ขวา

คำตัดสินที่สำคัญ: ผู้ให้บริการ “Cookiebot” ละเมิดการปกป้องข้อมูล


อัปเดต: บทความนี้เผยแพร่เมื่อวันที่ 6 ธันวาคม 2021 ในระหว่างนี้ คำตัดสินของ VG Wiesbaden ต่อ Cookiebot ถูกล้มเลิกโดย VGH Kassel: อย่างไรก็ตาม ไม่ใช่เพราะการใช้ Cookiebot ได้รับการประกาศว่าถูกกฎหมายแล้ว แต่ด้วยเหตุผลทางขั้นตอนล้วนๆ (ไม่มีความเร่งด่วนในการออกคำสั่งชั่วคราวและศาลของ คดีแรกไม่มีอำนาจพิจารณาคดี) เราไม่ทราบว่าขณะนี้มีการฟ้องร้องคดีหลักต่อ Cookiebot หรือไม่


ใน คำตัดสิน ที่ก้าวล้ำ ศาลปกครองวีสบาเดินได้ตัดสินว่า ผู้ให้บริการ Cookiebot ไม่สอดคล้องกับการปกป้องข้อมูล ในกระบวนการนี้ RheinMain University of Applied Sciences ถูกห้ามไม่ให้ใช้ผู้ให้บริการบนเว็บไซต์ของตนเอง

ภาพหน้าจอจากหน้าแรกของศาลปกครองวีสบาเดินเกี่ยวกับคำตัดสินของ Cookiebot

พื้นหลัง

การดำเนินคดีต่อหน้าศาลปกครองวีสบาเดิน (Az.: 6 L 738/21.WI) โดยพื้นฐานแล้วเกี่ยวกับการที่ RheinMain University of Applied Sciences ใช้แบนเนอร์คุกกี้ที่สอดคล้องกับ GDPR บนเว็บไซต์ www.hs-rm.de หรือไม่ ท้ายที่สุดแล้ว คำถามหลักคือเว็บไซต์สามารถปฏิบัติตาม GDPR ได้จริงหรือไม่หากใช้เครื่องมือ “Cookiebot”

การตัดสินใจ

ขณะนี้ศาลได้ตอบคำถามนี้ในแง่ลบ: เว็บไซต์ของมหาวิทยาลัย RheinMain ไม่ได้รับอนุญาตให้ใช้แบนเนอร์คุกกี้ของ Cookiebot ศาลจึงประกาศว่าผู้ให้บริการ Cookiebot นั้นผิดกฎหมาย

มหาวิทยาลัยมีหน้าที่ต้องยุติการรวมบริการ “Cookiebot” บนเว็บไซต์ เนื่องจากเกี่ยวข้องกับการส่งข้อมูลส่วนบุคคลของผู้ใช้เว็บไซต์โดยผิดกฎหมาย และโดยเฉพาะอย่างยิ่งของผู้สมัคร

ศาลปกครองเฮสส์, วีจี วีสบาเดิน

การใช้เหตุผล

ในฐานะผู้ให้บริการแบนเนอร์คุกกี้ Cookiebot ประมวลผลข้อมูลส่วนบุคคล เช่น ที่อยู่ IP ของผู้เยี่ยมชมหรือข้อมูลเบราว์เซอร์ เซิร์ฟเวอร์สำหรับการประมวลผลข้อมูลนี้ตั้งอยู่ที่ผู้ให้บริการซึ่งมีสำนักงานใหญ่อยู่ในสหรัฐอเมริกา (Cookiebot เช่าเซิร์ฟเวอร์เหล่านี้) ซึ่งส่งผลให้เกิดการอ้างอิงถึงประเทศที่สาม ซึ่งไม่อาจยอมรับได้เมื่อพิจารณาถึงสิ่งที่เรียกว่าคำพิพากษาของ Schrems II ของศาลยุติธรรมแห่งยุโรป ซึ่งหมายความว่าข้อมูลจะถูกส่งไปยังบริษัทที่ไม่ได้รับการปกป้องอย่างเพียงพอจากการเข้าถึงโดยหน่วยงานของสหรัฐอเมริกา เช่น NSA หรือ FBI

พูดง่ายๆ ก็คือ: ด้วยการใช้ Cookiebot และการถ่ายโอนข้อมูลที่เกี่ยวข้องไปยังสหรัฐอเมริกา หน่วยงานของสหรัฐอเมริกาจึงสามารถเข้าถึงข้อมูลจากผู้ใช้ในยุโรปได้ การใช้ Cookiebot จึงไม่ถูกกฎหมาย ดังนั้นจึงต้องลบออกจากเว็บไซต์ของมหาวิทยาลัย

ผลที่ตามมา

การพิจารณาคดีนี้มีความแปลกใหม่และยังส่งผลกระทบต่อปลั๊กอิน Cookiebot WordPress และทางอ้อมรวมถึงผู้ให้บริการรายอื่นด้วย: ในการทดสอบเล็กๆ น้อยๆ ครั้งแรก เราพบว่าบริการของสหรัฐอเมริกามีการใช้งานโดย CMP และผู้ให้บริการแบนเนอร์คุกกี้ที่สำคัญทั้งหมด:

Usercentrics, SourcePoint, OneTrust, Didomi, CookieFirst, Iubenda, CookieHub, CookieYes และอื่นๆ ก็ใช้บริการต่างๆ เช่น Amazon AWS, Google Cloud, Microsoft Azure, Cloudfront, Akamai และบริการอื่นๆ จากบริษัทในสหรัฐฯ

ในคราวเดียว โดยพื้นฐานแล้ว 90% ของเว็บไซต์ในเยอรมนีและต่างประเทศไม่สอดคล้องกับ GDPR และมีความจำเป็นเร่งด่วนในการดำเนินการ

คำแนะนำของเรา

ดังนั้นคุณควรไว้วางใจผู้จัดการฝ่ายยินยอม: เรา (เสมอ) พึ่งพาผู้ให้บริการในยุโรปล้วนๆ โดยไม่มีรากฐานในสหรัฐอเมริกา ข้อมูลทั้งหมดถูกโฮสต์ไว้เฉพาะในสหภาพยุโรป โดยไม่มีความเสี่ยงจากการถูกแบน คำเตือน และค่าปรับเนื่องจากการละเมิด Schrems II ดังเช่นในกรณีของ Cookiebot ในปัจจุบัน


ความคิดเห็นเพิ่มเติม

โดยทั่วไป

จดหมายข่าว 09/2024

คุณสมบัติใหม่: เครื่องมือ Data Subject Rights (DSR) GDP […]
consentmanager logo with the text ‘consentmanager is a Google CMP Gold Partner’ on the left side. Gold medal with a ribbon next to a shield with the text ‘Certified CMP Partner’ in Google brand colours.
ใหม่

ผู้จัดการฝ่ายยินยอมได้รับสถานะระดับโกลด์ในฐานะพาร์ทเนอร์ Google CMP

Consentmanager ได้รับการรับรองให้เป็นพาร์ทเนอร์ CMP ระด […]