Neu EuGH-Urteil: Einwilligung für Cookies wird Pflicht – Webseitenbetreiber müssen handeln! - 1.10.2019

[Conny]

[TR][TD]
Wir haben vom Händlerbund folgende Mail bekommen (teilweises Zitat):
Ich habe mal die Mail etwas gekürzt.
Mir stellt sich jetzt die Frage, ob JTL in dieser Richtung aktiv wird, damit wir eine vernünftige Lösung für alle bekommen, oder ob wir auf Dritte angewiesen sind.

Für eine Stellungnahme von JTL wäre ich hier dankbar!!

---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

als Webseitenbetreiber ist für Sie das heutige Urteil des EuGH von Bedeutung. Denn jeder, der eine eigene Webseite betreibt, sei es einen eigenen Online- Shop, einen Blog oder eine Präsentationsseite, benötigt nun die vorherige Einwilligung des Seitenbesuchers für die Nutzung von Cookies.

Mit Urteil (C-637/17) vom 01.10.2019 hat der EuGH einen Schlussstrich um die ewig währende Frage nach der rechtlich korrekten Verwendung von Cookies gezogen.
Im konkreten Fall mahnte der Bundesverband der Verbraucherzentralen ein Unternehmen ab. Dieses veranstaltete ein Gewinnspiel. Um daran teilnehmen zu können, musste neben der Zustimmung zum Erhalt von Werbung, die Einwilligung in das Setzen von Cookies erteilt werden.

Die Luxemburger Richter stellen klar, dass jedes Cookie der vorherigen Einwilligung des Seitenbesuchers bedarf. Ausnahmen bestehen nur in ganz engen Grenzen für die Cookies, die unbedingt erforderlich sind, um das Angebot zur Verfügung stellen zu können. Dabei macht es dann auch keinen Unterschied, ob es sich bei den in dem Cookie gespeicherten Informationen um personenbezogene Daten handelt oder nicht.

Eine wirksame Einwilligung muss freiwillig und aktiv erteilt werden. Ferner muss sie so formuliert sein, dass der Betroffene erkennen kann, in was genau er einwilligt. Im konkreten Fall war das Häkchen für die Einwilligung zur Verwendung von Cookies bereits vom Unternehmen gesetzt. Wenig überraschend entschied das Gericht, dass dies keine aktive Einwilligung darstellt.

Was bedeutet das Urteil für Webseitenbetreiber?


1. Technische Umsetzung im Shop
Kaum eine Webseite kommt ohne Cookies aus. Cookies werden z.B. bei der Nutzung von Webseiten-Analyse-Tools oder Werbetracking-Tools verwendet. Für all diese Cookies muss nach dem EuGH nun eine Einwilligung eingeholt werden.

Wer:
Jeder, der eine eigene Webseite betreibt, sei es einen eigenen Online-Shop, einen Blog oder eine Präsentationsseite, muss jetzt aktiv werden. Bitte beachten Sie: Händler, die auf Plattformen (wie Ebay oder Amazon) verkaufen, müssen nichts unternehmen. Hier haben allein die Marktplätze die Vorgaben des EuGH umzusetzen.

Wie:
Die Einwilligung unterliegt bestimmten Anforderungen. Sie muss erteilt werden, bevor die Cookies gesetzt werden. Ebenso muss sie widerrufbar sein und sollte protokolliert werden. Eine ausführliche Darstellung wie die Einwilligung einzuholen ist, finden Sie im Hinweisblatt des Händlerbundes hier:
..
[/TD][/TR]

 

[MBesancon]

Wenn ich es aber richtig verstanden habe geht es hier "nur" um Cookies zur Auswertung des Nutzer- und Surfverhaltens. Nicht um aus technischer Sicht benötigte Cookies wie der Shop sie im Standard einsetzt. Bitte korrigier mich wenn ich falsch liege.

 

[Conny]

Dazu noch folgendes Zitat vom Händlerbund:

Da der Link zur Datei öffentlich zugänglich ist, denke ich dass man diesen auch hier veröffentlichen kann: LINK - sollte jemand darin ein Problem sehen lösche ich ihn wieder

"Das Verwenden von Cookies ist grundsätzlich nur gestattet, wenn der betreffende Seitenbesucher auf der Grundlage von klaren und umfassenden Informationen seine Einwilligung dazu gegeben hat. So ist die Nutzung von Analyse- und Werbe-Tracking-Tools oder von Affiliate-Programmen, die Cookies setzen, grundsätzlich nur nach vorheriger Einwilligung des Seitenbesuchers zulässig.

