Neu EuGH-Urteil: Einwilligung für Cookies wird Pflicht – Webseitenbetreiber müssen handeln! - 1.10.2019

[301Moved]

Ja, aber da streiten "wir" uns gleich über einen Passus dabei:

Ein 20y Cookie (von Ama) analysiert kein Nutzungsverhalten? Da kann ich nichtmal müde darüber schmunzeln

Aber der Rest heisst mal (abgesehen von PP, wir verwenden niemals die PP Wall, daher weiss ich auch nicht, was da im iframe noch an Cookies mitkommt), dass zumind. die ganzen CC/eps/giropay davon - scheinbar - ausgenommen sind, dass ist ja mal ein Lichtblick.
Ama Pay macht mir aber echt Sorgen...

Ja, aber immerhin mal ne Deutung Und bisher gibt es - soweit ich weiß - ja keine Hinweise auf Nutzertracking? (Deswegen meinte ich, das wird vermutlich irgendwann per Urteil geklärt oder so). Aber derzeit finden sich nirgendwo anderen Hinweise, dass die deaktiviert gehören...

Off-Topic: eher erschreckend, wie viele Seiten noch gar nicht reagiert haben. Oder auch Mitbewerber etc... Da sind gerade bei News/Content-Seiten natürlich ganze Geschäftsmodelle ins Wanken geraten...

 

[hula1499]

Die Fragen sind halt jetzt:
Amazon, analysierst du mit deinen Cookies das Nutzerverhalten ja/nein?
Amazon, hast du vor, das mit deinen Cookies irgendwann zu machen und informierst mich danach?
Selbige Frage dann vermutlich auch für die PP Wall.

Off-Topic: eher erschreckend, wie viele Seiten noch gar nicht reagiert haben. Oder auch Mitbewerber etc... Da sind gerade bei News/Content-Seiten natürlich ganze Geschäftsmodelle ins Wanken geraten...

Wie auch schon im Post von gestern angemerkt, sind auch beim HB diverse TRackingtools und Werbetool im Shop, die nichtmal in der Cookie-Info drinnen stehen, aber sofort gespeichert sind.

 

[AMP-Agentur]

Es gibt doch bestimmt eine Frist bis wann das umzusetzen ist. Denn bis lang war das ja gültiges Recht.
Niemand kann erwarten, das tausende Webseiten und Shops das in einem Tag umsetzen können.
Ich könnte mir vorstellen, das JTL dazu noch ein Update rausbringt.

 

[WAWI-USER321]

Das mit dem 20J Amazon Cookie haben wir im Sommer schon an S360 ran getragen.
Leider kann S360 da nichts machen da Amazon der Auftraggeber ist und damit entscheidet was passiert.

Wenn man also sonst keine Tracking Cookies hat, muss man sich überlegen, ob man ein nerviges Cookie Banner will oder Amazon Pay deaktiviert.
Die Entscheidung kann ja jeder für sich selbst treffen.

Bei den Erfahrungen die ich schon mit AMZ sammeln durfte fiel die Entscheidung für die Deaktivierung von Amazon Pay nicht sehr schwer.
Ich sehe A.... ja wie einen falschen Freund, der ständig mit einem Messer hinter einem steht und nur darauf wartet zuzustechen, wenn es ihm auch nur den geringsten Vorteil bringt.

Da ist mir PayPal 1000x lieber, mit denen steht man wenigstens nicht in Konkurrenz und die werden wohl auch so schnell nicht anfangen selbst Waren zu verkaufen....

Zurück zum Thema...

Wir jedenfalls stellen gerade alles auf cookieloses Tracking um, sodass wir in hoffentlich 1-2 Wochen nur noch technisch notwendige Cookies haben und auf die nervige eindeutige Einwilligung verzichten können.

 

[WAWI-USER321]

Es gibt doch bestimmt eine Frist bis wann das umzusetzen ist. Denn bis lang war das ja gültiges Recht.
Niemand kann erwarten, das tausende Webseiten und Shops das in einem Tag umsetzen können.
Ich könnte mir vorstellen, das JTL dazu noch ein Update rausbringt.

