EuGH-Urteil: Opt-in-Pflicht für Cookies

@dewib schrieb:

@Moritz Naczenski schrieb:

Es ist wohl erstmal so, dass wenn die Cookies von der Domain paypal.com gesetzt werden, dass diese auch für die Cookie Hinweise verantwortlich sind. Mehr steht da auch erstmal nicht.

Das halte ich für eine Fehleinschätzung. Ich als Shopbetreiber bin dafür verantwortlich, dass PayPal dieses Cookie auf meiner Website setzen darf. Und ich bin spätestens seit diesem Urteil dafür verantwortlich, dem Besucher die Wahlmöglichkeit zu geben, ob er das möchte. Die Verantwortung liegt immer beim Shopbetreiber, nicht bei PayPal.

Glaube da bringt jetzt nichts dran herum zu diskutieren :wink:

Ich warte da lieber auf die Einschätzung eines Experten, der sich vor allem mit solchen Dingen im Detail auskennt. Habe da ja entsprechend eine Anfrage laufen und dann kann man das auch beurteilen. Das war halt die erste, kurze Einschätzung die ich bekommen habe.

1 „Gefällt mir“

[@Moritz Naczenski](http://forum.shopware.com/profile/14574/Moritz Naczenski „Moritz Naczenski“)‍ ich geh davon aus, dass es hier (und evtl. auch per Newsletter) ein entsprechendes offizielles Statement von euch gibt sobald ihr was wisst, oder? Man darf gespannt sein…

Also mein Ziel ist es, erst einmal unter dem Radar der Abmahner zu fliegen.

Ich würde als „Verbraucherschützer“ erst einmal die Shops danach abcrawlen, ob irgendwelche Google Analytics, Facebook oder Matomo Cookies gesetzt werden beim ersten Seitenaufruf, ohne Optin. 

Das ist nach dem Urteil eindeutig nicht rechtens und kann mit kleinem Aufwand abgrmahnt werden.

Bei den Cookies der Zahlungsanbieter muss man schon zweimal hinsehen, ob die wirklich technisch benötigt werden. Dies bedeutet für den gemeinen Abmahner Unsicherheit und Mehraufwand, so dass ich das Abmahnrisiko hier als relativ gering einstufe.

Die werden sich zuerst auf die Low Hanging Fruits stürzen.

Also unsere Strategie: Tracking nur noch per Cookieless Matomo und der Rest bleibt wie es ist …

@dewib schrieb:

Übergangsfrist? Wie kommst du drauf? Das Urteil war Folge einer Abmahnung, also es ist in dieser Sache bereits vor dem Gerichtsverfahren abgemahnt worden. Und das Gericht hat bestätigt, dass die Abmahnung berechtigt und juristisch begründet war. Da gibt’s keine Schonfrist. Vielmehr ist so ein Urteil als Startschuss für Abmahnabzocker zu sehen, die dann kaum noch ein Risiko eingehen, dass ihre Abmahnung evtl. vor Gericht kassiert werden könnte. Die können jetzt relativ risikols abmahnen, weil es höchstrichterliche Rechtsprechung gibt auf die sie sich berufen können.

Darum ist nach solchen Urteilen schon immer Eile geboten, man muss schnell handeln.

 

Das Urteil, hatte ich nicht gelesen. War jetzt so aus’m Bauch heraus.

 

Aber Planet49 hat ja auch alles dafür getan, um abgemahnt zu werden :wink:

Und wenn Plugin-Hersteller ( PayPal, etc. ), genauso handeln. Na dann prost Mahlzeit.

 

Aber bis jetzt, sind immer alle Probleme gelöst worden, gerade seitens Shopware.

Daumen hoch !

 

 

 

 

Habe mal eine sehr interessante Interpretation des BVDW gefunden:

https://www.verbaende.com/news.php/BVDW-sieht-im-EuGH-Urteil-zu-Planet49-keine-generelle-Verpflichtung-zur-Einwilligung?m=131092

Der Bundesverband Digitale Wirtschaft (BVDW) e.V. sieht im heutigen Urteil daher keine allgemeingültige Festlegung auf eine Einwilligungspflicht.

