Rechts

Belangrijk oordeel: Aanbieder “Cookiebot” schendt de gegevensbescherming


UPDATE: Dit artikel is gepubliceerd op 6 december 2021. In de tussentijd werd de beslissing van de VG Wiesbaden tegen Cookiebot vernietigd door de VGH Kassel: echter niet omdat het gebruik van Cookiebot nu legaal was verklaard, maar om puur procedurele redenen (er was geen urgentie om een ​​voorlopig bevel uit te vaardigen en de rechtbank van eerste aanleg was niet bevoegd). Of er inmiddels een hoofdzaak tegen Cookiebot is aangespannen, weten we niet.


In een baanbrekend besluit heeft de administratieve rechtbank van Wiesbaden bepaald dat de De aanbieder Cookiebot voldoet niet aan de gegevensbescherming . Daarbij mocht de RheinMain Hogeschool de aanbieder niet op haar eigen website gebruiken.

Screenshot van de website van de administratieve rechtbank van Wiesbaden over de Cookiebot-uitspraak

De achtergrond

De procedure voor de administratieve rechtbank van Wiesbaden (Az.: 6 L 738/21.WI) ging in essentie over de vraag of de RheinMain University of Applied Sciences al dan niet een AVG-conforme cookiebanner op haar website www.hs-rm.de gebruikt. Uiteindelijk is de belangrijkste vraag hier of een website daadwerkelijk AVG-compliant kan zijn als de ‘Cookiebot’-tool wordt gebruikt.

De beslissing

De rechtbank heeft deze vraag nu ontkennend beantwoord: de website van de RheinMain Universiteit mag de cookiebanner van Cookiebot niet gebruiken – de rechtbank verklaart daarom dat de aanbieder Cookiebot niet voldoet aan de gegevensbescherming.

De universiteit is verplicht om de integratie van de “Cookiebot”-service op haar website te beëindigen, aangezien dit gepaard gaat met de illegale overdracht van persoonlijke gegevens van de websitegebruikers en dus in het bijzonder van de aanvrager.

Administratieve rechtbank van Hessen, VG Wiesbaden

de redenering

Als aanbieder van cookiebanners verwerkt Cookiebot persoonsgegevens, zoals het IP-adres of browserinformatie van de bezoeker. De servers voor deze gegevensverwerking bevinden zich bij een provider waarvan het hoofdkantoor zich in de VS bevindt (Cookiebot huurt deze servers). Dit resulteert in een verwijzing naar een derde land, hetgeen niet-ontvankelijk is in verband met het zogenaamde Schrems II-arrest van het Europese Hof van Justitie. Dit betekent dat gegevens naar een bedrijf worden gestuurd waar deze niet voldoende zijn beschermd tegen toegang door Amerikaanse autoriteiten zoals de NSA of de FBI.

Simpel gezegd: door het gebruik van Cookiebot en de daarmee gepaard gaande gegevensoverdracht naar de VS konden de Amerikaanse autoriteiten toegang krijgen tot gegevens van Europese gebruikers. Het gebruik van Cookiebot is dus niet legaal en moet daarom van de website van de universiteit worden verwijderd.

De gevolgen

De uitspraak is baanbrekend en heeft dus ook gevolgen voor de Cookiebot WordPress-plug-in en indirect ook voor andere providers: in een eerste kleine test vonden we Amerikaanse services in gebruik bij alle belangrijke CMP’s en cookiebannerproviders:

Usercentrics, SourcePoint, OneTrust, Didomi, CookieFirst, Iubenda, CookieHub, CookieYes en anderen gebruiken ook diensten zoals Amazon AWS, Google Cloud, Microsoft Azure, Cloudfront, Akamai en andere diensten van Amerikaanse bedrijven.

In één klap zou in principe 90% van de Duitse en internationale websites niet GDPR-compliant kunnen zijn en er is dringend behoefte aan actie.

onze aanbeveling

Het is daarom beter om op consentmanager te vertrouwen: we hebben (altijd) vertrouwd op puur Europese providers zonder wortels in de VS. Alle gegevens worden exclusief in de EU gehost – zonder het risico van verboden, waarschuwingen en boetes als gevolg van Schrems II-overtredingen, zoals nu het geval is met Cookiebot.


meer opmerkingen

Webinar-GCM-v2-with-Google-and-consentmanager
Algemeen, Nieuw, videos

Webinar: Google Consent Mode v2 met Google en consentmanager

Neem deel aan ons exclusieve webinar, gehost door consentmanager in samenwerking met Google op 12 juni 2024 om 11:00 uur CET. Vanwege de grote vraag naar informatie over de nieuwste Google-vereisten, zal dit webinar u helpen Google Consent Mode v2 beter te begrijpen. Dennis Gingele van Google en Jan Winkler van consentmanager presenteren de essentiële […]
Image for the anniversary of the GDPR on 25 May with
Rechts

6 jaar AVG: een viering van de verreikende impact ervan

We naderen op 25 mei 2024 de zesde verjaardag van de Algemene Verordening Gegevensbescherming (AVG) , die de normen voor gegevensbescherming wereldwijd heeft beïnvloed sinds de inwerkingtreding ervan op 25 mei 2018. De AVG heeft niet alleen de beveiliging en het beheer van persoonsgegevens fundamenteel veranderd, maar ook de rechten van individuen versterkt en de […]