Belangrijk vonnis: Provider “Cookiebot” illegaal verklaard

In een baanbrekende uitspraak heeft de administratieve rechtbank van Wiesbaden de provider Cookiebot illegaal verklaard. Daarbij mocht de RheinMain Hogeschool de aanbieder niet op haar eigen website gebruiken.

De achtergrond

De procedure voor de administratieve rechtbank van Wiesbaden (Az.: 6 L 738/21.WI) ging in wezen over de vraag of de RheinMain University of Applied Sciences een DSGVO-conforme cookiebanner op haar website www.hs-rm.de gebruikt of niet. Uiteindelijk gaat het om de vraag of een website zelfs AVG-compliant kan worden als je de tool “Cookiebot” gebruikt.

De beslissing

De rechtbank heeft deze vraag nu ontkennend beantwoord: De website van de RheinMain University of Applied Sciences mag de cookiebanner van Cookiebot niet gebruiken – de rechtbank verklaart daarmee de provider Cookiebot illegaal.

De universiteit is verplicht om de integratie van de “Cookiebot”-service op haar website te beëindigen, aangezien dit gepaard gaat met de illegale overdracht van persoonlijke gegevens van de websitegebruikers en dus in het bijzonder van de aanvrager.

Administratieve rechtbank van Hessen, VG Wiesbaden

de redenering

Als aanbieder van cookiebanners verwerkt Cookiebot persoonsgegevens, zoals het IP-adres of browserinformatie van de bezoeker. De servers voor deze gegevensverwerking bevinden zich bij een provider waarvan het hoofdkantoor zich in de VS bevindt (Cookiebot huurt deze servers). Dit resulteert in een verwijzing naar een derde land, hetgeen niet-ontvankelijk is in verband met het zogenaamde Schrems II-arrest van het Europese Hof van Justitie. Dit betekent dat gegevens worden verzonden naar een bedrijf waar toegang door Amerikaanse autoriteiten zoals de NSA of FBI niet voldoende is beveiligd.

Eenvoudig geformuleerd: door Cookiebot te gebruiken, konden Amerikaanse autoriteiten toegang krijgen tot gegevens van Europese gebruikers. Het gebruik van Cookiebot is daarom illegaal en dient daarom van de website van de universiteit te worden verwijderd.

De gevolgen

De uitspraak is grensverleggend en treft dus indirect ook andere aanbieders: In een eerste kleine test vonden we Amerikaanse diensten in gebruik bij alle belangrijke CMP’s en cookiebanneraanbieders:

Usercentrics, SourcePoint, OneTrust, Didomi, CookieFirst, Iubenda, CookieHub, CookieYes en anderen gebruiken ook diensten zoals Amazon AWS, Google Cloud, Microsoft Azure, Cloudfront, Akamai en andere diensten van Amerikaanse bedrijven.

In één klap is 90% van de Duitse en internationale websites in principe niet AVG-compliant en is er dringend actie nodig.

onze aanbeveling

Het is daarom beter om op consentmanager te vertrouwen: we vertrouwen (altijd) op puur Europese providers zonder wortels in de VS. Alle gegevens worden exclusief in de EU gehost – zonder het risico van verboden, waarschuwingen en boetes als gevolg van Schrems II-overtredingen, zoals nu het geval is met Cookiebot.