Page 1 of 2

EUGH-Entscheidung zur Cookie-Information

Posted: Tue Oct 01, 2019 1:24 pm
by Czorneboh
Heise meldet heute eine wichtige Entscheidung des Europäischen Gerichtshofes (EUGH) dazu, in welch(er ausführlichen) Weise Besucher einer Website vom Website-Inhaber informiert werden müssen.

https://www.heise.de/newsticker/meldung ... 43630.html

Eventuell müssen manche Blogger, wenn sie sich an diese Rechtsprechung halten wollen, ihre Datenschutzerklärung anpassen.

Manche Websites fordern in einem Popup-Fenster, welches oft ein Weiterlesen verhindert, die Zustimmung, andere informieren bloß über das Setzen und Speichern von Cookies und deren Nutzung durch den Website-Betreiber und Dritte. Wer somit informiert weiter auf der Website bleibt, nimmt die Verwendung der Cookies hin. Das muss man dann als Zustimmung werten.

Wir haben ja ein Plugin für s9y, mit dem Websitebesucher, die auf die Website kommen, über das Vorhandensein der Datenschutzerklärung bzw. den Umstand, dass Cookies verwendet werden, hingewiesen werden, auf einer Leiste am Rande (meistens unten), die ein Weiterlesen nicht verhindert.

DSGVO / GDPR: Datenschutz-Grundverordnung (serendipity_event_dsgvo_gdpr)

Die meisten Besucher klicken sie weg und lesen die Datenschutzerklärung nicht, d.h. wollen sich keine Gedanken darüber machen, ob sie der Cookiesammlung, -speicherung und verwendung zustimmen, weichen also selbst der Entscheidung aus. Sie wollen nur an die Informationen der Website ran. Das Lesen solcher Erklärungen raubt viel Zeit. Also müssen sie die "Hausordnung auf der Website" in Kauf nehmen.

Ich habe den Text dieser EUGH-Entscheidung noch nicht gelesen. Manche Rechtsanwälte wie Dr. Bahr in Hamburg schreiben Zusammenfassungen von Gerichtsentscheidungen und kommentieren. Aber das kann ich mir nicht verkneifen:

Der EUGH schreibt vor, wie die Hausordnung auszusehen hat. Das ist etwa so, mir Regeln vorzuschreiben, wie ich Gäste in meiner Wohnung oder in meinem Laden empfange, worüber ich sie zu belehren habe. Das greift schon weit in die Freiheiten von Bürgern ein, die Website betreiben. Fraglich ist, wie weit man hier Unterschiede der Anforderungen machen muss zwischen privaten Blogs, Blogs/Websites von Gewerbetreibenden, kleinen Unternehmen, gemischten Websites (sowohl Privates als auch Gewerbliches (z.B. Fotografen), Konzerne. Und wer soll aber diese Unterschiede feststellen? Es geht also darum, Vorschriften zu machen, wie kommuniziert werden muss. Das geht ins Private und bei Unternehmen Einmischung in ihr Geschäft (Eingriffe in den "eingerichteten und ausgeübten Gewerbebetrieb" betreffen das Grundrecht aus Art. 12 GG, Berufsausübung).

Richter und Politiker diktieren immer mehr, was gesagt werden darf (Zensur) und nehmen Private immer mehr für ihre Interessen ein, wälzen hoheitliche Aufgaben auf Private ab. Wie weit darf Vereinnahmung von Bürgern und Unternehmern zugunsten des Staates, der EU, der Bürokraten und Technokraten in einer demokratischen freiheitlichen Gesellschaften gehen?

Wenn die EUGH-Richter mal auch den Datenschutz der Bürger so ernst nehmen würden, wenn es um Datensammlung und -speicherung von Behörden und Geheimdiensten über die Bürger geht ...

Immer mehr Kontroll- und Überwachungssysteme, die von großen Unternehmen entwickelt werden (dürfen/sollen) ...

Zu dem Plugin, mit dem auf die Datenschutzerklärung hingewiesen wird:

DSGVO / GDPR: Datenschutz-Grundverordnung (serendipity_event_dsgvo_gdpr)

Sollte es hier nicht auch noch eine Anpassung geben? Jetzt muss man ja, wenn es hart auf hart kommt, beweisen können, dass man die Zustimmung zum Cookiespeichern im Browser des Besuchers (durch Klick des Websitebesuchers) bekommen hat. Oh Gott, die Zustimmung muss auch irgendwo gespeichert werden. Und zwar auf dem Server, wo die website gehostet ist, so dass der Websitebesucher den Beweis nicht löschen kann.

