Cookies und deutsches Recht

[Whiley]

Der BGH hat angekündigt sein Urteil im Verfahren "planet 49" zu Cookies und dem TMG am 28.5. 2020 zu veröffentlichen.
Das ist das Verfahren bei dem sich der BGH Rat beim EUGH eingeholt hat, der EuGH war der Meinung daß es notwendig wäre eine wirksame Einwilligung zu holen bevor man Cookies setz bzw ausliest (von dem manche meinen, daß es schon Gesetz sei).

Es bleibt nun spannend wie das der BGH dies nun wertet.

 

 

 

 

[SliderFlash]

ist aktuell.

[Whiley]

Der BGH hat sein Cookie-Urteil inzwischen veröffentlicht:

https://www.bundesgerichtshof.de/SharedDocs/Pressemitteilungen/DE/2020/2020067.html?nn=10690868

Ein doch "recht salomonisches" Urteil. Der BGH hat einerseits die Gültigkeit des TMG nicht in Frage gestellt, aber gemeint, daß wohl in dem  eintscheidende Artikel TMG §15 Abs 3 in dem es heißt:

(3) Der Diensteanbieter darf für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer dem nicht widerspricht. […]

der Satz “sofern der Nutzer dem nicht widerspricht”  nach der EuGH-Rechtsprechung als “sofern der Nutzer einwilligt” zu verstehen sei.

Das wirft zwar viele Fragezeichen auf, beseutet aber wohl, daß

alle technisch notwendigen Cookies wie bisher keinen Hinweis oder eine Einwilligung benötigen.

aber

Cookies, die der Erstellung von Nutzerprofilen für Zwecke der Werbung und Marktforschung sowie der bedarfsgerechten Gestaltung von Telemedien (d. h. Webseiten oder Apps) dienen, einer Einwilligung (so genanntes “Opt-In”) der Nutzer bedürfen.

 

[rictools]

Der Tenor des Urteils ist offenbar, daß es für den Besucher nicht komplizierter sein darf, solche Cookies zu verbieten als zu erlauben (auf vielen Websites braucht man dazu derzeit mehrere Klicks).

[wmunich]

Wie kommst Du auf diesen Tenor?

Ich versteh das anders, ein Opt-In bedeutet der User muss explizit eine Aktion durchführen. Sprich er muss das setzen der nicht essenziellen Cookies z.B. durch Selektion der dementsprechende Checkbox erlauben. Diese Checkbox darf auch nicht mehr vorselektiert sein um mit einem dementsprechende/verwirrenden Button Label, wie man es öfter sieht, den User zum bestätigen/zulassen zu bewegen. Wie kommst Du auf "nicht komplizierte, zu verbieten als zu erlauben, mehreren Klicks"?

Schau mal bei der Lufthansa vorbei, nach dem die Jahre lang ~ 50 Marketing-Cookies gesetzt haben gehen sie jetzt einen anderen Weg.

Berichtigt mich gerne wenn ich falsch liege!!

[rictools]

Auf vielen Websites ist (oder war?) es so, daß man einen großen auffälligen Button hat zum Bestätigen aller Cookies ohne nähere Erläuterung und einen unauffälligeren der z. B. mit "Einstellungen" beschriftet ist, dann findet man eine Auswahl von Cookie-Funktionen, die man einzeln an- oder abwählen kann, man muß also mindestens 2-mal klicken und das dürfte jetzt unzulässig sein.

[wmunich]

Sorry aber ich versteh es immer noch nicht, wie kommst Du auf "nicht komplizierte, zu verbieten als zu erlauben, mehreren Klicks"?

• was heisst nicht kompliziert? wo wird das behandelt?
• zu verbieten als zu erlauben? Opt-In ist doch klar oder nicht?
• mehrere Klicks? wo steht das? und was sind mehrere Klicks 1-2-8?

nicht falsch verstehen, wenn das so ist dann scheiß auf Fingerprint und cookie less Dienste aber worauf kann ich mich dabei beziehen wenn mich jemand fragt?

[rictools]

Ich kann jetzt nicht mehr sagen, wo ich das gelesen habe, möglicherweise wurde ein Artikel der kurz nach dem Bekanntwerden des Urteils (ohne Vorliegen genauer Informationen) veröffentlicht wurde geändert.

[Whiley]

Am 29.5.2020 um 9:31 PM schrieb wmunich:

wenn das so ist dann scheiß auf Fingerprint und cookie less Dienste

Das BGH-Urteil bzw die Beurteilung des EUGH gelten nicht nur für Cookies sondern auch für alternative Trackings wie Fingerprints, Google-ID und E-Tags  auch sie sind nur noch nach einer ausdrücklichen Zustimmung des Nutzers zulässig, da sie personenbezogene Auswertungen erlauben!

Ich sehe 2 wichtige Ergebnisse in diesem Urteil.

