Viele Seitenbetreiber konfrontieren ihre Besucher mit einem Cookie-Hinweis auf der Webseite. So einfach ist das Thema "Cookies auf Webseiten" aber leider nicht umzusetzen. Brauchen Seitenbetreiber überhaupt einen Cookie Hinweis oder sogar eine Einwilligung? Wenn ja, für alle Cookies? Welche Rolle spielt das aktuelle EuGH-Urteil dabei? Was ist ein Consent Tool? Welche Hinweise müssen dann in der Datenschutzerklärung stehen? Und wie genau sollte der Text für die Cookie Warnung aussehen?
Inhaltsverzeichnis Cookie-Hinweis auf Webseiten
- Cookies, DSGVO, ePrivacy-VO und EU-Cookie-Richtlinie
- Ist eine Cookie Einwilligung Pflicht oder reicht ein Hinweis?
- Welche Cookies benötigen eine Einwilligung?
- Cookies und Google Ads/ Google Analytics
- Der Text für einen Cookie Hinweis
- Technische Umsetzung für Cookie Hinweise und Einwilligung
- Cookie Hinweis, Cookie Banner, Cookie Warnung: Was ist was?
- Praxis Tipps zu Cookie Hinweisen auf Webseiten
- FAQ zu Cookie Hinweisen, ePrivacyVO & Co.
1. Cookies: DSGVO, ePrivacy-VO und EU-Cookie-Richtlinie
Fast alle Webseiten verwenden Cookies. Diese sind dazu da, Nutzer wiederzuerkennen und ihnen das Surfen auf einer Website zu erleichtern, etwa dadurch dass der Nutzer seine Zugangsdaten nicht bei jedem Besuch neu eingeben muss oder erkannt wird, was der Nutzer bereits gekauft hat.
Die EU-Cookie Richtlinie
Den rechtlichen Umgang regelt in der EU die so genannte „Cookie-Richtlinie“. Diese EU Cookie-Richtlinie, die eine ausdrückliche Einwilligung des Nutzers in solchen Fällen vorsieht, wurde von Deutschland aber gar nicht umgesetzt. Zur Erklärung: EU-Richtlinien sind nicht automatisch „Gesetz“, sondern müssen von den EU-Ländern umgesetzt werden. Da das in Deutschland nicht geschehen ist, gilt die Richtlinie bei uns eigentlich gar nicht.
Dafür gibt es den § 15 Abs.3 Telemediengesetz (TMG). Der besagt dass es ausreicht, den Nutzer zu unterrichten und auf ein Widerspruchsrecht hinzuweisen. Das kann in einem Cookie-Hinweis mit Link auf die Datenschutzerklärung erfolgen.
Das deutsche Recht kennt aktuell trotz der EU Cookie Richtline also keine direkte Pflicht, die Nutzer in die Verwendung von Cookies einwilligen zu lassen.
Um die Sache noch komplizierter zu machen: Die EU-Kommission hat erklärt, dass die Cookie Richtlinie in Deutschland eigentlich gar nicht umgesetzt werden muss, da die heutigen Regelungen in Deutschland die Vorgaben der Cookie-Richtlinie bereits erfüllen. Das klingt komisch, da die deutschen Regeln gerade keine Einwilligung (also den Klick auf „Ja, ich stimme zu“), sondern nur einen Hinweis auf das Widerspruchsrecht vorsehen. Es bleibt also ein gewisses Risiko, wenn Sie keinen Cookie Hinweis auf Ihrer Webseite anbieten.
Die DSGVO
Seit Mai 2018 gilt die DSGVO. Diese regelt allerdings die Frage der Cookies nicht ausdrücklich. Das sollte die ePrivacy-Verordnung tun.Man kann sich aktuell also nur an dem orientieren, was der EuGH dazu aktuell entschieden hat und was die einzelnen Datenschutzbehörden und die Datenschutzkonferenz vorgeben.
Alle Webseitenbetreiber, die Cookies nutzen, müssen aber seit Mai 2018 Ihre Datenschutzeklärung neu formulieren. Die DSGVO verlangt nämlich, dass in der Datenschutzerklärung die Rechtsgrundlagen für das Verwenden von Cookies genannt werden.
