Prav

Pomembna razsodba: Ponudnik “Cookiebot” krši varstvo podatkov


POSODOBITEV: Ta članek je bil objavljen 6. decembra 2021. Medtem je VGH Kassel razveljavilo odločitev VG Wiesbadna proti Cookiebotu: vendar ne zato, ker je bila uporaba Cookiebota zdaj razglašena za zakonito, ampak iz povsem postopkovnih razlogov (ni bilo nujno izdati začasne odredbe in sodišče prva stopnja ni bila pristojna). Ne vemo, ali je proti Cookiebotu zdaj vložena glavna tožba.


V prelomni odločitvi je upravno sodišče v Wiesbadnu odločilo, da je Ponudnik Cookiebot ni skladen z varstvom podatkov . Pri tem je bilo Univerzi za uporabne znanosti RheinMain prepovedano uporabljati ponudnika na lastni spletni strani.

Posnetek zaslona spletnega mesta upravnega sodišča v Wiesbadnu o sodbi Cookiebot

Ozadje

Postopki pred Upravnim sodiščem v Wiesbadnu (Az.: 6 L 738/21.WI) so se v bistvu nanašali na to, ali Univerza uporabnih znanosti RheinMain uporablja pasico s piškotki, ki je skladna z DSGVO, na svojem spletnem mestu www.hs-rm.de ali ne. Navsezadnje gre za vprašanje, ali spletno mesto sploh lahko postane skladno z GDPR, če uporabljate orodje »Cookiebot«.

Odločitev

Sodišče je zdaj na to vprašanje odgovorilo nikalno: Spletna stran Univerze za uporabne znanosti RheinMain ne sme uporabljati pasice piškotkov Cookiebot – sodišče tako razglasi ponudnika Cookiebot za nezakonitega.

Univerza je dolžna prekiniti integracijo storitve “Cookiebot” na svoji spletni strani, saj je ta povezana z nezakonitim posredovanjem osebnih podatkov uporabnikov spletnega mesta in s tem zlasti prijavitelja.

Upravno sodišče v Hessenu, VG Wiesbaden

Utemeljitev

Cookiebot kot ponudnik pasic s piškotki obdeluje osebne podatke, kot so IP naslov ali informacije o brskalniku obiskovalca. Strežniki za to obdelavo podatkov se nahajajo pri ponudniku, katerega sedež podjetja je v ZDA (Cookiebot te strežnike najame). Posledica tega je sklicevanje na tretjo državo, kar je nedopustno glede na tako imenovano sodbo Schrems II Sodišča Evropskih skupnosti. To pomeni, da se podatki pošljejo podjetju, kjer dostop organov ZDA, kot sta NSA ali FBI, ni dovolj zaščiten.

Preprosto formulirano: z uporabo Cookiebota bi lahko ameriški organi dostopali do podatkov evropskih uporabnikov. Uporaba Cookiebota je zato nezakonita in jo je zato treba odstraniti s spletne strani univerze.

Posledice

Sodba je prelomna in tako vpliva tudi na vtičnik Cookiebot WordPress in posredno tudi na druge ponudnike: v prvem manjšem testu smo ugotovili, da so storitve ZDA v uporabi pri vseh pomembnih CMP in ponudnikih pasic za piškotke:

Usercentrics, SourcePoint, OneTrust, Didomi, CookieFirst, Iubenda, CookieHub, CookieYes in drugi uporabljajo tudi storitve, kot so Amazon AWS, Google Cloud, Microsoft Azure, Cloudfront, Akamai in druge storitve ameriških podjetij.

V enem zamahu 90 % nemških in mednarodnih spletnih mest v bistvu ni skladnih z GDPR in nujno je treba ukrepati.

naše priporočilo

Zato je bolje zaupati consentmanagerju: (vedno) se zanašamo na izključno evropske ponudnike brez korenin v ZDA. Vsi podatki gostujejo izključno v EU – brez tveganja prepovedi, opozoril in glob zaradi kršitev Schrems II, kot je zdaj v primeru Cookiebot.


več komentarjev

Webinar-GCM-v2-with-Google-and-consentmanager
General, Novo, videi

Webinar: Google Consent Mode v2 z Googlom in upraviteljem privolitve

Pridružite se našemu ekskluzivnemu spletnemu seminarju, ki ga gosti consentmanager v sodelovanju z Googlom 12. junija 2024 ob 11.00 po srednjeevropskem času. Zaradi velikega povpraševanja po informacijah o najnovejših Googlovih zahtevah vam bo ta spletni seminar pomagal bolje razumeti Google Consent Mode v2. Dennis Gingele iz Googla in Jan Winkler iz consentmanagerja bosta predstavila bistvena […]
Image for the anniversary of the GDPR on 25 May with
Prav

6 let GDPR: praznovanje njenega daljnosežnega vpliva

Bližamo se šesti obletnici 25. maja 2024 Splošne uredbe o varstvu podatkov (GDPR) , ki je vplivala na standarde varstva podatkov po vsem svetu od začetka veljavnosti 25. maja 2018. GDPR ni le temeljito spremenila varnosti in upravljanja osebnih podatkov, temveč je okrepila pravice posameznikov in jasno opredelila odgovornosti organizacij. Pokrajina varstva podatkov pred GDPR […]