EUGH-Entscheidung zur Cookie-Information
EUGH-Entscheidung zur Cookie-Information
Heise meldet heute eine wichtige Entscheidung des Europäischen Gerichtshofes (EUGH) dazu, in welch(er ausführlichen) Weise Besucher einer Website vom Website-Inhaber informiert werden müssen.
https://www.heise.de/newsticker/meldung ... 43630.html
Eventuell müssen manche Blogger, wenn sie sich an diese Rechtsprechung halten wollen, ihre Datenschutzerklärung anpassen.
Manche Websites fordern in einem Popup-Fenster, welches oft ein Weiterlesen verhindert, die Zustimmung, andere informieren bloß über das Setzen und Speichern von Cookies und deren Nutzung durch den Website-Betreiber und Dritte. Wer somit informiert weiter auf der Website bleibt, nimmt die Verwendung der Cookies hin. Das muss man dann als Zustimmung werten.
Wir haben ja ein Plugin für s9y, mit dem Websitebesucher, die auf die Website kommen, über das Vorhandensein der Datenschutzerklärung bzw. den Umstand, dass Cookies verwendet werden, hingewiesen werden, auf einer Leiste am Rande (meistens unten), die ein Weiterlesen nicht verhindert.
DSGVO / GDPR: Datenschutz-Grundverordnung (serendipity_event_dsgvo_gdpr)
Die meisten Besucher klicken sie weg und lesen die Datenschutzerklärung nicht, d.h. wollen sich keine Gedanken darüber machen, ob sie der Cookiesammlung, -speicherung und verwendung zustimmen, weichen also selbst der Entscheidung aus. Sie wollen nur an die Informationen der Website ran. Das Lesen solcher Erklärungen raubt viel Zeit. Also müssen sie die "Hausordnung auf der Website" in Kauf nehmen.
Ich habe den Text dieser EUGH-Entscheidung noch nicht gelesen. Manche Rechtsanwälte wie Dr. Bahr in Hamburg schreiben Zusammenfassungen von Gerichtsentscheidungen und kommentieren. Aber das kann ich mir nicht verkneifen:
Der EUGH schreibt vor, wie die Hausordnung auszusehen hat. Das ist etwa so, mir Regeln vorzuschreiben, wie ich Gäste in meiner Wohnung oder in meinem Laden empfange, worüber ich sie zu belehren habe. Das greift schon weit in die Freiheiten von Bürgern ein, die Website betreiben. Fraglich ist, wie weit man hier Unterschiede der Anforderungen machen muss zwischen privaten Blogs, Blogs/Websites von Gewerbetreibenden, kleinen Unternehmen, gemischten Websites (sowohl Privates als auch Gewerbliches (z.B. Fotografen), Konzerne. Und wer soll aber diese Unterschiede feststellen? Es geht also darum, Vorschriften zu machen, wie kommuniziert werden muss. Das geht ins Private und bei Unternehmen Einmischung in ihr Geschäft (Eingriffe in den "eingerichteten und ausgeübten Gewerbebetrieb" betreffen das Grundrecht aus Art. 12 GG, Berufsausübung).
Richter und Politiker diktieren immer mehr, was gesagt werden darf (Zensur) und nehmen Private immer mehr für ihre Interessen ein, wälzen hoheitliche Aufgaben auf Private ab. Wie weit darf Vereinnahmung von Bürgern und Unternehmern zugunsten des Staates, der EU, der Bürokraten und Technokraten in einer demokratischen freiheitlichen Gesellschaften gehen?
Wenn die EUGH-Richter mal auch den Datenschutz der Bürger so ernst nehmen würden, wenn es um Datensammlung und -speicherung von Behörden und Geheimdiensten über die Bürger geht ...
Immer mehr Kontroll- und Überwachungssysteme, die von großen Unternehmen entwickelt werden (dürfen/sollen) ...
