EUGH-Entscheidung zur Cookie-Information

[Czorneboh]

Heise meldet heute eine wichtige Entscheidung des Europäischen Gerichtshofes (EUGH) dazu, in welch(er ausführlichen) Weise Besucher einer Website vom Website-Inhaber informiert werden müssen.

https://www.heise.de/newsticker/meldung ... 43630.html

Eventuell müssen manche Blogger, wenn sie sich an diese Rechtsprechung halten wollen, ihre Datenschutzerklärung anpassen.

Manche Websites fordern in einem Popup-Fenster, welches oft ein Weiterlesen verhindert, die Zustimmung, andere informieren bloß über das Setzen und Speichern von Cookies und deren Nutzung durch den Website-Betreiber und Dritte. Wer somit informiert weiter auf der Website bleibt, nimmt die Verwendung der Cookies hin. Das muss man dann als Zustimmung werten.

Wir haben ja ein Plugin für s9y, mit dem Websitebesucher, die auf die Website kommen, über das Vorhandensein der Datenschutzerklärung bzw. den Umstand, dass Cookies verwendet werden, hingewiesen werden, auf einer Leiste am Rande (meistens unten), die ein Weiterlesen nicht verhindert.

DSGVO / GDPR: Datenschutz-Grundverordnung (serendipity_event_dsgvo_gdpr)

Die meisten Besucher klicken sie weg und lesen die Datenschutzerklärung nicht, d.h. wollen sich keine Gedanken darüber machen, ob sie der Cookiesammlung, -speicherung und verwendung zustimmen, weichen also selbst der Entscheidung aus. Sie wollen nur an die Informationen der Website ran. Das Lesen solcher Erklärungen raubt viel Zeit. Also müssen sie die "Hausordnung auf der Website" in Kauf nehmen.

Ich habe den Text dieser EUGH-Entscheidung noch nicht gelesen. Manche Rechtsanwälte wie Dr. Bahr in Hamburg schreiben Zusammenfassungen von Gerichtsentscheidungen und kommentieren. Aber das kann ich mir nicht verkneifen:

Der EUGH schreibt vor, wie die Hausordnung auszusehen hat. Das ist etwa so, mir Regeln vorzuschreiben, wie ich Gäste in meiner Wohnung oder in meinem Laden empfange, worüber ich sie zu belehren habe. Das greift schon weit in die Freiheiten von Bürgern ein, die Website betreiben. Fraglich ist, wie weit man hier Unterschiede der Anforderungen machen muss zwischen privaten Blogs, Blogs/Websites von Gewerbetreibenden, kleinen Unternehmen, gemischten Websites (sowohl Privates als auch Gewerbliches (z.B. Fotografen), Konzerne. Und wer soll aber diese Unterschiede feststellen? Es geht also darum, Vorschriften zu machen, wie kommuniziert werden muss. Das geht ins Private und bei Unternehmen Einmischung in ihr Geschäft (Eingriffe in den "eingerichteten und ausgeübten Gewerbebetrieb" betreffen das Grundrecht aus Art. 12 GG, Berufsausübung).

Richter und Politiker diktieren immer mehr, was gesagt werden darf (Zensur) und nehmen Private immer mehr für ihre Interessen ein, wälzen hoheitliche Aufgaben auf Private ab. Wie weit darf Vereinnahmung von Bürgern und Unternehmern zugunsten des Staates, der EU, der Bürokraten und Technokraten in einer demokratischen freiheitlichen Gesellschaften gehen?

Wenn die EUGH-Richter mal auch den Datenschutz der Bürger so ernst nehmen würden, wenn es um Datensammlung und -speicherung von Behörden und Geheimdiensten über die Bürger geht ...

Immer mehr Kontroll- und Überwachungssysteme, die von großen Unternehmen entwickelt werden (dürfen/sollen) ...

Zu dem Plugin, mit dem auf die Datenschutzerklärung hingewiesen wird:

DSGVO / GDPR: Datenschutz-Grundverordnung (serendipity_event_dsgvo_gdpr)

Sollte es hier nicht auch noch eine Anpassung geben? Jetzt muss man ja, wenn es hart auf hart kommt, beweisen können, dass man die Zustimmung zum Cookiespeichern im Browser des Besuchers (durch Klick des Websitebesuchers) bekommen hat. Oh Gott, die Zustimmung muss auch irgendwo gespeichert werden. Und zwar auf dem Server, wo die website gehostet ist, so dass der Websitebesucher den Beweis nicht löschen kann.

