ANLEITUNG: Cookie Banner mit Einwilligung für Google Analytics, Matomo & Facebook

[fishnet]

Naja, was denkst du denn wieviele Kunden bei nicht essentiellen oder nicht notwendigen Cookies auf "Akzeptieren" klicken ? Ich denke keine 10%, zumal die Unwissenden sowieso alles ablehnen was vermeintlich bedrohlich ist.

"In God we trust, all others must bring data" 
in diesem Sinne, werde ich dir das Ergebnis gerne nächste Woche mitteilen

[Nice_Stuff]

Das bloße Anzeigen des Widgets setzt bereits ein Cookie, daher wird es nicht angezeigt, wenn Cookie nicht akzeptiert wurden. Logisch, oder?
[...]

Laut Trusted Shops und eigener Recherche ist diese Aussage nicht richtig!. Es wird kein Cookies durch das Laden des Trustbadge gesetzt.

[Timm]

Moin

Ist die Variante mit dem weiß grünen Keks links unten auf https://www.osano.com/cookieconsent die open source Lösung von Osano, die in einer älteren Version hier genutzt wird, oder ist das ein kostenpflichtiges Tool?

Wenn ja dann müsste man nur die neuste Version nutzen und hätte eine kostenlose Cookie Lösung, die nach "Unbedingt erforderlich", Analytik, Marketing und Personalisierung die Cookies einzeln einstellbar macht.

Gruß Timm

[Tomcraft]

Das ist die kostenpflichtige Version.
Wir setzen hier die aktuelle OpenSource Version 3.1.1 ein.

Grüße

Torsten

[Karl1]

Hallo Zusammen,
ich habe mal die in diesem Thread immer wieder genannten Punkte aufgegriffen und versucht diese mit Cookieconsent umzusetzen.

Anbei ein Paket mit den veränderten Dateien für "tpl_modified" und den angepassten Sparachdateien.

In der general_bottom.js.php kann man nach folgendem Muster Funktionen konfigurieren die Cookies im Shop erstellen.

Code: Javascript  [Auswählen]

        window.cookieconsent.initialise({
                ...
                cookie_functions: [
                        {
                                name: 'google',
                                title: 'Google',
                                text: 'Hier kommt ein Erklärungstext warum wir Google benutzen!',
                                cookies: [
                                        [/^_ga.*$/],
                                        [/^_gi.*$/],
                                ],
                        },
                        {
                                name: 'matomo',
                                ...
                        },
                ],
                ...
 

Diese Funktionen sind anschließend in einem Popup-Fenster vom Kunden aus- oder abzuwählen.

[ Für Gäste sind keine Dateianhänge sichtbar ]

Die ausgewählten Funktionen werden als Wert in das Cookie "MODtrack" übernommen.
Nach Abwahl von bereits gesetzten Cookies wird versucht diese zu löschen.

Durch meine Änderungen ist der Rückgabewert der Funktionen "onInitialise" und "onStatusChange" nicht "boolean", sondern ein Array mit erlaubten Funktionen - z. B. ["deny", "google", "matomo", "facebook"] oder ["allow", "google", "facebook"].
Dadurch lassen sich jetzt Scripts einzeln auf Erlaubnis prüfen

Code: Javascript  [Auswählen]

        function TrackingScripts(cookie_settings) {
                if ($.isFunction(window.TrackingGoogle) && (cookie_settings.indexOf('allow') >= 0 || cookie_settings.indexOf('google') >= 0)) {
                        TrackingGoogle();
                } ...

Wie man den neuen Rückgabewert auf PHP-Seite auswertet und in die Session übernimmt habe ich noch nicht weiter verfolgt.
Nur wenn das Modified-Team diese Variante unterstützt macht es Sinn weiterzumachen.

Gruß Karl

[Timm]

Klasse Karl. Das geht doch schonmal in die richtige Richtung. Ohne dass ich genau weiß, ob das am Ende überhaupt rechtlich notwendig sein wird. Aber die Bezahlcookieconsenttools machen es ja auch so. Vielleicht muss man das dann noch aufteilen in Cookie Kategorien.

Mir gefällt, dass man auf akzeptieren klicken kann. Das lässt mich vermuten, dass alle Cookies erstmal angehakt sind und erlaubt wären, sobald der Kunde auf akzeptieren klickt. Ich denke die meisten Nutzer haben keine Lust sich das durchzulesen und die Haken zu entfernen. Es gibt auch bei den Bezahllösungen unterschiedliche Wege. Einmal sind zuerst alle Haken weg und der Kunde muss alle setzen, was aber vermutlich dann viel weniger passiert, oder es sind alle Haken gesetzt und der Kunde muss "nur" akzeptieren klicken. Ich denke der zweite Weg ist auf jeden Fall der mit der höheren Wahrscheinlichkeit, dass mehr Cookies (vielleicht auch aus Faulheit) erlaubt sind und man somit mehr Auswertungsmöglichkeiten hat. Ob das rechtlich so korrekt ist kann ich nicht einschätzen.

Gruß Timm

[Tomcraft]

Mir ist bisher keine Quelle bekannt, die besagt, dass man die Cookies einzeln aufgliedern muss. Ich bin mir auch nicht sicher, ob man damit den Otto-Normal-Internetanwender nicht überfordert, wenn man ihm hier noch 4-10 separate Checkboxen anbietet.

Grüße

Torsten

[swolfram [templatix]]

Naja, irgendwie geht das schon so hervor, das man über alle Cookies genau informieren muss. Es hieß ja auch vorher schon, das über Art und Umfang der eingesetzten Cookies zu informieren ist.

