Rechts

Belangrijk oordeel: Aanbieder “Cookiebot” schendt de gegevensbescherming


UPDATE: Dit artikel is gepubliceerd op 6 december 2021. In de tussentijd werd de beslissing van de VG Wiesbaden tegen Cookiebot vernietigd door de VGH Kassel: echter niet omdat het gebruik van Cookiebot nu legaal was verklaard, maar om puur procedurele redenen (er was geen urgentie om een ​​voorlopig bevel uit te vaardigen en de rechtbank van eerste aanleg was niet bevoegd). Of er inmiddels een hoofdzaak tegen Cookiebot is aangespannen, weten we niet.


In een baanbrekend besluit heeft de administratieve rechtbank van Wiesbaden bepaald dat de De aanbieder Cookiebot voldoet niet aan de gegevensbescherming . Daarbij mocht de RheinMain Hogeschool de aanbieder niet op haar eigen website gebruiken.

Screenshot van de website van de administratieve rechtbank van Wiesbaden over de Cookiebot-uitspraak

De achtergrond

De procedure voor de administratieve rechtbank van Wiesbaden (Az.: 6 L 738/21.WI) ging in essentie over de vraag of de RheinMain University of Applied Sciences al dan niet een AVG-conforme cookiebanner op haar website www.hs-rm.de gebruikt. Uiteindelijk is de belangrijkste vraag hier of een website daadwerkelijk AVG-compliant kan zijn als de ‘Cookiebot’-tool wordt gebruikt.

De beslissing

De rechtbank heeft deze vraag nu ontkennend beantwoord: de website van de RheinMain Universiteit mag de cookiebanner van Cookiebot niet gebruiken – de rechtbank verklaart daarom dat de aanbieder Cookiebot niet voldoet aan de gegevensbescherming.

De universiteit is verplicht om de integratie van de “Cookiebot”-service op haar website te beëindigen, aangezien dit gepaard gaat met de illegale overdracht van persoonlijke gegevens van de websitegebruikers en dus in het bijzonder van de aanvrager.

Administratieve rechtbank van Hessen, VG Wiesbaden

de redenering

Als aanbieder van cookiebanners verwerkt Cookiebot persoonsgegevens, zoals het IP-adres of browserinformatie van de bezoeker. De servers voor deze gegevensverwerking bevinden zich bij een provider waarvan het hoofdkantoor zich in de VS bevindt (Cookiebot huurt deze servers). Dit resulteert in een verwijzing naar een derde land, hetgeen niet-ontvankelijk is in verband met het zogenaamde Schrems II-arrest van het Europese Hof van Justitie. Dit betekent dat gegevens naar een bedrijf worden gestuurd waar deze niet voldoende zijn beschermd tegen toegang door Amerikaanse autoriteiten zoals de NSA of de FBI.

Simpel gezegd: door het gebruik van Cookiebot en de daarmee gepaard gaande gegevensoverdracht naar de VS konden de Amerikaanse autoriteiten toegang krijgen tot gegevens van Europese gebruikers. Het gebruik van Cookiebot is dus niet legaal en moet daarom van de website van de universiteit worden verwijderd.

De gevolgen

De uitspraak is baanbrekend en heeft dus ook gevolgen voor de Cookiebot WordPress-plug-in en indirect ook voor andere providers: in een eerste kleine test vonden we Amerikaanse services in gebruik bij alle belangrijke CMP’s en cookiebannerproviders:

Usercentrics, SourcePoint, OneTrust, Didomi, CookieFirst, Iubenda, CookieHub, CookieYes en anderen gebruiken ook diensten zoals Amazon AWS, Google Cloud, Microsoft Azure, Cloudfront, Akamai en andere diensten van Amerikaanse bedrijven.

In één klap zou in principe 90% van de Duitse en internationale websites niet GDPR-compliant kunnen zijn en er is dringend behoefte aan actie.

onze aanbeveling

Het is daarom beter om op consentmanager te vertrouwen: we hebben (altijd) vertrouwd op puur Europese providers zonder wortels in de VS. Alle gegevens worden exclusief in de EU gehost – zonder het risico van verboden, waarschuwingen en boetes als gevolg van Schrems II-overtredingen, zoals nu het geval is met Cookiebot.


meer opmerkingen

Cookie-Crawler - Standalone-Tool
Algemeen, Nieuw

Nieuwsbrief 11/2024

Cookie-crawler nu ook beschikbaar als zelfstandige tool Onze Cookie Crawler is nu nog veelzijdiger en flexibeler! Vanaf nu kun je het ook als standalone tool gebruiken – zonder dat je een apart CMP hoeft aan te maken. De standalone optie is geschikt voor klanten die de cookiebanner (nog) niet willen overzetten naar consentmanager , maar […]
consentmanager Cookie-Audit Grafik

Cookie-audit voor websites: hoe u dit handmatig of met een cookiescanner doet

Als websitebeheerder bent u verantwoordelijk voor de gegevens van uw gebruikers, die door uw website via cookies worden verzameld en opgeslagen. Elke cookie die actief is op uw website kan mogelijk privacyschendingen veroorzaken , vooral als deze niet wordt gebruikt voor het beoogde doel of, nog belangrijker, als deze in hun browsers wordt opgeslagen zonder […]