EuGH-Urteil: Opt-in-Pflicht für Cookies

 

Ich nutze übrigens dieses Plugin https://store.shopware.com/mnd9813405665247/cookie-hinweis-mit-opt-in/opt-out.html

und habe jetzt auf optin gestellt. Wenn ich GA löschen würde, wäre ich genau so weit. Denn es aktviert niemand die Cookies…

wie bereits oben gesagt kann man Matomo ohne Cookies betreiben und damit relativ legal ohne Optin fast genauso gutes Tracking wie GA erreichen … 

 

wie bereits oben gesagt kann man Matomo ohne Cookies betreiben und damit relativ legal ohne Optin fast genauso gutes Tracking wie GA erreichen … 

Damit muss ich mich noch befassen. GA soll ja auch ohne Cookies möglich sein. Im Moment fehlt mir dazu aber die Zeit, hab dazu schon einiges in der Leseliste. Dieses „relativ“ in deinem Satz stört mich noch etwas.

@Toric schrieb:

 

wie bereits oben gesagt kann man Matomo 

Damit muss ich mich noch befassen. GA soll ja auch ohne Cookies möglich sein. Im Moment fehlt mir dazu aber die Zeit, hab dazu schon einiges in der Leseliste. Dieses “relativ” in deinem Satz stört mich noch etwas.

GA speichert Trackingdaten bei Google in den USA, so dass selbst ohne Cookie ein Optin nötig ist. Bei Matomo bleibt alles auf Deinem Server, so dass man nach DSGVO eventuell auf berechtigtes Interesse argumentieren könnte und ein Optout reichen könnte.

Natürlich alles relativ da es keine eindeutige Rechtsprechung gibt.

@frimipiso schrieb:

 

Ich nutze übrigens dieses Plugin https://store.shopware.com/mnd9813405665247/cookie-hinweis-mit-opt-in/opt-out.html

und habe jetzt auf optin gestellt. Wenn ich GA löschen würde, wäre ich genau so weit. Denn es aktviert niemand die Cookies…

wie bereits oben gesagt kann man Matomo ohne Cookies betreiben und damit relativ legal ohne Optin fast genauso gutes Tracking wie GA erreichen … 

Kann man Matomo in Kombination mit anderen Google Diensten Nutzen, wie AdWords und Search Console? Vermutlich nicht. Gerade die Kombination mit AdWords für Werbung und Remarketing macht Analytics so interessant. 

Ganz ehrlich: ich als Konsument (nicht in meiner Rolle als Shopbetreiber), habe zielgruppengesteuerte Werbung als positiv empfunden, weil mir nicht mehr jeder Müll angezeigt wurde, sondern zusehends mehr Anzeigen, die meinen Interessen entsprechen. In der breiten Masse wird das dann wohl bald Vergangenheit sein, weil kaum jemand mehr die entsprechenden Analytics- und Remarketing-Cookies aktivieren wird.

Die meisten Leute denken doch, wenn sie diese Cookies ablehnen, dass sie keine oder weniger Werbung bekommen (als würden sie einen Sticker “Keine Werbung einwerfen” auf den Briefasten kleben). Das ist natürlich ein Trugschluss, aber erklär das den Menschen mal.

Es ist nur das Ende der gezielten und interessengesteuerten Werbung. Die EU schafft vebraucherorientierte Werbung ab mit dieser Regelung. Zurück ins letzte Jahrhundert. Die Leute bekommen nicht mehr Werbung angezeigt die sie potentiell tatsächlich interessieren könnte, sondern im Gießkannen-Prinzip blindlings ausgestreuete Werbeanzeigen “alles für jeden”.

Für die Verbraucher bedeutet das vermehrt irrelevante Werbung die sie nicht ansatzweise interessiert. Und für Werbetreibende bedeutet es mehr Streuverluste und geringerer return-on-adspend.

Der Datenschutz-Vorteil der dem gegenübersteht ist doch lächerlich gering. Was haben die Verbraucher am Ende davon? Das ist Datenschutz nur zum Selbstzweck, ohne spürbaren Nutzen für die Beteiligten. 

1 Like

Der Datenschutz-Vorteil bei solchen Urteilen ist immer lächerlich… 

Hier nochmal etwas zum aktuellen Stand:

Das Urteil betrifft explizit Tracking und Marketing Cookies, wie z.B. “Google Analytics”. Hier ist ein Opt-In zwingend notwendig und dies sollte am besten auch in Form eines Consent-Tools definierbar sein - also konkret welche Marketing Cookies zugelassen werden und welche nicht. Der “default”-Wert sollte immer “nicht zulassen” sein und der Kunde muss expizit der Verarbeitung zustimmen. Technisch notwendige Cookies wie Session, CSRF-Token usw. können weiterhin gesetzt werden.

