Het Verwaltungsgericht Wiesbaden heeft in de uitspraak van 01.12.2021 (zaaknummer: 6 L 738/21.WI) vastgesteld dat Cookiebot niet mag worden gebruikt. Concreet ging het om de website van de Hochschule RheinMain (HSRM).
Update
De onderstaande persmededeling van het gerecht is herzien. Eerder werd expliciet gesproken over Cookiebot, zoals blijkt uit de volgende schermafbeelding van de originele bericht:
Nu heeft het VG Wiesbaden de feiten geopend en spreekt in het algemeen over diensten van cookies. Er zijn dus nog meer diensten betrokken dan Cookiebot. Dat Cookiebot onder de beslissing valt, kan ik ook op basis van mijn directe kennis van de eerste persbericht zeggen. Ook in de uitspraak zijn aanwijzingen te vinden voor Cookiebot.
Nu behandelt de administratieve rechtbank van Hessen ook de zaak.
Feiten van de zaak
Met persbericht van 06.12.2021 stelde het VG Wiesbaden vast dat het zogenaamde cookiesysteem Cookiebot feitelijk niet mag worden gebruikt. Dit geldt waarschijnlijk zo lang als Cookiebot zich van de dienstverlener Akamai uit de VS bedient en dit in onlosmakelijke vorm doet.
Cookiebot zou website-eigenaren moeten helpen om toestemming van bezoekers van websites te verkrijgen voordat verwerkingsactiviteiten die toestemming vereisen plaatsvinden. Dit gaat concreet ook om cookies, zoals de naam Cookiebot suggereert. Er zijn echter ook andere handelingen die toestemming vereisen.
Dat Cookiebot naar mijn mening in de praktijk ongeschikt is om rechtsconforme toestemmingen in te winnen, had ik al meerdere malen vastgesteld. Hier zijn een paar van mijn bijdragen daarover:
- Cookieschaamte: het mislukken van consenttools ([1])
- Praktisch getesten Cookiebot
Als dienst als Cookiebot zelf een toestemming vraagt, is deze dienst in feite niet bruikbaar respectievelijk zinneloos. Andere mogelijke rechtsgronden uit Artikel 49 GDPR schieten hier regelmatig af.
De redenen waarom het VG Wiesbaden Cookiebot als onrechtmatig kwalificeert, zijn in het bijzonder als volgt. Ik schrijf dit hier in mijn eigen woorden, zonder aanspraak te maken dat het VG Wiesbaden het precies zo bedoeld heeft. Hetzelfde geldt voor mijn eerder gemaakte verklaringen. De bovenstaande persbericht van het gerecht kan iedereen bij behoefte graag aanvullend lezen.
Cookiebot verwerkt persoonsgegevens en geeft deze door aan een dienstverlener in de VS door. Deze dienstverlener slaat deze persoonsgegevens op. Dat is al niet goed (zie het Schrems II vonnis). Hierdoor wordt namelijk in strijd gehandeld met de beginselen van Artikel 44 ff GDPR. Er ontbreekt hier in de praktijk een toestemming. Hoe zou deze toestemming dan verkregen worden, als Cookiebot dat eigenlijk zou moeten bewerkstelligen?
De gegevensdoorgeving van Cookiebot aan Akamai, een dienstverlener gevestigd in de VS, lijkt onlosmakelijk verbonden met Cookiebot. Volgens mijn weten kan Cookiebot alleen in deze configuratie worden geïntegreerd en niet anders.
Zoals ik het zie, kan zelfs geen toestemming voor Cookiebot worden verkregen die conform is aan Artikel 49 GDPR. Eveneens zullen de andere rechtsgronden uit dit artikel waarschijnlijk niet geldig zijn.
Bovendien verwerkt Cookiebot nog meer gegevens die naar mijn mening technisch niet noodzakelijk zijn, zoals de User-Agent (exacte browserversion, besturingssysteem). Of dat voor het rechterlijke uitspraak relevant what, kan ik op korte termijn niet beoordelen. In ieder geval biedt Cookiebot naar mijn weten geen DPA aan, omdat Cookiebot gelooft geen opdrachtverwerker te zijn, omdat Cookiebot gelooft geen persoonsgebonden gegevens te verwerken. Tenminste dat laatste argumentatiepunt lijkt twijfelachtig, en dus mogelijk ook de rest van het geloof dat aan Cookiebot kleeft.
Daarom wordt nog eens duidelijk dat het geen goed idee is om de reclame-uitspraken van aanbieders zoals Cookiebot te vertrouwen.
Cookiebot is in de praktijk niet bruikbaar.
Mijn conclusie op basis van het arrest van het Verwaltungsgericht Wiesbaden.
Het is ook geen goed idee om een zogenaamde Wonder-hulpmiddel in te binden en te hopen dat alles goed komt. Dat is onzin. Bijna elke website die een zogenaamd cookie-tool gebruikt, is illegaal en zou een waarschuwing verdienen. Dat blijkt uit mijn voortdurende onderzoeken. Sommige websites die ik bezocht heb verdienen trouwens een waarschuwing. Tot ziens!
Gebruik privacyvriendelijke diensten. Zo wordt een vervelende toestemmingsaanvraag overbodig. Mogelijkheden en oplossingen beschrijf en noem ik uitgebreid op Dr. GDPR.
Wie het gebruik van Cookiebot op websites illegaal is volgens de Verwaltingsrechter in Wiesbaden, zou je Rücklagen voor rechtszaken moeten aanleggen als je data naar Google, Akamai en anderen stuurt. Of beter nog, laat het dan maar zitten met het verwerken van data zonder juridische grondslag. Het naleven van wetten is ook een optie.
Binnen twee weken kan de gedaagde tegen het besluit van het VG Wiesbaden in beroep gaan. Hoe dan ook, het is al een belangrijke stap voor de privacy.
Ik what als deskundige betrokken bij dit procedure.
Cookiebot en UserCentrics zijn zich verenigd..
Soweit ich weiß, nutzt UserCentrics die Google Cloud. Google is ein Anbieter mit Hauptsitz in den USA, soweit mir bekannt is. Aus den Nutzungsbedingungen der Google Cloud Platform geht hervor: „ALLE ANSPRÜCHE, DIE SICH AUS ODER IM ZUSAMMENHANG MIT DIESER VEREINBARUNG ODER DEN DIENSTEN ERGEBEN, UNTERLIEGEN DEM KALIFORNISCHEN RECHT“ und „Alle Ansprüche … werden AUSSCHLIESSLICH VOR DEN BUNDESGERICHTEN ODER DEN GERICHTEN DES VERWALTUNGSBEZIRKS SANTA CLARA, KALIFORNIEN, USA, VERHANDELT; DIE PARTEIEN STIMMEN DER PERSÖNLICHEN GERICHTSBARKEIT IN DIESEN GERICHTEN ZU.“
Wie je een nieuw Consent-tool overweegt, gebruikt hij misschien liever eentje dat beherrschbaar is.
Kernpunten van dit artikel
Het administratief gerechtshof Wiesbaden heeft Cookiebot als onrechtmatig gekwalificeerd.
Cookiebot verwerkt gegevens en geeft deze door aan een dienstverlener in de Verenigde Staten, wat in strijd is met de privacywetgeving.
De nauwe koppeling van Cookiebot met de Amerikaanse dienstverlener maakt een rechtmatige toestemming onmogelijk.
Cookiebot voldoet mogelijk niet aan de eisen van de AVG.
Cookiebot verwerkt mogelijk onnodige gegevens.
Vertrouw niet op reclame-aussagen van aanbieders zoals Cookiebot.
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.