画期的な判決で、ヴィースバーデン行政裁判所はプロバイダー Cookiebot が違法であると宣言しました。 その過程で、ラインマイン応用科学大学は自身のウェブサイトでプロバイダーを使用することを禁止された。
背景
ヴィースバーデン行政裁判所 (Az.: 6 L 738/21.WI) での訴訟は基本的に、ラインマイン応用科学大学が Web サイト www.hs-rm.de で GDPR 準拠の Cookie バナーを使用しているかどうかが争点でした。 結局のところ、ここでの主な問題は、Web サイトが「Cookiebot」ツールを使用した場合に実際に GDPR に準拠できるかどうかです。
決定
裁判所は現在、この質問に対して否定的な回答をしています。ラインマイン大学の Web サイトは Cookiebot の Cookie バナーを使用することを許可されていません。したがって、裁判所はプロバイダーである Cookiebot が違法であると宣言します。
大学は、ウェブサイトのユーザー、特に申請者の個人データの違法な送信を伴うため、ウェブサイトへの「Cookiebot」サービスの統合を終了する義務があります。
ヘッセン州行政裁判所、VG ヴィースバーデン
推論
Cookie バナーのプロバイダーとして、Cookiebot は訪問者の IP アドレスやブラウザ情報などの個人データを処理します。 このデータ処理用のサーバーは、米国に本社があるプロバイダーにあります (Cookiebot はこれらのサーバーをレンタルしています)。 これは第三国の付託となるが、欧州司法裁判所のいわゆるシュレムスⅡ判決を考慮すると、これは容認できない。 これは、NSA や FBI などの米国当局によるアクセスが十分に保護されていない企業にデータが送信されることを意味します。
簡単に言えば、Cookiebot を使用することで、米国当局はヨーロッパのユーザーのデータにアクセスできる可能性があります。 したがって、Cookiebot の使用は違法であるため、大学の Web サイトから削除する必要があります。
結果
この判決は画期的なものであるため、Cookiebot WordPress プラグインにも影響し、間接的に他のプロバイダーにも影響します。最初の小規模なテストで、すべての重要な CMP と Cookie バナー プロバイダーによって米国のサービスが使用されていることがわかりました。
Usercentrics、SourcePoint、OneTrust、Didomi、CookieFirst、Iubenda、CookieHub、CookieYes なども、Amazon AWS、Google Cloud、Microsoft Azure、Cloudfront、Akamai などの米国企業のサービスを使用しています。
一気に、ドイツおよび海外の Web サイトの基本的に 90% が GDPR に準拠していないため、早急に対応する必要があります。
私たちのお勧め
したがって、consentmanager を信頼する必要があります。私たちは (常に) 米国にルーツのない純粋にヨーロッパのプロバイダーに依存してきました。 すべてのデータは EU 内で独占的にホストされており、現在の Cookiebot の場合のように、Schrems II 違反による禁止、警告、罰金のリスクはありません。
