Cookie-Urteil: Wie geht man denn damit um?

Letzte Aktualisierung am

Langsam habe ich keine Lust mehr, diesen Blog zu betreiben. Durch das Cookie-Urteil des Europäischen Gerichtshofs werden weitere Steine in den Weg geworfen. Und allmählich fragt man sich, ob die Gesetzeshüter in Europa einfach verhindern wollen, dass freie und unabhängige Blogs am Markt aktiv sind. Wir erinnern uns: Blog stellen ein wichtiges Korrektiv der Medienlandschaft dar. Aber so?

Was besagt das Cookie-Urteil?

Ich bin kein Rechtsgelehrter. Viele andere Blogger auch nicht. Ich halte es aber seit Anbeginn so, dass ich den Datenschutz hoch halte und und auch einhalten will. Vermutlich gelingt mir das ganz gut. Aber ob das wirklich stimmt, kann ich nicht abschließend sagen. Nun gab es am 01.10.2019 ein verheerendes Urteil zum Einsatz von Cookies, das so genannte Cookie-Urteil des Europäischen Gerichtshofs.

Was unspektakulär klingt, ist es aber keineswegs. Das Cookie-Urteil besagt nichts anderes, als dass von einem Opt-Out zu einem Opt-In gewechselt wird. Ich muss nun mit meinem kleinen Blog gesondert Einwilligungen zum Setzen von Cookies einholen. Die bisherige Cookie-Information, die ich mit dem schwarzen Balken hier im Einsatz habe, ist damit überholt.

Ich muss nun also sicherstellen, dass Tracking- und Analysetools, Social Media Dienste, Werbedienste, Video-Anwendungen, Kartendienste etc. erst Cookies setzen, wenn ihr zustimmt. Meine Fresse, wie soll ich das machen? Besucher müssen eine eindeutige Einwilligung abgeben. Damit hat der Gerichtshof einen ziemlichen Klops geboren.

Was trifft für mich zu?

Ich achte peinlich darauf, alles einzuhalten. Und so werde ich mich wohl auch noch intensiv mit dem Cookie-Urteil beschäftigen. Das habe ich auch mit der DSGVO so gehandhabt. Und so habe ich einfach mal folgende Liste:

  • Tracking und Analyse: Hier nutze ich seit fast einem Jahr MATOMO und habe das lokal installiert. Ich weiß noch nicht, wo ich hier nachsteuern muss.
  • Affiliate-Dienste: Nutze ich nicht, trifft also nicht zu.
  • Remarketing: Trifft nicht zu.
  • Retargeting: Trifft nicht zu.
  • Social Media Plugins: Habe ich nicht im Einsatz, und Shariff trifft nicht zu.
  • Video-Anwendungen: Youtube-Videos bette ich mit erweitertem Datenschutzmodus ein. Trifft wahrscheinlich nicht zu.
  • Skalierbares zentrales Messverfahren (SZM): Nach meinem Verständnis der Zählpixel der VG-Wort.
  • Online-Kartendienste: Die habe ich vermutlich gar nicht im Einsatz.

Ich habe gelesen, dass ich hierzu eine echte Einwilligung brauche. Um dem Cookie-Urteil nun also nachzukommen, muss ich mich vermutlich wegen MATOMO und der VG-Wort kümmern. Aber wie mache ich das denn?

OK / Stimme zu: Reicht das?

Ich weiß nicht, ob ihr es zwischenzeitlich mitbekommen habt: Da gibt es inzwischen Lösungen, mit denen die Anwender oder Besucher genau festlegen können, welchen Cookies sie zustimmen. Eins davon ist die österreichische Lösung namens “WP DSGVO Tools”, ein anderes “Borlabs Cookie”. Für beides ist viel Konfigurationsaufwand notwendig.

“WP DSGVO Tools” wirkt erstmal nicht verkehrt. Aber ich kann dort – beim ersten Überfliegen der Einstellungen – nichts zur VG-Wort oder zu MATOMO einstellen. Borlabs kann ich vermutlich gar nicht kostenfrei testen. Und nachdem dieser Blog nach wie vor nicht wirklich etwas abwirft, spare ich mir die Anschaffung einer Katze im Sack.

Wenn ich mich aber so umschaue, dann muss ich wohl anerkennen, dass mein derzeitiger Cookie-Hinweis unten im schwarzen Balken nach dem ominösen Cookie-Urteil wohl nicht mehr ausreicht. Dieses Plugin ist leider nur noch mit Vorsicht zu genießen. Ich habe es noch installiert, damit ich überhaupt halbwegs dem Ganzen Rechnung trage. Aber ich muss mir wohl etwas anderes überlegen.

Ich habe keine Rechtsabteilung

Ich weiß nicht so richtig, wie man am besten mit dem Cookie-Urteil umgeht. Offenbar ist das Alles auch mit weniger Aufschrei ausgekommen als noch die DSGVO. Dennoch ist das Urteil eine ziemliche Katastrophe. Nicht falsch verstehen, mir sind Datenschutz, Sicherheit und rechtliche Bedingungen enorm wichtig. Aber mir scheint, als müsse ich dafür mit der Zeit eine ganze Rechtsabteilung beschäftigen.