(…)

Allerdings geht das Gericht nicht auf die Fragestellung ein, wann diese Einwilligung für das Setzen von Cookies überhaupt erforderlich ist.

(…)

„Aus dem Urteil kann nun aber nicht geschlossen werden, dass jedweder Zugriff einwilligungsbedürftig ist“, sagt BVDW-Vizepräsident Thomas Duhr (IP Deutschland). Denn zu anderen möglichen Rechtsgrundlagen hat sich der EuGH nicht geäußert. „Für deutsche Unternehmen gelten daher weiterhin die Maßstäbe des derzeit geltenden Rechts, also des TMG und der DSGVO“, erläutert Digitalexperte Duhr."

Und weiter:

https://taz.de/Urteil-des-EuGH-zu-Internet-Cookies/!5626831/

Eigentlich sind die EuGH-Vorgaben eindeutig. Dennoch wird mit Spannung erwartet, was der BGH in einigen Monaten mit ihnen anfängt. Denn die Cookie-Richtlinie wurde gar nicht in deutsches Recht umgesetzt, kann also nicht zulasten privater Unternehmen eingesetzt werden. Und im deutschen Telemediengesetz heißt es immer noch, dass die Profilbildung von Internetnutzerinnen generell erlaubt ist, solange keine Klarnamen benutzt werden. NutzerInnen können zwar widersprechen (sogenanntes opt out), müssen aber nicht aktiv zustimmen (opt in).

[@Moritz Naczenski](http://forum.shopware.com/profile/14574/Moritz Naczenski “Moritz Naczenski”)‍

Im übrigen solltet ihr vielleicht auch euren Store anpassen. Wink

Da gibt es auch nur den Banner, der mich darüber informiert, dass ihr fleißig Cookies einsetzt und ich kann dies nur mit “Verstanden” quitieren, während schon fleißig AdWords-, Analytics- und Facebook-Cookies gesetzt werden. 

 

[@Moritz Naczenski](http://forum.shopware.com/profile/14574/Moritz Naczenski “Moritz Naczenski”)‍ Ich gehe davon aus dass es dazu dann einen Blog-Artikel gibt sobal es zu dem Thema ein Update gibt?! Sollte man öffentlichkeitswirksam behandeln und nicht nur in einem Foren Topic Publik machen…

Hachja positives Recht ist schon eine tolle Sache

Klar, wenn es dazu was offizielles gibt, hört man auch davon. Das Urteil ist ja recht neu, dass wird nun erstmal anwaltlich aufbereitet und beurteilt, danach ggf. Lösungen in der Software geschaffen, wenn notwendig und dann auch entsprechend aufbereitet. Aktuell gibt es kein richtig oder falsch, nur viele Vermutungen. Kurzschlussreaktionen bringen hier keinem was. Den Modus "technische Cookies setzen, Rest akzeptieren " sollte man ja eigentlich schon seit der DSGVO nutzen. Ob mehr notwendig ist, wird ja gerade geprüft.

Habe den Bericht auf taz.de auch gelesen. Gilt das nir für B2C oder auch für B2B?

Wird dort nicht ersichtlich.

 

@Oli4 schrieb:

Habe den Bericht auf taz.de auch gelesen. Gilt das nir für B2C oder auch für B2B?

Wird dort nicht ersichtlich.

Irrelevant, gilt für alle Websitebesucher. Ist ja auch logisch. Denn mal rein theroretisch angenommen, es würde nur B2C betreffen und auf B2B-Sites dürftest du ohne Opt-In Cookies setzen: wie würdest du ausschließen, dass ein B2C-Endverbraucher deine B2B-Website ansurft?  Wink Cookies die in dieser Theorie für B2B erlaubt wären, würden beim B2C-Nutzer genauso gesetzt.

