Cookiebanner lt. BGH nicht ausreichend - Cookie Consent Tool erforderlich

[voodoopupp]

Hi,

wenn man nun die Aussage der IT-Recht-Kanzlei liest, wird der aktuelle Status des Cookie Banners im DEV Shop der notwendigen Vorgaben nicht gerecht: Nun auch der BGH: Unbeschränkte Einwilligungspflicht für technisch nicht erforderliche Cookies in Deutschland

Zitat aus dem verlinkten Beitrag:

Auch für Deutschland gilt daher (ab heute, dem 28.05.2020 rechtsverbindlich): Seitenbetreiber, die technisch nicht erforderliche Cookies setzen, müssen auf ihren Präsenzen zwingend rechtskonforme Cookie-Lösungen implementieren.

Diese müssen technisch sicherstellen, dass

    für jede cookie-basierte und nicht technisch erforderliche Anwendung eine individuelle Cookie-Einwilligung abgefragt wird
    Cookies dieser Anwendungen erst dann gesetzt werden, wenn der Nutzer hierin jeweils individuell eingewilligt hat
    Nutzer ihre Einwilligungen über entsprechende Optionen jederzeit wieder widerrufen können und dadurch die Cookie-Setzung wieder gestoppt wird

Dazu vielleicht noch gleich sinnvoll der Kommentar und die Antwort der IT Recht Kanzlei:
Leserkommentar zum Artikel
Nun auch der BGH: Unbeschränkte Einwilligungspflicht für technisch nicht erforderliche Cookies in Deutschland

Demnach ist nun wohl zwingend eine Cookie Consent Lösung notwendig!

Wie wird modified hier nun reagieren (können)?

Grüße
Dominik

Linkback: https://www.modified-shop.org/forum/index.php?topic=41111.0

[RobinTheHood]

Hallo,

ist jetzt ja (wieder) zu einer interessanten Frage geworden. Mich würde das auch interessieren. Falls eine Lösung zeitnah angedacht ist, bräuchte man sich (oder besser ich mich) nicht extern damit beschäftigen oder nicht etwas individuelles programmieren. Ansonsten würde ich mich damit jetzt wieder intensiver beschäftigen.

Mit besten Grüßen und ein schönes Wochenende
Robin

[hpzeller]

Nur so als Info, Karl hat schon vor längerer Zeit hier ->  ANLEITUNG: Cookie Banner mit Einwilligung für Google Analytics, Matomo & Facebook einen kostenlosen "consent manager" als Alternative vorgeschlagen.

Gruss
Hanspeter

[Tomcraft]

Wo bitte steht im BGH Urteil geschrieben, dass man für jeden Cookie eine separate Einwilligung holen muss!?

Hier steht es nochmal besser zusammengefasst, was das BGH Urteil besagt: Aktuelles Urteil zu Cookies: BGH sagt Einwilligung muss sein

Die Umsetzung unserer Consent Lösung aus Ticket #1545 genügt dieser Anforderung aus unserer Sicht. Es werden keinerlei Cookies gesetzt, solange der Besucher dafür nicht sein Einverständnis erteilt!

Um es nochmal klarzustellen: Unsere Umsetzung ist kein simpler Cookie Banner, sondern bereits eine Cookie Consent Lösung!

Grüße

Torsten

[Timm]

Hallo Torsten

Mir ist klar, dass es sich bei eurem Modul um eine Content Lösung handelt und Cookies erst nach Einwilligung gesetzt werden.

Das Problem scheint aber zu sein, dass ihr die nicht notwendigen Cookies nicht für jeden Dienst einzeln auflistet. Es darf wohl keine Generalvollmacht für alle Dienste mit nur einem Klick eingeholt werden.

Mir wäre es natürlich andersherum auch lieber. Kaum einer wird dann noch Google Analytics zustimmen. Wie sollte man dann zb geschaltete Adwordswerbung noch messen können?

Hier mal die auch schon oben verlinkte Antwort der IT Recht Kanzlei. Vielleicht fragt ihr da nochmal genau nach.

Sehr geehrter Herr ...,

danke für Ihren Kommentar.

Erforderlich ist, dass Einwilligungen für jeden einzelnen Cookie-basierten Dienst (nicht zwingend für jedes einzelne Cookie) muss erteilt werden können.