[yellowled]

Wie immer gilt: Keine Panik, nicht alle verrückt machen und erstmal abwarten, bis irgendjemand definitiv weiß, was da nun wirklich gilt. Ich bin sicher, unser „Hausjurist“ thh wird bei Gelegenheit erklären können, was ggf. zu tun oder zu lassen sei.

YL

[thh]

Manche Websites fordern in einem Popup-Fenster, welches oft ein Weiterlesen verhindert, die Zustimmung, andere informieren bloß über das Setzen und Speichern von Cookies und deren Nutzung durch den Website-Betreiber und Dritte. Wer somit informiert weiter auf der Website bleibt, nimmt die Verwendung der Cookies hin. Das muss man dann als Zustimmung werten.

Dass eine solche "implizite" Zustimmung nicht ausreicht, war bekannt - insofern ist es keine Überraschung, dass der EuGH das bestätigt hat.

Wir haben ja ein Plugin für s9y, mit dem Websitebesucher, die auf die Website kommen, über das Vorhandensein der Datenschutzerklärung bzw. den Umstand, dass Cookies verwendet werden, hingewiesen werden, auf einer Leiste am Rande (meistens unten), die ein Weiterlesen nicht verhindert.

Korrekt. Das funktioniert nur, wenn keine zustimmungsbedürftigen Cookies gesetzt werden.

Anderenfalls genügt es natürlich nicht, nur ein Weiterlesen zu verhindern - es dürfen vielmehr vor Erteilung der Zustimmung keine Cookies gesetzt werden.

Die meisten Besucher klicken sie weg und lesen die Datenschutzerklärung nicht, d.h. wollen sich keine Gedanken darüber machen, ob sie der Cookiesammlung, -speicherung und verwendung zustimmen, weichen also selbst der Entscheidung aus. Sie wollen nur an die Informationen der Website ran. Das Lesen solcher Erklärungen raubt viel Zeit. Also müssen sie die "Hausordnung auf der Website" in Kauf nehmen.

Das Cookie-Banner erfüllt nur Informationspflichten. Es kann keine Zustimmung ersetzen oder einholen.

[HadleyB]

Aber welche Cookies setzt denn S9Y, bei mir stehen drei Cookies, aber was für welche sind das? Mir hat mein Anwalt geschrieben, dass meine jetzige DSGVO nicht ausreicht:

"Bitte beachten Sie z.B. die Entscheidung des EuGH vom 01.10.2019 zur Planet49 GmbH. Den dort nun nochmals klargestellten Anforderungen entspricht Ihr Cookie-Hinweis aktuell nicht. Dafür können Sie theoretisch von jedem (kostenpflichtig) abgemahnt werden, der Ihre Seite besucht und durch die Tracking-Cookies „beobachtet“ wird.
Eine Kanzlei aus Österreich ist da sehr aktiv aktuell. Bereits zwei Mandanten von uns sind betroffen. "

Setzt S9Y denn überhaupt Tracking-Cookies?

[yellowled]

Wenn ich in Google Chrome mein (s9y-)Blog aufrufe, die Developer Tools öffne, dort ins Tab Application wechsele und in der Seitenleiste links Cookies aufklappe, kann ich mir die Cookies anzeigen lassen, die mein Blog setzt. Dabei gibt es in meinem Fall drei, die s9y nicht standardmäßig setzt:

• cookieconsent_status – gesetzt vom DSGVO-Plugin, wenn man Cookies zustimmt
• resolution – gesetzt von AdaptiveImages, das ich selbst eingebaut habe
• webfonts – setzt vom JavaScript meines Themes, damit der Webfont etwas performanter geladen werden kann

Dazu setzt mein Blog drei Cookies, die – nicht exakt so, aber ähnlich – jedes s9y-Blog setzt:

• s9y_b9556edfe47274b44664d92d104d79ca
• serendipity[old_session]
• serendipity[userDefLang]

Das erste ist ein sogenanntes Session-Cookie, wie sie so ziemlich jede PHP-Anwendung setzt, um dem Anwender Bequemlichkeitsfunktionen zu bieten. Session-Cookies werden beim Schließen der Browsers gelöscht.