Zu dem Plugin, mit dem auf die Datenschutzerklärung hingewiesen wird:
DSGVO / GDPR: Datenschutz-Grundverordnung (serendipity_event_dsgvo_gdpr)
Sollte es hier nicht auch noch eine Anpassung geben? Jetzt muss man ja, wenn es hart auf hart kommt, beweisen können, dass man die Zustimmung zum Cookiespeichern im Browser des Besuchers (durch Klick des Websitebesuchers) bekommen hat. Oh Gott, die Zustimmung muss auch irgendwo gespeichert werden. Und zwar auf dem Server, wo die website gehostet ist, so dass der Websitebesucher den Beweis nicht löschen kann.
https://www.heise.de/newsticker/meldung ... 43630.html
Eventuell müssen manche Blogger, wenn sie sich an diese Rechtsprechung halten wollen, ihre Datenschutzerklärung anpassen.
Manche Websites fordern in einem Popup-Fenster, welches oft ein Weiterlesen verhindert, die Zustimmung, andere informieren bloß über das Setzen und Speichern von Cookies und deren Nutzung durch den Website-Betreiber und Dritte. Wer somit informiert weiter auf der Website bleibt, nimmt die Verwendung der Cookies hin. Das muss man dann als Zustimmung werten.
Wir haben ja ein Plugin für s9y, mit dem Websitebesucher, die auf die Website kommen, über das Vorhandensein der Datenschutzerklärung bzw. den Umstand, dass Cookies verwendet werden, hingewiesen werden, auf einer Leiste am Rande (meistens unten), die ein Weiterlesen nicht verhindert.
DSGVO / GDPR: Datenschutz-Grundverordnung (serendipity_event_dsgvo_gdpr)
Die meisten Besucher klicken sie weg und lesen die Datenschutzerklärung nicht, d.h. wollen sich keine Gedanken darüber machen, ob sie der Cookiesammlung, -speicherung und verwendung zustimmen, weichen also selbst der Entscheidung aus. Sie wollen nur an die Informationen der Website ran. Das Lesen solcher Erklärungen raubt viel Zeit. Also müssen sie die "Hausordnung auf der Website" in Kauf nehmen.
Ich habe den Text dieser EUGH-Entscheidung noch nicht gelesen. Manche Rechtsanwälte wie Dr. Bahr in Hamburg schreiben Zusammenfassungen von Gerichtsentscheidungen und kommentieren. Aber das kann ich mir nicht verkneifen:
Der EUGH schreibt vor, wie die Hausordnung auszusehen hat. Das ist etwa so, mir Regeln vorzuschreiben, wie ich Gäste in meiner Wohnung oder in meinem Laden empfange, worüber ich sie zu belehren habe. Das greift schon weit in die Freiheiten von Bürgern ein, die Website betreiben. Fraglich ist, wie weit man hier Unterschiede der Anforderungen machen muss zwischen privaten Blogs, Blogs/Websites von Gewerbetreibenden, kleinen Unternehmen, gemischten Websites (sowohl Privates als auch Gewerbliches (z.B. Fotografen), Konzerne. Und wer soll aber diese Unterschiede feststellen? Es geht also darum, Vorschriften zu machen, wie kommuniziert werden muss. Das geht ins Private und bei Unternehmen Einmischung in ihr Geschäft (Eingriffe in den "eingerichteten und ausgeübten Gewerbebetrieb" betreffen das Grundrecht aus Art. 12 GG, Berufsausübung).
Richter und Politiker diktieren immer mehr, was gesagt werden darf (Zensur) und nehmen Private immer mehr für ihre Interessen ein, wälzen hoheitliche Aufgaben auf Private ab. Wie weit darf Vereinnahmung von Bürgern und Unternehmern zugunsten des Staates, der EU, der Bürokraten und Technokraten in einer demokratischen freiheitlichen Gesellschaften gehen?
Wenn die EUGH-Richter mal auch den Datenschutz der Bürger so ernst nehmen würden, wenn es um Datensammlung und -speicherung von Behörden und Geheimdiensten über die Bürger geht ...
Immer mehr Kontroll- und Überwachungssysteme, die von großen Unternehmen entwickelt werden (dürfen/sollen) ...