Ausgangspunkt dieser Pflicht ist zum einen der Wortlaut des Art. 5 Abs. 3 der Richtlinie 2002/58/EG, der für "die Speicherung von Informationen auf Endgeräten", also für jede Speicherung von Informationen auf Endgeräten (= Cookie-Setzung) die Einwilligung verlangt. Zum anderen gebieten die unionsrechtlichen Anforderungen an die Wirksamkeit von Einwilligungen die individuelle Einwilligungsmöglichkeit: die Einwilligung muss ausdrücklich, unter Kenntnis aller Umstände und freiwillig erteilt werden.

Freiwilligkeit ist aber nur gegeben, wenn die Einwilligung immer spezifisch für jeden einzelnen Verarbeitungsvorgang eingeholt wird. Werden auf einer Website verschiedene cookie-einwilligungspflichtige Dienste eingesetzt, muss die Einwilligung für jeden dieser Dienste einzeln eingeholt werden. Eine Generaleinwilligung für alle Dienste gesammelt wäre unwirksam.

Quelle:https://www.it-recht-kanzlei.de/Kommentar/15239/Einwilligungspflicht_fuer_einzelne_Dienste.php

Gruß Timm

[karsta.de]

Wo bitte steht im BGH Urteil geschrieben, dass man für jeden Cookie eine separate Einwilligung holen muss!?

https://www.it-recht-kanzlei.de/webinar-ende-cookie-banner.html

Wen betrifft das Urteil?

Das Urteil betrifft alle Online-Shops und Webseitenbetreiber, die Google Analytics, Facebook-Pixel und vergleichbare Marketing- und Analysetools auf ihrer Webseite eingebunden haben. Einfache Cookie-Banner sind beim Einsatz dieser Technologien DSGVO-widrig. Stattdessen muss eine echte Einwilligungslösung auf der Webseite implementiert werden. Hierbei ist darauf zu achten, dass diese nicht nur technisch funktioniert – sie muss auch optisch und inhaltlich den Vorgaben der DSGVO standhalten.

BG Karsta

[noRiddle (revilonetz)]

Ich bin auch nicht der Meinung, daß man zwingend erlesen kann, daß getrennte Einwilligungen für jeden Dienst, jedes Cookie, erforderlich sind. *
Was aber auf jeden Fall zu erlesen ist ist, daß die Cookies genau erklärt werden müssen, in Zweck und Verwendung.
Das zitiert auch die bekannte IT-Recht-Kanzlei:

...nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat.

Das erfüllt die modified-Lösung definitiv nicht.

Dazu hatte ich im Thread zu modifieds Cookie-Lösung bereits ausführlich geschrieben: ANLEITUNG: Cookie Banner mit Einwilligung für Google Analytics, Matomo & Facebook
Leider wird hier aber oft nicht richtig gelesen oder gar ignoriert was man schreibt, auch wenn es stichhaltig und begründet ist.

Wie ich in o.g. Thread auch eben geschrieben habe, sollte man wenigstens, wie in Karl1's Lösung, die $_SESSION['tracking']['allow'] in ein Array umwandeln, dann können nämlich Erweiterungen bzw. eigene Lösungen nach Gusto gebaut werden, auch welche mit einzelnen Zustimmungs-Checkboxen.

Gruß,
noRiddle

*NACHTRAG*
*
Die IT-Recht-Kanzlei behauptet gar wohl folgendes:

Jedes Banner oder Tool muss über ein Auswahlmenü verfügen, bei dem jedes eingesetzte Cookie einen eigenen aktivierbaren Menüpunkt darstellt. Keine Auswahlmöglichkeit darf voraktiviert bzw. „angetickt“ sein.

Das kann ich jedoch weder aus dem EuGH-urteil noch aus der BGH-Pressemittelung erlesen.

[snocer]

@noRiddle, dein Hinweis auf das BGH ist veraltet, Mai 2019. Seit dem 01.10.2019 gilt auch in Deutschland was bereits vorher auch schon vom EUGH so verbindlich festgelegt wurde. Der Zeitpunkt der Umsetzung war jedem Land  durch eigene Gesetzgebung bis dahin vorbehalten. In Deutschland umgesetzt am 16.10.2019 rückwirkend zum 01.10.2019.

Und ich denke hier lesen schon einige mit, die auch eine andere Auffassungsgabe haben von dem bisher geschriebenen haben und auch selbstständig denken können..
Und Fakt ist das nicht nur die IT-Rechtkanzlei, sondern auch der Händlerbund etc. bereits mehrfach darauf hingewiesen haben, das dem Besucher einer Seite auch jederzeit die Abwahl, Widerruf einer vorher erteilten Zustimmung noch möglich sein muss.. Und das ist bei der momentan von modified verwendeten Lösung auch nach meiner Meinung nicht der Fall, ganz abgesehen davon das hier auch noch die Klassifizierung der Cookies vollständig fehlt.
Wer weiterhin auf Google Analytics, Facebook etc. verzichtet, kann denke ich auch mit der Lösung von modified weiterarbeiten mit dem entsprechenden Link auf seine Datenschutz Bestimmungen.

