Schau einer *guck*
Der Moritz lässt sich die Cookies via Console anzeigen, ich aber per „Rechtsclick auf dem Schloss in der URL-Bar“.
Dort bekomme ich Cookies angezeigt, in der Console nicht. *Was mir zu Denken gibt*
Aber im Response sieht man ja auch, das zumindest zwei gesetzt werden.
Eigenartig. Also ich glaube Session und ua-device werden im Stack gesetzt und dann direkt wieder entfernt per Javascript. Müsste ich nochmal in Erfahrung bringen. Aber andere Cookies werden bei mir auch nicht gesetzt.
Dann geht es ja auch erstmal nur um Tracking-Cookies und nicht um technisch notwendige Cookies. Insofern sollte man mit „technisch notwendige Cookies zulassen“ auf der sicheren Seite sein, wenn man Plugins einsetzt die quasi die Cookie Bar auch unterstützen (wie nun kürzlich SwagGoogle). Dies war aber nach meiner Aufassung auch bereits vor dem Urteil so (mal abgesehen von irgendeiner Argumentation über „berechtigtes Interesse“). Unabhängig davon schauen wir uns natürlich nochmal die Plugins von uns an und werden das nun schrittweise nachziehen.
Unabhängig davon, wie nun die endgültige Lösung aussieht, wird es natürlich immer eine geben, die auch in Shopware umgesetzt wird.
Übergangsfrist? Wie kommst du drauf? Das Urteil war Folge einer Abmahnung, also es ist in dieser Sache bereits vor dem Gerichtsverfahren abgemahnt worden. Und das Gericht hat bestätigt, dass die Abmahnung berechtigt und juristisch begründet war. Da gibt’s keine Schonfrist. Vielmehr ist so ein Urteil als Startschuss für Abmahnabzocker zu sehen, die dann kaum noch ein Risiko eingehen, dass ihre Abmahnung evtl. vor Gericht kassiert werden könnte. Die können jetzt relativ risikols abmahnen, weil es höchstrichterliche Rechtsprechung gibt auf die sie sich berufen können.
Darum ist nach solchen Urteilen schon immer Eile geboten, man muss schnell handeln.
1.) Informationen und Auswahlmöglichkeiten für alle eingesetzten Cookies
Wird ein Banner oder Tool beim erstmaligen Aufruf einer Website angezeigt, muss in diesem Banner für jedes eingesetzte Cookie eine sprachlich einfach gefasste Information darüber ergehen,
welche Verarbeitungsvorgänge mit dem Cookie vorgenommen werden,
welche Akteure an den Verarbeitungsvorgängen des Cookies beteiligt sind und
welche Funktionen diese Akteure erfüllen
Jedes Banner oder Tool muss über ein Auswahlmenü verfügen, bei dem jedes eingesetzte Cookie einen eigenen aktivierbaren Menüpunkt darstellt. Keine Auswahlmöglichkeit darf voraktiviert bzw. „angetickt“ sein.
das hier mit dem Auswahlmenü (letzter Satz) macht mir halt Sorgen.
Wenn man Matomo verwendet, kann man auf Tracking ohne Cookie unschalten und verliert nur die Erkennung wiederkehrender Benutzer, was verschmerzbar ist:
Alle anderen SW Cookies sind meiner Ansicht nach technische Cookies. Nutzer von Google Analytics und anderen Trackern haben natürlich Probleme …
Alle anderen SW Cookies sind meiner Ansicht nach technische Cookies. Nutzer von Google Analytics und anderen Trackern haben natürlich Probleme …
Kommt drauf an wie man „alle anderen SW Cookies“ definiert. Die der im Shop genutzten Payment-Provider sind jedenfalls technisch nicht notwendig, solange sich der Kunde nicht explizit für diese eine Zahlart entscheidet. Dennoch setzen alle Payment-Plugins ihre zahlreichen Cookies schon beim ersten Laden des Shops. Das ist mindestens genauso ein Problem wie das Tracking durch Google, Facebook, etc…
Also die erste Antwort ist erstmal, dass das Urteil nur Tracking Cookies betrifft und technisch notwendige auch weiterhin gesetzt werden dürfen. Eine ausführliche Antwort bekomme ich noch. Das Thema „Iframe“ ist allerdings deutlich schwieriger lt. Rechtslage wäre das hier der Fall:
Die in Bezug genommenen Paypal Cookies sind ja vermutlich technisch erforderliche um Paypal überhaupt nutzen zu können? Dann braucht es hier auch keine Einwilligung irgendeiner Art. Wenn es Werbecookies sind die Paypal setzt, dann müsste dafür eine Einwilligung eingeholt werden. Allerdings grundsätzlich durch Paypal, wenn deren Website über einen iframe eingebunden wird, da Paypal Dienstanbieter der geframten Website ist.