Zu dem Plugin, mit dem auf die Datenschutzerklärung hingewiesen wird:
DSGVO / GDPR: Datenschutz-Grundverordnung (serendipity_event_dsgvo_gdpr)
Sollte es hier nicht auch noch eine Anpassung geben? Jetzt muss man ja, wenn es hart auf hart kommt, beweisen können, dass man die Zustimmung zum Cookiespeichern im Browser des Besuchers (durch Klick des Websitebesuchers) bekommen hat. Oh Gott, die Zustimmung muss auch irgendwo gespeichert werden. Und zwar auf dem Server, wo die website gehostet ist, so dass der Websitebesucher den Beweis nicht löschen kann.
Re: EUGH-Entscheidung zur Cookie-Information
Wie immer gilt: Keine Panik, nicht alle verrückt machen und erstmal abwarten, bis irgendjemand definitiv weiß, was da nun wirklich gilt. Ich bin sicher, unser „Hausjurist“ thh wird bei Gelegenheit erklären können, was ggf. zu tun oder zu lassen sei.
YL
YL
Re: EUGH-Entscheidung zur Cookie-Information
Dass eine solche "implizite" Zustimmung nicht ausreicht, war bekannt - insofern ist es keine Überraschung, dass der EuGH das bestätigt hat.Czorneboh wrote: ↑Tue Oct 01, 2019 1:24 pmManche Websites fordern in einem Popup-Fenster, welches oft ein Weiterlesen verhindert, die Zustimmung, andere informieren bloß über das Setzen und Speichern von Cookies und deren Nutzung durch den Website-Betreiber und Dritte. Wer somit informiert weiter auf der Website bleibt, nimmt die Verwendung der Cookies hin. Das muss man dann als Zustimmung werten.
Korrekt. Das funktioniert nur, wenn keine zustimmungsbedürftigen Cookies gesetzt werden.Czorneboh wrote: ↑Tue Oct 01, 2019 1:24 pmWir haben ja ein Plugin für s9y, mit dem Websitebesucher, die auf die Website kommen, über das Vorhandensein der Datenschutzerklärung bzw. den Umstand, dass Cookies verwendet werden, hingewiesen werden, auf einer Leiste am Rande (meistens unten), die ein Weiterlesen nicht verhindert.
Anderenfalls genügt es natürlich nicht, nur ein Weiterlesen zu verhindern - es dürfen vielmehr vor Erteilung der Zustimmung keine Cookies gesetzt werden.
Das Cookie-Banner erfüllt nur Informationspflichten. Es kann keine Zustimmung ersetzen oder einholen.Czorneboh wrote: ↑Tue Oct 01, 2019 1:24 pmDie meisten Besucher klicken sie weg und lesen die Datenschutzerklärung nicht, d.h. wollen sich keine Gedanken darüber machen, ob sie der Cookiesammlung, -speicherung und verwendung zustimmen, weichen also selbst der Entscheidung aus. Sie wollen nur an die Informationen der Website ran. Das Lesen solcher Erklärungen raubt viel Zeit. Also müssen sie die "Hausordnung auf der Website" in Kauf nehmen.
Re: EUGH-Entscheidung zur Cookie-Information
Aber welche Cookies setzt denn S9Y, bei mir stehen drei Cookies, aber was für welche sind das? Mir hat mein Anwalt geschrieben, dass meine jetzige DSGVO nicht ausreicht:
Setzt S9Y denn überhaupt Tracking-Cookies?"Bitte beachten Sie z.B. die Entscheidung des EuGH vom 01.10.2019 zur Planet49 GmbH. Den dort nun nochmals klargestellten Anforderungen entspricht Ihr Cookie-Hinweis aktuell nicht. Dafür können Sie theoretisch von jedem (kostenpflichtig) abgemahnt werden, der Ihre Seite besucht und durch die Tracking-Cookies „beobachtet“ wird.
Eine Kanzlei aus Österreich ist da sehr aktiv aktuell. Bereits zwei Mandanten von uns sind betroffen. "
mfg
Hadley
Hadley
Re: EUGH-Entscheidung zur Cookie-Information
Wenn ich in Google Chrome mein (s9y-)Blog aufrufe, die Developer Tools öffne, dort ins Tab Application wechsele und in der Seitenleiste links Cookies aufklappe, kann ich mir die Cookies anzeigen lassen, die mein Blog setzt. Dabei gibt es in meinem Fall drei, die s9y nicht standardmäßig setzt:
Im Incognito-Modus wird nur der erste überhaupt gesetzt, also nehme ich an, dass die letzteren beiden definitiv nur für Redakteure gesetzt werden (also nicht für Seitenbesucher). Müsste also irgendetwas mit Backend-Logins zu tun haben – vielleicht können Garvin oder onli das noch etwas genauer ausführen.
