Cookies - Neues Urteil des EuGH

[Theseus]

Der Europäische Gerichtshof hat heute entschieden, dass Internetnutzer dem Setzen von Cookies auf jeder Website aktiv zustimmen müssen.

Weiter hat das Gericht entschieden, dass der Webseitenbetreiber gegenüber dem Nutzer hinsichtlich der Cookies u. a. Angaben zur Funktionsdauer und zur Zugriffsmöglichkeit Dritter machen muss.

Nahezu keine Seite hält diese Vorgaben derzeit ein.

Wenn ich Adsense und Analytics auf meiner Seite einsetze: Woher soll ich wissen, wie lange die Funktionsdauer und wie die Zugriffsmöglichkeit Dritter bei den von Google gesetzten Cookies sind?

Ich sehe da ein lustiges Abmahnpotential am Horizont heraufschimmern ...

Abgesehen davon: Die Nutzung des Internets wird mit diesem Urteil wohl richtig holprig werden: Bevor ich zu dem Inhalt einer Seite vordringe, muss ich erst ein paar Dutzend Häkchen machen, um meine Zustimmung zu den Cookies zu erklären ...

[supervisior]

Du hast leider wie ich zunächst auch ein paar Dinge überlesen. Die findet man aber erst heraus, wenn man den ganzen Gesetztext durchliest. Die Ausgangsproblematik ist perse nicht das komplette Cookie Handling. Es ist also nicht automatisch jeder Cookie ungeachtet dessen Zweck davon betroffen. Dieses vermeintlich neue Gesetz stellt auch nicht alles auf den Kopf. Primär und nahezu ausschließlich behandelt und regelt dieses neue Gesetz nämlich nur, was das automatische Zustimmen von Cookies anbetrifft. Es liest sich in der Zusammenfassung dieses Gesetzes zwar so, dass es keine Rolle spielen würde, ob mit einem Cookie personenbezogener Daten abgefragt werden oder nicht, aber in der erweiterten Fassung liest sich das wieder ganz anders und fast schon wie ein Widerspruch, da es darin heißt, dass Cookies sehr wohl ohne auch ohne Zustimmung gesetzt werden können, wenn diese zur Funktion notwendig sind. Gegenwärtig wird es in 99 von 100 Fällen meist so auf Webseiten geregelt, dass man keine Möglichkeit hat einem Cookie zu widersprechen, also ein Optout zu machen. Was dieses Gesetz nun eindeutig regelt, ist dass man als Besucher die Möglichkeit haben muss einem Cookie zu widersprechen. Das scheint derzeit das einzige zu sein, was tatsächlich als gesichert gilt, aber eben nicht mehr, zumal es jedem EU Land dann wieder freigestellt sein soll das für sich zu interpretieren. Zumindest könnte man das so herauslesen.

Wie das Adsense & Co regeln will, ist mir allerdings ein Rätsel. Bei jedem erstmaligen Aufruf einer Seite müsste quasi zunächst ein Layer aufpoppen, der dies erstmal abfrägt. Was als Konsequenz darauf passiert, also ob dann noch Anzeigen angezeigt werden, ist mir wie schon gesagt ein Rätsel. V.a. werden im Fall von Adsense ja nicht nur die Google eigenen Anzeigen angezeigt, sondern von unzählig vielen Anbietern

[Theseus]

Es geht nicht um ein Gesetz.

Das Urteil des EuGH lässt keinen Raum für Interpretationen.

Hier die Pressemitteilung: https://curia.europa.eu/jcms/upload/doc ... 0125de.pdf

Eine Lektüre des Urteils dauert deutlich länger

[Bodo99]

Die meisten kleinen Webseitenbetreiber, die Google Analytics und AdSense einsetzen, wissen doch gar nicht mal, wie man technisch eine Opt-In-Lösung umsetzt. Das Urteil ist wieder sowas von an der Realität des digitalen Zeitalters vorbei. Amerika und Asien lacht Europa über seine Rückständigkeit aus.

Mal schauen, wie die großen deutschen Seiten das nun umsetzen. Daran werde ich mich orientieren und hoffen, dass bis dahin keiner abmahnt.

Es ist ein Trauerspiel, was aus dem offenen Internet wird.

[supervisior]

Es geht nicht um ein Gesetz.

Achja? Um was denn dann?

Das Urteil des EuGH lässt keinen Raum für Interpretationen.

Das dachte ich auch erst, aber nur dann, wenn man nur die Zusammenfassung liest. Da wirkt es tatsächlich eindeutig. Im Longtext brauchst Du mind. 2 Rechtsverdreher, um die Eindeutigkeit herauszulesen.

[Bodo99]

Technisch wirklich notwendige Cookies sollen ja weiterhin auch ohne Zustimmung möglich sein. Wenn ich jetzt wegen fehlenden Einnahmen durch Werbung meine Seite schließen muss, sind dann Werbecookies nicht schlussendlich auch im weitesten Sinne technisch notwendig? Kurzum: Keine Werbung -> Keine Einnahmen -> Keine Webseite.