Aber auch das werde ich im Detail nochmal hinterfragen.
Die Tendenz geht dahin, dass man mit dem Modus „technisch notwendige Cookies erlauben“ weiterhin auf dem richtigen Weg ist. Natürlich müssen sich da die Anbieter dran halten, wenn diese einen Cookie setzen, der die eigene Webseite betrifft.
Unabhängig davon Wäre eine Art Consent-Box, mit der man einzelne Cookies separat zulassen kann, sicherlich eine gute Erweiterung.
Unabhängig davon Wäre eine Art Consent-Box, mit der man einzelne Cookies separat zulassen kann, sicherlich eine gute Erweiterung.
ich glaube das ist nicht nur eine gute Idee, sondern zwingend erforderlich. Natürlich müssen sich in diese Auswahl dann auch irgendwie Zahlungsanbieter, Google Analytics Plugins & Co einklinken.
Die in Bezug genommenen Paypal Cookies sind ja vermutlich technisch erforderliche um Paypal überhaupt nutzen zu können? Dann braucht es hier auch keine Einwilligung irgendeiner Art.
Dann erklär mal einem der zahlreichen PayPal-aus-Prinzip-Verweigerer, dass es technisch notwendig sei, dass PayPal schon Cookies setzt beim ersten Laden der Seite und Rumstöbern im Shop. Wenn ein Kunde nicht via PayPal zahlen möchte, ist aus technischer Sicht kein PayPal-Cookie notwendig. Das ließe sich im Zweifelsfalle vor Gericht und nicht schönreden, wenn ich als Shopbetreiber deswegen abgemahnt werde. Wie sollte da eine Notwendigkeit argumentiert werden? Der Shop funktioniert ansonsten auch ohne PayPal, deren Cookies sind für den Betrieb nicht notwendig. Ganz klare Sache.
also mit meiner gestern dargestellten PayPal-Einbindung habe ich keine Cookies von PayPal drin. Nicht mal wenn ich es nutze.
aber stimmt schon, PayPal-Cookies sind nicht technisch nötig. Nicht mal im Checkout, denn man könnte ja auch argumentieren, ich kann auch eine andere Bezahlart wählen.
Naja, ich glaube darüber brauchen wir nicht diskutieren, da es ohnehin noch in Klärung ist, wie ich oben schrieb. Ihr braucht auch da gegenüber mir nichts zu rechtfertigen, ich hole erstmal die Informationen eines Rechtsbeistandes ein und das war die erste Antwort. Was danach dabei rauskommt, ist ja völlig losgelöst davon, denn „rechtlich notwendig“ und „aus Usersicht erforderlich“ sind zwei verschiedene Dinge. Heißt ja nicht unbedingt, dass man sich dann grundsätzlich vor einer Umsetzung verwehrt.
Es ist wohl erstmal so, dass wenn die Cookies von der Domain paypal.com gesetzt werden, dass diese auch für die Cookie Hinweise verantwortlich sind. Mehr steht da auch erstmal nicht. Ob das für die Zahlung notwendig ist usw. muss man dann eh im Nachgang klären und auch zu welcher Zeit das notwendig ist. Aber es fängt ja schon damit an, dass es ohnehin keiner versteht, dass auf der Seite www.shop.com Cookies für paypal.com gesetzt werden, aber www.shop.com da keinerlei Verantwortung für trägt.
