업데이트: 이 기사는 2021년 12월 6일에 게시되었습니다. 그 사이에 Cookiebot에 대한 VG Wiesbaden의 결정은 VGH Kassel에 의해 번복되었습니다. 그러나 Cookiebot의 사용이 이제 합법적이라고 선언되었기 때문이 아니라 순전히 절차적인 이유로(임시 명령을 내릴 긴급성이 없었고 법원은 첫 번째 사건은 관할권이 없었습니다). 현재 Cookiebot을 상대로 주요 소송이 제기되었는지 여부는 알 수 없습니다.
획기적인 결정 으로 비스바덴 행정법원은 다음과 같이 결정했습니다. 제공자 Cookiebot 은 데이터 보호 규정을 준수하지 않습니다 . 이 과정에서 라인마인 응용과학대학(RheinMain University of Applied Sciences)은 자체 웹사이트에서 해당 공급자를 사용하는 것이 금지되었습니다.
배경
비스바덴 행정법원(Az.: 6 L 738/21.WI)에서 진행된 소송은 기본적으로 RheinMain University of Applied Sciences가 웹사이트 www.hs-rm.de에서 GDPR 준수 쿠키 배너를 사용하는지 여부에 관한 것이었습니다. 궁극적으로 여기서 가장 중요한 질문은 “Cookiebot” 도구를 사용할 경우 웹사이트가 실제로 GDPR을 준수할 수 있는지 여부입니다.
결정
법원은 이제 이 질문에 부정적으로 답변했습니다. RheinMain 대학 웹사이트는 Cookiebot의 쿠키 배너를 사용할 수 없습니다. 따라서 법원은 Cookiebot 제공업체가 데이터 보호를 준수하지 않는다고 선언합니다.
대학은 웹사이트에 “Cookiebot” 서비스 통합을 종료할 의무가 있습니다. 이는 웹사이트 사용자, 특히 지원자의 개인 데이터가 불법적으로 전송되는 것과 관련이 있기 때문입니다 .
헤세 행정법원, VG 비스바덴
추론
Cookiebot은 쿠키 배너 제공업체로서 방문자의 IP 주소, 브라우저 정보 등의 개인정보를 처리합니다. 이 데이터 처리를 위한 서버는 본사가 미국에 있는 제공업체에 있습니다(Cookiebot이 이 서버를 임대합니다). 이로 인해 유럽사법재판소의 Schrems II 판결을 고려할 때 제3국 참조가 허용되지 않습니다. 이는 NSA나 FBI와 같은 미국 당국의 접근으로부터 데이터가 적절하게 보호되지 않는 회사로 데이터가 전송된다는 것을 의미합니다.
간단히 말해서, 미국 당국은 Cookiebot을 사용하고 관련 데이터를 미국으로 전송함으로써 유럽 사용자의 데이터에 접근할 수 있었습니다. 따라서 Cookiebot의 사용은 불법이므로 대학 웹사이트에서 제거되어야 합니다.
결과
이 판결은 획기적인 것이므로 Cookiebot WordPress 플러그인과 다른 제공자에도 간접적으로 영향을 미칩니다. 첫 번째 소규모 테스트에서 우리는 모든 중요한 CMP 및 쿠키 배너 제공자가 미국 서비스를 사용하고 있음을 발견했습니다.
Usercentrics, SourcePoint, OneTrust, Didomi, CookieFirst, Iubenda, CookieHub, CookieYes 등도 Amazon AWS, Google Cloud, Microsoft Azure, Cloudfront, Akamai 및 미국 기업의 기타 서비스와 같은 서비스를 사용합니다.
단번에 독일 및 국제 웹사이트의 90%가 GDPR을 준수할 수 없으며 긴급한 조치가 필요합니다.
우리의 추천
따라서 귀하는 동의 관리자를 신뢰해야 합니다. 우리는 (항상) 미국에 뿌리를 두지 않은 순수 유럽 제공업체에 의존해 왔습니다. 모든 데이터는 현재 Cookiebot의 경우처럼 Schrems II 위반으로 인한 금지, 경고, 벌금의 위험 없이 EU에서만 독점적으로 호스팅됩니다.