Soweit ich es beurteilen kann, ist nichts davon das, was man gemeinhin als „Tracking-Cookie“ bezeichnet, also z.B. die, die dafür verantwortlich sind, dass Facebook einem Werbung für Dinge anzeigt, nach denen man zuvor irgendwann auf Amazon geschaut hat.
Wenn ein s9y-Blog Tracking-Cookies setzt, hat man das also – wahrscheinlich – mehr oder weniger aktiv und bewusst eingebaut, indem man z.B. Google Analytics verwendet. Ob Plugins (Tracking-)Cookies setzen, kann ich nicht sagen, dafür sind es einfach zu viele – ich gehe davon aus, dass z.B. das Adsense-Plugin Cookie setzt, die wahrscheinlich auch tracken.
YL
- cookieconsent_status – gesetzt vom DSGVO-Plugin, wenn man Cookies zustimmt
- resolution – gesetzt von AdaptiveImages, das ich selbst eingebaut habe
- webfonts – setzt vom JavaScript meines Themes, damit der Webfont etwas performanter geladen werden kann
- s9y_b9556edfe47274b44664d92d104d79ca
- serendipity[old_session]
- serendipity[userDefLang]
Im Incognito-Modus wird nur der erste überhaupt gesetzt, also nehme ich an, dass die letzteren beiden definitiv nur für Redakteure gesetzt werden (also nicht für Seitenbesucher). Müsste also irgendetwas mit Backend-Logins zu tun haben – vielleicht können Garvin oder onli das noch etwas genauer ausführen.
Soweit ich es beurteilen kann, ist nichts davon das, was man gemeinhin als „Tracking-Cookie“ bezeichnet, also z.B. die, die dafür verantwortlich sind, dass Facebook einem Werbung für Dinge anzeigt, nach denen man zuvor irgendwann auf Amazon geschaut hat.
Wenn ein s9y-Blog Tracking-Cookies setzt, hat man das also – wahrscheinlich – mehr oder weniger aktiv und bewusst eingebaut, indem man z.B. Google Analytics verwendet. Ob Plugins (Tracking-)Cookies setzen, kann ich nicht sagen, dafür sind es einfach zu viele – ich gehe davon aus, dass z.B. das Adsense-Plugin Cookie setzt, die wahrscheinlich auch tracken.
YL
Re: EUGH-Entscheidung zur Cookie-Information
Danke für diesen Tipp. Ich habe alle Scripte entfernt, die ein Cookie setzen (Analytics, MyChat und AdSense), dann setzte nur noch das KARMA-Plugin ein Cookie, also hab ich das auch entfernt. Jetzt wird nur noch ein Session-Cookie von S9Y gesetzt, weitere Cookies kommen dazu, wenn ich mich einlogge, die bekommt ein Besucher ja nicht.
So sollte ich nun auf der sicheren Seite sein, aber wer weiß schon was die EU sich als nächstes für einen Schwachsinn ausdenkt.
mfg
Hadley
Hadley
Re: EUGH-Entscheidung zur Cookie-Information
Hier zum Thema ein kleiner Aufsatz von RA Sebastian Schwäbe: Technische Umsetzung beim Webtracking
So, wie yellowled das gemacht hat: man macht sich zunächst einen Überblick darüber, was für Cookies erzeugt werden.
Wir unterscheiden zwischen nicht zustimmungsbedürftigen Cookies (dazu siehe den o.g. Beitrag von RA Schäbe) und zustimmungsbedürftigen (Tracking).
Wir haben nur ein Plugin für ein Infobanner.
Es fehlt in der Serendipity-Plugin-Sammlung ein Plugin zur Einholung der expliziten Zustimmung. Es gibt solche Lösungen generell. Ich sah welche, bei denen man auch die Wahl, was für Arten von Cookies man erlauben will, per Klick in eine von mehreren Boxen ausübt. Kenne ich z.B. vom Reiseveranstalter Pulexpress.