Die ePrivacy-VO
Die ePrivacy-Verordnung sollte zeitgleich mit der DSGVO in Kraft treten und die Bereiche "Tracking und Cookies" regeln. Ist sie aber bis heute nicht. Ab 2019 wird die Cookie Richtlinie dann von der neuen E-Privacy-Verordnung abgelöst, die eigentlich zeitgleich mit der neuen EU DSGVO in Kraft treten sollte.
Update: Die Einführung der E-Privacy-Verordnung verschiebt sich wahrscheinlich auf Anfang Ende 2019.
2. Ist ein Cookie Hinweis Pflicht, was können Webseitenbetreiber konkret tun?
Die rechtlich sicherste Antwort: Cookie Einwilligung
Seitenbetreiber sollten die Einwilligung der Nutzer einholen. Der Einwilligungstext bei einem Cookie-Hinweis sollte beim ersten Aufruf der Seite (Cookie Warnung) eingeblendet werden. Der Text für die Cookie-Nutzung sollte so konkret wie möglich sagen, um welche Daten es geht, wozu diese genutzt werden und an wen diese Daten gegenfalls weiter gegeben werden.
Der Nutzer muss detailliert über die Dienste informiert werden, die Cookies setzen und Daten übertragen. Es muss ausdrücklich bestätigen, dass er zustimmt.
Und ganz wichtig: Vor der Zustimmung des Nutzers dürfen noch keine Daten übertragen werden.
Risiko: Keins
Der Mittelweg: Info per Cookie Banner
Sie informieren den Nutzer beim ersten Seitenaufruf über das Verwenden von Cookies und sein Widerspruchsrecht (Cookie Banner), verzichten aber auf eine Einwilligung. Der Nutzer muss hier also nicht klicken und bestätigen.
Risiko: Hoch
Der risikoreiche Weg: Info nur in der Datenschutzerklärung
Als Seitenbetreiber informieren Sie die Nutzer lediglich in Ihrer Datenschutzerklärung. Damit verstoßen Sie aber gegen die aktuellen Aussagen des EuGH, und gegen die Vorgaben der Datenschutzbehörden. Und auch immer mehr Unternehmen wie Google verlangen, dass für bestimmte Dienste eine Einwilligung der Nutzer eingeholt wird.
Risiko: Sehr hoch
Wichtig: In ALLEN Varianten sollten Sie einen entsprechenden Passus zu Cookies und Hinweise für den Nutzer, wie er das Setzen von Cookies verhindern kann, in Ihre Datenschutzerklärung aufnehmen. Sie können dazu unseren kostenlosen Datenschutz-Generator verwenden:
https://www.e-recht24.de/muster-datenschutzerklaerung.html
Praxis-Tipp: Einen DSGVO-konformen Datenschutz-Generator finden Sie bei eRecht24 Premium.
3. Benötigen alle Cookies eine Einwilligung?
Leider kann man diese Frage nicht so einfach beantworten:
- Die ePrivac-Verordnung, die das Thema „Cookies“ regeln sollte, ist noch nicht in Kraft.
- Die DSGVO macht keine Aussagen zur Frage Tracking und Cookies.
- Urteile speziell zur Frage, welche Cookies konkret eine Einwilligung benötigen, gibt es noch nicht.
Als Webseitenbetreiber kann man sich aktuell nur an dem orientieren, was der EuGH dazu entscheiden hat und was die einzelnen Datenschutzbehörden und die Datenschutzkonferenz (DSK) vorgeben. Deren Auffassung ist aktuell:
- Nicht für alle Cookies benötigt man eine Einwilligung.
Session-Cookies, Cookies für LogIns oder Warenkörbe, die keine Daten weiter geben, können vom berechtigten Interesse des Webseitenbetreibers abgedeckt sein. - Tracking und Werbe-Cookies von Drittanbietern benötigen eine Einwilligung.