In welchem Verhältnis steht das Alles? Ich werde mich weiter mit dem ganzen Thema beschäftigen. Denn ich kann ja nun nicht sagen, dass das Cookie-Urteil ausgerechnet bei mir nicht zutrifft. Aber es bleibt das Gefühl, dass zukünftig nur noch Unternehmen mit eigener Rechtsabteilung Webseiten betreiben sollen, wenn es nach dem Europäischen Gerichtshof geht.

Zukünftig gilt die Einwilligung für Cookies, die nicht unbedingt erforderlich sind. Externe Analysedienste zählen dazu. Google Analytics zum Beispiel. Da MATOMO bei mir lokal läuft, scheint es davon ausgenommen zu sein. Und was Zählpixel betrifft, so gilt auch wieder, dass die nicht erforderlich sind, wenn sie individuelle Nutzerinformationen enthalten.

Also ist es nach meinem Verständnis so, dass MATOMO und VG-Wort keine explizite Erlaubnis nach dem Cookie-Urteil erfordern. Aber ich weiß es eben nicht, da ich kein Rechtsexperte bin. Wie handhaben das denn andere? Ich bin da mal auf eure Hinweise gespannt.

15 Kommentare

  1. Hier wird über Dinge diskutiert die eigentlich schon VOR diesem Urteil so geregelt waren. Es wurde eigentlich nur bestätigt das der Wortlaut von Art. 5 Abs. 3 der ePrivacy-RL gilt und nichts anderes.

    Letztendlich erleichtert das ganze es einem evtl. sogar, den ich zitiere: “Die Regelung differenziert beispielsweise überhaupt nicht zwischen Erstanbieter- und Drittanbieter-Cookies. … Ist die Speicherung von Informationen im Endgerät, oder ein Zugriff darauf, “unbedingt erforderlich”, um dem Nutzer eine von ihm gewünschte digitale Dienstleistung zu erbringen? Falls ja, ist keine Einwilligung erforderlich.”

    Eine Zustimmung ist nur für nicht unbedingt erforderliche Cookies Pflicht und ob darunter Analyse Cookies fallen ist noch nicht mal richtig geklärt.

    Noch eines man muss immer unterscheiden zwischen der DSGVO, diese regelt den Datenschutz, und der ePrivacy-Richtlinie, diese regelt den Schutz der Privatsphäre.

    Und zum Thema der Umsetzung, die ist heutzutage kinderleicht. Das wird bei vielen Anbietern teilweise schon automatisch erkannt ob der User einwilligt oder nicht, du musst nur einen Code Snippet einbinden.

    Das Leben geht also auch nach dem Urteil weiter, wobei ja da geb ich Recht die Werbeeinahmen weiter in Keller gehen werden, wer darauf angewiesen ist wird sich neue Möglichkeiten suchen müssen.

    1. Hallo Markus,

      ich habe mir das nochmal durch den Kopf gehen lassen. Ja, du hast Recht, man muss jetzt nicht unbedingt hyperventilieren. Aber irgendwie fragt man sich dann doch, wann denn mal Schluss ist.

      Jedenfalls habe ich mit meinem bisherigen PayPal-Button noch eine Sache gefunden, die unnötige Cookies wirft. Insofern bin ich da schon beruhigt. Gut, dass du das etwas nüchterner betrachtet hast. Danke dir.

  2. Ich komme auf Digital Diary ganz OHNE Zustimmung aus.

    *** Statistik: Statify – erfasst keine persönlichen Daten (iP), sondern wertet lediglich die Seitenaufrufe aus.
    *** Social Media: 2-Klick mit Sharrif
    *** Video: https://github.com/a-v-l/dsgvo-video-embed (2-Klick)

    *** Kommentare:
    werden OHNE iP gespeichert dank Eintrag in der function.php des themes:
    function wpb_remove_commentsip( $comment_author_ip ) {
    return ”;
    }
    add_filter( ‘pre_comment_user_ip’, ‘wpb_remove_commentsip’ );

    Zudem steht in der Datenschutzerklärung:
    “Die Angaben „Name“ und „E-Mail“ sind freiwillig. Die IP der Kommentierenden – das einzige „Datum“, das eine persönliche Rückverfolgbarkeit gewährleisten würde – wird nicht gespeichert. ”

    Für technisch erforderliche Speicherungen (Server) und Kommentarcookies von WordPress berufe ich mich in der D-Erklärung auf Art. 6 Abs. 1 lit. b DSGVO, das berechtigte Interesse am einwandfreien Funktionieren. (Das entspricht auch der Rechtslage in DE und der Meinung hiesiger Datenschützer, die für technische Cookies die Einwilligung nicht für erforderlich halten).

    Zeitweise hatte ich auch das Plugin “Cookieless Comments” aktiviert, das wirklich jeden der wenigen WordPress-Comment-Cookies verhindert. Hab ich wieder deaktiviert – kann aber nicht mehr nachvollziehen, warum. (Da forsche ich wieder dran, wenn mal Zeit..)

