ATUALIZAÇÃO: Este artigo foi publicado em 6 de dezembro de 2021. Entretanto, a decisão do Tribunal Administrativo de Wiesbaden contra a Cookiebot foi anulada pelo Tribunal Administrativo de Kassel: No entanto, não porque a utilização do Cookiebot tivesse sido declarada lícita, afinal, mas por razões puramente processuais (não havia urgência na emissão de uma providência cautelar e o tribunal de primeira instância não era competente). Não sabemos se uma ação principal foi movida contra o Cookiebot nesse meio tempo.
Numa decisão histórica, o Tribunal Administrativo de Wiesbaden considerou que o provedor Cookiebot não é compatível com a proteção de dados. No processo, a Universidade de Ciências Aplicadas rheinMain foi proibida de usar o fornecedor no seu próprio site.
O fundo
O processo no Tribunal Administrativo de Wiesbaden (Az.: 6 L 738/21.WI) foi basicamente sobre se a Universidade de Ciências Aplicadas rheinMain usa ou não uma bandeira de cookies compatível com o RGPD no seu site www.hs-rm.de. Em última análise, trata-se da questão de saber se um website pode tornar-se compatível com o RGPD se utilizar a ferramenta “Cookiebot”.
A decisão
O tribunal negou agora a resposta a esta pergunta: O site da Universidade de Ciências Aplicadas rheinMain não pode usar a bandeira de cookies da Cookiebot – o tribunal declara o provedor Cookiebot ilegal.
A universidade é obrigada a cessar a integração do serviço “Cookiebot” no seu website, uma vez que esta é acompanhada pela transmissão ilícita de dados pessoais dos utilizadores do website e, portanto, em particular do requerente.
Tribunal Administrativo de Hesse, VG Wiesbaden
A justificação
Como fornecedor de banners de cookies, o Cookiebot processa dados pessoais, como o endereço IP ou informações de navegador dos visitantes. Os servidores deste processamento de dados estão localizados com um fornecedor cuja sede da empresa está localizada nos EUA (Cookiebot aluga estes servidores). Isto resulta numa referência de um país terceiro, que é inadmissível no que diz respeito ao chamado acórdão Schrems II do Tribunal de Justiça Das Comunidades Europeias. Isto significa que os dados são enviados para uma empresa onde o acesso por autoridades americanas, como a NSA ou o FBI, não está suficientemente protegido.
Simplificando: Ao utilizar cookiebot, as autoridades norte-americanas poderiam aceder a dados de utilizadores europeus. O uso do Cookiebot é, portanto, ilegal e deve, portanto, ser removido do site da universidade.
As consequências
O veredicto é inovador e, portanto, também afeta o plugin Cookiebot WordPress e indiretamente também outros fornecedores: Num primeiro pequeno teste, encontramos serviços dos EUA em uso em todos os importantes CMPs e fornecedores de banners de cookies:
Os usercentrics, SourcePoint, OneTrust, Didomi, CookieFirst, Iubenda, CookieHub, CookieYes e outros também utilizam serviços como Amazon AWS, Google Cloud, Microsoft Azure, Cloudfront, Akamai e outros serviços de empresas norte-americanas.
Por conseguinte, de uma só vez, 90% dos sítios web alemães e internacionais não estão em conformidade com o RGPD e é urgente agir.
A nossa recomendação
Por isso, dependemos melhor do consentimento: Confiamos (sempre) em fornecedores puramente europeus sem raízes nos EUA. Todos os dados são alojados exclusivamente na UE – sem risco de proibições, advertências e multas por violações de Schrems-II, como é o caso da Cookiebot.