Anvendelse af Cookiebot på hjemmesider er ifølge Amtsretten i Wiesbaden ulovlig.

Det administrative retssæde i Wiesbaden har ved afgørelse af 01.12.2021 (Sag nr.: 6 L 738/21.WI) fastsatt, at Cookiebot ikke må anvendes. Konkret drejede det sig om hjemmesiden til Hochschule RheinMain (HSRM).

Opdatering

Den nedenstående pressemeddelelse fra retten er blevet revideret. Tidligere var der eksplicit tale om Cookiebot, som følgende skærmbillede af den oprindelige meddelelse viser:

Nu har VG Wiesbaden åbnet sagen og taler i almindelighed om cookie-tjenester. Dermed er flere tjenester end Cookiebot påvirket. At Cookiebot er omfattet af beslutningen, kan jeg også på grund af min direkte kendsgerning af den første pressemeddelelse være sikker på. Der findes også henvisninger til Cookiebot i beslutningen.

Nu beskæftiger Hessen's administrative højesteret sig også med sagen.

Sagsforløb

Med pressemeddelelse fra 06.12.2021 fastslog VG Wiesbaden, at det såkaldte cookie-tool Cookiebot faktisk ikke må anvendes. Dette gælder vel så længe, som Cookiebot benytter sig af den amerikanske leverandør Akamai og derved i uadskillelige sammenhæng.

Cookiebot sigter på at hjælpe webstedsejere med at indhente samtykke fra besøgende på websteder, før databehandlingsaktiviteter, der kræver samtykke, finder sted. Det drejer sig konkret også om cookies, som navnet Cookiebot antyder. Der er dog andre procedurer, der kræver samtykke.

At jeg mener, at Cookiebot i praksis ikke er egnet til at indhente samtykke lovligt, har jeg flere gange tidligere konstateret. Her er et par af mine bidrag til dette:

• Krumkaker af Cookie: Consent-verktøjs mislykkelse ([1])
• Praktiktest af Cookiebot

Hvis en tjeneste som Cookiebot skal spørge om tilladelse selv beder om tilladelse, er denne tjeneste i praksis ikke brugbar eller sinneløs fra min synsvinkel. Andre mulige retlige grundlag fra Art. 49 GDPR udelukkes her som regel.

Årsagerne til, at VG Wiesbaden vurderer Cookiebot som ulovligt, er blandt andet følgende. Jeg skriver det her i mine egne ord, uden påstand om, at VG Wiesbaden mente det præcis sådan. Det samme gælder for mine tidligere udtalelser. Den ovenstående pressemeddelelse fra retten kan alle gerne læse yderligere, hvis de ønsker det.

Cookiebot behandler personlige oplysninger og sender dem til en leverandør i USA videre. Denne leverandør gemmer disse personlige oplysninger. Det er allerede ikke godt (se Schrems II-dommen). Derved bliver der nemlig overtrådt de principper, som følger af Art. 44 ff GDPR. Der manglede her i praksis en samtykke. Hvorledes skulle dette samtykke dog indhentes, hvis Cookiebot faktisk skulle være til for at opnå det?

Dataoverførslen fra Cookiebot til Akamai, en tjenesteudbyder med hjemsted i USA, synes at være uadskillelig forbundet med Cookiebot. Ifølge min viden kan Cookiebot kun integreres i denne konstellation og ikke på anden måde.

Sådan ser jeg det, men også en samtykke til Cookiebot kan ikke indhentes i overensstemmelse med Artikel 49 GDPR. Desuden vil sikkert de andre lovgivende grunde fra dette artikel være ude af kraft.

Desuden behandler Cookiebot yderligere data, som jeg mener er teknisk ikke nødvendige, f.eks. den User-Agent (præcise browser-version, operativsystem). Om det var relevant for dommen, kan jeg ikke afgøre hurtigt nok. I hvert fald tilbyder Cookiebot ifølge min viden ingen DPA, fordi Cookiebot tror, at de ikke er en Auftragsverarbeiter, fordi Cookiebot tror, at de ikke behandler personlige data. Mindst det sidste argumentationsled virker usikkert, og dermed måske også resten af troen, som Cookiebot har.

Det understreger endnu engang, at det ikke er en god idé at stole på reklameudmeldinger fra leverandører som Cookiebot.

Det er også ikke en god idé at indsætte et såkaldt Underværktøj og håbe på det bedste. Det er fuldstændig latterligt. Næsten hver hjemmeside, der bruger et såkaldt cookie-tool, er ulovlig og ville være værd en advarsel. Det viser mine konstante undersøgelser. Jeg har faktisk også besøgt nogle hjemmesider, som var værd en advarsel. Vi ses!

Brug datatilstedelsesvenlige tjenester. På den måde bliver en irriterende acceptanforespørgsel unødvendig. Muligheder og løsninger beskriver og nævner jeg udførligt på Dr. GDPR.

Hvem sender data til Google, Akamai og andre, bør sætte sig tilbage for retssager. Eller bedre end det: lad være at behandle data uden en lovgivende grundlag. At følge loven ville også være en god måde at gå frem på.

Klagestillingen mod Vg Wiesbaden kan anmodes af den sagsøgte inden for to uger. Uanset hvad, er det allerede et vigtigt skridt for databeskyttelsen.

Jeg var som sagkyndig involveret i forløbet.

Cookiebot og UserCentrics har samarbejdet . ([1])

Soweit ich weiß, nutzt UserCentrics die Google Cloud. Google is ein Anbieter mit Hauptsitz in den USA, soweit mir bekannt is. Aus den Nutzungsbedingungen der Google Cloud Platform geht hervor: „ALLE ANSPRÜCHE, DIE SICH AUS ODER IM ZUSAMMENHANG MIT DIESER VEREINBARUNG ODER DEN DIENSTEN ERGEBEN, UNTERLIEGEN DEM KALIFORNISCHEN RECHT“ und „Alle Ansprüche … werden AUSSCHLIESSLICH VOR DEN BUNDESGERICHTEN ODER DEN GERICHTEN DES VERWALTUNGSBEZIRKS SANTA CLARA, KALIFORNIEN, USA, VERHANDELT; DIE PARTEIEN STIMMEN DER PERSÖNLICHEN GERICHTSBARKEIT IN DIESEN GERICHTEN ZU.“

Hvem overvejer at bruge et nyt samtykningsværktøj, måske foretrækker de et, der er beherskbar.

Kernelementer i denne artikel

Forvaltningsretten i Wiesbaden har vurderet Cookiebot som ulovligt.

Cookiebot behandler data og videregiver dem til en tjenesteudbyder i USA, hvilket strider mod databeskyttelsesregler.

Den tætte forbindelse mellem Cookiebot og den amerikanske tjenesteudbyder gør en lovlig samtykke umulig.

Cookiebot opfylder muligvis ikke kravene i GDPR.

Cookiebot behandler muligvis unødvendige data.

Man bør ikke stole på reklameudmeldinger fra leverandører som Cookiebot.