Das sind also vor allem Cookies, die für die eigentlichen Funktionen der Webseite nicht zwingend notwendig sind und die Daten dann ggf. mit anderen Daten und Diensten verknüpfen oder teilen.
4. Cookies und Google Ads/ Google Analytics
Google Ads
Google hatte schon seit 2015 für AdSense verlangt, den Nutzern einen Hinweis auf die Google-Cookies anzuzeigen. Dazu hat Google "Richtlinie zur Einwilligung der Nutzer in der EU“ online gestellt.
http://www.google.com/about/company/user-consent-policy.html
Dort heisst es, Seitenbetreiber müssen
- „wirtschaftlich vertretbare Maßnahmen ergreifen“ um den Nutzer über das Speichern und Weitergeben der Daten zu informieren und
- müssen eine entsprechende Einwilligung der Nutzer einholen.
Damit ging Google sogar weiter als viele EU-Datenschutzbehörden es forderten. Allerdings schreibt Google die Einwilligung nur für AdSense und Double Klick vor, nicht hingegen für andere Dienste wie Google Analytics.
Mit der DSGVO und der Bündelung der Dienste als Google Ads hat Google dann seit 2017 geregelt, dass Werbetreibende eine Einwilligung der Nutzer einholen müssen:
https://support.google.com/google-ads/answer/9028179?hl=de
Seitenbetreiber, die Google Ads nutzen, sollten den Vorgaben von Google folgen und eine Einwilligung der Nutzer einholen.
Benötigt Google Analytics eine Einwilligung?
Auf diese Frage gibt es leider im Moment keine 100%ig sichere Antwort. Hier muss man leider etwas ausholen:
- Ursprünglich hatte sich Google für Analytics ja auf eine datenschutzkonforme Lösung verständigt. IP-Anonymisierung, AV-Vertrag, Austragelink für die Nutzer, alte Daten löschen, Darstellung von Analytics in der Datenschutzerklärung. Mehr Infos dazu finden Sie hier:
https://www.e-recht24.de/mitglieder/tools/google-analytics/ - Die DSGVO regelt Fragen zu Cookies und Tracking nicht direkt.
- Fragen zu Cookies und Tracking sollte die ePrivacy-VO regeln. Diese ist leider immer noch nicht in Kraft. Wann diese kommt weiß leider auch niemand.
Nun sind die Datenschutzbehörden mit einem Positionspapier an die Öffentlichkeit gegangen, in dem die Auffassung geäußert wird, dass auch für Dienste wie Google Analytics eine Einwilligung nötig ist:
https://www.datenschutzkonferenz-online.de/media/oh/20190405_oh_tmg.pdf
Das gilt nicht für alle Tracking Lösungen, aber – zumindest lesen wir das Positionspapier der DSK so - eben für Google Analytics. Die Begründung ist, dass Google diese Daten eben nicht nur dem einen Seitenbetreiber für das Tracking seiner Seitenbesucher zur Verfügung stellt, sondern dass verschiedene Daten auf nicht mehr nachvollziehbare Weise verknüpft und diese Daten dann quasi weltweit und für andere Dienste aus dem Google Ads Universum zur Verfügung stehen.
Das geht nach Ansicht der Datenschützer aber nur mit einer echten Einwilligung der Nutzer.
5. Diese Seite verwendet Cookies: Der Text für einen Cookie Hinweis
Für die Formulierung des Cookie-Hinweises gibt es keine gesetzlichen Vorgaben. Auf den meisten Webseiten und Datenschutzerklärungen lautet der Text wie folgt:
Verwendung von Cookies
Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu.
Weitere Informationen zu Cookies erhalten Sie in unserer Datenschutzerklärung
Wichtig für Tracking und Retargeting:
Nach aktueller Auffassung der Datenschützer reicht so ein bloßer Hinweis zumindest für viele Tracking-Cookies nicht aus. Hier sollten Seitenbetreiber eine echte Einwilligung der Seitenbesucher einholen.