[Theseus]

Achja? Um was denn dann?

Es geht darum, dass sich nicht einmal der Bundesgerichtshof so recht sicher war, wie er mit gesetzlichen Vorgaben umgehen soll.

Deswegen hat er dem EuGH ein paar Fragen, wie das Gesetz konkret zu verstehen ist, vorgelegt.

Diese Fragen hat der EuGH jetzt beantwortet.

Capisce?

[Bodo99]

Übrigens: Keine Webseite speichert Cookies!

Browser speichern Cookies! Mir geht es auf den Sack, dass der ganze Diskurs seit Beginn auf falschen Tatsachen fußt. So ist eine technisch sinnvolle Lösung unmöglich.

Für keinen Browser besteht eine technische Notwendigkeit, irgendetwas mit den Cookies, die eine Webseite ihm sendet, zu tun. Er kann sie auch einfach ignorieren. Zudem wissen Browser schon seit immer,

- wie die Cookies heißen
- welche Werte sie haben
- wie lange sie gespeichert werden sollen
- von welchem Host sie kommen.

Und zwar sowohl vor dem Speichern bzw. nach der Annahme vom Server als auch vor dem Senden an den Server. Es besteht also schon seit jeher die Möglichkeit, mittels einfachen Browserfeatures den ganzen Cookiekram durchzumanagen mit Benutzerinformation, opt-in usw. Schon vor Jahren hätten einfach die drei, vier Browser technisch angepasst werden können. Mit Cookie-OptIn oder wie auch immer es dem Nutzer beliebt.

Stattdessen haben wir unser Netz mit nervigen Skripten zugemüllt, die nicht mal nach Cookies fragen, sondern uns darüber nur informieren. Und dann nicht mal darüber, welche Cookies exakt gespeichert werden, sondern nur, dass sie gespeichert werden. Und jetzt geht es weiter. Die oben genannten Browserfeatures werden jetzt immernoch nicht einheitlich und sicher (*) vom Browser implementiert und bereitgestellt, sondern wir basteln jetzt neue Skripte, die mal mehr, mal weniger gut funktionieren und mal mehr, mal weniger nerven und das ganze Internet noch mehr zumüllen werden.

Ich freue mich schon!

(*) Wenn jede Webseite ihre eigenen Cookie-Opt-In-Skripte verwendet, dann bleibt es immernoch jeder bösartigen Webseite überlassen, Cookies zu speichern, die mit dem Skript nicht abgefragt werden, also ohne dass der Nutzer es mitbekommt. Als Browserfeature ist so etwas komplett ausgeschlossen.

Kurzum: Die Verantwortung für Cookies sollte nicht beim Webseitenbetreiber allein liegen, da auf dem Server keine Cookies gespeichert werden, sondern beim Browser und dessen Nutzer. Meine Meinung.

[staticweb]

> Die Verantwortung für Cookies sollte nicht beim Webseitenbetreiber liegen, da auf dem Server keine Cookies gespeichert werden, ...

Gilt das auch wenn Schadcode ausgespielt wird? Ist dann auch der Browser Schuld, wenn er es nicht erkennt?

> ... sondern beim Browser und dessen Nutzer.

Was kann der Nutzer für seinen Browser? Dann bliebe ja nur noch offline zu bleiben.

Im übrigen gibt es seit einiger Zeit Aktivitäten für Safari + Firefox, Third-Party-Cookies standardmäßig zu blockieren.

https://www.heise.de/ct/artikel/Trotz-n ... 37827.html

[Bodo99]

"Aus dem Urteil kann nun aber nicht geschlossen werden, dass jedweder Zugriff einwilligungsbedürftig ist“, sagt Thomas Duhr, Vizepräsident des Bundesverbands der Digitalwirtschaft (BVDW). Denn zu anderen möglichen Rechtsgrundlagen jenseits der bei Planet49 abgefragten Werbe-Einwilligungen habe sich der EuGH nicht geäußert. "Für deutsche Unternehmen gelten daher weiterhin die Maßstäbe des derzeit geltenden Rechts, also des Telemediengesetzes und der DSGVO“, erklärt Duhr. Als Folge der EuGH-Entscheidung erwartet Duhr eine Zunahme bei den Einwilligungstexten, was dazu führe, dass die Datenverarbeitung immer undurchsichtiger werde." Quelle: https://www.heise.de/newsticker/meldung ... 44202.html

[Bodo99]

"Was kann der Nutzer für seinen Browser?"

Äh ... alles?! Hat er doch installiert und trägt damit auch die Verantwortung für Software auf seinem Rechner und seine Einstellungen der Privatsphäre, Allgemeine Einstellungen, Updates und Sicherheitsupdates. Genauso wie bei Sicherheitsupdates des Betriebssystems auch. Meine Meinung lediglich.