Beispiele.
Google Tag Manager Support (notwendig)
Google Analytics, Facebook und weitere oft genutzte Dienste (freiwillig, nicht vorausgewählt)
Drittanbieter Cookies und Skripte werden erst geladen, wenn eine aktive Einwilligung vorliegt (freiwillig, nicht vorausgewählt)
Websitebesucher haben jederzeit die Möglichkeit, ihre Datenschutz-Einstellungen zu bearbeiten (Pflicht, nicht vorhanden)

usw.

Es sind aber nicht alle Cookies betroffen. Weiter ohne Einwilligung erlaubt sind so genannte First Party Cookies, die für eine Webseite erforderlich sind. Das sind z.B.:

Warenkorb-Cookies
Cookies für LogIns
Cookies die eine Länder- oder Sprachauswahl betreffen
Cookies, die Consent Tools für die Cookie Einwilligung setzen

cu snocer

[Timm]

Moin

Du kannst auch bei der jetzigen modified Lösung bereits sämtliche nicht notwendigen Cookies aktivieren und deaktivieren. Der Kritikpunkt ist nicht gegeben.

Das einzige was meiner Meinung nach fehlt ist die Aufdröselung nach einzelnen Diensten (auch wenn diese dafür dann mehrere Cookies setzen). Aber ich bin kein Anwalt. Das ist nur was ich aus den IT Recht Kanzlei Beiträgen herauslese. Allerdings muss man da auch sehen, dass die Rechtstexteanbieter ein Interesse haben ihr eigenes Risiko zu senken und deshalb so argumentieren um nicht bei Abmahnungen ihrer Klienten einen Rechtsstreit führen zu müssen. Und dann verdienen sie eventuell auch an Drittanbieter Consent Tool Lösungen, auch wenn sie die einfacheren Versionen davon kostenlos ihren Kunden anbieten.

Gruß Timm

Nachtrag: Und wenn ich das richtig verstanden habe, dann kann weiterhin über die Datenschutzerklärung die Erläuterung der einzelnen Dienste erfolgen, wenn diese im Consent Tool verlinkt ist.

[noRiddle (revilonetz)]

@snocer
Was für ein "Hinweis auf das BGH" soll von mir gekommen und veraltet sein ?
Irgendwie habe ich aber nicht wirklich Lust auf deinen kontextlosen Wirrwarr einzugehen.

Jedenfalls ist es nicht wahr, daß mit der modified-Lösung eine Änderung der Entscheidung nicht möglich ist.

Warum nur kann man hier kaum noch sachlich diskutieren, ohne daß einer dazwischen kommt und alles zerwürfelt.
Wenn's nicht zum  wäre wäre es zum  .

Gruß,
noRiddle

[snocer]

Das kann ich jedoch weder aus dem EuGH-urteil noch aus der BGH-Pressemittelung erlesen.

Na wenn Du  über Deine eigenen Links  kannst ist doch alles gut. Und nur wenn einer Deine Sprache nicht spricht, ist eben immer alles verwürfelt. Ist eben so in einem Forum, hier kommen eben viele Menschen zusammen aus verschiedenen Regionen.

cu snocer

[snocer]

Die Pressemitteilung bezog sich auf ein anhängiges Verfahren aus dem Jahre 2013, wo eine abschließende Entscheidung 2017 ausgesetzt wurde und erst nach der Anpassung des deutschen Rechts an die EU Regeln zum Oktober 2019, der Sachverhalt für zukünftige Vorgänge geregelt wurde. Der Kläger, sowie auch der Beklagte wurden in den alten Status zurückgesetzt der vor dem Oktober 2019 gegolten hat. So habe ich das ganze gelesen.

Für mich ist das Thema hier jetzt auch erst einmal erledigt. Danke auch an Timm und Tomcraft noch einmal für Ihre Ausführungen. Wir werden sehen wie sich das zukünftig entwickeln wird und ich hoffe, das die bisherige Lösung von modified ausreichen wird.

cu snocer

[Tomcraft]

[...]
Was aber auf jeden Fall zu erlesen ist ist, daß die Cookies genau erklärt werden müssen, in Zweck und Verwendung.
Das zitiert auch die bekannte IT-Recht-Kanzlei:

...nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat.