Die Entscheidung des Users, dass er zustimmt oder nicht zustimmt oder nur bei bestimmten Cookies, muss auf unserem Server gespeichert werden. Es genügt nicht, wenn diese Info lediglich im Browser des Users liegt. Das muss sichergestellt sein.
Darüber hinaus spricht RA Schäbe in seinem Beitrag noch an, dass der User jederzeit die Möglichkeit haben so, an diese Info heranzukommen. Er soll sie ändern können. Wie das technisch zu machen ist, schreibt er nicht. Wer weiß das schon? (Und welche Speicherfrist soll hier gelten/erlaubt sein?)
Rechtliche Normen müssen auch zumutbar einhaltbar sein. Wenn es keine fertigen Lösungen dafür gibt, ist es nicht gerecht, dass Datenschützer Abmahnungen verteilen. Man könnte hier meinen: Wenn der Staat solche Anforderungen aufstellt, muss er auch dafür sorgen, dass sie erfüllt werden können und technische Lösungen anbieten, etwa über BSI.
(Beispiel dazu: Wenn eine Impfpflicht per Bundes-Gesetz eingeführt wird, muss der Bund organisatorisch sicher stellen, dass Impfstoff ausreichend für alle Impfpflichtigen bereit steht. - Anderes Beispiel: Mülltrennung: hier müssen die entsprechenden Container auch überall bereit stehen. Muss ein Eigenheimbesitzer alle möglichen Tonnen kaufen/mieten? Graue, gelbe, blaue, braune, orange?)
Was kostet es wohl, so ein Zustimmungsbanner mit Wahlmöglichkeiten (mehrere Boxen) programmieren zu lassen bzw. wo bekommt man es kostenlos?
Ich muss selbst noch recherchieren, wo ich mir das Skript oder den Skriptcode beschaffe.
Kleines Fazit:
So, wie yellowled das gemacht hat: man macht sich zunächst einen Überblick darüber, was für Cookies erzeugt werden.
Wir unterscheiden zwischen nicht zustimmungsbedürftigen Cookies (dazu siehe den o.g. Beitrag von RA Schäbe) und zustimmungsbedürftigen (Tracking).
Wir haben nur ein Plugin für ein Infobanner.
Es fehlt in der Serendipity-Plugin-Sammlung ein Plugin zur Einholung der expliziten Zustimmung. Es gibt solche Lösungen generell. Ich sah welche, bei denen man auch die Wahl, was für Arten von Cookies man erlauben will, per Klick in eine von mehreren Boxen ausübt. Kenne ich z.B. vom Reiseveranstalter Pulexpress.
Die Entscheidung des Users, dass er zustimmt oder nicht zustimmt oder nur bei bestimmten Cookies, muss auf unserem Server gespeichert werden. Es genügt nicht, wenn diese Info lediglich im Browser des Users liegt. Das muss sichergestellt sein.
Darüber hinaus spricht RA Schäbe in seinem Beitrag noch an, dass der User jederzeit die Möglichkeit haben so, an diese Info heranzukommen. Er soll sie ändern können. Wie das technisch zu machen ist, schreibt er nicht. Wer weiß das schon? (Und welche Speicherfrist soll hier gelten/erlaubt sein?)
Rechtliche Normen müssen auch zumutbar einhaltbar sein. Wenn es keine fertigen Lösungen dafür gibt, ist es nicht gerecht, dass Datenschützer Abmahnungen verteilen. Man könnte hier meinen: Wenn der Staat solche Anforderungen aufstellt, muss er auch dafür sorgen, dass sie erfüllt werden können und technische Lösungen anbieten, etwa über BSI.
(Beispiel dazu: Wenn eine Impfpflicht per Bundes-Gesetz eingeführt wird, muss der Bund organisatorisch sicher stellen, dass Impfstoff ausreichend für alle Impfpflichtigen bereit steht. - Anderes Beispiel: Mülltrennung: hier müssen die entsprechenden Container auch überall bereit stehen. Muss ein Eigenheimbesitzer alle möglichen Tonnen kaufen/mieten? Graue, gelbe, blaue, braune, orange?)
