleshed ansøgeren.

Forvaltningsretten i Hessen, VG Wiesbaden

Begrundelsen

Som udbyder af cookie-bannere behandler Cookiebot personlige data, såsom den besøgendes IP-adresse eller browseroplysninger. Serverne til denne databehandling er placeret hos en udbyder, hvis virksomhedshovedkvarter er i USA (Cookiebot lejer disse servere). Dette resulterer i en henvisning til et tredjeland, hvilket er uantageligt med hensyn til den såkaldte Schrems II-dom fra EU-Domstolen. Det betyder, at data sendes til en virksomhed, hvor adgang fra amerikanske myndigheder såsom NSA eller FBI ikke er tilstrækkeligt beskyttet.

Simpelt formuleret: Ved at bruge Cookiebot kunne amerikanske myndigheder få adgang til data fra europæiske brugere. Brugen af Cookiebot er derfor ulovlig og bør derfor fjernes fra universitetets hjemmeside.

Konsekvenserne

Dommen er banebrydende og påvirker dermed også Cookiebot WordPress-pluginnet og indirekte også andre udbydere: I en første lille test fandt vi amerikanske tjenester i brug hos alle vigtige CMP’er og cookiebanner-udbydere:

Usercentrics, SourcePoint, OneTrust, Didomi, CookieFirst, Iubenda, CookieHub, CookieYes og andre bruger også tjenester som Amazon AWS, Google Cloud, Microsoft Azure, Cloudfront, Akamai og andre tjenester fra amerikanske virksomheder.

I ét hug er 90 % af tyske og internationale hjemmesider som udgangspunkt ikke GDPR-kompatible, og der er et presserende behov for handling.

vores anbefaling

Det er derfor bedre at stole på consentmanager: Vi er (altid) afhængige af rene europæiske udbydere uden rødder i USA. Al data hostes udelukkende i EU – uden risiko for forbud, advarsler og bøder på grund af Schrems II overtrædelser, som det nu er tilfældet med Cookiebot.


flere kommentarer

Digital Services Act
Ret

Gælder lov om digitale tjenester (DSA) også for din virksomhed? Online platforme har yderligere forpligtelser

Lov om digitale tjenester stiller yderligere krav til gennemsigtighed for online platforme. Definitionen af ​​en online platform under DSA kan gælde for din virksomhed. Som følge heraf kan du blive bedt om at overholde de yderligere gennemsigtighedskrav i DSA. Læs videre for at finde ud af, om din virksomhed falder ind under denne kategori, og […]
A picture of a cookies with a red circle in the middle and the caption 1st party cookies and 3rd party cookies
Ny

Eliminering af tredjepartscookies og justering af dine CMP-samtykkeomfangsindstillinger

Den kommende afskaffelse af tredjepartscookies betyder en stor ændring i brugen af consentmanager samtykkeomfang. Fra juni vil consentmanager ikke længere indstille tredjepartscookies under domænet consentmanager .net . Som et resultat af denne ændring vil nogle af vores samtykkeomfangsmuligheder, såsom kontospecifikt samtykke og CMP-specifikt samtykke, der bruges sammen med tredjepartscookies, blive fjernet. Vi opfordrer kraftigt vores […]