6. Technische Umsetzung für Einwilligungen bei Cookies auf Ihrer Website
Hier finden Seitenbetreiber eine Übersicht zu Tools und Plugins, mit denen Sie Cookie-Hinweise selbst erstellen und auf Ihrer Webseite einbinden können:
Wordpress:
https://de.wordpress.org/plugins/cookie-notice/
WIX:
https://support.wix.com/en/article/adding-and-setting-up-a-cookie-alert-popup
Cookie Consent Kit von Silktide:
https://silktide.com/tools/cookie-consent/
Cookie Consent Kit der Europäischen Kommission:
http://ec.europa.eu/ipg/basics/legal/cookies/index_en.htm#section_5
Cookie Control:
http://www.civicuk.com/cookie-control/index
7. Cookie Hinweis, Cookie Banner, Cookie Warnung: Wo ist da der Unterschied?
Es existieren sehr viele verschiedene Bezeichnungen zur Problematik "Cookie Hinweis", gesetzliche Grundlagen und Darstellung in der Datenschutzerklärung. Zeit für eine kurze Klarstellung der Rechtslage und Begrifflichkeiten:
Cookie Hinweis:
Alternative Bezeichnungen: Cookie Banner, Cookie Warnung, Cookie Pop Up, Cookie Meldung
Damit ist der Text gemeint, den Nutzer bei erstmaligen Aufruf einer Seite entweder oben oder unten auf der Seite angezeigt können. Also genau der Text, den 99% aller Internetnutzer sofort „bestätigen“ bzw. besser wegklicken.
Datenschutzerklärung (mit Cookie Hinweis):
Alternative Bezeichnungen: Cookie Policy, Cookie Datenschutzerklärung, Cookie Hinweistext, Cookie Hinweis für Webseiten
Damit ist die eigentliche Datenschutzerklärung einer Webseite gemeint. Unabhängig davon ab Sie auf Ihrer Seite einen Cookie Hinweis einbinden oder nicht sollte jede Datenschutzerklärung einen Passus zu Cookies enthalten, der erklärt, welche Cookies Sie einsetzen und was diese tun.
Praxis-Tipp: Nutzen Sie für den DSGVO-konformen Cookies-Text unseren neuen Datenschutz-Generator bei eRecht24 Premium.
8. Praxis-Tipps zu Cookie Hinweisen
Auf Nummer sicher gehenWenn Sie auf Nummer sicher gehen wollen, binden Sie ein Consent Tool mit Einwilligung auf Ihrer Webseite ein.
Neue gesetzliche RegelungenEs ist weiterhin nicht klar, für welche Cookies eine Einwilligungspflicht gilt. Zumindest für Cookies von Drittanbietern, die zu Werbe- und Trackingzwecken eingesetzt werden, sollte eine Einwilligung eingeholt werden.
Datenschutzerklärung nicht vergessenFügen Sie auf jeden Fall immer einen aktuellen DSGVO-konformen Passus zu Cookies in Ihrer Datenschutzerklärung ein.
Die korrekte UmsetzungNutzen Sie für die rechtssichere Umsetzung einfach eRecht24 Premium. Dort beantwortet das Team der Kanzlei Siebert Ihre Fragen und Sie können den Profi-Datenschutzgenerator nutzen.
9. FAQ zu Cookies, ePrivacy-Verordnung & Co.
Anzeige
Sören Siebert ist Rechtsanwalt mit Kanzleien in Berlin und Potsdam.
https://www.sgalinski.de/typo3-produkte-webentwicklung/sgalinski-cookie-optin/
Ihre Antwort ist: Die rechtlich sicherste Antwort: Cookie Einwilligung.
Und dann folgt eine Erklärung mit Konjunktiven. Das heißt mit anderen Worten: Es steht nicht eindeutig in der DSGVO. Oder sind Ihnen Fälle bekannt, wo das Nicht-Einholen der Zustimmung zu einer Abmahnung oder sonstigen Strafe geführt hat?
Viele Grüße.
Beispiel:
Eine Webseite basierend auf Wordpress mit Borlabs-Cookie-Plugin benutzt nur technische Cookies (phpsessionid und borlabs-Cookie). Es laufen weder Analytics, Google-Maps, Youtube usw.