Re: EUGH-Entscheidung zur Cookie-Information

Posted: Tue Oct 01, 2019 9:05 pm
by yellowled
Wie immer gilt: Keine Panik, nicht alle verrückt machen und erstmal abwarten, bis irgendjemand definitiv weiß, was da nun wirklich gilt. Ich bin sicher, unser „Hausjurist“ thh wird bei Gelegenheit erklären können, was ggf. zu tun oder zu lassen sei.

YL

Re: EUGH-Entscheidung zur Cookie-Information

Posted: Sat Oct 05, 2019 6:51 am
by thh
Czorneboh wrote: Tue Oct 01, 2019 1:24 pmManche Websites fordern in einem Popup-Fenster, welches oft ein Weiterlesen verhindert, die Zustimmung, andere informieren bloß über das Setzen und Speichern von Cookies und deren Nutzung durch den Website-Betreiber und Dritte. Wer somit informiert weiter auf der Website bleibt, nimmt die Verwendung der Cookies hin. Das muss man dann als Zustimmung werten.
Dass eine solche "implizite" Zustimmung nicht ausreicht, war bekannt - insofern ist es keine Überraschung, dass der EuGH das bestätigt hat.
Czorneboh wrote: Tue Oct 01, 2019 1:24 pmWir haben ja ein Plugin für s9y, mit dem Websitebesucher, die auf die Website kommen, über das Vorhandensein der Datenschutzerklärung bzw. den Umstand, dass Cookies verwendet werden, hingewiesen werden, auf einer Leiste am Rande (meistens unten), die ein Weiterlesen nicht verhindert.
Korrekt. Das funktioniert nur, wenn keine zustimmungsbedürftigen Cookies gesetzt werden.

Anderenfalls genügt es natürlich nicht, nur ein Weiterlesen zu verhindern - es dürfen vielmehr vor Erteilung der Zustimmung keine Cookies gesetzt werden.
Czorneboh wrote: Tue Oct 01, 2019 1:24 pmDie meisten Besucher klicken sie weg und lesen die Datenschutzerklärung nicht, d.h. wollen sich keine Gedanken darüber machen, ob sie der Cookiesammlung, -speicherung und verwendung zustimmen, weichen also selbst der Entscheidung aus. Sie wollen nur an die Informationen der Website ran. Das Lesen solcher Erklärungen raubt viel Zeit. Also müssen sie die "Hausordnung auf der Website" in Kauf nehmen.
Das Cookie-Banner erfüllt nur Informationspflichten. Es kann keine Zustimmung ersetzen oder einholen.

Re: EUGH-Entscheidung zur Cookie-Information

Posted: Tue Oct 08, 2019 4:48 pm
by HadleyB
Aber welche Cookies setzt denn S9Y, bei mir stehen drei Cookies, aber was für welche sind das? Mir hat mein Anwalt geschrieben, dass meine jetzige DSGVO nicht ausreicht:
"Bitte beachten Sie z.B. die Entscheidung des EuGH vom 01.10.2019 zur Planet49 GmbH. Den dort nun nochmals klargestellten Anforderungen entspricht Ihr Cookie-Hinweis aktuell nicht. Dafür können Sie theoretisch von jedem (kostenpflichtig) abgemahnt werden, der Ihre Seite besucht und durch die Tracking-Cookies „beobachtet“ wird.
Eine Kanzlei aus Österreich ist da sehr aktiv aktuell. Bereits zwei Mandanten von uns sind betroffen. "
Setzt S9Y denn überhaupt Tracking-Cookies?