Was kostet es wohl, so ein Zustimmungsbanner mit Wahlmöglichkeiten (mehrere Boxen) programmieren zu lassen bzw. wo bekommt man es kostenlos?
Ich muss selbst noch recherchieren, wo ich mir das Skript oder den Skriptcode beschaffe.
Re: EUGH-Entscheidung zur Cookie-Information
Der von Dir erwähnte Reiseveranstalter verwendet – auch wenn sie Stand heute zu blöd sind, es funktionierend einzubauen – das allseits beliebte CookieBot. Es gibt davon grundsätzlich eine kostenlose Version (die man übrigens bei akuter Abmahnpanik über verschiedene Wege – Template oder serendipity_event_page_nugget – auch ganz ohne eigens dafür angelegtes Plugin integrieren könnte), die allerdings (logischerweise) funktionseingeschränkt ist:
Klingt mir nicht unbedingt wie etwas, das sich problemlos in einem s9y-Plugin nutzen lässt (Stichwort: mehrere Sprachen), aber vielleicht täusche ich mich da. (Was nicht heißen soll, dass ich das existierende Plugin anpassen könnte oder wollte.)Im kostenlosen Abonnement sind folgende Premium-Standardfunktionen nicht enthalten: Banner anpassen, Erklärung anpassen, mehrere Sprachen, E-Mail-Berichte, Datenexport, geografischer Standort, Massenzustimmung, Einwilligungsstatistik, interner Domain-Alias für Entwicklung sowie Test und Bereitstellung.
YL
Re: EUGH-Entscheidung zur Cookie-Information
Das Problem ist m.E. weniger die Einholung der Zustimmung als vielmehr sicherzustellen, dass ohne Zustimmung - oder bis zur Erteilung der Zustimmung - keine Cookies gesetzt werden.
Frage aus technischer Sicht: woran erkennt der Server denn dann den User? Wohl nur an einem Cookie. Dann aber kann man natürlich die Information auch dort hinterlegen ...
Selbstverständlich ist das gerecht. Wer keine Zustimmung hat, darf eben nicht tracken.
Natürlich.
Das Banner ist nicht das Problem. Sicherzustellen, dass ohne Zustimmung keine Cookies gesetzt werden, ist der schwierige Part.
Re: EUGH-Entscheidung zur Cookie-Information
Meistens wird das technisch so gelöst, prinzipiell gäbe es auch andere Lösungen wie etwa LocalStorage. Die (mehr oder weniger) spannende Frage ist, ob das aus juristischer Sicht wirklich einen Unterschied macht.
YL
Re: EUGH-Entscheidung zur Cookie-Information
Um den Thread kurz mal wieder aus dem Archiv hervorzuholen: Gibt es da inzwischen eine Plug-In-Lösung für s9y, die das ausreichend adressiert? Wäre natürlich ein ziemlich essentieller Aspekt ...
Post-apocalyptic Jugger sports: What is Jugger? Video I Free ebook on the sport
Re: EUGH-Entscheidung zur Cookie-Information
... oder eines dieses zwar extrem nervtötenden, aber vielleicht DSGVO-konformeren ins-Gesicht-Pop-Ups? Halt irgend etwas, was rechtlich halbwegs wasserfest ist ...
Für jene, die sich nicht ausreichend mit der Thematik auseinandersetzen können, wäre vermutlich eine Lösung wie die fogende sinnvoll, oder? Die ist Modell Vorschlaghammer, aber damit gehen Abmahnanwälte ja auch vor ... wäre vermutlcih etwas für prvate Seiten, die im Wesentlcihen die Gefahr von Cookies durch das CMS, durch Einbettung von YouTube-Videos, flickr usw. vorbeugen müssen.
Beim Erstaufruf ersheint eine Seite, die das Einverständnis abfragt. Im Hintergrund ggf. die Zielseite, aber eben mit allen riskanten Elementen desaktiviert.
Bei Einverständnis wird auf die Zielseite weitergeleitet.
Bei Ablehung wird auf eine "Dann geht's leider nicht"-Seite in reinem HTML weitergeleitet.
Dazu die Anonymisierungseinstellungen des DSGVO-Plug-Ins.
