更新:この記事は 2021 年 12 月 6 日に公開されました。 その間、Cookiebot に対する VG ヴィースバーデンの決定は、VGH Kassel によって覆されました。ただし、Cookiebot の使用が合法であると宣言されたからではなく、純粋に手続き上の理由によるものでした (暫定命令を発行する緊急性はなく、裁判所は第一審には管轄権はなかった)。 現在、Cookiebot に対して主な訴訟が起こされているかどうかはわかりません。
ヴィースバーデン行政裁判所は画期的な判決で、次のような判決を下しました。 プロバイダーの Cookiebotはデータ保護に準拠していません。 その過程で、ラインマイン応用科学大学は自身のウェブサイトでプロバイダーを使用することを禁止された。
背景
ヴィースバーデン行政裁判所 (Az.: 6 L 738/21.WI) での訴訟は基本的に、ラインマイン応用科学大学が Web サイト www.hs-rm.de で GDPR 準拠の Cookie バナーを使用しているかどうかが争点でした。 結局のところ、ここでの主な問題は、「Cookiebot」ツールを使用した場合に Web サイトが実際に GDPR に準拠できるかどうかです。
決定
裁判所は現在、この質問に対して否定的な回答をしています。ラインマイン大学の Web サイトでは Cookiebot の Cookie バナーを使用することは許可されていません。したがって裁判所は、プロバイダーである Cookiebot がデータ保護に準拠していないと宣言します。
大学は、ウェブサイトのユーザー、特に申請者の個人データの違法な送信を伴うため、ウェブサイトへの「Cookiebot」サービスの統合を終了する義務があります。
ヘッセン州行政裁判所、VG ヴィースバーデン
推論
Cookie バナーのプロバイダーとして、Cookiebot は訪問者の IP アドレスやブラウザ情報などの個人データを処理します。 このデータ処理用のサーバーは、米国に本社があるプロバイダーにあります (Cookiebot はこれらのサーバーをレンタルしています)。 これは第三国の付託となるが、欧州司法裁判所のいわゆるシュレムスⅡ判決を考慮すると、これは容認できない。 これは、NSA や FBI などの米国当局によるアクセスから適切に保護されていない企業にデータが送信されることを意味します。
簡単に言えば、Cookiebot の使用とそれに関連する米国へのデータ転送を通じて、米国当局は欧州ユーザーのデータにアクセスできる可能性があります。 したがって、Cookiebot の使用は違法であるため、大学の Web サイトから削除する必要があります。
結果
この判決は画期的なものであるため、Cookiebot WordPress プラグインにも影響し、間接的に他のプロバイダーにも影響します。最初の小規模なテストで、すべての重要な CMP と Cookie バナー プロバイダーによって米国のサービスが使用されていることがわかりました。
Usercentrics、SourcePoint、OneTrust、Didomi、CookieFirst、Iubenda、CookieHub、CookieYes なども、Amazon AWS、Google Cloud、Microsoft Azure、Cloudfront、Akamai などの米国企業のサービスを使用しています。
一挙に、基本的にドイツおよび海外の Web サイトの 90% が GDPR に準拠できない可能性があり、早急に対応する必要があります。
私たちのお勧め
したがって、consentmanager を信頼する必要があります。私たちは (常に) 米国にルーツのない純粋にヨーロッパのプロバイダーに依存してきました。 すべてのデータは EU 内で独占的にホストされており、現在の Cookiebot の場合のように、Schrems II 違反による禁止、警告、罰金のリスクはありません。