Gaat Cookiebot in Duitsland in de ban?

Als deze uitspraak overeind blijft, kan dit een hoop teweegbrengen op (internationaal) cookiegebied. In deze blog leest u waar deze zaak precies over ging en wat mogelijke consequenties zijn.

De in Wiesbaden gevestigde hogeschool (Hochschule RheinMain) maakte op haar website gebruik van ‘Cookiebot’. Cookiebot is een tool van het Deense Cybot die een cookiebanner levert waarmee websitebezoekers kunnen kiezen welke typen cookies ze accepteren. Wanneer een websitebezoeker de cookiebanner invult, verwerkt Cookiebot o.a. zijn/haar IP-adres, URL en een unieke “user key”. Deze informatie wordt vervolgens opgeslagen op zowel de servers van de websitehouder (in dit geval de hogeschool) als op de servers van Cybot (binnen de EU). Cybot maakt bij de levering van Cookiebot gebruik van de diensten van het in de VS gevestigde Akamai Technologies om de data van de websitebezoeker te verzamelen (niet om deze op te slaan). Hiertoe zijn Cybot en Akamai Standard Contractual Clauses (SCCs) overeengekomen.

De Duitse voorzieningenrechter oordeelde in deze zaak dat sprake was van onrechtmatige internationale doorgifte van de data van de websitebezoekers door het gebruik van Cookiebot. Dat de data alleen op servers binnen de EU werd opgeslagen, was hierbij volgens de rechter niet relevant. Er is volgens de rechter immers nog steeds sprake van een internationale doorgifte van de data nu Akamai deze data verwerkt (verzamelt). Deze doorgifte is onrechtmatig, doordat door de dienstverlening van Akamai de data binnen het toepassingsbereik van de Clarifying Lawful Overseas Use of Data Act (CLOUD Act) valt. Op basis van de CLOUD Act, zou Akamai immers verplicht kunnen worden om de data aan Amerikaanse inlichtingendiensten te verstrekken (ook wanneer ze op EU-servers staan).

Wanneer deze uitspraak in stand blijft, heeft dit bijzonder verregaande consequenties:

• om te kunnen spreken van ‘internationale doorgifte’ is het dan niet vereist dat de data fysiek buiten de EU wordt opgeslagen;
• de SCCs zouden dan onvoldoende waarborgen bieden om de risico’s van de CLOUD Act tot een acceptabel niveau te brengen;
• het zal dan de vraag zijn wat dit betekent voor  samenwerking met Amerikaanse partijen, wanneer deze Amerikaanse partijen vallen onder de toepasselijkheid van Amerikaanse wetten die verregaande bevoegdheden voor Amerikaanse inlichtingendiensten creëren (zoals, naast de CLOUD Act, FISA Section 702 of Executive Order 12333).

Internationale doorgifte van data ligt natuurlijk, o.a. door Schrems II, al langer onder de loep. Zo moet nu al, in lijn met Recommendations 01/2020, de effectiviteit van de passende waarborgen voor internationale doorgifte worden beoordeeld aan de hand van de relevante internationale wetgeving. Daarbij moet bij internationale doorgifte op basis van de nieuwe SCCs de data importer o.a. een voorafgaand assessment uitvoeren op de toepasselijke wetgeving en mogelijkheid tot het moeten verstrekken van persoonsgegevens aan publieke organisaties. Dat steeds meer eisen worden gesteld aan internationale doorgifte is dan ook niet nieuw. Wat wel een nieuwe lijn zou zijn als deze uitspraak in stand blijft, is dat al snel sprake zou zijn van doorgifte en dat de toepasselijkheid van de CLOUD Act al kan maken dat deze onrechtmatig is. Dat wordt afwachten…

Heeft u vragen over het gebruik van cookies of de samenwerking met Amerikaanse partijen? Neem dan gerust contact op met Natascha van Duuren, advocaat / managing partner IT, Privacy & Cybersecurity