Das Thema Paypal ist hier etwas strittiger, aber auch hier verweist der Anwalt darauf, dass das Gerichtsurteil sich explizit nur auf Trackingmaßnahmen bezieht:

Nach einer Durchsicht des Quellcodes der Demoseite, der Auswertung der gesetzten Cookies (soweit uns möglich) und einem Abgleich mit Cookie-Datenbanken im Internet (die nicht rechtsverbindlich sind)  scheint  es sich tatsächlich aber bei den gesetzten Cookies um technisch erforderliche Cookies zur Einbindung von Paypal zu handeln. Das kann Ihnen letztlich allerdings nur Paypal verbindlich bestätigen.  Wenn  es sich um technisch erforderliche Cookies handelt, dann halten wir die derzeitige Umsetzung für rechtlich zulässig. Denn es kommt darauf an, ob der Kunde die Erbringung des Dienstes „Webshop“ ausdrücklich wünscht und ob die gesetzten Cookies zur Erbringung dieses Dienstes unbedingt erforderlich sind.

Und auf meine Nachfrage ob es unerheblich ist, ob der Kunde mit Paypa zahlen will:

Nach unserer Auffassung ist es tatsächlich unerheblich, ob der Kunde mit Paypal zahlen möchte oder nicht. Als „Dienst der Informationsgesellschaft“ im Sinne des Art. 5 Abs. 3 der ePrivacy-Richtlinie ist unserer Ansicht nach der Shop als Ganzes zu betrachten. Für einen Webshop gehört es zum erwarteten Funktionsumfang, dass verschiedene Zahlungsweisen bzw. Zahlungsdienstleister angeboten werden. Daher ist auch die Einbindung von Paypal zur Erbringung des Webshops technisch erforderlich. Diese Auslegung ist auch mit den jüngsten Entscheidungen des EuGH vereinbar, da es dort stets um Marketing- und Tracking-Maßnahmen ging, die hier gerade nicht betroffen sind.

Ein Restrisiko, dass ein deutsches Instanzgericht vergleichbare Situationen anders beurteilt und dann eine Anpassung erforderlich würde besteht immer. Diesem Fall kann aber dann durch die von Ihnen oben vorgestellte Lösung begegnet werden wenn es erforderlich wird. Wir halten es jedoch nicht für nötig, auf bloßen Verdacht hin die Usability von Shopware bereits jetzt einzuschränken. 

Die konkreten ToDo’s die sich daraus ableiten sind also erstmal ein Consent Tool, mit der man die Cookies entsprechend separat steuern kann. Dies wird den Modus “technisch notwendige Cookies erlauben, restliche nach Erlaubnis setzen” dann entsprechend erweitern. Das werde ich in die nächste Version mit reinkippen.

Alles weitere ist eher ein Thema was wir dann nochmals mit Paypal klären müssen. Wäre dann aber generell ein Sidetask und losgelöst von diesem Urteil zu sehen. 

1 Like

Dann hoffe ich, dass die Pluginentwickler da nun nachziehen und, insbesondere ihre Google-Lösungen, entsprechend an das SW-Cookiebanner anpassen, denn leider wird viel zu häufig die Einstellung noch ignoriert. 

[@Moritz Naczenski](http://forum.shopware.com/profile/14574/Moritz Naczenski „Moritz Naczenski“)‍ könnt ihr als Shopware dann evtl. eine Info an alle Pluginhersteller rausgeben? Das muss ja dann auch zügig umgesetzt werden, im besten Fall gleichzeitig zu euren Changes. Ein Consent-Tool bringt ja nichts, wenn kein Plugin es ansteuert.

1 Like

Mit dem Tag Manager kann man einen Opt-Out bzw Opt-In selbst realisieren: https://www.sellerboost.de/news/tracking-opt-out-mit-dem-google-tag-manager-dsgvo-konform