Das sind technisch notwendige Cookies. Der EuGH unterscheidet aber nicht nach techn. oder Marketing Cookies.
Nun wird dort entschieden, das Cookies nur nach Zustimmung gestartet werden dürfen. Allein schon die Abfrage dieser Cookie-Zustimmung benötigt einen technischen Cookie (in diesem Fall borlabs-cookie).
Rattenschwanz. Da denkt man sich was dort für Kleingeister am Werk waren bzw. sind.
-> analytics ja
-> hotjar nein
usw.
zitiere Ramon Volmering:
Das ja so nicht richtig. Es wird explizit vom EuGH zwischen technisch notwendigen und technisch nicht notwendigen unterschieden. Evtl. mal das aktuelle Urteil durchlesen?
Ich lasse mich da gerne auch hier belehren. Vielleicht habe ich die Stelle überlesen oder falsch interpretiert. Gerne den Passus hier einfügen.
vielen Dank für diesen Ausführlichen Bericht. Ich hätte noch ein Frage: wie verfällt sich die Cookie Thematik auf "geschlossenen" Websiten. Also bspw. einem Webshop, der nur über Login-Daten zu erreichen ist. Wenn dort Cookies verwendet werden, muss der User darüber ebenfalls informiert werden und muss er ebenfalls die Möglichkeiten erhalten der Cookienutzung zuzustimmen
in erster Linie möchte ich mich für den sehr schön geschriebenen und informativen Beitrag bedanken. Es ist wirklich schön, dass Sie sich die Mühe machen und uns kostenlos über den Sachverhalt auf dem Laufenden halten. VIELEN DANK!!!
Nun aber zu einem Punkt, welcher weder hier noch sonst wo irgendwo genauer beschrieben wird.
Es wird ja verlangt, dass man die Einwilligung in irgendeiner Form archiviert, aber keiner sagt mir wie. Soll ich nun einfach die Entscheidung des Nutzers zusammen mit der IP-Adresse und dem Datum in einer Logdatei speichern? Muss ich hier nicht auch die IP-Adresse anonymisieren? Wenn ich das muss, dann kann man sich die IP doch auch sparen, denn ohne alle Stellen kann ich es ja auch wieder nicht eindeutig zuordnen! Meiner Ansicht nach reicht doch die Opt-In - Lösung für sich selbst aus, da ohne Zustimmung nichts gespeichert wird. Das ist mir echt alles ein bisschen zu schwammig und unklar geregelt.
Ich bin in dieser Sache wirklich maximal verwirrt.
Gruß Christian
ich denke, es wird genügen, dass der Prozess zur Einwilligung bei einer Prüfung durch Aufsichtsbehörden transparent dargestellt werden kann. Die Einwilligung selber wird (dezentral) in den Cookies der jeweiligen Nutzer gespeichert.
Schwierig wird es dann, ohne spezielles Tool das Recht auf Widerruf der Einwilligung umzusetzen. Im einfachsten Fall geht das natürlich, indem man den Cookie löscht, das ist aber nicht einfach genug für den Normal-Betroffenen.
Perspektivisch würde ich mich freuen, wenn alle Webseitenbetreiber normierte Symbole zum Status der Einwilligung an definierter Stelle auf ihrer Webseite einbauen würden mit Möglichkeit zur Änderung des Status. Am Ende führt das alles vielleicht zum Aussterben des Web-Trackings.
Ernsthaft. Mein Lehrer hätte damals gesagt: "Gefährliches Halbwissen."
Als Informatiker, Webentwickler und Innovationstreiber in zwei deutschen Branchen muss ich sagen, dass die Ahnungslosigkeit allerdings ebenso auf die Legislative zutrifft.
Es herrscht Unwissenheit. Also erstmal die Bitte - erst sicher wissen, wie sowas funktioniert, dann kommentieren. (Und bitte nicht aus Zeitungen, wo die Reporter scheinbar verlernt haben zu recherchieren.)
