El Tribunal Administrativo de Wiesbaden ha establecido en su resolución del 01.12.2021 (número de expediente: 6 L 738/21.WI) que no se puede utilizar Cookiebot. En concreto, se trataba de la página web de la Universidad RheinMain (HSRM).
Actualización
La siguiente comunicado de prensa del tribunal ha sido revisado. Anteriormente, se hablaba explícitamente de Cookiebot, como se muestra en el siguiente captura de pantalla de la noticia original:
Ahora el VG Wiesbaden ha abierto la cuestión de hecho y habla en general de servicios de cookies. Por lo tanto, más servicios están afectados que Cookiebot. Puedo asegurar esto también debido a mi conocimiento directo de la primera nota de prensa. También se encuentran referencias a Cookiebot en el fallo.
Ahora el Tribunal Administrativo de Hesse también se ocupa del asunto.
Asunto del caso
Con comunicado de prensa del 06.12.2021, el VG Wiesbaden estableció que en realidad no se puede utilizar la herramienta de cookies llamada Cookiebot. Esto parece ser así mientras Cookiebot utilice al proveedor de servicios estadounidense Akamai y lo haga de manera inseparable.
Cookiebot pretende ayudar a los propietarios de sitios web a obtener el consentimiento de los visitantes antes de realizar tratamientos de datos que requieran consentimiento. Específicamente, esto también se refiere a las cookies, como sugiere el nombre Cookiebot. Sin embargo, existen otros procesos que también requieren consentimiento.
Que Cookiebot, desde mi punto de vista, no es adecuado en la práctica para obtener consentimientos de forma legalmente correcta, lo había señalado en varias ocasiones. Aquí hay algunos de mis aportes al respecto:
- El "Cookiegeddon": El fracaso de las herramientas de consentimiento ([1])
- Prueba de funcionamiento de Cookiebot
Si un servicio como Cookiebot necesita una autorización para solicitar la autorización, entonces ese servicio es en realidad no utilizable o, desde mi punto de vista, sin sentido. Las otras posibles bases legales de Artículo 49 RGPD suelen descartarse aquí.
Las razones por las que el Tribunal Administrativo de Wiesbaden califica a Cookiebot como ilegal son, en particular, las siguientes. Las escribo aquí con mis propias palabras, sin pretender que el Tribunal Administrativo de Wiesbaden haya querido decir exactamente esto. Lo mismo aplica a las afirmaciones que he hecho anteriormente. Cualquiera puede leer la comunicado de prensa del tribunal al respecto si lo desea.
Cookiebot procesa datos personales y los transmite a un proveedor de servicios en EE.UU. Este proveedor de servicios almacena estos datos personales. Esto ya es malo (vgl. el sentencia Schrems II). De esta manera, se incumplen los principios de la Artículo 44 ss RGPD. Faltan aquí en la práctica las autorizaciones necesarias. ¿Cómo podría obtenerse esta autorización si Cookiebot es el que debería lograrlo?
La transferencia de datos de Cookiebot a Akamai, un proveedor de servicios con sede en los Estados Unidos, parece estar intrínsecamente vinculada a Cookiebot. Según mi conocimiento, Cookiebot solo puede integrarse en esta configuración y no de otra manera.
De la misma manera, no se puede obtener una autorización para Cookiebot que cumpla con el artículo 49 de la RGPD . De igual forma, probablemente se descarten las otras bases legales del mismo artículo. ([1])
Además, Cookiebot procesa otros datos que a mi entender no son técnicamente necesarios, por ejemplo el User-Agent (versión exacta del navegador, sistema operativo). Si eso fue relevante para la sentencia judicial, no puedo juzgarlo en este momento. En cualquier caso, según mi conocimiento Cookiebot no ofrece DPA, porque Cookiebot cree que no es un encargado de tratamiento, porque Cookiebot cree que no procesa datos personales. Al menos el último argumento parece cuestionable, por lo que también podría serlo el resto de la creencia a la que se adhiere Cookiebot.
Esto demuestra una vez más que no es buena idea confiar en las afirmaciones publicitarias de proveedores como Cookiebot.
Cookiebot, en la práctica, no se puede utilizar.
Mi conclusión a partir del fallo del Tribunal Administrativo de Wiesbaden.
No es una buena idea incorporar un supuesto Herramienta milagrosa y esperar que todo salga bien. Eso es basura. Casi todas las páginas web que utilizan una llamada herramienta de cookies son ilegales y merecen una amonestación. Esto se demuestra en mis investigaciones constantes. Por cierto, algunas páginas web visitadas mías merecerían una amonestación. Nos vemos!
Utilice servicios respetuosos con la privacidad. De esta manera, se hará innecesaria esa molesta solicitud de consentimiento. Describo y menciono las posibilidades y soluciones con detalle en Dr. RGPD.
Quien envíe datos a Google, Akamai y otros debería formar reservas para litigios legales. O mejor dejar de procesar datos sin base legal. Cumplir con las leyes sería también una opción.
La parte demandada puede interponer recurso contra el fallo del Tribunal Administrativo de Wiesbaden en un plazo de dos semanas. En cualquier caso, ya es un paso importante para la protección de datos.
Fui parte del procedimiento como perito.
Además, Cookiebot y UserCentrics se han asociado .
Soweit ich weiß, nutzt UserCentrics el Google Cloud. Google is ein Anbieter mit Hauptsitz in den USA, soweit mir bekannt is. Aus den Nutzungsbedingungen el Google Cloud Platform geht hervor: „ALLE ANSPRÜCHE, DIE SICH AUS ODER IM ZUSAMMENHANG MIT DIESER VEREINBARUNG ODER DEN DIENSTEN ERGEBEN, UNTERLIEGEN DEM KALIFORNISCHEN RECHT“ und „Alle Ansprüche … werden AUSSCHLIESSLICH VOR DEN BUNDESGERICHTEN ODER DEN GERICHTEN DES VERWALTUNGSBEZIRKS SANTA CLARA, KALIFORNIEN, USA, VERHANDELT; DIE PARTEIEN STIMMEN DER PERSÖNLICHEN GERICHTSBARKEIT IN DIESEN GERICHTEN ZU.“
Quién piensa en utilizar una herramienta de consentimiento más manejable, tal vez prefiera usar uno que es fácilmente controlable.
Puntos clave de este artículo
El Tribunal Administrativo de Wiesbaden ha clasificado a Cookiebot como ilegal.
Cookiebot procesa datos y los transfiere a un proveedor de servicios en los Estados Unidos, lo cual viola las normas de protección de datos.
La estrecha vinculación de Cookiebot con el proveedor de servicios estadounidense hace que una consentimiento legal sea imposible.
Cookiebot podría no cumplir con las normas de la RGPD.
Cookiebot podría procesar datos innecesarios.
No se debe confiar en las afirmaciones publicitarias de proveedores como Cookiebot.
Sobre estas afirmaciones clave
Me llamo Klaus Meffert. Soy doctor en informática y llevo más de 30 años dedicándome profesional y prácticamente a las tecnologías de la información. También trabajo como experto en informática y protección de datos. Obtengo mis resultados analizando la tecnología y el Derecho. Esto me parece absolutamente esencial cuando se trata de protección de datos digitales.