Upravno sodišče v Wiesbadnu je s prelomno sodbo ponudnika Cookiebot razglasilo za nezakonitega. Pri tem je bilo Univerzi za uporabne znanosti RheinMain prepovedano uporabljati ponudnika na lastni spletni strani.
Ozadje
Postopki pred Upravnim sodiščem v Wiesbadnu (Az.: 6 L 738/21.WI) so se v bistvu nanašali na to, ali Univerza uporabnih znanosti RheinMain uporablja pasico s piškotki, ki je skladna z DSGVO, na svojem spletnem mestu www.hs-rm.de ali ne. Navsezadnje gre za vprašanje, ali spletno mesto sploh lahko postane skladno z GDPR, če uporabljate orodje »Cookiebot«.
Odločitev
Sodišče je zdaj na to vprašanje odgovorilo nikalno: Spletna stran Univerze za uporabne znanosti RheinMain ne sme uporabljati pasice piškotkov Cookiebot – sodišče tako razglasi ponudnika Cookiebot za nezakonitega.
Univerza je dolžna prekiniti integracijo storitve “Cookiebot” na svoji spletni strani, saj je ta povezana z nezakonitim posredovanjem osebnih podatkov uporabnikov spletnega mesta in s tem zlasti prijavitelja.
Upravno sodišče v Hessenu, VG Wiesbaden
Utemeljitev
Cookiebot kot ponudnik pasic s piškotki obdeluje osebne podatke, kot so IP naslov ali informacije o brskalniku obiskovalca. Strežniki za to obdelavo podatkov se nahajajo pri ponudniku, katerega sedež podjetja je v ZDA (Cookiebot te strežnike najame). Posledica tega je sklicevanje na tretjo državo, kar je nedopustno glede na tako imenovano sodbo Schrems II Sodišča Evropskih skupnosti. To pomeni, da se podatki pošljejo podjetju, kjer dostop organov ZDA, kot sta NSA ali FBI, ni dovolj zaščiten.
Preprosto formulirano: z uporabo Cookiebota bi lahko ameriški organi dostopali do podatkov evropskih uporabnikov. Uporaba Cookiebota je zato nezakonita in jo je zato treba odstraniti s spletne strani univerze.
Posledice
Sodba je prelomna in tako vpliva tudi na vtičnik Cookiebot WordPress in posredno tudi na druge ponudnike: v prvem manjšem testu smo ugotovili, da so storitve ZDA v uporabi pri vseh pomembnih CMP in ponudnikih pasic za piškotke:
Usercentrics, SourcePoint, OneTrust, Didomi, CookieFirst, Iubenda, CookieHub, CookieYes in drugi uporabljajo tudi storitve, kot so Amazon AWS, Google Cloud, Microsoft Azure, Cloudfront, Akamai in druge storitve ameriških podjetij.
V enem zamahu 90 % nemških in mednarodnih spletnih mest v bistvu ni skladnih z GDPR in nujno je treba ukrepati.
naše priporočilo
Zato je bolje zaupati consentmanagerju: (vedno) se zanašamo na izključno evropske ponudnike brez korenin v ZDA. Vsi podatki gostujejo izključno v EU – brez tveganja prepovedi, opozoril in glob zaradi kršitev Schrems II, kot je zdaj v primeru Cookiebot.