Für jene, die sich nicht ausreichend mit der Thematik auseinandersetzen können, wäre vermutlich eine Lösung wie die fogende sinnvoll, oder? Die ist Modell Vorschlaghammer, aber damit gehen Abmahnanwälte ja auch vor ... wäre vermutlcih etwas für prvate Seiten, die im Wesentlcihen die Gefahr von Cookies durch das CMS, durch Einbettung von YouTube-Videos, flickr usw. vorbeugen müssen.
Beim Erstaufruf ersheint eine Seite, die das Einverständnis abfragt. Im Hintergrund ggf. die Zielseite, aber eben mit allen riskanten Elementen desaktiviert.
Bei Einverständnis wird auf die Zielseite weitergeleitet.
Bei Ablehung wird auf eine "Dann geht's leider nicht"-Seite in reinem HTML weitergeleitet.
Dazu die Anonymisierungseinstellungen des DSGVO-Plug-Ins.
Post-apocalyptic Jugger sports: What is Jugger? Video I Free ebook on the sport
Re: EUGH-Entscheidung zur Cookie-Information
Lusigerweise wäre das meines Wissens auch nicht zulässig, weil der Besuch der Webseite eben nicht von der Einverständnis zum Tracking abhängen darf. Der Nutzer muss nein sagen können (zu Tracking, nicht Cookies) und die Seite trotzdem besuchen dürfen. Die großen Zeitungen umgehen das mit ihren Abos, aber dagegen laufen auch schon Prozesse.
Das ist allerdings DSGVO, nicht EU-Cookiedirektive, die in Deutschland nie in Kraft treten sollte und es höchstens über den Umweg übergriffiger EU-Urteile jetzt täte.
Trotzdem, richtige Lösung wäre: Alles deaktivieren können was trackt, damit starten, dann Elemente nur bei explizitem Einverständnis jeweils nachladen.
---
Ich habe ein Plugin gebaut das Youtube-Embeds zu Thumbnails umbaut, das lebt unter https://github.com/onli/serendipity_event_lazyoutube. Sah damals nicht viel Feedback. Man könnte das erweitern und die Youtube-Thumbnails vom eigenen Server laden, auf Wunsch dann auch eine Abfrage zwischenschalten. Dann bekäme Google vom Blog-Seitenbesucher ohne Videoklick definitiv gar nichts mit. Aber so müsste man eben jedes einzelne Thema angehen - wobei wir bei den Social-Media-Buttons schon ein Shariff-Plugin haben.
---
Auf s9y-Ebene die Session-Cookies nicht zu setzen ist meines Wissens bisher schlicht nicht möglich. Wir dürften session_start() einfach nicht ausführen, bis es gebraucht wird (z.B. nach Absenden eines Kommentars und "Daten merken"-Haken). Mir ist allerdings unklar, ob dann wirklich gar kein Cockie gesetzt würde oder ob nur keine dauerhafte Session gestartet werden würde, ist ja nicht das gleiche. Hm, der Befehl kommt nur viermal in drei Dateien vor, das wäre tatsächlich testbar. Ich werde es nachher versuchen (gerade jetzt fehlt die Zeit), aber vielleicht hast du ja auch eine Testinstallation parat?
Das ist allerdings DSGVO, nicht EU-Cookiedirektive, die in Deutschland nie in Kraft treten sollte und es höchstens über den Umweg übergriffiger EU-Urteile jetzt täte.
Trotzdem, richtige Lösung wäre: Alles deaktivieren können was trackt, damit starten, dann Elemente nur bei explizitem Einverständnis jeweils nachladen.
---
Ich habe ein Plugin gebaut das Youtube-Embeds zu Thumbnails umbaut, das lebt unter https://github.com/onli/serendipity_event_lazyoutube. Sah damals nicht viel Feedback. Man könnte das erweitern und die Youtube-Thumbnails vom eigenen Server laden, auf Wunsch dann auch eine Abfrage zwischenschalten. Dann bekäme Google vom Blog-Seitenbesucher ohne Videoklick definitiv gar nichts mit. Aber so müsste man eben jedes einzelne Thema angehen - wobei wir bei den Social-Media-Buttons schon ein Shariff-Plugin haben.
