Il Tribunale Amministrativo di Wiesbaden ha stabilito con sentenza del 01.12.2021 (n. 6 L 738/21.WI) che non è consentito utilizzare Cookiebot. In particolare, si trattava della pagina web dell'Università RheinMain (HSRM).
Aggiornamento
La seguente nota stampa del tribunale è stata rivista. In precedenza si parlava esplicitamente di Cookiebot, come dimostra lo screenshot seguente della versione originale dell'annuncio:
Ora il VG Wiesbaden ha aperto la questione di fatto e parla in generale dei servizi di cookie. Sono quindi coinvolte altre più servizi oltre a Cookiebot. Posso anche dire con certezza che Cookiebot è stato menzionato nel comunicato stampa iniziale, grazie alla mia conoscenza diretta. Anche nel sentenza ci sono riferimenti a Cookiebot.
Ora anche il Consiglio di Stato della Hesse si occupa della questione.
fatto del caso
Con comunicato stampa del 06.12.2021, il VG Wiesbaden ha stabilito che l'utilizzo del cosiddetto strumento Cookie- Cookiebot è in realtà non consentito. Ciò vale probabilmente fino a quando Cookiebot si avvale dei servizi del fornitore statunitense Akamai e lo utilizza in modo inscindabile.
Cookiebot dovrebbe aiutare i gestori di siti web ad ottenere il consenso dei visitatori prima che vengano effettuate elaborazioni di dati che richiedono il consenso, incluso l'utilizzo di cookie, come suggerisce il nome stesso Cookiebot. Tuttavia, ci sono anche altre operazioni che richiedono il consenso.
Ho già osservato in più occasioni che Cookiebot, dal mio punto di vista, è in pratica inadeguato per ottenere il consenso in modo conforme alla legge. Ecco alcuni dei miei contributi in merito:
- Il "Cookiegeddon": il fallimento degli strumenti di consenso ([1])
- Test di pratica di Cookiebot
Se un servizio come Cookiebot richiede l'autorizzazione per chiedere il consenso, è effettivamente non utilizzabile o, secondo la mia opinione, senza senso. Altre possibili basi giuridiche da Art. 49 GDPR sono regolarmente escluse in questo caso.
I motivi per cui il Tribunale amministrativo di Wiesbaden ha classificato Cookiebot come illegale sono principalmente i seguenti. Io scrivo questo con le mie parole, senza pretendere che il Tribunale amministrativo di Wiesbaden abbia esattamente lo stesso significato. Lo stesso vale per le mie affermazioni precedenti. Chiunque ne abbia bisogno può leggere liberamente la nota stampa del tribunale sopra riportata.
Cookiebot elabora dati personali e li trasferisce a un fornitore negli Stati Uniti, che li archivia. Ciò non è affatto buono (vedere il sentenza Schrems II). In questo modo si violano infatti i principi della art. 44 ff GDPR. Manca qui nella pratica un consenso. Come dovrebbe essere ottenuto questo consenso, se Cookiebot è quello che dovrebbe realizzarlo?
La condivisione dei dati da parte di Cookiebot con Akamai, un fornitore di servizi con sede negli Stati Uniti, sembra essere intrinsecamente legata a Cookiebot. A mio avviso, Cookiebot può essere integrato solo in questa configurazione e non in altro modo.
Come vedo io, non si può neanche ottenere un consenso per Cookiebot che sia conforme all'articolo 49 GDPR . E allo stesso modo probabilmente escludono le altre basi giuridiche di cui parla lo stesso articolo. ([1])
Inoltre, Cookiebot elabora ulteriori dati che a mio avviso non sono tecnologicamente necessari, ad esempio il User-Agent (versione esatta del browser, sistema operativo). Sebbene non possa giudicare in modo rapido se ciò era rilevante per la sentenza della corte, posso comunque affermare che Cookiebot non offre alcun DPA perché crede di non essere un committente di elaborazione dati, poiché crede di non trattare dati personali. Almeno l'ultimo elemento dell'argomentazione sembra dubbia, quindi forse anche il resto delle convinzioni che Cookiebot si attribuisce è discutibile. ([1])
Questo caso dimostra ancora una volta che non è una buona idea fidarsi delle affermazioni pubblicitarie di fornitori come Cookiebot.
Cookiebot è in pratica inutilizzabile.
La mia conclusione dal decreto del VG Wiesbaden.
Non è una buona idea inserire un cosiddetto Strumento miracoloso e sperare che tutto vada bene. È inutile. Pressoché ogni sito web che utilizza uno strumento per i cookie è illegale e meriterebbe di essere ammonito. Lo dimostrano le mie continue indagini. Alcuni siti web visitati sono addirittura degni di un'ammonizione. Ci vediamo!
Utilizzate servizi rispettosi della privacy in modo da rendere superflua una fastidiosa richiesta di consenso. Descrivo e indico le possibilità e le soluzioni in dettaglio su Dr. GDPR.
Chi invia dati a Google, Akamai e altri dovrebbe Raccogliere risorse per controversie legali. O meglio lasciare che i dati vengano elaborati senza una base legale. Rispettare le leggi sarebbe anche un approccio.
Contro il provvedimento del VG Wiesbaden, la parte ricorrente può presentare appello entro due settimane. In ogni caso, si tratta già di un passo importante per la protezione dei dati.
Ero stato coinvolto nel procedimento come esperto.
In effetti, Cookiebot e UserCentrics si sono associati .
Soweit ich weiß, nutzt UserCentrics il Google Cloud. Google is ein Anbieter mit Hauptsitz in den USA, soweit mir bekannt is. Aus den Nutzungsbedingungen il Google Cloud Platform geht hervor: „ALLE ANSPRÜCHE, DIE SICH AUS ODER IM ZUSAMMENHANG MIT DIESER VEREINBARUNG ODER DEN DIENSTEN ERGEBEN, UNTERLIEGEN DEM KALIFORNISCHEN RECHT“ und „Alle Ansprüche … werden AUSSCHLIESSLICH VOR DEN BUNDESGERICHTEN ODER DEN GERICHTEN DES VERWALTUNGSBEZIRKS SANTA CLARA, KALIFORNIEN, USA, VERHANDELT; DIE PARTEIEN STIMMEN DER PERSÖNLICHEN GERICHTSBARKEIT IN DIESEN GERICHTEN ZU.“
Chi sta pensando a un nuovo strumento di consenso, magari preferisce uno che è gestibile è.
Principali punti chiave di questo articolo
Il Tribunale amministrativo di Wiesbaden ha classificato Cookiebot come illegale.
Cookiebot elabora dati e li trasferisce a un fornitore di servizi negli Stati Uniti, il che viola le normative sulla privacy.
Il legame stretto di Cookiebot con il fornitore di servizi statunitense rende impossibile un consenso legittimo.
Cookiebot potrebbe non rispettare le disposizioni del GDPR.
Cookiebot potrebbe elaborare dati superflui.
Non bisogna fidarsi delle affermazioni pubblicitarie di fornitori come Cookiebot.
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.