Europäischer Gerichtshof: Cookies brauchen aktive Einwilligung des Nutzers

[theSplit]

Kommentiert: Europäischer Gerichtshof: Cookies brauchen aktive Einwilligung des Nutzers - SPIEGEL ONLINE

Der Europäische Gerichtshof (EuGH) hat entschieden, dass Internetnutzer dem Setzen von Cookies aktiv zustimmen müssen - und dass es nicht reicht, wenn Nutzer diesem Vorgang nur nicht widersprechen (hier finden Sie das Urteil). Vorausgefüllte Felder, bei denen Nutzer ein Häkchen entfernen müssen, wenn sie keinen Cookie-Einsatz wünschen, sieht der Gerichtshof als unzulässig an. Mittels solcher Voreinstellungen werde keine wirksame Einwilligung erteilt, fasst eine Pressemitteilung das Urteil zusammen.

Einwilligungen und Bestätigungen in Formularen:

Wo beginnt eine aktive Zustimmung?

Der Verbraucherzentrale Bundesverband (vzbv) hatte angesichts des Planet49-Gewinnspiels auf Unterlassung geklagt (Rechtssache C-637/17), nicht nur wegen des Cookie-Häkchens, sondern auch mit Blick auf ungewöhnlich weitreichende Nutzungsbedingungen des Unternehmens: Nutzer sollten die Erlaubnis geben, dass zahlreiche Unternehmen sie telefonisch, per E-Mail oder per Post kontaktieren dürfen.

Beim Thema Cookies war die Frage, wann von einer ausdrücklichen Zustimmung des Nutzers ausgegangen werden kann. EuGH-Generalanwalt Maciej Szpunar hatte bereits im März nahegelegt, dass es nicht ausreiche, wenn die Einwilligungserklärung des Nutzers vorformuliert sei und der Nutzer aktiv widersprechen müsse, falls ihn die Datenverarbeitung störe.

"Im letztgenannten Fall weiß man nämlich nicht, ob ein solcher vorformulierter Text gelesen und verstanden wurde", schrieb Szpunar damals. Die Situation sei nicht frei von Zweifeln. "Ein Nutzer kann den Text gelesen haben oder auch nicht. Er kann dies aus reiner Nachlässigkeit unterlassen haben. In einer solchen Situation lässt sich nicht ermitteln, ob die Einwilligung freiwillig erteilt wurde."

Quelle

Kommentar:
Ein kleiner aber feiner Schritt der, theoretisch (erstmal) nur für Cookies gilt. Persönlich im großen Ganzen aber, sehe ich hier auch rechtliche Handhabe gegen das Aufzwängen von Einwilligungen in Formularen die für den Nutzer, vom Anbieter, vorausgefüllt werden wie Beispielsweise ein Email Abo, Erlaubnis für Telefonischen Kontakt, Datenverarbeitung in jeglicher Form - die aber auch laut Gericht, "übersehen" werden bzw. gar nicht verstanden werden.

Ein klein wenig mehr Schutz mehr für Onlinenutzer - wünscheswert - Meinungen?

Edit:

Hier noch eine anderes Vollzitat aus der Quelle, welches ich sehr wichtig finde:

Das Telemediengesetz als rechtliche Grundlage

Deutsche Anbieter berufen sich beim Thema Cookies bislang meistens auf Paragraf 15 des Telemediengesetzes. Darin heißt es, Diensteanbieter dürften zum "Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer dem nicht widerspricht". Der Diensteanbieter habe den Nutzer aber auf sein Widerspruchsrecht hinzuweisen. Außerdem dürften die Nutzungsprofile nicht mit Daten über denjenigen, der hinter dem Pseudonym steckt, zusammengeführt werden.