Leider ist ein Urteil keine Gesetzesänderung. Wenn eine Berufung von keiner Partei gefordert wird, wird so ein Urteil sofort rechtskräftig.
Bedeutet:
Eigentlich hätten wir das wohl alle schon längst umsetzen müssen....
Das Gericht hat nur festgestellt, dass wir das wirklich schon hätten machen müssen.

Updates und JTL sind ein heikles Thema......

 

[301Moved]

Eigentlich sind die EuGH-Vorgaben eindeutig. Dennoch wird mit Spannung erwartet, was der BGH in einigen Monaten mit ihnen anfängt. Denn die Cookie-Richtlinie wurde gar nicht in deutsches Recht umgesetzt, kann also nicht zulasten privater Unternehmen eingesetzt werden. Und im deutschen Telemediengesetz heißt es immer noch, dass die Profilbildung von Internetnutzerinnen generell erlaubt ist, solange keine Klarnamen benutzt werden. NutzerInnen können zwar widersprechen (sogenanntes opt out), müssen aber nicht aktiv zustimmen (opt in).

Kann man natürlich überlegen, ob man sich dem Risiko aussetzen möchte...

 

[Conny]

Hier hat mal einer die Sache in zwei Tagen für ein anderes System umgesetzt.

Es bedarf jetzt des expliziten anklicken auf AKZEPTIEREN um z.B. Google Analytics zu aktivieren.

https://www.modified-shop.org/forum/index.php?topic=40480.0

Wäre schön wenn JTL sich der Sache annimmt und dieses umsetzt, da auch Google Analytics von JTL im Shop programmiert wurde.



Für mich relevant sind momentan folgende Aussagen:

Gibt es eine Ausnahme für notwendigen Cookies?

Diese dürfen weiterhin ohne Einwilligung verwendet werden. Notwendige Cookies sind solche, die Grundfunktionen wie Seitennavigation und Zugriff auf sichere Bereiche der Webseite überhaupt erst ermöglichen. Das betrifft zum Beispiel die Funktion, dass Produkte, die in den Warenkorb gelegt werden, auch weiter dort verbleiben, während der Nutzer die Seite verlässt. Notwendige Cookies sind somit:

• Cookies, die Einstellungen des Nutzers speichern (sogenannte Session-Cookies)
• Cookies, die für die Wiedergabe von Medieninhalten notwendig sind
• Cookies, die dafür notwendig sind, Consent-Tools (Cookie-Banner) rechtssicher zu betreiben

Was sind nicht-notwendige Cookies?

Cookies, die nicht technisch notwendig sind, unterlaufen daher der Einwilligungspflicht. Dazu gehören Cookies für:

• Analyse-Tools, wie zum Beispiel Google Analytics
• Social-Media-Plugins für Facebook, Instagram und Co.
• Tools für das Marketing

 

[hula1499]

Das mit dem 20J Amazon Cookie haben wir im Sommer schon an S360 ran getragen.

Den "Schwachsinn" hab ich schon von Beginn an gesagt und mich das erste Jahr auch geweigert, es zu implementieren.
Leider gabs soviele Kundenanfragen, dass ich Sturkopf nachgeben musste.

Versteh die Einstellung von einigen mit Amazon voll und ganz.
Für uns ist Amazon toll: Vendor, FBA, FBM, Ama Pay und 0 Probleme. Ja, manchmal ändern irgendwelche Inder Kinderartikel oder Fotos, aber das ist lockerst drinnen

Kann man natürlich überlegen, ob man sich dem Risiko aussetzen möchte...

Ich zahl dir die Abmahnkosten, wennst dann gegen den Bescheid gerichtlich vorgehst

 

[301Moved]

Hier hat mal einer die Sache in zwei Tagen für ein anderes System umgesetzt.

Es bedarf jetzt des expliziten anklicken auf AKZEPTIEREN um z.B. Google Analytics zu aktivieren.

Ich frage mich da eher, wie viele Leute wohl dann freiwillig und aktiv die Marketing-Cookies setzen. Ganz ehrlich, ein User hat ja nichts davon. Denke, die Zahl wird verschwindend gering sein, so dass vermutlich gleich direkt drauf verzichten kann.