Re: EUGH-Entscheidung zur Cookie-Information

Posted: Tue Oct 08, 2019 9:26 pm
by yellowled
Wenn ich in Google Chrome mein (s9y-)Blog aufrufe, die Developer Tools öffne, dort ins Tab Application wechsele und in der Seitenleiste links Cookies aufklappe, kann ich mir die Cookies anzeigen lassen, die mein Blog setzt. Dabei gibt es in meinem Fall drei, die s9y nicht standardmäßig setzt:
  • cookieconsent_status – gesetzt vom DSGVO-Plugin, wenn man Cookies zustimmt
  • resolution – gesetzt von AdaptiveImages, das ich selbst eingebaut habe
  • webfonts – setzt vom JavaScript meines Themes, damit der Webfont etwas performanter geladen werden kann
Dazu setzt mein Blog drei Cookies, die – nicht exakt so, aber ähnlich – jedes s9y-Blog setzt:
  • s9y_b9556edfe47274b44664d92d104d79ca
  • serendipity[old_session]
  • serendipity[userDefLang]
Das erste ist ein sogenanntes Session-Cookie, wie sie so ziemlich jede PHP-Anwendung setzt, um dem Anwender Bequemlichkeitsfunktionen zu bieten. Session-Cookies werden beim Schließen der Browsers gelöscht.

Im Incognito-Modus wird nur der erste überhaupt gesetzt, also nehme ich an, dass die letzteren beiden definitiv nur für Redakteure gesetzt werden (also nicht für Seitenbesucher). Müsste also irgendetwas mit Backend-Logins zu tun haben – vielleicht können Garvin oder onli das noch etwas genauer ausführen.

Soweit ich es beurteilen kann, ist nichts davon das, was man gemeinhin als „Tracking-Cookie“ bezeichnet, also z.B. die, die dafür verantwortlich sind, dass Facebook einem Werbung für Dinge anzeigt, nach denen man zuvor irgendwann auf Amazon geschaut hat.

Wenn ein s9y-Blog Tracking-Cookies setzt, hat man das also – wahrscheinlich – mehr oder weniger aktiv und bewusst eingebaut, indem man z.B. Google Analytics verwendet. Ob Plugins (Tracking-)Cookies setzen, kann ich nicht sagen, dafür sind es einfach zu viele – ich gehe davon aus, dass z.B. das Adsense-Plugin Cookie setzt, die wahrscheinlich auch tracken.

YL

Re: EUGH-Entscheidung zur Cookie-Information

Posted: Wed Oct 09, 2019 11:11 am
by HadleyB
yellowled wrote: Tue Oct 08, 2019 9:26 pm Wenn ich in Google Chrome mein (s9y-)Blog aufrufe, die Developer Tools öffne, dort ins Tab Application wechsele und in der Seitenleiste links Cookies aufklappe, kann ich mir die Cookies anzeigen lassen, die mein Blog setzt.
Danke für diesen Tipp. Ich habe alle Scripte entfernt, die ein Cookie setzen (Analytics, MyChat und AdSense), dann setzte nur noch das KARMA-Plugin ein Cookie, also hab ich das auch entfernt. Jetzt wird nur noch ein Session-Cookie von S9Y gesetzt, weitere Cookies kommen dazu, wenn ich mich einlogge, die bekommt ein Besucher ja nicht.

So sollte ich nun auf der sicheren Seite sein, aber wer weiß schon was die EU sich als nächstes für einen Schwachsinn ausdenkt.

Re: EUGH-Entscheidung zur Cookie-Information

Posted: Tue Oct 29, 2019 4:35 pm
by Czorneboh
Hier zum Thema ein kleiner Aufsatz von RA Sebastian Schwäbe: Technische Umsetzung beim Webtracking
Kleines Fazit:

So, wie yellowled das gemacht hat: man macht sich zunächst einen Überblick darüber, was für Cookies erzeugt werden.

Wir unterscheiden zwischen nicht zustimmungsbedürftigen Cookies (dazu siehe den o.g. Beitrag von RA Schäbe) und zustimmungsbedürftigen (Tracking).

Wir haben nur ein Plugin für ein Infobanner.
Es fehlt in der Serendipity-Plugin-Sammlung ein Plugin zur Einholung der expliziten Zustimmung. Es gibt solche Lösungen generell. Ich sah welche, bei denen man auch die Wahl, was für Arten von Cookies man erlauben will, per Klick in eine von mehreren Boxen ausübt. Kenne ich z.B. vom Reiseveranstalter Pulexpress.

Die Entscheidung des Users, dass er zustimmt oder nicht zustimmt oder nur bei bestimmten Cookies, muss auf unserem Server gespeichert werden. Es genügt nicht, wenn diese Info lediglich im Browser des Users liegt. Das muss sichergestellt sein.