1.)  Essentielle Cookies (Warenkorb, Spracheinstellungen, Login-Daten) sind nach wie vor ohne Einwilligung und entsp. Hinweise erlaubt.

2.) Alle sonstigen Cookies (Cookies, die der Erstellung von Nutzerprofilen für Zwecke der Werbung und Marktforschung sowie der bedarfsgerechten Gestaltung von Telemedien dienen)  bedürfen einer ausdrücklichen und freiwilligen aktiven (Opt-In)  Einwilligung des Nutzers, die Erteilung der Einwilligung muß im Zweifel nachgewiesen werden.

Ich kann nur jedem raten darüber nachzudenken ob es wirklich noch zeitgemäß ist überhaupt mit Cookie-Technologie zu arbeiten. Als Firefox Ende letzten Jahres sein neuestes Browser-Update mit eingebauter automatischer Blockade (Default-Einstellung)  aller Third-Party-Cookies ausgerollt hat (https://support.mozilla.org/de/kb/verbesserter-schutz-aktivitatenverfolgung-desktop?as=u&utm_source=inproduct), stieg die Tracking-Blockade-Rate auf bis zu 80% bei den Firefox Benutzern an.

Cookies sind überholt, unzeitgemäß und durch die Blockademöglichkeiten der Browser und der Abschaltmöglichkeiten durch die Nutzer in den Bannern statistisch wertlos.

Neue Methoden - die auch rechtskonform sind - gibt es schon (Authentication-Cache, Digitrust Universal ID, semantisches Targeting), das Urteil wird die Weiterentwicklung solcher Technologien beschleunigen. Überholtes Cookie-Tracking brauchen wir nicht mehr.

Also meine Empfehlung: Tracking mit Cookie-Technologie entfernen, dann brauchts keine Cookie Banner mehr, dort wo es nötig ist die neuen Möglichkeiten ausnutzen, oder  zunächst zumindest mal z.B. Google Analytics mit storage: none  (https://www.netprofit.de/blog/google-analytics-ohne-cookies-einsetzen.html) einrichten.

Grüsse
Whiley

[wmunich]

Das ist mir schon bewusst das es nicht wirklich nur um Cookies geht sondern um Fingerprints, Tags, Pixel usw.

7 hours ago, Whiley said:

Cookies sind überholt, unzeitgemäß und durch die Blockademöglichkeiten der Browser und der Abschaltmöglichkeiten durch die Nutzer in den Bannern statistisch wertlos.

Sehe ich so wie Du, ich persönlich bin ein Freund von Seiten wo es grundsätzlich kein Tracking/kein Cookie-Banner gibt und blocke bei mir im Browser auch alles aber an und an hat man einfach die Anforderung auf den Tisch und was dann.

Wenn möglich/ausreichend nutze ich aktuell die Methode die sich etwas mehr in der Grauzone befindet - wenn man das so sagen kann. Matomo auf dem eigenen Server, mit Fingerprint, ohne Cookies, anonynimisierter IP und do not track. Und dann mit der Begründung (schön red) - Matomo wird nur für die Webanalyse eingesetzt und nicht für das erstellen von Nutzerprofile für Zwecke der Werbung und Marktforschung. Schon klar auch nicht save aber hier gehe ich das Risiko ein und spare mir das Cookie-Banner.

7 hours ago, Whiley said:

Neue Methoden - die auch rechtskonform sind - gibt es schon (Authentication-Cache, Digitrust Universal ID, semantisches Targeting), das Urteil wird die Weiterentwicklung solcher Technologien beschleunigen. Überholtes Cookie-Tracking brauchen wir nicht mehr.

Was aber wenn Google Analytics ec mit einer Verknüpfung zu google Adwords und merchant gefordert wird. Da komme ich mit "nicht für das erstellen von Nutzerprofile für Zwecke der Werbung und Marktforschung" wohl nicht sehr weit? Dazu ist mir hier keine Möglichket bekannt das rechtskonform, ohne Opt-In umzusetzen ... dir?

Und wenn ich das umsetzen muss, wie mache ich das am besten und rechtskonform

On 5/29/2020 at 9:31 PM, wmunich said:

• was heisst nicht kompliziert? wo wird das behandelt?
• zu verbieten als zu erlauben? Opt-In ist doch klar oder nicht?
• mehrere Klicks? wo steht das? und was sind mehrere Klicks 1-2-8?

deshalb meine Nachfrage.

7 hours ago, Whiley said:

Also meine Empfehlung: Tracking mit Cookie-Technologie entfernen, dann brauchts keine Cookie Banner mehr, dort wo es nötig ist die neuen Möglichkeiten ausnutzen, oder  zunächst zumindest mal z.B. Google Analytics mit storage: none  (https://www.netprofit.de/blog/google-analytics-ohne-cookies-einsetzen.html) einrichten.

GA mit storage:none läuft auch nur über Fingerprints - sind wir wieder in der Grauzone