Im Incognito-Modus wird nur der erste überhaupt gesetzt, also nehme ich an, dass die letzteren beiden definitiv nur für Redakteure gesetzt werden (also nicht für Seitenbesucher). Müsste also irgendetwas mit Backend-Logins zu tun haben – vielleicht können Garvin oder onli das noch etwas genauer ausführen.

Soweit ich es beurteilen kann, ist nichts davon das, was man gemeinhin als „Tracking-Cookie“ bezeichnet, also z.B. die, die dafür verantwortlich sind, dass Facebook einem Werbung für Dinge anzeigt, nach denen man zuvor irgendwann auf Amazon geschaut hat.

Wenn ein s9y-Blog Tracking-Cookies setzt, hat man das also – wahrscheinlich – mehr oder weniger aktiv und bewusst eingebaut, indem man z.B. Google Analytics verwendet. Ob Plugins (Tracking-)Cookies setzen, kann ich nicht sagen, dafür sind es einfach zu viele – ich gehe davon aus, dass z.B. das Adsense-Plugin Cookie setzt, die wahrscheinlich auch tracken.

YL

[HadleyB]

Wenn ich in Google Chrome mein (s9y-)Blog aufrufe, die Developer Tools öffne, dort ins Tab Application wechsele und in der Seitenleiste links Cookies aufklappe, kann ich mir die Cookies anzeigen lassen, die mein Blog setzt.

Danke für diesen Tipp. Ich habe alle Scripte entfernt, die ein Cookie setzen (Analytics, MyChat und AdSense), dann setzte nur noch das KARMA-Plugin ein Cookie, also hab ich das auch entfernt. Jetzt wird nur noch ein Session-Cookie von S9Y gesetzt, weitere Cookies kommen dazu, wenn ich mich einlogge, die bekommt ein Besucher ja nicht.

So sollte ich nun auf der sicheren Seite sein, aber wer weiß schon was die EU sich als nächstes für einen Schwachsinn ausdenkt.

[Czorneboh]

Hier zum Thema ein kleiner Aufsatz von RA Sebastian Schwäbe: Technische Umsetzung beim Webtracking

https://www.datenschutz-notizen.de/wp-c ... racing.pdf

Kleines Fazit:

So, wie yellowled das gemacht hat: man macht sich zunächst einen Überblick darüber, was für Cookies erzeugt werden.

Wir unterscheiden zwischen nicht zustimmungsbedürftigen Cookies (dazu siehe den o.g. Beitrag von RA Schäbe) und zustimmungsbedürftigen (Tracking).

Wir haben nur ein Plugin für ein Infobanner.
Es fehlt in der Serendipity-Plugin-Sammlung ein Plugin zur Einholung der expliziten Zustimmung. Es gibt solche Lösungen generell. Ich sah welche, bei denen man auch die Wahl, was für Arten von Cookies man erlauben will, per Klick in eine von mehreren Boxen ausübt. Kenne ich z.B. vom Reiseveranstalter Pulexpress.

Die Entscheidung des Users, dass er zustimmt oder nicht zustimmt oder nur bei bestimmten Cookies, muss auf unserem Server gespeichert werden. Es genügt nicht, wenn diese Info lediglich im Browser des Users liegt. Das muss sichergestellt sein.

Darüber hinaus spricht RA Schäbe in seinem Beitrag noch an, dass der User jederzeit die Möglichkeit haben so, an diese Info heranzukommen. Er soll sie ändern können. Wie das technisch zu machen ist, schreibt er nicht. Wer weiß das schon? (Und welche Speicherfrist soll hier gelten/erlaubt sein?)

Rechtliche Normen müssen auch zumutbar einhaltbar sein. Wenn es keine fertigen Lösungen dafür gibt, ist es nicht gerecht, dass Datenschützer Abmahnungen verteilen. Man könnte hier meinen: Wenn der Staat solche Anforderungen aufstellt, muss er auch dafür sorgen, dass sie erfüllt werden können und technische Lösungen anbieten, etwa über BSI.