Darüber hinaus spricht RA Schäbe in seinem Beitrag noch an, dass der User jederzeit die Möglichkeit haben so, an diese Info heranzukommen. Er soll sie ändern können. Wie das technisch zu machen ist, schreibt er nicht. Wer weiß das schon? (Und welche Speicherfrist soll hier gelten/erlaubt sein?)

Rechtliche Normen müssen auch zumutbar einhaltbar sein. Wenn es keine fertigen Lösungen dafür gibt, ist es nicht gerecht, dass Datenschützer Abmahnungen verteilen. Man könnte hier meinen: Wenn der Staat solche Anforderungen aufstellt, muss er auch dafür sorgen, dass sie erfüllt werden können und technische Lösungen anbieten, etwa über BSI.

(Beispiel dazu: Wenn eine Impfpflicht per Bundes-Gesetz eingeführt wird, muss der Bund organisatorisch sicher stellen, dass Impfstoff ausreichend für alle Impfpflichtigen bereit steht. - Anderes Beispiel: Mülltrennung: hier müssen die entsprechenden Container auch überall bereit stehen. Muss ein Eigenheimbesitzer alle möglichen Tonnen kaufen/mieten? Graue, gelbe, blaue, braune, orange?)

Was kostet es wohl, so ein Zustimmungsbanner mit Wahlmöglichkeiten (mehrere Boxen) programmieren zu lassen bzw. wo bekommt man es kostenlos?

Ich muss selbst noch recherchieren, wo ich mir das Skript oder den Skriptcode beschaffe.

Re: EUGH-Entscheidung zur Cookie-Information

Posted: Tue Oct 29, 2019 9:43 pm
by yellowled
Czorneboh wrote: Tue Oct 29, 2019 4:35 pmWas kostet es wohl, so ein Zustimmungsbanner mit Wahlmöglichkeiten (mehrere Boxen) programmieren zu lassen bzw. wo bekommt man es kostenlos?
Der von Dir erwähnte Reiseveranstalter verwendet – auch wenn sie Stand heute zu blöd sind, es funktionierend einzubauen – das allseits beliebte CookieBot. Es gibt davon grundsätzlich eine kostenlose Version (die man übrigens bei akuter Abmahnpanik über verschiedene Wege – Template oder serendipity_event_page_nugget – auch ganz ohne eigens dafür angelegtes Plugin integrieren könnte), die allerdings (logischerweise) funktionseingeschränkt ist:
Im kostenlosen Abonnement sind folgende Premium-Standardfunktionen nicht enthalten: Banner anpassen, Erklärung anpassen, mehrere Sprachen, E-Mail-Berichte, Datenexport, geografischer Standort, Massenzustimmung, Einwilligungsstatistik, interner Domain-Alias für Entwicklung sowie Test und Bereitstellung.
Klingt mir nicht unbedingt wie etwas, das sich problemlos in einem s9y-Plugin nutzen lässt (Stichwort: mehrere Sprachen), aber vielleicht täusche ich mich da. (Was nicht heißen soll, dass ich das existierende Plugin anpassen könnte oder wollte.)