Hier ist eine Erklärung von WBK dazu:

 

Ich nutze übrigens dieses Plugin https://store.shopware.com/mnd9813405665247/cookie-hinweis-mit-opt-in/opt-out.html

und habe jetzt auf optin gestellt. Wenn ich GA löschen würde, wäre ich genau so weit. Denn es aktviert niemand die Cookies…

 

Ich nutze übrigens dieses Plugin https://store.shopware.com/mnd9813405665247/cookie-hinweis-mit-opt-in/opt-out.html

und habe jetzt auf optin gestellt. Wenn ich GA löschen würde, wäre ich genau so weit. Denn es aktviert niemand die Cookies…

wie bereits oben gesagt kann man Matomo ohne Cookies betreiben und damit relativ legal ohne Optin fast genauso gutes Tracking wie GA erreichen … 

 

wie bereits oben gesagt kann man Matomo ohne Cookies betreiben und damit relativ legal ohne Optin fast genauso gutes Tracking wie GA erreichen … 

Damit muss ich mich noch befassen. GA soll ja auch ohne Cookies möglich sein. Im Moment fehlt mir dazu aber die Zeit, hab dazu schon einiges in der Leseliste. Dieses „relativ“ in deinem Satz stört mich noch etwas.

@Toric schrieb:

 

wie bereits oben gesagt kann man Matomo 

Damit muss ich mich noch befassen. GA soll ja auch ohne Cookies möglich sein. Im Moment fehlt mir dazu aber die Zeit, hab dazu schon einiges in der Leseliste. Dieses „relativ“ in deinem Satz stört mich noch etwas.

GA speichert Trackingdaten bei Google in den USA, so dass selbst ohne Cookie ein Optin nötig ist. Bei Matomo bleibt alles auf Deinem Server, so dass man nach DSGVO eventuell auf berechtigtes Interesse argumentieren könnte und ein Optout reichen könnte.

Natürlich alles relativ da es keine eindeutige Rechtsprechung gibt.

@frimipiso schrieb:

 

Ich nutze übrigens dieses Plugin https://store.shopware.com/mnd9813405665247/cookie-hinweis-mit-opt-in/opt-out.html

und habe jetzt auf optin gestellt. Wenn ich GA löschen würde, wäre ich genau so weit. Denn es aktviert niemand die Cookies…

wie bereits oben gesagt kann man Matomo ohne Cookies betreiben und damit relativ legal ohne Optin fast genauso gutes Tracking wie GA erreichen … 

Kann man Matomo in Kombination mit anderen Google Diensten Nutzen, wie AdWords und Search Console? Vermutlich nicht. Gerade die Kombination mit AdWords für Werbung und Remarketing macht Analytics so interessant. 

Ganz ehrlich: ich als Konsument (nicht in meiner Rolle als Shopbetreiber), habe zielgruppengesteuerte Werbung als positiv empfunden, weil mir nicht mehr jeder Müll angezeigt wurde, sondern zusehends mehr Anzeigen, die meinen Interessen entsprechen. In der breiten Masse wird das dann wohl bald Vergangenheit sein, weil kaum jemand mehr die entsprechenden Analytics- und Remarketing-Cookies aktivieren wird.

Die meisten Leute denken doch, wenn sie diese Cookies ablehnen, dass sie keine oder weniger Werbung bekommen (als würden sie einen Sticker „Keine Werbung einwerfen“ auf den Briefasten kleben). Das ist natürlich ein Trugschluss, aber erklär das den Menschen mal.

Es ist nur das Ende der gezielten und interessengesteuerten Werbung. Die EU schafft vebraucherorientierte Werbung ab mit dieser Regelung. Zurück ins letzte Jahrhundert. Die Leute bekommen nicht mehr Werbung angezeigt die sie potentiell tatsächlich interessieren könnte, sondern im Gießkannen-Prinzip blindlings ausgestreuete Werbeanzeigen „alles für jeden“.

Für die Verbraucher bedeutet das vermehrt irrelevante Werbung die sie nicht ansatzweise interessiert. Und für Werbetreibende bedeutet es mehr Streuverluste und geringerer return-on-adspend.

Der Datenschutz-Vorteil der dem gegenübersteht ist doch lächerlich gering. Was haben die Verbraucher am Ende davon? Das ist Datenschutz nur zum Selbstzweck, ohne spürbaren Nutzen für die Beteiligten. 