(Beispiel dazu: Wenn eine Impfpflicht per Bundes-Gesetz eingeführt wird, muss der Bund organisatorisch sicher stellen, dass Impfstoff ausreichend für alle Impfpflichtigen bereit steht. - Anderes Beispiel: Mülltrennung: hier müssen die entsprechenden Container auch überall bereit stehen. Muss ein Eigenheimbesitzer alle möglichen Tonnen kaufen/mieten? Graue, gelbe, blaue, braune, orange?)

Was kostet es wohl, so ein Zustimmungsbanner mit Wahlmöglichkeiten (mehrere Boxen) programmieren zu lassen bzw. wo bekommt man es kostenlos?

Ich muss selbst noch recherchieren, wo ich mir das Skript oder den Skriptcode beschaffe.

[yellowled]

Was kostet es wohl, so ein Zustimmungsbanner mit Wahlmöglichkeiten (mehrere Boxen) programmieren zu lassen bzw. wo bekommt man es kostenlos?

Der von Dir erwähnte Reiseveranstalter verwendet – auch wenn sie Stand heute zu blöd sind, es funktionierend einzubauen – das allseits beliebte CookieBot. Es gibt davon grundsätzlich eine kostenlose Version (die man übrigens bei akuter Abmahnpanik über verschiedene Wege – Template oder serendipity_event_page_nugget – auch ganz ohne eigens dafür angelegtes Plugin integrieren könnte), die allerdings (logischerweise) funktionseingeschränkt ist:

Im kostenlosen Abonnement sind folgende Premium-Standardfunktionen nicht enthalten: Banner anpassen, Erklärung anpassen, mehrere Sprachen, E-Mail-Berichte, Datenexport, geografischer Standort, Massenzustimmung, Einwilligungsstatistik, interner Domain-Alias für Entwicklung sowie Test und Bereitstellung.

Klingt mir nicht unbedingt wie etwas, das sich problemlos in einem s9y-Plugin nutzen lässt (Stichwort: mehrere Sprachen), aber vielleicht täusche ich mich da. (Was nicht heißen soll, dass ich das existierende Plugin anpassen könnte oder wollte.)

YL

[thh]

Es fehlt in der Serendipity-Plugin-Sammlung ein Plugin zur Einholung der expliziten Zustimmung.

Das Problem ist m.E. weniger die Einholung der Zustimmung als vielmehr sicherzustellen, dass ohne Zustimmung - oder bis zur Erteilung der Zustimmung - keine Cookies gesetzt werden.

Die Entscheidung des Users, dass er zustimmt oder nicht zustimmt oder nur bei bestimmten Cookies, muss auf unserem Server gespeichert werden. Es genügt nicht, wenn diese Info lediglich im Browser des Users liegt.

Frage aus technischer Sicht: woran erkennt der Server denn dann den User? Wohl nur an einem Cookie. Dann aber kann man natürlich die Information auch dort hinterlegen ...

Rechtliche Normen müssen auch zumutbar einhaltbar sein. Wenn es keine fertigen Lösungen dafür gibt, ist es nicht gerecht, dass Datenschützer Abmahnungen verteilen.

Selbstverständlich ist das gerecht. Wer keine Zustimmung hat, darf eben nicht tracken.

Muss ein Eigenheimbesitzer alle möglichen Tonnen kaufen/mieten? Graue, gelbe, blaue, braune, orange?)

Natürlich.

Was kostet es wohl, so ein Zustimmungsbanner mit Wahlmöglichkeiten (mehrere Boxen) programmieren zu lassen bzw. wo bekommt man es kostenlos?

Das Banner ist nicht das Problem. Sicherzustellen, dass ohne Zustimmung keine Cookies gesetzt werden, ist der schwierige Part.

[yellowled]

Frage aus technischer Sicht: woran erkennt der Server denn dann den User? Wohl nur an einem Cookie. Dann aber kann man natürlich die Information auch dort hinterlegen ...

Meistens wird das technisch so gelöst, prinzipiell gäbe es auch andere Lösungen wie etwa LocalStorage. Die (mehr oder weniger) spannende Frage ist, ob das aus juristischer Sicht wirklich einen Unterschied macht.

YL

[Huhu]

Um den Thread kurz mal wieder aus dem Archiv hervorzuholen: Gibt es da inzwischen eine Plug-In-Lösung für s9y, die das ausreichend adressiert? Wäre natürlich ein ziemlich essentieller Aspekt ...