 

[301Moved]

Ich zahl dir die Abmahnkosten, wennst dann gegen den Bescheid gerichtlich vorgehst

Oooch nö, sowas ist mir zu anstrengend Selbst wenn es noch nicht in aktuelles Recht umgesetzt ist, haben halt schon zu viele "Vereine" einen Blick drauf geworfen. Das kostet nur Zeit und Geld und Nerven

Eher würde mich schon nochmal interessieren, was mit Tracking ohne Cookies ist. Bin noch nicht ganz schlau draus geworden

 

[hula1499]

Klar, sobald hier Klarheit herrscht, werden die pseudo Vereine wieder loslegen, keine Frage.

Eher würde mich schon nochmal interessieren, was mit Tracking ohne Cookies ist. Bin noch nicht ganz schlau draus geworden

recht wertlos, vorallem für remarketing. Ich lass jetzt ohne cookie noch bis Montag laufen und werd dann entscheiden ob abdrehen oder Einwilligung, soferns mal überhaupt ein Plugin dafür gibt

 

[301Moved]

Klar, sobald hier Klarheit herrscht, werden die pseudo Vereine wieder loslegen, keine Frage.


recht wertlos, vorallem für remarketing. Ich lass jetzt ohne cookie noch bis Montag laufen und werd dann entscheiden ob abdrehen oder Einwilligung, soferns mal überhaupt ein Plugin dafür gibt

Würde mich hauptsächlich für Analytics/Anzeigen interessieren, n Fingerprint Tracking mit Pseudo ID wäre ja nicht schwer zu erzeugen. Aber in den ersten Wortlauten gab es durchaus zu lesen, dass "Cookies" synonym für "Tracking" stünde. Damit wäre das auch eh vom Tisch.

Bei nem Plugin glaube ich halt tatsächlich eher nicht, dass Menschen überhaupt zustimmen würden. Das Ergebnis wäre dann ohnehin stark verfälscht und wenn es dann noch Aufwand/Kosten bedeutet, dann ist es vermutlich wertlos

 

[Tomas]

Ich frage mich aber, wie es sich mit einem Anonymisierten Bewegungsprofil verhalten würde, damit man zumindest Schwachstellen in seinem Shop aufdecken könnte.
Also quasi einfach anhand der SessionID ohne übergeordnetes profiling.

Wir hatten bis vor einiger Zeit z.B. viele Abbrüche von Kunden die mit PP bezahlt hatten. Vermutlich, weil die einfach nicht gesehen haben, dass die nach dem Redirect von PP den Kauf nochmal bestätigen müssen.
Sowas könnte man prima mit solchen Bewegungsprofilen auswerten.

 

[301Moved]

Ich frage mich aber, wie es sich mit einem Anonymisierten Bewegungsprofil verhalten würde, damit man zumindest Schwachstellen in seinem Shop aufdecken könnte.
Also quasi einfach anhand der SessionID ohne übergeordnetes profiling.

Das wäre ja beim Fingerprinting so, dass man ne anonymisierte ID erzeugt. Aber das ist eben das Problem. Die Deutung geht eher in Richtung "Tracking" statt "Cookies"

 

[Tomas]

Nein. Beim Fingerprinting erstellst du ein Profil, mit welchem du den Besucher immer wieder zuordnen kannst - das ist ja der Sinn des Fingerprintings. Wobei das ja auch nicht mehr so richtig funktioniert, wenn ich richtig informiert bin. IOS zumindest geht glaube ich dagegen vor.
Die Zuordnung die du mit dem Fingerprinting machen könntest, kannst du ja aber nur mit der SessionId alleine nicht.
Geht mir ja nur darum, wie sich die Session von A nach B bewegt. Eigentlich nichts wildes...nur was sagt die DSGVO dazu? xD Das ist alles so undurchsichtig. :/

 

[301Moved]

Ich meinte das cookielose Tracking zu Google, das geht dann über "fingerprinting" mit ner anonymisierten ID. Aber eben pro Gerät, nicht per Cookie. Session-übergreifend geht das zumindest mit der Lösung, die ich kenne, so nicht Aber wie gesagt, gehen die ersten Deutungen des Urteils von dem Grundsatz "Tracking" aus, auch wenn "Cookies" genannt werden.