Das mag vielleicht nicht so bequem sein, wie eine Lösung, die man mit einem Klick installiert und eventuell muss man sogar jemanden damit beauftragen. Oder man wartet halt auf eine All-In-One Lösung und nutzt die bestehenden so lange einfach nicht mehr. Entwickler von kostenloser Open-Source Software, die vertraglich komplett ungebunden sind, kann man da doch nicht in die Pflicht nehmen. Die EU ist nicht das Zentrum der Galaxie. Wenn man nämlich jetzt anfängt Opt-Ins/Opt-Outs, Modals, Banner oder irgendwelche Hinweistexte direkt in einem Plugin zu integrieren, macht es die Pflege und Wartung eines solchen Plugins, insbesondere wenn es kostenlos ist, um ein vielfaches aufwändiger. Ein reines Backend-Plugin als Tracking-Lösung, einmal installiert, wird mit hoher Wahrscheinlichkeit überall gleich laufen. Doch Frontend-Elemente sehen in jedem Shop anders aus. Da passt dann hier die Farbe nicht, da wird der Banner falsch platziert, der Text ist zu klein usw. Und das landet dann alles zusätzlich beim Open-Source Entwickler als Anfragen, die unglaublich Zeit fressen. Ich mag einfach nicht mehr für den Irrsinn der EU bluten.

Statt auf den Google Opt-Out-Cookie zu horchen und dann das Tracking abzustellen, müsste man umgekehrt auf das allowCookie-Cookie von Shopware horchen und wenn dieses vorhanden ist, erst dann das Tracking beginnen und entsprechende GA-Cookies ablegen. 

Hallo, 

@Moritz Naczenski schrieb:

Die konkreten ToDo’s die sich daraus ableiten sind also erstmal ein Consent Tool, mit der man die Cookies entsprechend separat steuern kann. Dies wird den Modus „technisch notwendige Cookies erlauben, restliche nach Erlaubnis setzen“ dann entsprechend erweitern. Das werde ich in die nächste Version mit reinkippen.

Kann sich der Besucher dann über dieses Consent Tool jederzeit umentscheiden? Also eine gesonderte Seite, wo er später wahlweise Cookies abbestellen oder dazubestellen kann?

Ein Cookiebanner reicht in dem Fall nicht mehr aus.

VG

Also bei dem von mir genutzten Plugin kann man dieses Fenster jederzeit über Links im Shop aufrufen. Die Links kann man platzieren, wo man möchte. Ich hab sie z.B. in den Datenschutzhinweisen und einmal als Menüpunkt unter Service/Hilfe.

Aus meiner Sicht wäre das Banner gar nicht von Nöten, wenn statt dessen direkt dieses Fenster aufginge. Würde auch eher dazu führen, dass Kunden etwas aktivieren. Wenn die Privatsphäreeinstellungen erst über den Link aufgerufen werden müssen, macht das doch kein Mensch.

Wenn ich eine Möglichkeit finde oder der Pluginanbieter einen zusätzlichen Text in dem Fenster zulassen würde, würde ich das Banner weglassen.

@enerSpace schrieb:

Hallo, 

@Moritz Naczenski schrieb:

Die konkreten ToDo’s die sich daraus ableiten sind also erstmal ein Consent Tool, mit der man die Cookies entsprechend separat steuern kann. Dies wird den Modus “technisch notwendige Cookies erlauben, restliche nach Erlaubnis setzen” dann entsprechend erweitern. Das werde ich in die nächste Version mit reinkippen.

Kann sich der Besucher dann über dieses Consent Tool jederzeit umentscheiden? Also eine gesonderte Seite, wo er später wahlweise Cookies abbestellen oder dazubestellen kann?

Ein Cookiebanner reicht in dem Fall nicht mehr aus.

VG

So ist zumindest der Plan. 

1 Like

@Moritz Naczenski schrieb:

Die konkreten ToDo’s die sich daraus ableiten sind also erstmal ein Consent Tool, mit der man die Cookies entsprechend separat steuern kann. Dies wird den Modus “technisch notwendige Cookies erlauben, restliche nach Erlaubnis setzen” dann entsprechend erweitern. Das werde ich in die nächste Version mit reinkippen.

Ich hoffe, dass es das auch für altere Versionen gibt. 

@Moritz Naczenski schrieb:

@enerSpace schrieb:

Hallo, 

@Moritz Naczenski schrieb:

Die konkreten ToDo’s die sich daraus ableiten sind also erstmal ein Consent Tool, mit der man die Cookies entsprechend separat steuern kann. Dies wird den Modus “technisch notwendige Cookies erlauben, restliche nach Erlaubnis setzen” dann entsprechend erweitern. Das werde ich in die nächste Version mit reinkippen.

Kann sich der Besucher dann über dieses Consent Tool jederzeit umentscheiden? Also eine gesonderte Seite, wo er später wahlweise Cookies abbestellen oder dazubestellen kann?

Ein Cookiebanner reicht in dem Fall nicht mehr aus.

VG

So ist zumindest der Plan. 