1 „Gefällt mir“

Der Datenschutz-Vorteil bei solchen Urteilen ist immer lächerlich… 

Hier nochmal etwas zum aktuellen Stand:

Das Urteil betrifft explizit Tracking und Marketing Cookies, wie z.B. „Google Analytics“. Hier ist ein Opt-In zwingend notwendig und dies sollte am besten auch in Form eines Consent-Tools definierbar sein - also konkret welche Marketing Cookies zugelassen werden und welche nicht. Der „default“-Wert sollte immer „nicht zulassen“ sein und der Kunde muss expizit der Verarbeitung zustimmen. Technisch notwendige Cookies wie Session, CSRF-Token usw. können weiterhin gesetzt werden.

Das Thema Paypal ist hier etwas strittiger, aber auch hier verweist der Anwalt darauf, dass das Gerichtsurteil sich explizit nur auf Trackingmaßnahmen bezieht:

Nach einer Durchsicht des Quellcodes der Demoseite, der Auswertung der gesetzten Cookies (soweit uns möglich) und einem Abgleich mit Cookie-Datenbanken im Internet (die nicht rechtsverbindlich sind)  scheint  es sich tatsächlich aber bei den gesetzten Cookies um technisch erforderliche Cookies zur Einbindung von Paypal zu handeln. Das kann Ihnen letztlich allerdings nur Paypal verbindlich bestätigen.  Wenn  es sich um technisch erforderliche Cookies handelt, dann halten wir die derzeitige Umsetzung für rechtlich zulässig. Denn es kommt darauf an, ob der Kunde die Erbringung des Dienstes „Webshop“ ausdrücklich wünscht und ob die gesetzten Cookies zur Erbringung dieses Dienstes unbedingt erforderlich sind.

Und auf meine Nachfrage ob es unerheblich ist, ob der Kunde mit Paypa zahlen will:

Nach unserer Auffassung ist es tatsächlich unerheblich, ob der Kunde mit Paypal zahlen möchte oder nicht. Als „Dienst der Informationsgesellschaft“ im Sinne des Art. 5 Abs. 3 der ePrivacy-Richtlinie ist unserer Ansicht nach der Shop als Ganzes zu betrachten. Für einen Webshop gehört es zum erwarteten Funktionsumfang, dass verschiedene Zahlungsweisen bzw. Zahlungsdienstleister angeboten werden. Daher ist auch die Einbindung von Paypal zur Erbringung des Webshops technisch erforderlich. Diese Auslegung ist auch mit den jüngsten Entscheidungen des EuGH vereinbar, da es dort stets um Marketing- und Tracking-Maßnahmen ging, die hier gerade nicht betroffen sind.

Ein Restrisiko, dass ein deutsches Instanzgericht vergleichbare Situationen anders beurteilt und dann eine Anpassung erforderlich würde besteht immer. Diesem Fall kann aber dann durch die von Ihnen oben vorgestellte Lösung begegnet werden wenn es erforderlich wird. Wir halten es jedoch nicht für nötig, auf bloßen Verdacht hin die Usability von Shopware bereits jetzt einzuschränken. 

Die konkreten ToDo’s die sich daraus ableiten sind also erstmal ein Consent Tool, mit der man die Cookies entsprechend separat steuern kann. Dies wird den Modus „technisch notwendige Cookies erlauben, restliche nach Erlaubnis setzen“ dann entsprechend erweitern. Das werde ich in die nächste Version mit reinkippen.

Alles weitere ist eher ein Thema was wir dann nochmals mit Paypal klären müssen. Wäre dann aber generell ein Sidetask und losgelöst von diesem Urteil zu sehen. 

1 „Gefällt mir“

Dann hoffe ich, dass die Pluginentwickler da nun nachziehen und, insbesondere ihre Google-Lösungen, entsprechend an das SW-Cookiebanner anpassen, denn leider wird viel zu häufig die Einstellung noch ignoriert. 

[@Moritz Naczenski](http://forum.shopware.com/profile/14574/Moritz Naczenski „Moritz Naczenski“)‍ könnt ihr als Shopware dann evtl. eine Info an alle Pluginhersteller rausgeben? Das muss ja dann auch zügig umgesetzt werden, im besten Fall gleichzeitig zu euren Changes. Ein Consent-Tool bringt ja nichts, wenn kein Plugin es ansteuert.

1 „Gefällt mir“