 

[one]

Das könnte für User recht kompliziert und lästig werden. Wenn ich jedem einzelnen Cookie auf jeder Seite zustimmen soll, komme ich kaum zum Lesen. Falscher Ansatz also. Besser man würde direkt etwas gegen das Tracking machen und nicht über den Umweg Cookie. Bin mal gespannt, wann die ersten merken, dass der Browser auch "Cookies" speichert, die er selbst erzeugt.

Um den Weg über Cookies zu gehen (wenn man das dann will) kann man besser eine Browsereigenschaft durchsetzen. Nämlich die, dass Cookies erst auf Nachfrage akzeptiert werden. Die per default für jede Seite auf "an" und jeder muss selbst entscheiden. Hier umständlich über die Seitenbetreiber zu gehen ist auch der falsche Weg. Hier bleiben auch die Fragen wer das umsetzt und wer das überhaupt kontrolliert. Am Ende bleiben wieder lange Einwilligungstexte, die keine Sau liest sondern einfach abnickt. Zack, nächstes Einfallstor für Abos und Newsletter offen. Die Schlange beißt sich.

 

[theSplit]

@c1i: Danke für deine Meinung - es ist aber anzumerken, ich kann nur für Firefox sprechen, dass der Browser eine Funktion hat Cookies komplett (für alle Seiten) oder nur nicht für "Drittanbieter" zuzulassen. Allerdings gibt es in den Privacy Settings gleich den Hinweis, das einige Seiten nicht funktionieren, wenn Cookies (komplett) abgelehnt werden.

Ein generelles "ich stimme allem zu was ihr (Webseite(n!) ) speichern wollt", verfehlt auch das Ziel. Da man Gläsern wäre, genau dagegen gibt es Anti/Do not track - Maßnahmen.
Und eine naive Funktion wie "ich akzeptiere alles" verfehlt auch das Ziel, gerade wenn ein Nutzer sich der Tragweite dieser Entscheidung nicht sicher ist und sich im Netz profilieren lässt.

Gut, den Groll gegen Einwilliungstexte kann ich nachvollziehen. Das wird jedoch ein mal bzw. immer beim Aufruf der Seite gemacht. - In Formularen, "extra zu zu sprechen" ob ich ein Abo oder Newsletter oder was auch immer will/zustimmen soll, finde ich "aktives Zustimmen" in jeden Fall besser.

 

[dexter]

Dieser Cookie-scheiss lässt sich ganz einfach lösen, indem man es dem User überlässt, ob er Cookies speichert oder nicht.
Das Angebot muss ohne Cookies funktionieren und gut. Ich für meinen Teil lasse Cookies überhaupt nicht zu und habe eine whitelist für Ausnahmen mit Login/Anmeldung (ngb bspw.).
Die ganzen Pseudo-cookie-checkboxen sind auf Betreiberseite Augenwischerei und auf Nutzerseite Nerv, weg damit.

In Firefotz konnte man das früher nativ einstellen, bis sie das rausgepatcht haben weil - ääh - Benutzererfahrung oder so. Gibt wahrscheinlich ein addon.

 

[theSplit]

@dexter: Die Funktion gibt es nach wie vor. Hier ein Screenshot aus einem aktuellen Firefox:

 

[dexter]

Ich meinte die Funktion der Ausnahmen in Zusammenhang mit der festlegbaren Speicherdauer:


P.s. Ich sehe gerade, dass das mit der whitelist aus meinem Browser auch scheinbar rausgepatcht ist. Die Liste hab ich noch, aber die (Vor)Einstellungen nicht mehr, ich kann offenbar nur manuell pro Webseite cookies deaktivieren, muss ich mir nochmal genau anschauen.

 

[theSplit]

Naja, da hast du schon recht, die "behalte Cookies solange sie gültig sind", fehlt in der Tat. Aber du kannst beim Beenden des Browser alle "History" bzw. Benutzerdaten entfernen lassen.