Das erfüllt die modified-Lösung definitiv nicht.
[...]

Gehört das nicht in die Datenschutzerklärung, die jederzeit über den Link "Mehr erfahren" zu erreichen ist!?

Grüße

Torsten

[noRiddle (revilonetz)]

Mmh, ja, ich lese das aber so, daß die einzelnen Cookies mit einer Art Kurzbeschreibung im Banner beschrieben sein müssen und eine genauere Beschreibung und Erklärung in der verlinkten Datenschutzerklärung erlaubt ist bzw. erfolgen darf.

Wird ein Banner oder Tool beim erstmaligen Aufruf einer Website angezeigt, muss in diesem Banner für jedes eingesetzte Cookie eine sprachlich einfach gefasste Information darüber ergehen,

• welche Verarbeitungsvorgänge mit dem Cookie vorgenommen werden,
• welche Akteure an den Verarbeitungsvorgängen des Cookies beteiligt sind und
• welche Funktionen diese Akteure erfüllen

Es ist zulässig, für die Bereitstellungen dieser Informationen auf die Datenschutzerklärung zu verweisen. Voraussetzung ist freilich, dass in dieser dann die Funktionsweise jedes einwilligungspflichtigen Cookies auch abschließend beschrieben wird.

Das ist zwar vom Dez. 2019, und ich weiß nicht ob die auf ihrer Seite überholte Aussagen einfach stehen lassen und dazu neue Artikel verfassen, jedenfalls kann es beunruhigen.

Ich denke Ihr seid doch auch bei der IT-Recht-Kanzlei. Die sehen das so. Wenn die euch allerdings sagen/bestätigen, daß eure Implementation so wie sie jetzt ist okay ist, dann will ich nichts gesagt haben, auch wenn sie mit ihren Texten auf ihren Seiten die User beunruhigen.

In dem Artikel vom 28.05.2020 schreiben sie gar dies

Auch für Deutschland gilt daher (ab heute, dem 28.05.2020 rechtsverbindlich): Seitenbetreiber, die technisch nicht erforderliche Cookies setzen, müssen auf ihren Präsenzen zwingend rechtskonforme Cookie-Lösungen implementieren.

Diese müssen technisch sicherstellen, dass

• für jede cookie-basierte und nicht technisch erforderliche Anwendung eine individuelle Cookie-Einwilligung abgefragt wird
• Cookies dieser Anwendungen erst dann gesetzt werden, wenn der Nutzer hierin jeweils individuell eingewilligt hat
  
• Nutzer ihre Einwilligungen über entsprechende Optionen jederzeit wieder widerrufen können und dadurch die Cookie-Setzung wieder gestoppt wird

Daß es gewisse Zweifel und Diskussions- bzw. Klärungsbedarf gibt ist imho also mehr als verständlich.

Gruß,
noRiddle

[voodoopupp]

Hi,

ich sehe das aktuell ähnlich wie NoRiddle, die Aussagen seitens der IT Recht Kanzlei sind da eigentlich recht eindeutig.
Gerade deshalb hatte ich ja noch den Kommentar verlinkt, in dem nochmals explizit auf die Einwilligungspflicht für einzelne Dienste eingegangen wird.

Damit wird klipp und klar mitgeteilt, dass jeder cookie-basierte Dienst seine eigene Zustimmung erfordert.

Ob sich die IT Recht Kanzlei allerdings auch mal irrt, mag dahingestellt sein. Habe ja deswegen auch nochmals dort nachgehakt, leider aber bisher noch keine Rückmeldung erhalten.

Denn laut der Aussage wäre fast jedes aktuelle Cookie Consent Tool falsch, denn diese gruppieren nach bestimmten Themen wie Notwendig, Marketing, Statistik und fassen darunter dann die unterschiedlichsten Dienste zusammen.

Zumindest diese Art von Unterteilung halte ich aktuell für die Mindestanforderung!

Allerdings kann ich mir aktuell nur schwer vorstellen, dass dies nicht mehr erlaubt sein sollte, denn wenn wirklich jeder einzelne cookie-basierte Dienst einstellbar sein müsste, dann gibt es bei solchen Webseiten sicherlich schnell ein arges Unübersichtlichkeits-Problem.

[ Für Gäste sind keine Dateianhänge sichtbar ]

Grüße
Dominik