Używanie Cookiebot na stronach internetowych jest według Wyższego Sądu Administracyjnego w Wiesbaden niezgodne z prawem.

Wyrokiem z dnia 01.12.2021 r. (sygnatura: 6 L 738/21.WI) Wyższe Urządzenie Administracyjne we Wiesbaden stwierdziło, że nie wolno stosować Cookiebot. Konkretnie chodziło o stronę internetową Uniwersytetu RheinMain (HSRM).

Aktualizacja

Podana niżej komunikat prasowy sądu został zaktualizowany. Dotychczas wyraźnie mowa była o Cookiebot, jak pokazuje poniższy zrzut ekranu oryginalnej wiadomości:

Teraz VG Wiesbaden otworzył sprawę i mówi ogólnie o usługach cookies. Są więc jeszcze więcej usług niż Cookiebot dotknięte. To, że Cookiebot jest objęty postanowieniem, mogę powiedzieć na podstawie mojej bezpośredniej znajomości pierwszej komunikaty prasowej. W postanowieniu można znaleźć również odniesienia do Cookiebot.

Teraz sprawą zajmuje się również Hesski Urząd ds. Administracji Publicznej.

Opis sprawy

Z komunikatem prasowym z dnia 06.12.2021 wyjaśniło się, że VG Wiesbaden stwierdziło, iż narzędzie zwane "Cookie-Tool" Cookiebot nie może być faktycznie stosowane. Ma to zastosowanie prawdopodobnie tak długo, jak Cookiebot korzysta z usług amerykańskiego dostawcy Akamai w sposób niepodzielny.

Cookiebot ma pomagać właścicielom stron internetowych w pozyskiwaniu zgód od odwiedzających strony przed przetwarzaniem danych, które wymagają zgody. Chodzi konkretnie również o pliki cookie, jak sugeruje nazwa Cookiebot. Istnieją jednak również inne czynności, które wymagają zgody.

Według mojego przekonania, Cookiebot w praktyce nie nadaje się do uzyskiwania zgod w sposób zgodny z prawem, wielokrotnie już o tym pisałem. Oto kilka moich wpisów na ten temat:

• Zdrowie Cookie: Nieudane narzędzia do wyrażenia zgody
• Test praktyczny Cookiebot

Jeśli usługa takiego typu jak Cookiebot potrzebuje sama od użytkownika zgody na swoją działalność, to jest ona niezdaty do użytku w praktyce lub z mojego punktu widzenia bezsensowna. Inne możliwe podstawy prawne z Art. 49 RODO nie mają tu zastosowania.

Powody, dla których Sąd Administracyjny w Wiesbaden uznał Cookiebot za nielegalny, to między innymi następujące. Piszę to w moim własnym języku, bez pretensji, że Sąd Administracyjny w Wiesbaden miał na myśli dokładnie to samo. To samo dotyczy moich wcześniejszych stwierdzeń. Każdy zainteresowany może w razie potrzeby dodatkowo zapoznać się z powyższą komunikatem prasowym sądu.

Cookiebot przetwarza dane osobowe i przekazuje je do usługodawcy w USA. Ten usługodawca przechowuje te dane osobowe. To już samo w sobie nie jest dobrze (porównaj wyrok Schrems II). W ten sposób bowiem naruszane są zasadę art. 44 ff RODO. Brakuje tu w praktyce zgody. Jak można by ją uzyskać, jeśli Cookiebot ma to właśnie osiągnąć?

Dalsza przekazywanie danych przez Cookiebot do Akamai, dostawcy usług z siedzibą w USA, wydaje się być nieodłączne od Cookiebot. Z mojego rozumienia Cookiebot może być włączony tylko w tej konfiguracji, a nie w inny sposób.

W moim przekonaniu nie można nawet uzyskać zgody na użycie Cookiebot, która byłaby zgodna z art. 49 RODO. Tak samo prawdopodobnie odpadają inne podstawy prawne wymienione w tym artykule.