YL

Re: EUGH-Entscheidung zur Cookie-Information

Posted: Thu Oct 31, 2019 7:59 pm
by thh
Czorneboh wrote: Tue Oct 29, 2019 4:35 pmEs fehlt in der Serendipity-Plugin-Sammlung ein Plugin zur Einholung der expliziten Zustimmung.
Das Problem ist m.E. weniger die Einholung der Zustimmung als vielmehr sicherzustellen, dass ohne Zustimmung - oder bis zur Erteilung der Zustimmung - keine Cookies gesetzt werden.
Czorneboh wrote: Tue Oct 29, 2019 4:35 pmDie Entscheidung des Users, dass er zustimmt oder nicht zustimmt oder nur bei bestimmten Cookies, muss auf unserem Server gespeichert werden. Es genügt nicht, wenn diese Info lediglich im Browser des Users liegt.
Frage aus technischer Sicht: woran erkennt der Server denn dann den User? Wohl nur an einem Cookie. Dann aber kann man natürlich die Information auch dort hinterlegen ...
Czorneboh wrote: Tue Oct 29, 2019 4:35 pmRechtliche Normen müssen auch zumutbar einhaltbar sein. Wenn es keine fertigen Lösungen dafür gibt, ist es nicht gerecht, dass Datenschützer Abmahnungen verteilen.
Selbstverständlich ist das gerecht. Wer keine Zustimmung hat, darf eben nicht tracken.
Czorneboh wrote: Tue Oct 29, 2019 4:35 pmMuss ein Eigenheimbesitzer alle möglichen Tonnen kaufen/mieten? Graue, gelbe, blaue, braune, orange?)
Natürlich.
Czorneboh wrote: Tue Oct 29, 2019 4:35 pmWas kostet es wohl, so ein Zustimmungsbanner mit Wahlmöglichkeiten (mehrere Boxen) programmieren zu lassen bzw. wo bekommt man es kostenlos?
Das Banner ist nicht das Problem. Sicherzustellen, dass ohne Zustimmung keine Cookies gesetzt werden, ist der schwierige Part.

Re: EUGH-Entscheidung zur Cookie-Information

Posted: Thu Oct 31, 2019 9:30 pm
by yellowled
thh wrote: Thu Oct 31, 2019 7:59 pmFrage aus technischer Sicht: woran erkennt der Server denn dann den User? Wohl nur an einem Cookie. Dann aber kann man natürlich die Information auch dort hinterlegen ...
Meistens wird das technisch so gelöst, prinzipiell gäbe es auch andere Lösungen wie etwa LocalStorage. Die (mehr oder weniger) spannende Frage ist, ob das aus juristischer Sicht wirklich einen Unterschied macht.

YL

Re: EUGH-Entscheidung zur Cookie-Information

Posted: Fri Jun 10, 2022 11:49 am
by Huhu
Um den Thread kurz mal wieder aus dem Archiv hervorzuholen: Gibt es da inzwischen eine Plug-In-Lösung für s9y, die das ausreichend adressiert? Wäre natürlich ein ziemlich essentieller Aspekt ...

Re: EUGH-Entscheidung zur Cookie-Information

Posted: Fri Jul 22, 2022 8:40 am
by Huhu
... oder eines dieses zwar extrem nervtötenden, aber vielleicht DSGVO-konformeren ins-Gesicht-Pop-Ups? Halt irgend etwas, was rechtlich halbwegs wasserfest ist ...

Für jene, die sich nicht ausreichend mit der Thematik auseinandersetzen können, wäre vermutlich eine Lösung wie die fogende sinnvoll, oder? Die ist Modell Vorschlaghammer, aber damit gehen Abmahnanwälte ja auch vor ... wäre vermutlcih etwas für prvate Seiten, die im Wesentlcihen die Gefahr von Cookies durch das CMS, durch Einbettung von YouTube-Videos, flickr usw. vorbeugen müssen.

Beim Erstaufruf ersheint eine Seite, die das Einverständnis abfragt. Im Hintergrund ggf. die Zielseite, aber eben mit allen riskanten Elementen desaktiviert.
Bei Einverständnis wird auf die Zielseite weitergeleitet.
Bei Ablehung wird auf eine "Dann geht's leider nicht"-Seite in reinem HTML weitergeleitet.

Dazu die Anonymisierungseinstellungen des DSGVO-Plug-Ins.

Re: EUGH-Entscheidung zur Cookie-Information

Posted: Sat Jul 23, 2022 10:22 pm
by onli
Lusigerweise wäre das meines Wissens auch nicht zulässig, weil der Besuch der Webseite eben nicht von der Einverständnis zum Tracking abhängen darf. Der Nutzer muss nein sagen können (zu Tracking, nicht Cookies) und die Seite trotzdem besuchen dürfen. Die großen Zeitungen umgehen das mit ihren Abos, aber dagegen laufen auch schon Prozesse.

Das ist allerdings DSGVO, nicht EU-Cookiedirektive, die in Deutschland nie in Kraft treten sollte und es höchstens über den Umweg übergriffiger EU-Urteile jetzt täte.

Trotzdem, richtige Lösung wäre: Alles deaktivieren können was trackt, damit starten, dann Elemente nur bei explizitem Einverständnis jeweils nachladen.