Nur ausnahmsweise bedarf es der Einwilligung nicht. Nämlich dann, wenn die Speicherung un-verzichtbar ist, um die Verwendung eines vom Nutzer ausdrücklich angeforderten Dienstes zu ermöglichen (z. B. Warenkorbfunktion zum temporären Speichern der vom Nutzer ausgewählten Artikel). Aber: Allen Seitenbesuchern, die keine Einwilligung erteilen, muss es gleichwohl weiterhin möglich sein, die Website zu besuchen, ohne dass Cookies gesetzt werden."

 

[shoppy]

Dazu noch folgendes Zitat vom Händlerbund:

Nur ausnahmsweise bedarf es der Einwilligung nicht. Nämlich dann, wenn die Speicherung un-verzichtbar ist, um die Verwendung eines vom Nutzer ausdrücklich angeforderten Dienstes zu ermöglichen (z. B. Warenkorbfunktion zum temporären Speichern der vom Nutzer ausgewählten Artikel). Aber: Allen Seitenbesuchern, die keine Einwilligung erteilen, muss es gleichwohl weiterhin möglich sein, die Website zu besuchen, ohne dass Cookies gesetzt werden."

Das heißt jetzt, das man den kompletten JTLShop ohne Cookiespeicherung machen müsste und nur und ausschließlich der Button "In den Warenkorb legen" und die Warenkorb.php dürften cookies speichern? Und dann könnte ich mir den Cookie-Einwilligungs-Banner auf der Startseite sparen?

 

[MBesancon]

Der Shop setzt in jedem Fall einen sogenannten Session-Cookie um die Artikel die du in den Warenkorb legst speichern zu können, deinen Login-Status zu kennen., usw. Für diese Art von Cookies ist keine Einwilligung erforderlich da diese technisch bedingt sind. Lediglich weitere Dienste die das Benutzerverhalten verfolgen und nicht für die Funktion des Shops erforderlich sind benötigen eine ausdrückliche Zustimmung des Benutzers. Das bedeutet theoretisch das du, wenn du keinen weiteren Dienst nutzt, keine Erlaubnis erfragen musst. Ob du den Hinweis jedoch komplett weglassen könntest müsste einer der Rechtsanbieter vielleicht eindeutig beantworten....

 

[MichaelH]

Und das heißt auf den Standard-JTL- Shop bezogen was genau ?

 

[css-umsetzung]

Nur ausnahmsweise bedarf es der Einwilligung nicht. Nämlich dann, wenn die Speicherung un-verzichtbar ist, um die Verwendung eines vom Nutzer ausdrücklich angeforderten Dienstes zu ermöglichen (z. B. Warenkorbfunktion zum temporären Speichern der vom Nutzer ausgewählten Artikel).

Die Luxemburger Richter stellen klar, dass jedes Cookie der vorherigen Einwilligung des Seitenbesuchers bedarf. Ausnahmen bestehen nur in ganz engen Grenzen für die Cookies, die unbedingt erforderlich sind, um das Angebot zur Verfügung stellen zu können.

Wenn ich mir das jeweils schön lese, ist die Welt in Ordnung, erst wenn du externe Anbieter wie Google, Facebook usw. einbindest brauchst du eine Erlaubnis für deren Cookies.

Nächstes Jahr verbieten die bestimmt JavaScript.

 

[MichaelH]

Ich sehe immer mehr Cookie-Banner bei denen man die Cookies auswählen kann die man erlauben will.

Das wäre somit Standard in Zukunft ?
Aktuell ist es ja meist nicht möglich Cookies zu verhindern bei den JTL-Cookie-Banner die es so gibt ?
Denn der Shop müsste dies auch berücksichtigen z.B. für Analytics ?

 

[Conny]

Wie ist das denn mit den Statistiken von JTL
- wieviel Besucher
- wer kam woher
etc.

GANZ EGAL - darin sind wir keine EXPERTEN !!!

