Верховний суд Вісбадена в рішенні від 01.12.2021 (Az.: 6 L 738/21.WI) встановив, що Cookiebot не можна використовувати. У конкретному випадку мова йшла про вебсайт Гохшули Рейн- Майн (HSRM).
оновлення
Оновлено прес-реліз суду. Раніше чітко йшлося про Cookiebot, як видно з цього знімку екрана оригінальної новини:
Теперешній час рішення ВГВ відкрило обставини та загалом розмовляє про послуги Cookie. Звідси більше послуг будуть порушені ніж Cookiebot. Що стосується того, що Cookiebot потрапив під рішення, я можу сказати це з певністю завдяки моїй прямій знанні першої прес-комунікації. Також у рішенні є вказівки на Cookiebot.
Тепер з цим питанням займається також адміністративний суд штату Гессен.
Обставини справи
З пресрелізом від 06.12.2021 Висбаденський адміністративний суд встановив, що так званий інструмент Cookie-Tool Cookiebot фактично не може бути використовуваним. Це справедливо до тих пір, поки Cookiebot користується послугами компанії Akamai з США та саме в нероздільній формі. ([1])
Cookiebot має на меті допомогти адміністраторам веб-сайтів отримувати згоду від відвідувачів сторінок перед тим, як здійснювати обробку даних, що вимагає згоди. Зокрема, це стосується також cookie, як і натякає назва Cookiebot. Однак є й інші дії, які потребують згоди.
Що Cookiebot з моєї точки зору в практиці не підходить для отримання правомірних згоду, я вже неодноразово зазначав. Ось кілька моїх публікацій на цю тему:
- Cookies-качання: невдача інструментів отримання згоди ([1])
- Тестування в дії Cookiebot
Якщо послуга, як Cookiebot, для запитання згоди сама потребує згоди, такий сервіс фактично не використовується або з моїєї точки зору безсенсний. Інші можливі правові підстави за статті 49 ДЗВП звичайно виходять із ладу.
Причини, за якими адміністративний суд Wiesbaden кваліфікує Cookiebot як незаконний, полягають зокрема в наступному. Я записую це своїми словами, не претендуючи на те, що адміністративний суд Wiesbaden саме так і мав на увазі. Те саме стосується моїх попередніх тверджень. Кожен бажаний може додатково ознайомитися з вищезазначеною прес-релізом суду.
Cookiebot оброблює персональні дані та передає їх послуговувачеві в США. Цей послуговувач зберігає ці персональні дані. Це вже досить поганий результат (порівнайте рішення Schrems II). Зокрема, цим порушуються принципи статті 44 ff GDPR. У практиці відсутня згода користувача. Як же можна отримати згоду користувача, якщо саме Cookiebot має виконувати цю функцію?
Передача даних Cookiebot компанії Akamai, надавинику, розташованому в США, здається нерозривно пов'язаною з Cookiebot. Наскільки мені відомо, Cookiebot може бути інтегрований лише в цій конфігурації, і ніяк інакше.
Також мені здається, що навіть згода на використання Cookiebot не може бути отримана відповідно до статті 49 ДЗВП . Точно так же, ймовірно, будуть виключені інші правові підстави цього ж статті. ([1])
Також обробляє дані, які мені здаються технічними не потрібними, наприклад, User-Agent (точна версія браузера, операційна система). Чи це було важливим для рішення суду, я на цей момент не можу оцінити. У будь-якому випадку, за моїми відомостями Cookiebot не пропонує DPA, оскільки вважає себе ні за чим, ні за виконавцем завдань, оскільки вважає, що обробляє дані особисті. Останній аргумент здається мені сумнівним, тому й усі інші уявлення про щось, яким володіє Cookiebot.
Це ще раз доводить, що не варто вірити рекламним заявам таких провайдерів, як Cookiebot.
Cookiebot фактично неможливо використовувати.
Мої висновки з рішення адміністративного суду Wiesbaden.
Є також погана ідея встановлювати так зване Вундеркінд-Навігаційне-Олівець і сподіватися, що все добре буде. Це брехня. nearly кожна вебсторінка, яка використовує так званий інструмент Cookie, порушує законодавство та заслуговує на попередження. про це свідчать мої постійні дослідження. деяким відвідуваним мені сторінкам я навіть рекомендував би попередження. побачимо одне одного!
Будь ласка, використовуйте прихильні до конфіденційності послуги. Це уникне неприємних запитів на згоду. Можливості та рішення я описую та наводжу на Dr. GDPR докладно.
Хто передає дані до Google, Akamai та інших, повинен зберігати резерви для судових справ. Або краще не обробляти дані без підстав у законі. Визнавати свої зобов'язання згідно законодавства було б також досить розумним підхід.
Проти рішення ВГ Wiesbaden заявник може подати апеляцію протягом двох тижнів. Незважаючи на це, це вже важливий крок для захисту даних.
У цьому процесі я виступав експертом.
В будь-якому разі, Cookiebot та UserCentrics об'єдналися.
Soweit ich weiß, nutzt UserCentrics die Google Cloud. Google is ein Anbieter mit Hauptsitz in den USA, soweit mir bekannt is. Aus den Nutzungsbedingungen der Google Cloud Platform geht hervor: „ALLE ANSPRÜCHE, DIE SICH AUS ODER IM ZUSAMMENHANG MIT DIESER VEREINBARUNG ODER DEN DIENSTEN ERGEBEN, UNTERLIEGEN DEM KALIFORNISCHEN RECHT“ und „Alle Ansprüche … werden AUSSCHLIESSLICH VOR DEN BUNDESGERICHTEN ODER DEN GERICHTEN DES VERWALTUNGSBEZIRKS SANTA CLARA, KALIFORNIEN, USA, VERHANDELT; DIE PARTEIEN STIMMEN DER PERSÖNLICHEN GERICHTSBARKEIT IN DIESEN GERICHTEN ZU.“
Хто подумує про використання нового інструменту отримання згоди, може краще вибрати той, який контрольований.
Ключові тези цього посту
Адміністративний суд Wiesbaden визнав Cookiebot незаконним.
Cookiebot обробляє дані та передає їх надалі постачальнику послуг у США, що порушує правила захисту даних.
Близька зв'язок Cookiebot з американським провайдером послуг робить законну згоду неможливою.
Cookiebot, можливо, не відповідає вимогам GDPR.
Cookiebot може обробляти зайві дані.
Не варто вірити рекламним заявам постачальників, таких як Cookiebot.
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.