[...]
Zunächst stellte das Gericht klar, dass die Wirksamkeit von Cookie-Einwilligungen maßgeblich davon abhänge, dass der Nutzer bei der Einwilligungserteilung über alle das konkrete Cookie betreffenden Informationen verfüge. Diese Informationen müssten den Nutzer vom Umfang her in die Lage versetzen, die Konsequenzen einer etwaigen von ihm erteilten Einwilligung leicht zu bestimmen, und gewährleisten, dass die Einwilligung in voller Kenntnis der Sachlage erteilt werde. Insofern müssten Sie insbesondere über die Funktionsweise des jeweiligen Cookies aufklären.

Um nun dem Nutzer eine fundierte Entscheidung über die Tragweite seiner Einwilligung zu ermöglichen, stellten sich Informationen über die Funktionsdauer und eine genaue Bezeichnung der Empfänger von mittels Cookies gesammelten Informationen als elementare Bestandteile des verpflichtenden Informationsprogramms dar.
[...]
Um wirksam zu sein, muss die Cookie-Einwilligung nicht nur ausdrücklich (etwa durch das aktive Setzen eines Häkchens) erteilt werden, sondern auch und vor allem auf Basis umfangreicher Informationen zur Funktionsweise des Cookies ergehen. Zu diesen Informationen zählen insbesondere die Funktionsdauer und die Empfänger der durch das Cookie verarbeiteten Daten.
[...]

Quelle: EuGH: Cookie-basierte Anwendungen weitgehend einwilligungspflichtig

[noRiddle (revilonetz)]

Würde ich auch so verstehen.
Für genauso wichtig halte ich allerdings das schon mehrfach angesprochene Löschen von gesetzten Cookies nach Umentscheidung des Besuchers.
Mit Verlaub, Ihr stellt euch ein bischen steif mit dem Thema hier, wertes modified-Team.
Es gab bislang für alles sehr gute Argumente, sowohl für das Löschen von bereits gesetzten Cookies nach Umentscheidung als auch für das genaue Auflisten aller Cookies. Ob man für letztes ein gesammeltes oder ein einzelnes Akzeptieren oder Ablehnen implementiert ist allerdings Ansichtssache.

Gruß,
noRiddle

[Tomcraft]

[...]
Mit Verlaub, Ihr stellt euch ein bischen steif mit dem Thema hier, wertes modified-Team.
[...]

Nein, sicherlich nicht! Nur ist das derzeit nicht unsere einzige Baustelle, die wir beobachten.

Grüße

Torsten

[Karl1]

Damit Tracking-Cookies eingesetzt werden dürfen, muss der Nutzer eindeutig zustimmen.
Momentan kann der Kunde das Tracking mit einem Klick generell ablehnen.

Mit dem Zwischenschritt "Cookie Einstellungen" besteht zumindest die Möglichkeit, dass die ein oder andere Variante gefallen findet.

Ein vordefiniertes Anhaken der Checkboxen, vor der ersten Entscheidung, halte ich wegen des Opt-In-Verfahrens für falsch.

Mit dem Löschen von Cookies bin ich ganz auf der Seite von noRiddle.
Wenn ich z. B. die Seite "modified-shop.org" aufrufe und "Ablehnen" wähle, dann werden die Google-Cookies "__utm..." nicht gesetzt.
Ich entscheide mich um und klicke "Akzeptieren", die Cookies "__utm..." werden gesetzt.
Nochmals ändere ich meine Entscheidung auf "Ablehnen", die Cookies "__utm..." bleiben bestehen.
Kann das richtig sein?

Gruß Karl

[Viol]

Ich denke, Karl ist auf dem richtigen, sicheren Weg!

Egal für welches Consent Tool Sie sich entscheiden, prüfen Sie bitte, ob diese Voraussetzungen erfüllt sind:

• Die Einwilligung muss durch den Nutzer gesetzt werden und darf nicht schon per default angekreuzt sein
• Das Tool muss vor der Einwilligung alle Cookies (bis auf das eigene Cookie des Consent Tools) blocken
• Cookies dürfen erst nach der Einwilligung des Nutzers gesetzt werden
• Es muss in der Einwilligungsbox jedes Tool einzeln benannt sein
• Die Einwilligungen können (nach aktuellem Stand) in Gruppen zusammengefasst sein und müssen nicht für jedes Tool einzeln erklärt werden
• Stellen Sie Ihr Consent Tool in Ihrer Datenschutzerklärung dar

Quelle e-recht24: Wichtiges EuGH Urteil zu Cookies: Sind Google Analytics und Online-Marketing jetzt am Ende?

[EDIT Tomcraft 28.11.2019: Beitrag formatiert.]

[fishnet]

Ich habe heute nochmal explizit nachgefragt bei IT Recht Kanzlei, Auskunft: Cookies MÜSSEN einzeln anhakt / abgewählt werden können.

Siehe deren Partner prive. Dort ist es versteckt unter "mehr". Das ist wohl mit ITK so abgesprochen.

[Tomcraft]

Na super... hat sich das jemand mal angeschaut? Welcher Kunde soll da eine Entscheidung treffen können? Selbst ich bin da zu faul mir da teilweise 20 verschiedene Tools auch nur ansatzweise in der Box anzuschauen! Wieso sollte nicht eine allgemeine Box ausreichen, ob man Tracking- & Drittanbieter Cookies erlaubt oder eben nicht?

Ich werde dazu noch die anderen Partner (janolaw, Händlerbund, Protectes Shops, Trusted Shops) befragen, bevor wir da voreilig etwas umsetzen.

Grüße

Torsten

[Timm]

@Tomcraft
Frag die mal bitte auch explizit ob die checkboxen alle vorausgewählt sein dürfen. Extra anklicken wird die kaum einer.

Gruß Timm