Ich würde es begrüßen, wenn sich JTL mit z.B. dem Händlerbund in Verbindung setzt und eine rechtssichere Aussage macht !!!
Und das so schnell wie möglich, damit wir nicht abgemahnt werden und so schnell wie möglich geeignete Maßnahmen ergreifen können.

 

[aaha]

Wie ist das denn mit den Statistiken von JTL
- wieviel Besucher
- wer kam woher
etc.

... oder mit den auf der JTL-Connect so gern geteilten Zahlen zum Umsatz, den JTL-User (auf allen Kanälen, im Vergleich zum Gesamt-Onlinehandel) so machen.
Woher - wenn nicht aus irgendwelchen JTL- Shop-internen Tracking-/Analysefunktionen - kommen diese Zahlen, z. B. bei Usern, die ihre DB und ihren Shop nicht bei JTL hosten?
Bitte nicht falsch verstehen: Diese Frage ist definitiv nicht als Provokation gemeint, sondern dient der datenschutzrechtlichen Absicherung, denn wir betreiben keinerlei Tracking-, Analyse-, Affiliate-, Retargeting- und Remarketing-Aktivitäten und müssen daher auch ("eigentlich") kein Cookiebanner vorhalten.

 

[MichaelH]

Ich denke das wird alles in der Zustimmung zur Verwendung der Lizenzen enthalten sein.

Aber klar, die WAWI telefoniert nach Hause und beim Shop weiß man es nicht wirklich.
Lizenzabfragen, Newsabfragen und bei AMA / Bucht läuft nach meinem Wissen alles über die JTL-Server mit Schnittstellen-Konvertierung.

Insofern läge beträchtliches Wissen vor wie vermutlich auch bei den Verkaufsplattformen und wir singen einfach "Don't be evil !" und hoffen das Beste.

 

[hula1499]

Piwik, Amazon Payment, quasi alles mit Google (Analytics, Remarketing... vermutlich auch recaptcha) - für alles ne Einwilligung jetzt via opt-in erforderlich..hurra.

 

[Specker]

Und das heißt auf den Standard-JTL- Shop bezogen was genau ?

Das würde mich auch interessieren.

Einfache Lösungen wie diese hier:
https://www.jtl-software.de/jtl-store/erweiterungen/cin-cookie-hinweistext

scheinen jetzt ja nicht mehr ausreichend zu sein.

Wenn gängige Plugins wie Amazon Payment davon betroffen sind, würde es mich auch freuen, wenn sich JTL dazu offiziell äußert bzw. eine Lösung anbietet.
Kann man damit rechnen?

 

[hula1499]

Ausgenommen (möglicherweise) recaptcha - fällt das nicht in die Verantwortung von JTL.

Amazon Payment ist von Solution360 und ja nur ein Plugin, hat nicht wirklich was mit JTL zu tun.

Gibt für Ama derzeit - aus meiner Sicht - nur 2 Varianten:
Opt-In Cookie Plugin ist mir für JTL keines bekannt, daher muss das mal jemand machen oder Ama Pay und das ganze andre Zeug ausbauen

 

[MichaelH]

"Opt-In Cookie Plugin ist mir für JTL keines bekannt, daher muss das mal jemand machen oder Ama Pay und das ganze andre Zeug ausbauen "

Würde aber auch bedeuten ohne Opt-in des Kunden, darfst du AmaPay gar nicht anbieten als Zahlungsart ?
Daher meine Frage wie weit der JTL- Shop dies dann auch können muss ?

 

[Specker]

Gibt für Ama derzeit - aus meiner Sicht - nur 2 Varianten:
Opt-In Cookie Plugin ist mir für JTL keines bekannt, daher muss das mal jemand machen oder Ama Pay und das ganze andre Zeug ausbauen

Bei uns kauft fast jeder zweite über Ama Pay.. das abzuschalten wäre wahrscheinlich wirtschaftlich noch unattraktiver als ne Abmahnung zu kassieren.

 

[hula1499]

Würde aber auch bedeuten ohne Opt-in des Kunden, darfst du AmaPay gar nicht anbieten als Zahlungsart ?

Yup, da ja - laut Aussage von Solution360 - Amazon auf diese Art der Einbindung, plus ihren XX Javascripts/Widgets/Cookies "besteht".
Also müsste eigentlich das Plugin komplett umgebaut werden, dass erst bei einem OK das ganze Zeug geladen wird (inkl. Cookie) und bei einem NICHT alles was Ama Pay betrifft verschwindet.