Hier ein Screenshot was alles gelöscht werden kann:

Dann erübrigt sich vielleicht das Problem. Wenn alle Cookies noch vor deren Lebensdauer "sofort" gelöscht werden beim Schließen des Browsers. Und Ausnahmen lassen sich auch erstellen, entweder "erlauben" oder "erlaube für Sitzung" oder "Blockieren". Wie das im Detail mit der "für eine Sitzung", bin ich mir nicht sicher. Vermutlich wenn der letzte Tab der Seite geschlossen wird, wird gelöscht, würde ich vermuten.

 

[one]

Zum FX kann ich nichts sagen, den nutze ich schon lange nicht mehr.

@c1i:
Ein generelles "ich stimme allem zu was ihr (Webseite(n!) ) speichern wollt", verfehlt auch das Ziel.

Sag ich ja. Es gibt dann ellenlange Einwilligungstexte in denen 1.000 Cookies aufgelistet und ausführlich beschrieben werden. Der geneigte User wird dann eine Stunde alles lesen und alle weiterführenden Links dazu anklicken um eine Seite aufzurufen. Er wird das nicht einfach alles abnicken. Oder doch? Hat also den Effekt, dass der User nicht nur alles abnickt, sondern eventuell auch noch Sachen, die gar nichts mit Cookies zu tun haben. Zum Beispiel eine neue Schafwolldecke auf der nächsten Kaffeefahrt, die er gerade gewonnen hat oder eine super Browsererweiterung die auch die richtige Startseite einträgt und sich sogar mit BTC wieder entfernen lässt. Dolzer lässt grüßen, hätte ich fast gesagt und dabei geschmunzelt. (Die Zeit war trotzdem schön.)

Die ganze Herangehensweise ist in diesem Fall einfach für den Hugo. Der Cookieschutz gehört komplett in den Browser gepflanzt, nicht auf Websites, die sowieso Schindluder mit den Keksen treiben wollen. Und zwar so, dass es für die Seiten keinen Handlungsbedarf mehr gibt um Gesetzen zu entsprechen.

 

[dexter]

Naja, da hast du schon recht, die "behalte Cookies solange sie gültig sind", fehlt in der Tat. Aber du kannst beim Beenden des Browser alle "History" bzw. Benutzerdaten entfernen lassen.

Hier ein Screenshot was alles gelöscht werden kann:

Dann erübrigt sich vielleicht das Problem.

Nein, eben nicht, ich erklär mal die Funktionsweise, wie das früher (sinngemäss) war:
- Aufruf Webseite
- FF frägt: Webseite will cookie setzen,
- temporär zulassen, immer zulassen, immer blockieren

Das nervt in einem frischen Profil 'ne Weile, bis man eine brauchbare Black-white-liste zusammenhat.
Cookies löschen beim beenden ist was anderes, und das will man auch nicht unbedingt. (ich zum Beispiel will mich nicht jedes Mal neu irgendwo einloggen, nur, weil ich meinen Browser geschlossen hab.)

 

[Abul]

Kannst ja mal CookieMaster testen. Hat leider keine Option, wie CookieMonster* vor der Addon umstellung im FF, die Cookies temporär zu akzeptieren.

*nur zur anschaulichkeint wie es damals mal war. https://www.plugins.de/plugin/cookie-monster-firefox/

 

[theSplit]

@c1i: Sicherlich wäre das eine Wall of Text würde man alles Cookies "aufdröseln für den geneigten Netznutzer, mit dessen Nutzungszweck.

Ich sehe da aber auch bei den Anbietern der Internetinhalten die Verantwortung. Ein einmaliges "ja" oder "nein" tut nicht weh aber kann halt mal heißen, ich speichere wie oft du heute die Seite besuchst oder wie lange du circa einen Artikel liest, oder begrüße dich mit Namen, oder aber wenn man $Magazin$ lesen will, werden sämtliche uns möglichen Daten erhoben die dich, kurz oder langfristig, für uns Gläsern machen. So ein Beipackzettel was man allem zustimmt, wenn man $angebot$ im vollen Umfang nutzt, fände ich sogar sehr toll.