Ein Cookie ist ja grundsätzlich nichts anderes, als eine ganz kleine Textdatei - maximal ca. 5.000 Bytes groß. Die wichtige Frage ist, wer den Cookie setzt. Wenn Sie auf meinshop.de surfen und meinshop.de setzt einen Cookie auf Ihren Rechner, ist das erstmal nicht schlimm oder gar gefährlich. Im Gegenteil - genau diese Verbindung macht den Großteil der Komfort Funktionen im Web überhaupt erst möglich.
Wenn auf meinshop.de allerdings auch ein Cookie von google Analytics gesetzt wird, folgt dies z.B. via gstatic.com. Ein Cookie kann immer nur von dem Anbieter ausgelesen werden, der es auch gesetzt hat (vereinfacht).
Bindet derneueshop.de also auf Google Analytics ein, erkennt Google im Hintergrund die Reise des Nutzers durch das Web. Und nicht nur die in einem Shop - was primär für den Shopbetreiber wichtig ist.
Jetzt reden immer alle übeer Cookies, aber um die geht es streng genommen doch überhaupt nicht. Es geht doch darum, ob und welche personenbezogenen Daten, wie z.B. die IP weitergegeben werden. Dafür - Achtung Überraschung - ist aber kein Cookie notwendig. Neben dem Cookie gibt es bereits einige andere Wege, Nutzer zu identifizieren. Session Storage, Local Storage oder das Fingerprinting sind erprobte Methoden, um Nutzer genauso zielsicher zu tracken wie mit einfachen Cookies.
Übrigens - bereits seit ein paar Jahren hat einer der größten Internetkonzerne der Welt eine Möglichkeit entwickelt einen Nutzer Anhand der Mausbewegung fehlerfrei zu identifizieren. Kein Scherz!
Durch die Armlänge, Gewicht und die individuelle Geschwindigkeit des Arms in seiner Bewegung entstehen eindeutige Bewegungsmuster die sich eindeutig zuordnen lassen.
Dazu kommt noch, dass die meisten die einen Cookie-Optin eingebaut haben, ihn gar nicht richtig konfiguriert haben. Da sind meistens alle möglichen externen Tracking-Scripte bereits geladen, die Cookies längst geschrieben. Dann klicke ich auf "nö, kein Bock auf Cookies" und es passiert: ... Nichts!
Da wäre es noch Zeitgemässer die Browser-Hersteller zu verdonnern, diese Funktionalität einzubauen. So könnte jeder einfach sagen - bitte nerv mich nicht damit, sollen sie mich doch tracken. Oder man kann es von Seite zu Seite bestimmen - immer dann wenn Tracking-Scripte eingebunden sind. Warum soll das denn bitte jeder auf seiner Website einbauen müssen. Das ist so verquer, dass ich echt an der Kompetenz dieser Personen starke Zweifel haben muss.
Verstehe ich nicht! Beim Tagesspiegel gibt es auch kein Cookie Hinweis! Wieso?
Egal, ich nutze aber stets in meiner programmierweise, und das ganz bewusst, ausschließlich SESSIONS statt COOKIES, denn die werden aus sicherheitsgründen serverseitig und nicht clientseitig abgearbeitet. Da das die sichere Variante ist, benötige ich diesen Hinweis nicht, da die Daten bereits in der Verarbeitung geschützt sind. Von allem anderen distanziere ich mich oder habe kein Einfluss darauf.
Ich kann aber gerne zur Abwechslung ein SESSION-POPUP einblenden, um die Leute zu nerven. Ich kann aber auch aus dem Fenster springen.
Diese unsäglichen, überflüssigen Cookie-Banner nerven nur ungemein.
Cookie-Banner sollten verboten werden.
Beste Grüße
Michael
kann mir jemand sagen, wie oft der Cookihinweis eingeblendet werden muss?
Jeden Tag, alle 30 tage oder?
muss man ab jetzt sofern Cookies von z.b. einem Plug-in Cookie Consent oder beim Tracking über Matamo dieses im Datenschutz genau Angaben.
Sprich wenn man über FireFox eine Analyse macht und sieht wie die Cookies heißen diese dann auch benennen muss im Datenschutz, und wie lange diese Gültig sind und was diese Cookies machen?