 Für welche Shopware Versionen wird es dieses Consent Tool geben? Wir müssen noch Shopware 5.4/5.5 nutzen weil DomainFactory zwar PHP Versionen anhebt, aber letztendlich leicher nicht MYSQL, was für den Betrieb von 5.6 notwendig ist :frowning:

@maron‍ richtig, DomainFactory supportet kein MySQL 5.7 für Shopware 5.6. Es ist ja auch nicht abzusehen, wann 5.7 mal unterstützt wird… ist ja nicht so, dass 5.7 bereits 4 Jahre alt ist…

wir als Agentur zwingen deshalb alle unsere Shopware-Kunden, die bei DF sind, das Hosting zu wechseln. Bei DF gehostete Shops sind sowieso nicht performant

Richtig, ich hab damals den Umzug von dF zu z.B. Timmehosting keine Sekunde bereut. Der Aufwand wird überschätzt, und der Performancegewinn fürs gleiche Geld war deutlich. Zudem ist Timme (und andere gute Shopware-Hoster) bzgl. der Einstellmöglichkeiten wesentlich flexibler.

1 Like

Hallo,

laut dem Händlerbund muss nun extrem viel Cookie Hinweis und erlaube Politik gemacht werden, Panikmache???

https://www.haendlerbund.de/de/downloads/cookie-einwilligung-how-to.pdf

Zitate:

“Zudem hat der betroffene Nutzer das Recht, die Einwilligung jederzeit zu widerrufen und muss darüber vor Abgabe der Einwilligung informiert werden. Der Widerruf hat dabei in ebenso einfacher Weise wie die Einwilligung selbst zu erfolgen. Die erteilten Einwilligungen müssen protokolliert werden, so dass im Streitfall der Nachweis einer vorliegenden Einwilligung erbracht werden kann.” 

Wie kann den Shopware bitte dem Apache2 sagen das er ab nun keine Cookies mehr nutzen darf und das die Software bitte nur noch “halb funktionieren” darf?

Zitat aus einer Email:

“Eine wirksame Einwilligung muss freiwillig und aktiv erteilt werden. Ferner muss sie so formuliert sein, dass der Betroffene erkennen kann, in was genau er einwilligt. Im konkreten Fall war das Häkchen für die Einwilligung zur Verwendung von Cookies bereits vom Unternehmen gesetzt. Wenig überraschend entschied das Gericht, dass dies keine aktive Einwilligung darstellt.”

Ergo fallen Option 1 und 2 aus der Doku hier flach nur noch 3 ist Rechtens: https://docs.shopware.com/de/shopware-5-de/einstellungen/datenschutz#cookies

 

Hier ist das genaue Gerichtsurteil, der Händlerbung hat hier evtl auch mal wieder sehr frei interpretiert, statt den Fakten zu folgen:

http://curia.europa.eu/juris/document/document.jsf?text=&docid=218462&pageIndex=0&doclang=de&mode=req&dir=&occ=first&part=1&cid=1439205

Pressemitteilung:

https://curia.europa.eu/jcms/upload/docs/application/pdf/2019-10/cp190125de.pdf

Frage (ist diese irgendwo beantwortet?):

Wir haben den Google Tag Manager im Einsatz. Hierüber ist Google Analytics und andere Sachen eingebunden (auch Tracking der User):

Muss das Auswahlfenster den Tag Manager und Google Analytics beinhalten? Problem: egal welches Plugin man für die Cookie Steuerung nutzt: wir sehen immer nur die Eingabe von Google Analytics, aber nicht die Container-ID für den Tag Manager.

Vielleicht hilft das den einen oder anderen weiter. Wir haben zu dem Thema unseren Anwalt per Facebook befragt. Die Antwort kam prompt:

https://www.facebook.com/loos.recht/posts/2637734509590590

Ich leite erst einmal davon ab, wie aber auch schon von [@Moritz Naczenski](http://forum.shopware.com/profile/14574/Moritz Naczenski „Moritz Naczenski“)‍ festgestellt, dass das ganze Thema evaluiert werden muss und das Urteil in der Form anscheinend noch nicht auf alle anwendbar ist. Letztlich muss ja der BGH erst einmal darüber entscheiden. (Meine persönliche Meinung)

Grundsätzlich gilt aber für jeden, wenn eine gewisse Unsicherheit besteht, fragt euren Anwalt (oder unseren) und setzt die Themen entsprechend um. Eine fundierte Rechtsberatung wird euch hier wahrscheinlich keiner ersetzen können.

@FloC3‍ schaut doch mal bei uns vorbei  Smile

VG