Theoretisch würde ich eine Stellungnahme, was, für welchen Zweck und warum gespeichert wird. Aber nicht hinterrücks "User-Tracking" bis zum Exzess führen und User-Profile, ohne deren Kenntnis oder Zustimmung, zu installieren. Da sehe auch Handlungsbedarf und seien wir ehrlich, wenn man entscheidet das Nutzerprofile erzeugt werden, muß ich klar darauf hinweisen, dass wäre sogar mal eine gute Maßnahme bzw. indirekt was auch die DSGVO regelt.

Und wenn ich als $anbieter$ das nicht tue, brauche ich es auch nicht zu deklarieren. Wäre vollkommen simpel.

 

[KaPiTN]

Was ist eigentlich mit den Webseitendaten? Die werden beim FF mit den Cookies bei den Rechten mit abgetan. Ich kenne keinen Cookiemanager, der die Daten löscht, wenn er Cookies löscht.

Die Seiten informieren auch nur darüber daß sie Cookies setzen, nicht daß mehrere MB an Daten gespeichert werden. Ist das wie beim Firefox, daß da keine Trennung stattfindet. Also wenn Cookies erlaubt sind, dann auch 'Daten'?

Cookies konnte man sich früher im Firefox auch ansehen. Da braucht man jetzt auch Addons für. Aber ich kenne momentan keine Methode sich die Daten anzusehen, weder direkt im Browser oder durch ein Addon. (Man sieht im FF welche Seite wieviele Daten speichert, aber nicht welche)

 

[Abul]

Gehe auf die Seite deiner Wahl und drücke Shift+F9.

 

[KaPiTN]

Die Funktion kenne ich, aber das sehe ich nur unter 'Webspeicher' : "keine Daten für den gewählten Host vorhanden".
Aber unter 'Einstellungen' - 'Cookie und Website Daten verwalten' stehen unter Daten mehrere MB.

Schaue ich falsch?

 

[one]

Ich hab da jetzt mal ein wenig gelesen und ich glaube, das ganze geht in eine Richtung die niemand will. Cookieless Tracking ist ein interessantes Thema und Cookieless Cookies (ala eTag) in Verbindung mit Fingerprinting wäre ein Gang, wenn man die Cookies soweit reglementiert, dass sie schlicht und einfach niemand mehr nutzt. Wobei ich den eTag irgendwie für ausbaufähig halte. Der macht mit seiner ID ja nicht viel was anderes als ein Cookie, nur das er keiner ist und im Cache liegt. Zumindest würde man durch die kombinierte Verbindung dieser beiden Methoden eine doppelte Zuordnung per Fingerprinting unwahrscheinlicher machen.

Irgendwie hört sich das alles nicht so an, als würde es für den Verbraucher einfacher und besser werden.

 

[Abul]

@KaPiTN: Bei mir steht bei paar Seiten unter Speicher 64,0 KB und da wird das selbe wie bei Dir angezeigt: "Keine Daten für gewählten Host vorhanden". Angelegte Datenbankdateien deren Inhalt gelöscht wurden bleiben offensichtlich als leere Datei bestehen und haben eine Mindestgröße.

 

[KaPiTN]

Es sind aber nicht nur 64 KB Seiten sonder, wie gesagt, werden die gerne mehrere MB groß.

 

[Seedy]

Geil, noch mehr notifikationen die ich ungelesen wegclicke...

 

[dexter]

Ich hab da jetzt mal ein wenig gelesen und ich glaube, das ganze geht in eine Richtung die niemand will. Cookieless Tracking ist ein interessantes Thema und Cookieless Cookies (ala eTag) in Verbindung mit Fingerprinting wäre ein Gang [...]

Nein, das geht nicht in eine Richtung, das ist alles schon da und real.

 

[one]

Schon, aber es wird sich ausbreiten.