Veredicto importante: Fornecedor “Cookiebot” declarado ilegal

Num acórdão inovador, o Tribunal Administrativo de Wiesbaden declarou ilegal o fornecedor Cookiebot. No processo, a Universidade de Ciências Aplicadas rheinMain foi proibida de usar o fornecedor no seu próprio site.

O fundo

O processo no Tribunal Administrativo de Wiesbaden (Az.: 6 L 738/21.WI) foi basicamente sobre se a Universidade de Ciências Aplicadas rheinMain usa ou não uma bandeira de cookies compatível com o RGPD no seu site www.hs-rm.de. Em última análise, trata-se da questão de saber se um website pode tornar-se compatível com o RGPD se utilizar a ferramenta “Cookiebot”.

A decisão

O tribunal negou agora a resposta a esta pergunta: O site da Universidade de Ciências Aplicadas rheinMain não pode usar a bandeira de cookies da Cookiebot – o tribunal declara o provedor Cookiebot ilegal.

A universidade é obrigada a cessar a integração do serviço “Cookiebot” no seu website, uma vez que esta é acompanhada pela transmissão ilícita de dados pessoais dos utilizadores do website e, portanto, em particular do requerente.

Tribunal Administrativo de Hesse, VG Wiesbaden

A justificação

Como fornecedor de banners de cookies, o Cookiebot processa dados pessoais, como o endereço IP ou informações de navegador dos visitantes. Os servidores deste processamento de dados estão localizados com um fornecedor cuja sede da empresa está localizada nos EUA (Cookiebot aluga estes servidores). Isto resulta numa referência de um país terceiro, que é inadmissível no que diz respeito ao chamado acórdão Schrems II do Tribunal de Justiça Das Comunidades Europeias. Isto significa que os dados são enviados para uma empresa onde o acesso por autoridades americanas, como a NSA ou o FBI, não está suficientemente protegido.

Simplificando: Ao utilizar cookiebot, as autoridades norte-americanas poderiam aceder a dados de utilizadores europeus. O uso do Cookiebot é, portanto, ilegal e deve, portanto, ser removido do site da universidade.

As consequências

A decisão é inovadora e, portanto, afeta indiretamente outros fornecedores: Num primeiro pequeno teste, encontramos serviços dos EUA em uso para todos os importantes CMPs e fornecedores de banners de cookies:

Os usercentrics, SourcePoint, OneTrust, Didomi, CookieFirst, Iubenda, CookieHub, CookieYes e outros também utilizam serviços como Amazon AWS, Google Cloud, Microsoft Azure, Cloudfront, Akamai e outros serviços de empresas norte-americanas.

Por conseguinte, de uma só vez, 90% dos sítios web alemães e internacionais não estão em conformidade com o RGPD e é urgente agir.

A nossa recomendação

Por isso, dependemos melhor do consentimento: Confiamos (sempre) em fornecedores puramente europeus sem raízes nos EUA. Todos os dados são alojados exclusivamente na UE – sem risco de proibições, advertências e multas por violações de Schrems-II, como é o caso da Cookiebot.