---
Auf s9y-Ebene die Session-Cookies nicht zu setzen ist meines Wissens bisher schlicht nicht möglich. Wir dürften session_start() einfach nicht ausführen, bis es gebraucht wird (z.B. nach Absenden eines Kommentars und "Daten merken"-Haken). Mir ist allerdings unklar, ob dann wirklich gar kein Cockie gesetzt würde oder ob nur keine dauerhafte Session gestartet werden würde, ist ja nicht das gleiche. Hm, der Befehl kommt nur viermal in drei Dateien vor, das wäre tatsächlich testbar. Ich werde es nachher versuchen (gerade jetzt fehlt die Zeit), aber vielleicht hast du ja auch eine Testinstallation parat?
Re: EUGH-Entscheidung zur Cookie-Information
Dank Dir für die ausführliche Antwort! Im Augenblick bin ich dabei, YouTube-Embeds händisch als Titelbildlinks umzubauen, aber das ist keine Lösung auf Dauer ... von daher werde ich mir mal Dein Plug-In ansehen. Danke für den Link! Konvertiert das Plug-In auch bestehende, oder nur neue Einträge?
Weiterer Gedanke: Ideal wäre ein Banner, das Cookies abfragt und bei "Nein" alle iframes/embeds abschaltet, bei "ja" einfach den Code belässt. Dann würden bspw. auch flickr-Galerien (bei "ja") funktionieren. Bei "nein" gäbe es halt ein ...
Zu S9Y: Wären die Session-Cookies nicht "technisch erforderlich" und somit nicht einverständnispflichtig?
Interessant auch die Frage, wie es bei einer Seite ist, die sich um ein Bild dreht (bspw. einen Cartoon) und diesen von flickr o. ä. lädt, weil das Bild für den Server selbst zu groß wäre. Ein Aufruf der Seite ohne den Embed wäre dann sinnlos, weil der Inhalt nicht mehr da wäre.
(Konkret dreht sich in meinem Falle um Embeds von YT oder flickr usw., nicht um zusätzliches eigenes Tracking oder zusätzliches Werbetracking jenseits dessen, was YT/flickr unterschieben).
Weiterer Gedanke: Ideal wäre ein Banner, das Cookies abfragt und bei "Nein" alle iframes/embeds abschaltet, bei "ja" einfach den Code belässt. Dann würden bspw. auch flickr-Galerien (bei "ja") funktionieren. Bei "nein" gäbe es halt ein ...
Zu S9Y: Wären die Session-Cookies nicht "technisch erforderlich" und somit nicht einverständnispflichtig?
Interessant auch die Frage, wie es bei einer Seite ist, die sich um ein Bild dreht (bspw. einen Cartoon) und diesen von flickr o. ä. lädt, weil das Bild für den Server selbst zu groß wäre. Ein Aufruf der Seite ohne den Embed wäre dann sinnlos, weil der Inhalt nicht mehr da wäre.
(Konkret dreht sich in meinem Falle um Embeds von YT oder flickr usw., nicht um zusätzliches eigenes Tracking oder zusätzliches Werbetracking jenseits dessen, was YT/flickr unterschieben).
Post-apocalyptic Jugger sports: What is Jugger? Video I Free ebook on the sport
Re: EUGH-Entscheidung zur Cookie-Information
Es funktioniert wie ein Markup-Plugin, funktioniert also auch für bestehende.
Ja, DSGVO. Nein, oben verlinktes verrücktes EU-Urteil. Nummer sicher wäre gar kein Cookie.
Ja, die Seite ist dann praktisch ein Wrapper. Der Server könnte das wrappen, müsste ja nicht speichern, und tatsächlich ist die Zeit der superkleinen Hoster ja vorbei und lokal ginge bestimmt auch.
Wenn es dir konkret um YT und Flickr geht schau dir konkrete Lösungen dafür an und bau die in s9y ein. Es könnte auch Javascript-Lösungen geben - https://github.com/a-v-l/dsgvo-video-embed fand sich direkt und könnte halbwegs valide sein, wenn auch nicht so schön wie eine Lösung die Serendipitys Möglichkeiten nutzt.