Theoretisch, wenn mans genau nimmt, dürfen wir jetzt mal alle kein Ama mehr anbieten, denn auch wenn jetzt SP XYZ schnell ein Opt-IN Cookie Plugin macht, müsste dieses ja auch dann bei einem NEIN Ama für diese Session (oder wie auch immer) abdrehen. Nur irgendwie via CSS ausblenden wird nicht gehen, da ja das Cookie trotzdem gesetzt werden würde.

Daher meine Frage wie weit der JTL- Shop dies dann auch können muss ?

Nur ausnahmsweise bedarf es der Einwilligung nicht. Nämlich dann, wenn die Speicherung un-verzichtbar ist, um die Verwendung eines vom Nutzer ausdrücklich angeforderten Dienstes zu ermöglichen (z. B. Warenkorbfunktion zum temporären Speichern der vom Nutzer ausgewählten Artikel). Aber: Allen Seitenbesuchern, die keine Einwilligung erteilen, muss es gleichwohl weiterhin möglich sein, die Website zu besuchen, ohne dass Cookies gesetzt werden."

Bei uns kauft fast jeder zweite über Ama Pay.. das abzuschalten wäre wahrscheinlich wirtschaftlich noch unattraktiver als ne Abmahnung zu kassieren.

Genau, du kriegst mal die Abmahnung UND! die Unterlassungserklärung...und dann?

 

[Specker]

AmaPay weg bzw. Abmahnung ist beides keine Option.


In der Händlerbund Mail heißt es weiter:

Zum Einholen der Einwilligung auf Webseiten haben sich sogenannte “Consent-Tools” etabliert. Diese Tools werden auf der Webseite eingebunden und ermöglichen, die Einwilligungen für sämtliche verwendeten Tools einzuholen.

Empfehlung:
Der Händlerbund kooperiert dafür mit Usercentrics. Usercentrics bietet ein starkes Consent-Tool, mit dem sich die neuen rechtlichen Vorgaben erfüllen lassen.

Habt ihr davon schonmal was gehört? Könnte das was sein für uns?

 

[hula1499]

Diese "Consent-Tools" gibts ja eh schon recht häufig (generell, nicht jetzt bei JTL), IT-Recht will halt mit jem. anderen kooperieren.
Beispiele: newegg.com (kleine Version und hässlich), ebay.com/gdpr sowas setzen einige EN Seiten auch als cookie-popup ein (nat. etwas kleiner und schöner).

Ist aber - gerade für Ama Pay - auch keine Lösung, wenn "dahinter" nichts passiert.
Da Ama Pay ein "Dritt-Cookie" ist, kann man da - vermutlich - nicht argumentieren, dass man ein berechtigtes Interesse hat -> daher müsste der Kunde dafür explizit zustimmen, dann alles normal weiter, aber wenn das Cookie nicht akzeptiert wird (ohhh, böser Amazon Konzern will mit ausspionieren und verfolgen (jo, macht er eh schon seit 20 Jahren)) muss Ama Plugin
a) ohne Cookie weiterlaufen
b) im Shop komplett deaktiviert werden (für diese Session und diesen Kunden).

Ich dachte ja nicht, dass der EuGH so entscheidet, daher war ich darauf gar nicht vorbereitet diesmal

Fragen:
1.) muss es nicht ein nicht-schliessbares Popup sein, das keinerlei Interaktion auf der Seite erlaubt, wenn man nicht JA klickt?
2.) Ama Pay -> ist das überhaupt technisch realisierbar/notwendig, wie von mir oben angeführt
3.) Analysetools -> wenn der Kunde nicht zustimmt, darf der Code dafür nicht implementiert werden -> dafür brauchts auch wieder ne extra Lösung

Es ist schon spät, genug für heut, bis in paar Stunden

 

[Specker]

Gilt das gleiche dann nicht eigentlich auch für das Paypal Plugin?

Ich dachte ja nicht, dass der EuGH so entscheidet, daher war ich darauf gar nicht vorbereitet diesmal

Da wird doch jetzt jeder zweite Onlineshop erstmal mit überfordert sein das korrekt umzusetzen.
Ich versteh einfach nicht wie man so etwas ohne Vorlaufzeit durchwinken kann.