Dodatkowo Cookiebot przetwarza inne dane, które według mnie są technicznie niezbędne, np. User-Agent (precyzyjna wersja przeglądarki, system operacyjny). Czy to miało znaczenie dla wyroku sądowego, nie mogę ocenić na bieżąco. W każdym razie Cookiebot według mojej wiedzy nie oferuje DPA, ponieważ Cookiebot uważa się za niepodlegającego przepisom o ochronie danych, ponieważ Cookiebot uważa, że nie przetwarza danych osobowych. Co najmniej ostatni argument ten wydaje się wątpliwy, a zatem być może również reszta przekonań, które Cookiebot ma za sobą.

To dowodzi raz jeszcze, że nie jest dobrym pomysłem ufać reklamom oferowanym przez dostawców takich jak Cookiebot.

Nie jest to dobry pomysł, aby włączyć takie narzędzie nazywane "czarodajnym", i liczyć na to, że wszystko będzie dobrze. To jest bzdura. Blisko każda strona internetowa, która używa takiego narzędzia do plików cookie, działa nieprawidłowo i zasługuje na upomnienie. Takie wnioski wynika z moich ciągłych badań. Niektóre odwiedzone przez mnie strony internetowe zasługują nawet na upomnienie. Do widzenia!

Proszę korzystać z przyjaznych dla prywatności usług. Dzięki temu zbędne i irytujące pytania o zgodę zostaną wyeliminowane. Szczegółowe możliwości i rozwiązania opisuję na stronie Dr. RODO.

Ktoś, kto wysyła dane do Google, Akamai i innych, powinien zabezpieczyć się na wypadek sporów prawnych. Albo najlepiej nie przetwarzać danych bez podstawy prawnego. Trzeba przestrzegać przepisów, byłoby to dobry pomysł.

W ciągu dwóch tygodni od daty wyroku, strona przeciwna może złożyć odwołanie od decyzji wydanej przez Sąd Administracyjny w Wiesbaden. Niemniej jednak, jest to już ważny krok na rzecz ochrony danych osobowych.

W toku postępowania pełniłem funkcję biegłego.

Zresztą, Cookiebot i UserCentrics połączyły się.

Soweit ich weiß, nutzt UserCentrics die Google Cloud. Google is ein Anbieter mit Hauptsitz in den USA, soweit mir bekannt is. Aus den Nutzungsbedingungen der Google Cloud Platform geht hervor: „ALLE ANSPRÜCHE, DIE SICH AUS ODER IM ZUSAMMENHANG MIT DIESER VEREINBARUNG ODER DEN DIENSTEN ERGEBEN, UNTERLIEGEN DEM KALIFORNISCHEN RECHT“ und „Alle Ansprüche … werden AUSSCHLIESSLICH VOR DEN BUNDESGERICHTEN ODER DEN GERICHTEN DES VERWALTUNGSBEZIRKS SANTA CLARA, KALIFORNIEN, USA, VERHANDELT; DIE PARTEIEN STIMMEN DER PERSÖNLICHEN GERICHTSBARKEIT IN DIESEN GERICHTEN ZU.“

Kto zastanawia się nad nowym narzędziem do wyrażenia zgody, może lepiej użyć tego, które jest kontrolowalne.

Kluczowe wnioski tego artykułu

Sąd Administracyjny w Wiesbaden uznał Cookiebot za nielegalny.

Cookiebot przetwarza dane i przekazuje je dostawcy usług w USA, co narusza przepisy o ochronie danych.

Gęsta więź Cookiebot z amerykańskim dostawcą usług uniemożliwia prawnie zgodną zgodę.

Cookiebot może nie spełniać wymogów RODO.

Cookiebot może przetwarzać zbędne dane.

Nie należy ufać reklamom oferującym rozwiązania takie jak Cookiebot.

Ogólne stwierdzenia związane z tymi informacjami