UPDATE: Dit artikel is gepubliceerd op 6 december 2021. In de tussentijd werd de beslissing van de VG Wiesbaden tegen Cookiebot vernietigd door de VGH Kassel: echter niet omdat het gebruik van Cookiebot nu legaal was verklaard, maar om puur procedurele redenen (er was geen urgentie om een voorlopig bevel uit te vaardigen en de rechtbank van eerste aanleg was niet bevoegd). Of er inmiddels een hoofdzaak tegen Cookiebot is aangespannen, weten we niet.
In een baanbrekend besluit heeft de administratieve rechtbank van Wiesbaden bepaald dat de De aanbieder Cookiebot voldoet niet aan de gegevensbescherming . Daarbij mocht de RheinMain Hogeschool de aanbieder niet op haar eigen website gebruiken.
De achtergrond
De procedure voor de administratieve rechtbank van Wiesbaden (Az.: 6 L 738/21.WI) ging in essentie over de vraag of de RheinMain University of Applied Sciences al dan niet een AVG-conforme cookiebanner op haar website www.hs-rm.de gebruikt. Uiteindelijk is de belangrijkste vraag hier of een website daadwerkelijk AVG-compliant kan zijn als de ‘Cookiebot’-tool wordt gebruikt.
De beslissing
De rechtbank heeft deze vraag nu ontkennend beantwoord: de website van de RheinMain Universiteit mag de cookiebanner van Cookiebot niet gebruiken – de rechtbank verklaart daarom dat de aanbieder Cookiebot niet voldoet aan de gegevensbescherming.
De universiteit is verplicht om de integratie van de “Cookiebot”-service op haar website te beëindigen, aangezien dit gepaard gaat met de illegale overdracht van persoonlijke gegevens van de websitegebruikers en dus in het bijzonder van de aanvrager.
Administratieve rechtbank van Hessen, VG Wiesbaden
de redenering
Als aanbieder van cookiebanners verwerkt Cookiebot persoonsgegevens, zoals het IP-adres of browserinformatie van de bezoeker. De servers voor deze gegevensverwerking bevinden zich bij een provider waarvan het hoofdkantoor zich in de VS bevindt (Cookiebot huurt deze servers). Dit resulteert in een verwijzing naar een derde land, hetgeen niet-ontvankelijk is in verband met het zogenaamde Schrems II-arrest van het Europese Hof van Justitie. Dit betekent dat gegevens naar een bedrijf worden gestuurd waar deze niet voldoende zijn beschermd tegen toegang door Amerikaanse autoriteiten zoals de NSA of de FBI.
Simpel gezegd: door het gebruik van Cookiebot en de daarmee gepaard gaande gegevensoverdracht naar de VS konden de Amerikaanse autoriteiten toegang krijgen tot gegevens van Europese gebruikers. Het gebruik van Cookiebot is dus niet legaal en moet daarom van de website van de universiteit worden verwijderd.
De gevolgen
De uitspraak is baanbrekend en heeft dus ook gevolgen voor de Cookiebot WordPress-plug-in en indirect ook voor andere providers: in een eerste kleine test vonden we Amerikaanse services in gebruik bij alle belangrijke CMP’s en cookiebannerproviders:
Usercentrics, SourcePoint, OneTrust, Didomi, CookieFirst, Iubenda, CookieHub, CookieYes en anderen gebruiken ook diensten zoals Amazon AWS, Google Cloud, Microsoft Azure, Cloudfront, Akamai en andere diensten van Amerikaanse bedrijven.
In één klap zou in principe 90% van de Duitse en internationale websites niet GDPR-compliant kunnen zijn en er is dringend behoefte aan actie.
onze aanbeveling
Het is daarom beter om op consentmanager te vertrouwen: we hebben (altijd) vertrouwd op puur Europese providers zonder wortels in de VS. Alle gegevens worden exclusief in de EU gehost – zonder het risico van verboden, waarschuwingen en boetes als gevolg van Schrems II-overtredingen, zoals nu het geval is met Cookiebot.