Ansonsten könnte man auch gleichberechtigt fragen: "Was kann der Webseitenbetreiber für Cookies?" Auch alles! Die Verantwortung liegt wohl auf beiden Seiten, finde ich.

[supervisior]

Achja? Um was denn dann?

Es geht darum, dass sich nicht einmal der Bundesgerichtshof so recht sicher war, wie er mit gesetzlichen Vorgaben umgehen soll.

Deswegen hat er dem EuGH ein paar Fragen, wie das Gesetz konkret zu verstehen ist, vorgelegt.

Diese Fragen hat der EuGH jetzt beantwortet.

Capisce?

NIx Capisce!

Im konkreten Fall gab es tatsächlich einen konkreten Fall vor dem EUgh, der auch beschrieben ist worum es dabei ging, worauf dann auch ein Urteil erlassen wurde. Das hat aber auch gleich gar nichts damit zu, ob und was der BGH da gemacht haben soll.

[supervisior]

"Aus dem Urteil kann nun aber nicht geschlossen werden, dass jedweder Zugriff einwilligungsbedürftig ist“

Hat das jemand behauptet?

Denn zu anderen möglichen Rechtsgrundlagen jenseits der bei Planet49 abgefragten Werbe-Einwilligungen habe sich der EuGH nicht geäußert. "Für deutsche Unternehmen gelten daher weiterhin die Maßstäbe des derzeit geltenden Rechts, also des Telemediengesetzes und der DSGVO“, erklärt Duhr. Als Folge der EuGH-Entscheidung erwartet Duhr eine Zunahme bei den Einwilligungstexten, was dazu führe, dass die Datenverarbeitung immer undurchsichtiger werde." Quelle: https://www.heise.de/newsticker/meldung ... 44202.html

Es sieht vielmehr jetzt so aus, dass sich eigentlich nichts verändert seit diesem Gesetz. Das einzige, worum es ja ursprünglich gíng und nur das regelt dieses Gesetz jetzt vermeintlich, dass erstens eine vorausgewählte Zustimmung zu Cookies nicht mehr statthaft wäre und es eine Möglichkeit geben muss Cookie oder Cookies ablehnen zu können. In der Zusammenfassung des Gesetztextes ist noch die Rede davon, dass es dabei keine Rolle spielen würde, ob mittels dieses Cookies personenbezogene Daten abgefragt werden oder nicht, was ja eigentlich heißen würde, dass es keine Ausnahme gäbe. Liest man sich aber die erweiterte Version des Gesetztes durch, liest sich das komplett gegenteilig. Da ist dann wieder die Rede davon, dass sich das dahingehend relativieren würde, ob ein Cookie aus z.B. Technischen Gründen notwendig ist, was dann ja eine Ausnahme wäre.

Der allesentscheidende Punkt ist aber, wenn ein Cookie abgelehnt wird, muss diese Information ja irgendwie und wo gespeichert werden, was ja wieder einen Cookie provoziert, dem dann im Zweifeslfalle wieder eine Option zum An-/ablehnen vorausgehen müsste. Man kann das durchdiskutieren bis zum Abwinken. Es gibt keine geregelte Lösung, die alles berücksichtigt. Irgendwo hängts immer.

Die generelle Lösung wäre ggf., dass Cookies 1. von Drittanbietern generell ausgeschlossen werden müssten und nicht optional durch Browser Einstellung und 2. Cookie nur der Funktion zuführen, wofür er ursprünglich gedacht war. Also nix mehr mit Tracken. Dafür müsste man was neues erfinden, vielleicht ein "cake" anstelle von cookie....

[staticweb]

> Das hat aber auch gleich gar nichts damit zu, ob und was der BGH da gemacht haben soll.

Der BGH muss am Ende entscheiden ob und wie dieses Urteil in das deutsche Recht übernommen werden soll / darf. Der Zeitraum dafür beträgt wohl 2 Jahre.

[Bodo99]

@Supervisor Danke für deine Ausführungen. Teile ich eigentlich auch so. "Cake" ist gut. Du sagst aber immer "Gesetz". Das ist es ja nicht. Nur ein Urteil für einen speziellen Fall. Die Ableitungen daraus sind noch kein Gesetz, auch wenn sich daraus nun ein deutsches Gesetz entwickeln kann. Wie staticweb schon richtig sagt, der BGH muss nun weiter entscheiden, wobei der nicht anders entscheiden wird, denke ich. Zeitraum 2 Jahre und dann nochmal 2 Jahre bis zum Gesetz = 4 Jahre. Immerhin etwas Zeit, um weiterhin auf dem klassischen Weg Geld zu verdienen und unsere Projekte auszubauen. Mehr will ich ja auch nicht. Ich will niemanden böse Cookies reinwürgen. Ich habe ohnehin nur 3-4 Cookies: Analytics, AdSense, Vibrant und ab und zu nochmal eine Youtube-Einbindung. Das da nun so ein Gewese drum gemacht wird. Wenn es nicht real wäre, würde ich denken, ich sitz im falschen Film.