 

[WAWI-USER321]

Weiß jemand wofür und von welchem Plugin der Cookie DBUID mit einer Laufzeit von schlappen 117 Monaten ist, den man in fast jedem JTL Shop untergeschoben bekommt?
Da man den nicht in jedem JTL Shop bekommt, muss es wohl ein Plugin sein....

Er kommt auf jeden Fall von der Shopdomain und nicht von einem Drittanbieter


Hat sich Geklärt, der 117 Monate Cookie kommt vom dash.bar Plugin

 

[Specker]

Wie gehe ich in meinem Fall jetzt am besten konkret vor?
Installiert sind diverse Plugins im JTL Shop. Auch der FB Pixel und Ama Pay, Paypal, Secupay.

Für den Übergang dachte ich an:

• Abschalten des FB Pixel
• Die restlichen Plugins erstmal drinlassen
• Einen normalen Cookie Banner, der drauf hinweist, dass Cookies benutzt werden.

Schon klar, 100 Prozent safe ist das nicht aber welcher Shop ist das schon aktuell?

Einen Cookie Banner hatten wir bisher garnicht benutzt. Da es jetzt plakativ überall heißt „Cookie Banner sind Pflicht“, ist ein Banner der pro forma gesetzt wird doch sicher besser als keiner.

Wie seht ihr das?

 

[WAWI-USER321]

Wie gehe ich in meinem Fall jetzt am besten konkret vor?
Installiert sind diverse Plugins im JTL Shop. Auch der FB Pixel und Ama Pay, Paypal, Secupay.

Für den Übergang dachte ich an:

• Abschalten des FB Pixel
• Die restlichen Plugins erstmal drinlassen
• Einen normalen Cookie Banner, der drauf hinweist, dass Cookies benutzt werden.

Schon klar, 100 Prozent safe ist das nicht aber welcher Shop ist das schon aktuell?

Einen Cookie Banner hatten wir bisher garnicht benutzt. Da es jetzt plakativ überall heißt „Cookie Banner sind Pflicht“, ist ein Banner der pro forma gesetzt wird doch sicher besser als keiner.

Wie seht ihr das?

Du brauchst eine Einwilligung bevor nicht technisch notwendige Cookies gesetzt werden.
Derzeit gibts es da nur Cookiebot für den JTL Shop, allerdings hat IT-Recht angekündigt zum Monatsende eine Lösung zu bieten die für Update Mandanten kostenlos ist.

EDIT:
Es gibt eine kostenlose Variante zum selber einbauen:
https://forum.jtl-software.de/threa...h-urteil-zum-selbsteinbau.123408/#post-674115

Sobald es die also gibt, fliegt Cookiebot raus, immerhin wird IT-Recht sicherlich auch das Risiko tragen, wenn sie eine Lösung anbieten, was das ganze attraktiv macht...

Dazu kommt das sich die Preise von Cookiebot recht happig sind und man nach dem Scan ordentlich nacharbeiten muss, da nicht alle Cookies gefunden werden und der normale JTLSHOP Session Cookie als zustimmungspflichtiger Statistik Cookie klassifiziert wird.
Aber der ist für den WK notwendig....

Langfristig kann das ziel nur sein alles raus zu schmeißen was eine Zustimmung benötigt.

Übrigens kann Matomo auch mit Serverlogs arbeiten, da gibts also keinen Trackingcode und keine Cookies. Ist dann von außen also komplett unsichtbar....

 

[Specker]

Ah super, es geht also voran.
Deine Idee mit der Umsetzung im anderen Thread finde ich gut.
Sofort mit einem Klick einverstanden zu sein alle Cookies zu benutzen, andererseits aber auch die Möglichkeit zu haben manuell alles konfigurieren zu können, dürfte der beste Weg sein.