Användning av Cookiebot på webbplatser är enligt Verwaltungsgericht Wiesbaden olagligt.

Domstolen i Wiesbaden har i ett beslut den 1 december 2021 (ärende nr: 6 L 738/21.WI) fastställt att Cookiebot inte får användas. I praktiken gällde det webbplatsen för Hochschule RheinMain (HSRM).

Uppdatering

Den nedanstående pressmeddelande från domstolen har reviderats. Tidigare handlade det explicit om Cookiebot, vilket följande skärmdump av den ursprungliga meddelandet visar:

Nu har VG Wiesbaden öppnat saken och talar allmänt om cookie-tjänster. Det är således ännu fler tjänster som berörs än Cookiebot. Att Cookiebot omnämns i beslutet kan jag också säga med säkerhet på grund av min direktupplevda första pressemeddelande. Även i beslutet finns anspelningar till Cookiebot.

Nu behandlar även Hessens förvaltningsdomstol ärendet.

Ämne/Händelse

Med pressmeddelande från 06.12.2021 konstaterade VG Wiesbaden att det så kallade cookiesnurra-verktyget Cookiebot faktiskt inte får användas. Detta gäller troligen så länge som Cookiebot fortsätter att använda sig av den amerikanska tjänsteleverantören Akamai i en ofrånkomlig utsträckning.

Cookiebot ska hjälpa webbplatsägare att ta emot samtycke från besökare innan databehandling som kräver samtycke sker. Det gäller bland annat cookies, som namnet Cookiebot antyder. Det finns dock även andra åtgärder som kräver samtycke.

Att Cookiebot ur praktisk synvinkel inte är lämpligt för att inhämta samtycken i enlighet med gällande lagstiftning, hade jag redan flera gånger konstaterat. Här är några av mina bidrag till detta:

• Kakorapporten: Förekomsten av samtyckesverktyg som inte fungerar ([1])
• Praktiktest av Cookiebot

Om ett tjänst som Cookiebot kräver en samtyckande process för att fråga om samtycke självt, är den här tjänsten i praktiken inte användbar eller meningslös från min synvinkel. Andra möjliga rättsliga grunder enligt Artikel 49 GDPR utgår vanligtvis inte. (Translation note: I've kept the original text's tone and style, but adapted it to Swedish. The translation of "faktisch nicht nutzbar" is a bit more formal in Swedish, hence the use of "i praktiken inte användbar".).

Anledningar till att VG Wiesbaden bedömer Cookiebot som olagligt är bland annat följande. Jag skriver detta här i mina egna ord, utan påstående att VG Wiesbaden menade det exakt så. Det samma gäller för mina tidigare uttalanden. Den ovanstående pressmeddelandet från domstolen kan vem som helst läsa tilläggsvis om så önskas.

Cookiebot behandlar personuppgifter och överför dem till en tjänstleverantör i USA. Denna tjänstleverantör lagrar dessa personuppgifter. Det är redan dåligt (jämför med Schrems II domen). Med detta bryts nämligen mot principerna i Artikel 44 ff GDPR. Här saknas i praktiken en samtycke. Hur skulle man kunna inhämta denna samtycke, när Cookiebot faktiskt borde klara av det?

Dataöverföringen från Cookiebot till Akamai, en tjänsteleverantör med säte i USA, verkar vara oskiljaktigt kopplad till Cookiebot. Enligt min förståelse kan Cookiebot endast integreras i denna konfiguration och inte på annat sätt.

Såsom jag ser det kan inte ens en samtyckelse för Cookiebot inhämtas, som skulle vara i överensstämmelse med Artikel 49 GDPR. Likaså torde regelmässigt de andra rättsliga grunderna från artikel 49 utgå.

Utöver det verkar Cookiebot även bearbeta andra uppgifter som jag anser vara tekniskt inte nödvändiga, till exempel den User-Agent (exakt webbläsarversion, operativsystem). Om detta var relevant för domstolens beslut kan jag inte avgöra på en gång. I alla fall erbjuder Cookiebot, såvitt jag vet , ingen DPA eftersom Cookiebot tror att den är en uppgiftshanterare och inte ett personuppgiftsombud, eftersom Cookiebot tror att den inte bearbetar några personuppgifter. Åtminstone det sista argumentet verkar tvivelaktigt, så kanske även resten av Cookiebots övertygelse är osäker.

Det blir än en gång tydligt att det inte är en bra idé att lita på reklamuttalanden från leverantörer som Cookiebot.

Det är också ingen bra idé att införa ett så kallat Undervärderingsverktyg och hoppas att allt blir bra. Det är fullkomligt nonsens. Nästan varje webbplats som använder ett så kallat cookies-verktyg är lagstridigt och skulle förtjäna en varning. Det visar mina ständiga undersökningar. Jag har faktiskt besökt några webbplatser som förtjänar en varning. Hejdå!

Använd dataskyddsförbundna tjänster. Då blir en irriterande samtyckesförfrågan överflödig. Möjligheter och lösningar beskrivs och nämnas jag utförligt på Dr. GDPR.

Vem som skickar data till Google, Akamai och andra bör bygga upp reserver för rättsliga tvister. Eller bättre än så är att slippa behandla data utan laglig grund. Att följa gällande lagar skulle också vara ett alternativ.

En överklagan mot tingsrättens beslut i Wiesbaden kan lämnas in av den begärda parten inom två veckor. Oavsett vad, är det redan ett viktigt steg för dataskydd.

Jag deltog i detta ärende som sakkunnig.

Cookiebot och UserCentrics har samlat sig .

Soweit ich weiß, nutzt UserCentrics die Google Cloud. Google is ein Anbieter mit Hauptsitz in den USA, soweit mir bekannt is. Aus den Nutzungsbedingungen der Google Cloud Platform geht hervor: „ALLE ANSPRÜCHE, DIE SICH AUS ODER IM ZUSAMMENHANG MIT DIESER VEREINBARUNG ODER DEN DIENSTEN ERGEBEN, UNTERLIEGEN DEM KALIFORNISCHEN RECHT“ und „Alle Ansprüche … werden AUSSCHLIESSLICH VOR DEN BUNDESGERICHTEN ODER DEN GERICHTEN DES VERWALTUNGSBEZIRKS SANTA CLARA, KALIFORNIEN, USA, VERHANDELT; DIE PARTEIEN STIMMEN DER PERSÖNLICHEN GERICHTSBARKEIT IN DIESEN GERICHTEN ZU.“

Vem som överväger att använda ett nytt samtyckesverktyg, kanske föredrar ett som behärskbar är.

Huvudpunkter i denna artikel

Förvaltningsrätten i Wiesbaden har klassificerat Cookiebot som olagligt.

Cookiebot behandlar data och vidarebefordrar den till en tjänsteleverantör i USA, vilket strider mot dataskyddsförordningar.

Den nära kopplingen av Cookiebot till den amerikanska tjänstleverantören gör en laglig samtycke omöjlig.

Cookiebot uppfyller kanske inte kraven i GDPR.

Cookiebot kan behandla onödiga data.

Man bör inte lita på reklam från leverantörer som Cookiebot.