---

Ich habe ein Plugin gebaut das Youtube-Embeds zu Thumbnails umbaut, das lebt unter https://github.com/onli/serendipity_event_lazyoutube. Sah damals nicht viel Feedback. Man könnte das erweitern und die Youtube-Thumbnails vom eigenen Server laden, auf Wunsch dann auch eine Abfrage zwischenschalten. Dann bekäme Google vom Blog-Seitenbesucher ohne Videoklick definitiv gar nichts mit. Aber so müsste man eben jedes einzelne Thema angehen - wobei wir bei den Social-Media-Buttons schon ein Shariff-Plugin haben.

---

Auf s9y-Ebene die Session-Cookies nicht zu setzen ist meines Wissens bisher schlicht nicht möglich. Wir dürften session_start() einfach nicht ausführen, bis es gebraucht wird (z.B. nach Absenden eines Kommentars und "Daten merken"-Haken). Mir ist allerdings unklar, ob dann wirklich gar kein Cockie gesetzt würde oder ob nur keine dauerhafte Session gestartet werden würde, ist ja nicht das gleiche. Hm, der Befehl kommt nur viermal in drei Dateien vor, das wäre tatsächlich testbar. Ich werde es nachher versuchen (gerade jetzt fehlt die Zeit), aber vielleicht hast du ja auch eine Testinstallation parat?

Re: EUGH-Entscheidung zur Cookie-Information

Posted: Sun Jul 24, 2022 8:43 am
by Huhu
Dank Dir für die ausführliche Antwort! Im Augenblick bin ich dabei, YouTube-Embeds händisch als Titelbildlinks umzubauen, aber das ist keine Lösung auf Dauer ... von daher werde ich mir mal Dein Plug-In ansehen. Danke für den Link! Konvertiert das Plug-In auch bestehende, oder nur neue Einträge?

Weiterer Gedanke: Ideal wäre ein Banner, das Cookies abfragt und bei "Nein" alle iframes/embeds abschaltet, bei "ja" einfach den Code belässt. Dann würden bspw. auch flickr-Galerien (bei "ja") funktionieren. Bei "nein" gäbe es halt ein :P ...

Zu S9Y: Wären die Session-Cookies nicht "technisch erforderlich" und somit nicht einverständnispflichtig?

Interessant auch die Frage, wie es bei einer Seite ist, die sich um ein Bild dreht (bspw. einen Cartoon) und diesen von flickr o. ä. lädt, weil das Bild für den Server selbst zu groß wäre. Ein Aufruf der Seite ohne den Embed wäre dann sinnlos, weil der Inhalt nicht mehr da wäre.

(Konkret dreht sich in meinem Falle um Embeds von YT oder flickr usw., nicht um zusätzliches eigenes Tracking oder zusätzliches Werbetracking jenseits dessen, was YT/flickr unterschieben).

Re: EUGH-Entscheidung zur Cookie-Information

Posted: Sun Jul 24, 2022 12:39 pm
by onli
Huhu wrote: Sun Jul 24, 2022 8:43 am Konvertiert das Plug-In auch bestehende, oder nur neue Einträge?
Es funktioniert wie ein Markup-Plugin, funktioniert also auch für bestehende.
Huhu wrote: Sun Jul 24, 2022 8:43 am Zu S9Y: Wären die Session-Cookies nicht "technisch erforderlich" und somit nicht einverständnispflichtig?
Ja, DSGVO. Nein, oben verlinktes verrücktes EU-Urteil. Nummer sicher wäre gar kein Cookie.
Huhu wrote: Sun Jul 24, 2022 8:43 am Ein Aufruf der Seite ohne den Embed wäre dann sinnlos, weil der Inhalt nicht mehr da wäre.
Ja, die Seite ist dann praktisch ein Wrapper. Der Server könnte das wrappen, müsste ja nicht speichern, und tatsächlich ist die Zeit der superkleinen Hoster ja vorbei und lokal ginge bestimmt auch.

Wenn es dir konkret um YT und Flickr geht schau dir konkrete Lösungen dafür an und bau die in s9y ein. Es könnte auch Javascript-Lösungen geben - https://github.com/a-v-l/dsgvo-video-embed fand sich direkt und könnte halbwegs valide sein, wenn auch nicht so schön wie eine Lösung die Serendipitys Möglichkeiten nutzt.