    Grade mal eine Artikelseite mit vielen Kommentaren und Videos auf http://www.cookiemetrix.com gecheckt:
    No Cookies Found
    No Third-Party Domains Found

    1. Hallo Claudia,

      das ist aber ein merkwürdiger Test. Das Ding findet bei mir addthis.com, welches ich jedoch noch nie verwendet habe! Zudem mit verschiedenen Browsern und Adblockern getestet, von denen wird diese Domain bzw. Tracker auch nirgends entdeckt.

      Ansonsten gibt es auf meinem Blog wohl keine Probleme, das mit der IP hab ich wie Du in meinem Theme gelöst. Zum Glück kann ich bei Calotropis 2 ändern was ich will, ist ja mein eigenes Theme! ;-)

    1. So, ich kombiniere mal auf diesen Kommentar:

      Das Tool habe ich ausprobiert, nachdem du mich freundlicherweise darauf hingewiesen hast. Es war “nur” meine Kaffeekasse in der Seitenleiste. Die lief über PayPal und brachte exakt 0,00 € ein. Ich habe sie abgeschaltet. Nun sieht es besser aus. Es wird noch ein “Stored Cookie” angezeigt. Das ist aber das gleiche wie das Session Cookie der Domain.

      Ich bin mir halt nicht ganz sicher, ob ich nicht auch perspektivisch ohne Zustimmung auskäme. Ich setze mal meine Liste neben deine:

      – Statistik: MATOMO hier lokal installiert und mit kompletter Anonymisierung
      – Social Media: Shariff
      – Video: üblicherweise der erweiterte Datenschutzmodus von YouTube
      – Kommentare: Ohne IP-Adresse und mit der gleichen Funktion -> Die Tabelle muss dann immer mal aktualisiert werden

      Ich denke, ich bin auch auf einem guten Weg. Und es kommt noch ein Artikel, der die Sache mit CookieMetrix besprechen wird. Danke dir vielmals für den wirklich wichtigen Hinweis.

  3. Bei mir laufen die Borland Cookies. :-) Ich hoffe, dass ich damit auf der sicheren Seite bin. Aber man kann ja schon sagen: vor Gericht und im Internet ist man in Gottes Hand. Oder wie ging der Satz noch mal? Den Test, den Claudia verlinkt hat, habe ich ausgeführt. Null Problemo 🎈🎇

    1. Ich musste bei mir PayPal rauswerfen. Aber das war nicht weiter schlimm, da darüber eh nie irgendwas kam.

      Borland Cookies? Du meinst Borlabs, oder? Das habe ich schon gesehen. Das ist doch kostenpflichtig, wenn ich das richtig gesehen habe. Lohnt sich das denn? Ich habe schon überlegt, das hier einzuführen.

  4. Der “erweiterte Datenschutz” bei Youtube soll nicht reichen, weil er nur bewirkt, dass keine Cookies gesetzt werden. Aber noch immer wird das Startbild bei Aufruf der Seite übertragen – was ja bedeutet, dass Youtube jeden Aufruf mitbekommt.

    Bei alledem glaube ich übrigens nicht, dass wir wegen solchem Pillepalle Probleme bekommen,so als kleine Blogger. Es gibt ja keine Konkurrenz im klassischen Sinn und Abmahnanwälte dürften hier gar nicht aktiv werden, sondern nur die Datenschutzbehörden, wenn überhaupt.

    1. Ich würde mich freuen, wenn es so einfach wäre. Aber ich warte lieber ab. Bist du sicher, dass das so ist, dass dennoch Daten an YouTube übertragen werden? Dann müsste ich mir ja tatsächlich etwas anderes überlegen. Und da bin ich automatisch wieder bei Borlabs.

  5. @Henning: Borlabs, richtig :-) Ich hatte mal mit etwas mit Borland – Software zu tun. Du kennst die Firma bestimmt auch. Paradox fand ich, war eine tolle Datenbank mit der ich damals (vor Access von M$) gearbeitet habe. Quadro Pro und WordPerfect. Mit all diesen tollen Programmen von Borland habe ich mich beschäftigt. Aber M$ war halt stärker.

    Unter anderem der von dir verlinkte Artikel von Dennis Vitt bewertet verschiedene Plugins. Borlabs Cookies kommt dabei sehr gut weg. Und es gibt eine Reihe von Bewertungen über dieses Plugin im Web. http://bit.ly/365w8th Ich denke schon, dass es sich lohnt. LG

    Allerdings gabs bei mir Probleme in Kombination mit dem AdBlocker uBlock Origin. http://bit.ly/2BK428V Das war eine Ausnahme. Jedenfalls habe ich sonst nichts Nachteiliges dazu erfahren. Die Rückfrage bei Borlabs selbst zu einem früheren Zeitpunkt war übrigens ergebnislos. Durch das Urteil ist dieses Plugin vllt in der Relevanz nach vorn gerutscht.

    1. Ja, eben, ich habe das ja beim Dennis gelesen. Insofern wäre das Ganze wohl einen Test wert. Kann ich das denn irgendwie in einer Testversion bei mir installieren? Ich hatte mich da schon mal belesen und habe dabei nichts gefunden in diese Richtung.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.