Danke für eine kurze Antwort
LG
Dirk
"The cookie consent service is fully integrated with the European Commission's CMS"
"Cookie consent is an EU directive. This means that the member states need to adopt it into their national law. Depending from which country you operate, we can only advise you to verify the national interpretation of this directive. The European Commission does not maintain 28 different cookie consent services. It is the responsibility of the country you operate from.
Hallo Herr Siebert. Noch bis zum 24. Mai reicht es - um sicher zu gehen - einen Cookie Hinweis nur im Impressum zu platzieren. Ist abzuschätzen, ob dies weiterhin ausreichend ist, oder muss man wirklich jede den Nutzer verfügbare Seite nun mit einer Cookie Bar zuspammen?
Eine solche Handlung finde ich wie Hashtags setzen dann eigentlich fast schon albern.
Wie verhindere ich vorab das Setzen von Adsense-Cookies?
Meinen Loginbereich hab ich mittlerweile auf eine Subdomain gelegt, sodass ich ohne Cookies auskommen könnte, wenn da nicht das Tracking wäre um zu sehen, welches die (un)beliebtestes Inhalte sind.
Dazu würde ich den Text gerne erweitern, dass Man einmalig bis auf Widerruf zustimmt.
Ist das zulässig?
ich habe eine Frage zu den Opt-In und Opt-Out Cookies: könnte man als Webseitenbetreiber nicht einfach einen Hinweis zu den Cookies anzeigen lassen ohne dem Nutzer die Möglichkeit zu geben, Cookies auszuschalten? Einfach der Hinweis, dass die Webseite nur mit Cookies genutzt werden darf, ganz gleich ob Opt-In oder Opt-Out Cookies? Ich meine, wenn der Nutzer nicht einverstanden mit der Cookie Policy ist, könnte er die Seite einfach verlassen und nicht mehr nutzen.
Oder braucht es hier wirklich eine Opt-Out Lösung für den User?
"Notwendige Cookies dürfen laut Cookie-Richtlinie von Anfang an gesetzt werden, also auch ohne vorherige Zustimmung durch den Nutzer. Demgegenüber müssen Website-Besucher einwilligen, bevor die Cookies nicht notwendige Daten speichern. Somit verlangt die EU-Cookie-Richtlinie nach allgemeinem Verständnis eine sogenannte Opt-in-Lösung bei nicht notwendigen Cookies."
Quelle: https://hosting.1und1.de/digitalguide/websites/online-recht/die-eu-cookie-richtlinie-teil-1-was-gilt-in-deutschland/
Mittlerweile habe ich verstanden, dass es in Deutschland noch keine rechtliche Grundlage gibt, das so umzusetzen und das es auch noch nicht absehbar ist, was mit der ePrivacy-Richtlinie kommen wird.
Wäre es denn - entgegen der Aussage in diesem Text - nicht die sicherste Lösung, eine Opt-In Lösung zu wählen, bei der der User dem Verwenden von Cookies aktiv zustimmen muss und diese nur gesetzt werden dürfen, nachdem er das getan hat?
meiner Meinung nach müssten Sie hier deutlicher auf den Unterschied zwischen First-Party-Cookies (z.B. Session Cookies) und den anderen, die z.B. zum Tracking verwendet werden hinweisen.
Da bisse sich die Katze dann auch in den Schwanz...
Die Hertsteller von Aktenordnern und Regalen wollen auch leben.
der code von der EU selber speichert die Informatin das der User cookies NICHT NUTZEN WILL selber in nem cookie ...
Wenn man also es eh nicht (sinnhaft) OHNE Nutzung von cookies lösen kann dann braucht man auch gar nicht erst fragen
just my 2 cents..
mein Name ist Peter Leonhard.
Ich wurde darauf aufmerksam gemacht das auch der Cookie Hinweis bereits jetzt umgestaltet werden sollte. Dies ist nicht direkt Bestandteil der DSGVO, fällt aber ebenso im Zuge der GDPR und e-Privacy-Verordnung an.
