AGGIORNAMENTO: questo articolo è stato pubblicato il 6 dicembre 2021. Nel frattempo la decisione del VG Wiesbaden contro Cookiebot è stata annullata dal VGH Kassel: tuttavia, non perché l’uso di Cookiebot fosse ormai stato dichiarato legale, ma per ragioni puramente procedurali (non vi era alcuna urgenza di emettere un’ordinanza provvisoria e il tribunale di prima istanza non aveva giurisdizione). Non sappiamo se sia stata intentata una causa principale contro Cookiebot.
In una decisione innovativa , il tribunale amministrativo di Wiesbaden ha stabilito che il Il fornitore Cookiebot non è conforme alla protezione dei dati . Nel processo, alla RheinMain University of Applied Sciences è stato vietato l’utilizzo del provider sul proprio sito Web.
Lo sfondo
Il procedimento dinanzi al Tribunale amministrativo di Wiesbaden (Az.: 6 L 738/21.WI) verteva essenzialmente sulla questione se la Scuola universitaria professionale del Reno utilizzi o meno un cookie banner conforme al GDPR sul suo sito web www.hs-rm.de. In definitiva, la domanda principale è se un sito web può effettivamente essere conforme al GDPR se viene utilizzato lo strumento “Cookiebot”.
La decisione
Il tribunale ha ora risposto negativamente a questa domanda: il sito web della RheinMain University non è autorizzato a utilizzare il cookie banner di Cookiebot – il tribunale dichiara quindi il fornitore Cookiebot non rispettoso della protezione dei dati.
L’università è obbligata a cessare l’integrazione del servizio “Cookiebot” nel proprio sito web, in quanto connessa alla trasmissione illecita di dati personali degli utenti del sito web e quindi in particolare del richiedente.
Tribunale amministrativo dell’Assia, VG Wiesbaden
Il ragionamento
In qualità di fornitore di cookie banner, Cookiebot elabora dati personali, come l’indirizzo IP o le informazioni sul browser del visitatore. I server per questo trattamento dei dati si trovano presso un provider la cui sede aziendale si trova negli Stati Uniti (Cookiebot noleggia questi server). Ciò si traduce in un riferimento ad un paese terzo, inammissibile rispetto alla cosiddetta sentenza Schrems II della Corte di giustizia europea. Ciò significa che i dati vengono inviati a un’azienda dove non sono adeguatamente protetti dall’accesso da parte delle autorità statunitensi come la NSA o l’FBI.
In poche parole: attraverso l’utilizzo di Cookiebot e il relativo trasferimento di dati negli USA, le autorità statunitensi potrebbero accedere ai dati degli utenti europei. L’utilizzo di Cookiebot pertanto non è legale e deve pertanto essere rimosso dal sito dell’Università.
Le conseguenze
La sentenza è innovativa e riguarda quindi anche il plugin Cookiebot WordPress e indirettamente anche altri fornitori: in un primo piccolo test, abbiamo trovato servizi statunitensi in uso presso tutti i principali CMP e fornitori di cookie banner:
Usercentrics, SourcePoint, OneTrust, Didomi, CookieFirst, Iubenda, CookieHub, CookieYes e altri utilizzano anche servizi come Amazon AWS, Google Cloud, Microsoft Azure, Cloudfront, Akamai e altri servizi di società statunitensi.
In un colpo solo, praticamente il 90% dei siti web tedeschi e internazionali non potrebbero essere conformi al GDPR ed è urgentemente necessario agire.
la nostra raccomandazione
È quindi meglio fidarsi consentmanager : ci siamo affidati (sempre) a fornitori puramente europei senza radici negli Stati Uniti. Tutti i dati sono ospitati esclusivamente nell’UE, senza il rischio di divieti, avvertimenti e sanzioni dovute a violazioni di Schrems II, come ora accade con Cookiebot.