Важный вердикт: Провайдер «Cookiebot» признан незаконным

В новаторском решении Административный суд Висбадена объявил провайдера Cookiebot незаконным. При этом RheinMain University of Applied Sciences запретили использовать провайдера на собственном веб-сайте.

Фон

Разбирательство в Административном суде Висбадена (Az.: 6 L 738/21.WI) касалось, в основном, того, использует ли Рейнмайнский университет прикладных наук на своем веб-сайте www.hs-rm.de баннер cookie, соответствующий DSGVO, или нет. В конечном счете, речь идет о том, может ли веб-сайт вообще стать совместимым с GDPR, если вы используете инструмент «Cookiebot».

Решение

Теперь суд ответил на этот вопрос отрицательно: веб-сайт Рейнмайнского университета прикладных наук не может использовать баннер cookie от Cookiebot — таким образом, суд объявляет провайдера Cookiebot незаконным.

Университет обязан прекратить интеграцию сервиса «Cookiebot» на свой веб-сайт, так как это связано с незаконной передачей персональных данных пользователей веб-сайта и, следовательно, в частности абитуриента.

Административный суд Гессена, VG Wiesbaden

Рассуждение

Как поставщик баннеров cookie, Cookiebot обрабатывает персональные данные, такие как IP-адрес или информация о браузере посетителя. Серверы для этой обработки данных находятся у провайдера, штаб-квартира которого находится в США (Cookiebot арендует эти серверы). Это приводит к ссылке на третью страну, что недопустимо в отношении так называемого решения Европейского суда по делу Шремса II. Это означает, что данные отправляются в компанию, доступ к которой со стороны органов власти США, таких как АНБ или ФБР, недостаточно защищен.

Проще говоря: с помощью Cookiebot власти США могут получить доступ к данным европейских пользователей. Таким образом, использование Cookiebot является незаконным и поэтому должно быть удалено с веб-сайта университета.

Последствия

Решение является новаторским и, следовательно, также косвенно влияет на других поставщиков: в первом небольшом тесте мы обнаружили, что службы США используются всеми важными CMP и поставщиками баннеров cookie:

Usercentrics, SourcePoint, OneTrust, Didomi, CookieFirst, Iubenda, CookieHub, CookieYes и другие также используют такие сервисы, как Amazon AWS, Google Cloud, Microsoft Azure, Cloudfront, Akamai и другие сервисы американских компаний.

Одним махом 90% немецких и международных веб-сайтов в основном не соответствуют требованиям GDPR, и необходимо срочно принять меры.

наша рекомендация

Поэтому лучше доверять согласиям менеджера: мы (всегда) полагаемся на чисто европейских поставщиков без корней в США. Все данные размещаются исключительно в ЕС — без риска банов, предупреждений и штрафов из-за нарушений Schrems II, как сейчас в случае с Cookiebot.