Und wie oben geschrieben, wird das noch im Detail geklärt
Und ja - das Urteil ist gerade raus, bisher erfüllt kaum jemand diese Anforderungen - selbst die Seiten die solche Blogposts veröffentlichen nicht. Insofern muss natürlich gründlich eine Lösung evaluiert werden und damit beschäftigen sich ja gerade auch Fachanwälte. Und die Lösung die da als sinnig erachtet wird, wird dann auch ins Produkt fließen. Einen schnellschuss gibt es da nicht.
Es ist wohl erstmal so, dass wenn die Cookies von der Domain paypal.com gesetzt werden, dass diese auch für die Cookie Hinweise verantwortlich sind. Mehr steht da auch erstmal nicht.
das macht mich gerade etwas stutzig … ist dann Google auch Verantwortlich wenn es über ein Analytics-Plugin Cookies bei mir im Shop setzt?
also mit meiner gestern dargestellten PayPal-Einbindung habe ich keine Cookies von PayPal drin. Nicht mal wenn ich es nutze.
Nur ist diese Lösung leider mit Komfort-Einbußen verbunden, aus denen ich Conversionverluste befürchte. Der Express-Button wird bei uns recht häufig genutzt. Davon abgesehen bietet PayPal da auch individuelle Konditionen, wenn man den Express-Button einsetzt, weil sie damit ihre Chance erhöhen vor anderen Zahlungsmitteln zu Ende des Checkouts gewählt zu werden.
Insgesamt bedeutet dieses Cookie-Urteil Komfort-Einbußen für den Shop-Besucher, und Conversioneinbußen für den Shop-Betreiber, wie auch immer man es am Ende anstellt. Es gehen Komfort-Features für den Nutzer verloren und Marketing- und Analyse-Funktionen für den Betreiber. Den Gewinn in puncto Datenschutz sehe ich als lächerlich gering an dagegen. Pro&Contra gegeneinander abgewogen würde mein Urteil klar anders ausfallen, aber mich fragt ja keiner.
Es ist wohl erstmal so, dass wenn die Cookies von der Domain paypal.com gesetzt werden, dass diese auch für die Cookie Hinweise verantwortlich sind. Mehr steht da auch erstmal nicht.
das macht mich gerade etwas stutzig … ist dann Google auch Verantwortlich wenn es über ein Analytics-Plugin Cookies bei mir im Shop setzt?
Ich glaube das ist ein feiner, aber keliner Unterschied. Wenn etwas in einem iframe geladen wird, setzt die Seite selbst die Cookies (also die Seite aus dem Frame), bei Javascript wie Analytics setzt deine Seite den Cookie (soweit ich es verstehe). Aber genau den Case habe ich auch nochmal zur Aufklärung angefragt, da er ja an sich schwammig ist. Also Google Tracking vs. Iframe.
Es ist wohl erstmal so, dass wenn die Cookies von der Domain paypal.com gesetzt werden, dass diese auch für die Cookie Hinweise verantwortlich sind. Mehr steht da auch erstmal nicht.
Das halte ich für eine Fehleinschätzung. Ich als Shopbetreiber bin dafür verantwortlich, dass PayPal dieses Cookie auf meiner Website setzen darf. Und ich bin spätestens seit diesem Urteil dafür verantwortlich, dem Besucher die Wahlmöglichkeit zu geben, ob er das möchte. Die Verantwortung liegt immer beim Shopbetreiber, nicht bei PayPal.
Es ist wohl erstmal so, dass wenn die Cookies von der Domain paypal.com gesetzt werden, dass diese auch für die Cookie Hinweise verantwortlich sind. Mehr steht da auch erstmal nicht.
das macht mich gerade etwas stutzig … ist dann Google auch Verantwortlich wenn es über ein Analytics-Plugin Cookies bei mir im Shop setzt?
Ich glaube das ist ein feiner, aber keliner Unterschied. Wenn etwas in einem iframe geladen wird, setzt die Seite selbst die Cookies (also die Seite aus dem Frame), bei Javascript wie Analytics setzt deine Seite den Cookie (soweit ich es verstehe). Aber genau den Case habe ich auch nochmal zur Aufklärung angefragt, da er ja an sich schwammig ist. Also Google Tracking vs. Iframe.
Beim ersten Aufruf meiner Startseite gibt es keinen PayPal-iFrame, oder? Wo wäre der? PayPal setzt das Plugin da nicht in einem iFrame, oder doch?