Verdetto importante: il provider “Cookiebot” dichiarato illegale

Con una sentenza rivoluzionaria, il tribunale amministrativo di Wiesbaden ha dichiarato illegale il provider Cookiebot. Nel processo, alla RheinMain University of Applied Sciences è stato vietato l’utilizzo del provider sul proprio sito Web.

Screenshot del sito web del tribunale amministrativo di Wiesbaden sulla sentenza Cookiebot

Lo sfondo

Il procedimento dinanzi al tribunale amministrativo di Wiesbaden (Az.: 6 L 738/21.WI) riguardava fondamentalmente se la RheinMain University of Applied Sciences utilizza o meno un cookie banner conforme al DSGVO sul proprio sito Web www.hs-rm.de. In definitiva, si tratta della questione se un sito Web possa diventare conforme al GDPR se si utilizza lo strumento “Cookiebot”.

La decisione

Il tribunale ha ora risposto negativamente a questa domanda: il sito web della RheinMain University of Applied Sciences non è autorizzato a utilizzare il cookie banner Cookiebot – il tribunale dichiara quindi illegale il provider Cookiebot.

L’università è obbligata a cessare l’integrazione del servizio “Cookiebot” nel proprio sito web, in quanto connessa alla trasmissione illecita di dati personali degli utenti del sito web e quindi in particolare del richiedente.

Tribunale amministrativo dell’Assia, VG Wiesbaden

Il ragionamento

In qualità di fornitore di cookie banner, Cookiebot elabora dati personali, come l’indirizzo IP o le informazioni sul browser del visitatore. I server per questo trattamento dei dati si trovano presso un provider la cui sede aziendale si trova negli Stati Uniti (Cookiebot noleggia questi server). Ciò si traduce in un riferimento ad un paese terzo, inammissibile rispetto alla cosiddetta sentenza Schrems II della Corte di giustizia europea. Ciò significa che i dati vengono inviati a una società in cui l’accesso delle autorità statunitensi come la NSA o l’FBI non è sufficientemente protetto.

Formulato in modo semplice: utilizzando Cookiebot, le autorità statunitensi potrebbero accedere ai dati degli utenti europei. L’uso di Cookiebot è quindi illegale e dovrebbe pertanto essere rimosso dal sito web dell’università.

Le conseguenze

La sentenza è innovativa e riguarda quindi anche il plugin Cookiebot WordPress e indirettamente anche altri fornitori: in un primo piccolo test, abbiamo trovato servizi statunitensi in uso presso tutti i principali CMP e fornitori di cookie banner:

Usercentrics, SourcePoint, OneTrust, Didomi, CookieFirst, Iubenda, CookieHub, CookieYes e altri utilizzano anche servizi come Amazon AWS, Google Cloud, Microsoft Azure, Cloudfront, Akamai e altri servizi di società statunitensi.

In un colpo solo, il 90% dei siti Web tedeschi e internazionali non è sostanzialmente conforme al GDPR e c’è bisogno di un’azione urgente.

la nostra raccomandazione

È quindi meglio fidarsi di consensomanager: ci affidiamo (sempre) a fornitori puramente europei senza radici negli Stati Uniti. Tutti i dati sono ospitati esclusivamente nell’UE, senza il rischio di divieti, avvertimenti e sanzioni dovute a violazioni di Schrems II, come ora accade con Cookiebot.