Daher ist es sicherlich sinnvoll, diese Änderungen ebenfalls gleich zu machen.
Die Cookie-Richtlinie ändert sich dahingehend, dass die bisher angewandte Opt-out Variante dann nicht mehr erlaubt ist. Bei der Opt-out-Variante muss(te) der Besucher nicht zwingend eine Zustimmung zur Nutzung von Cookies erteilen, sondern es war eine stillschweigende Zustimmung möglich.
Das ändert sich nun dahingehend, dass eine Zustimmung zur Nutzung von Cookies erforderlich ist, oder alternativ eine Deaktivierung von Cookies möglich sein soll. Das alles unter der Prämisse, die Website-Inhalte auch dann zur Verfügung zu stellen, wenn die Cookie-Nutzung seitens des Besuchers deaktiviert wird und das Ganze möglichst direkt am Anfang vor der eigentlichen Nutzung der Website.
Soweit die Thematik - weiss jemand wie ich das technisch umsetzen kann
Kann man also weiterhin den von Ihnen genannten Beispieltext nutzen:
Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu.
Weitere Informationen zu Cookies erhalten Sie in unserer Datenschutzerklärung
Alles das sollte bereits und längst in die Nutzung eines Browsers oder eines Systems, oder an einer anderen ganz grundlegenden Stelle eingebunden werden.
Es würde auch besser funktionieren, wenn die EU eine solche Pflichtinformation als Link in jeder EU Sprache zur Verfügung stellt. Das müsste dann jeder Seitenbetreiber auf seiner Seite im Impressum platzieren. Es gibt dann keine Missverständnisse, Verfehlungen, keine Jagt auf die armen Seiteninhaber, die bald Sicherheitshinweise eines Militärstützpunktes benötigen, um ihre Hobbyfotos oder Kleindienste präsentieren zu dürfen.
Die viel größere Gefahr im Internet und nicht nur hier, ist die Dummheit.
Wird dennoch ein Cookie abgelegt? Was ist die Konsequenz daraus, wenn ich nicht OK bestätige?
Anscheinend keine, denn ich kann ja weiterlesen.
Da viele Seiten schon auf der Startseite ein Sessioncookie setzen, muss ich dann noch dieses Cookie löschen. Bei mir werden Cookies bei Schliessen des Browsers sowieso gelöscht, deshalb sehe ich Box am nächsten Tag (oder nach der Mittagspause) gleich wieder, auch wenn ich bestätigt habe.
Es nervt ganz einfach, wenn man so'n Mist auch bei SessionCookies veranstalten muss. Aber niemand traut sich mir zu sagen: "Bei SessionCookies ist das nicht nowendig".
Darf ich solche Tools für eine DEUTSCHE Website überhaupt verwenden?
Quelle?
Laut datenschutz-notizen soll die dieses Jahr kommen:
"Vor kurzem präsentierte die Europäische Kommission den finalen Entwurf für die ePrivacy Verordnung, die am 25. Mai 2018 in Kraft treten soll, ..."
und auch Intersoft Consulting schreibt:
"Dabei bedarf die Verordnung, wie auch die DSGVO keiner weiteren Umsetzung in nationales Recht der Mitgliedsstaaten und wird voraussichtlich am 25. Mai 2018 in Kraft treten."
Außerdem finde ich es einen Unterschied, ob es Tracking Cookies von Google sind oder einfache Session-Cookies. Spiegelt sich das gar nicht wider in der Gesetzeslage?
Mit etwas Grips im Hirn der Gesetzemacher hätte man sofort zwischen "Cookies" und "Cookies von Drittanbietern" unterschieden, denn um Letztere geht es eigentlich, wenn das Ganze Sinn machen soll!
Ich arbeite gerade genau an dieser Lösung für mein bestehendes Cookie Info Script welches es unter https://cookieinfoscript.com/ gibt. Damit ist man zukünftig auf der sicheren Seite.
Muss ich als Webseiten-Betreiber auch eine Möglichkeit bieten, die Cookies zu deaktivieren bzw. dass der Nutzer die Nutzung von Cookies unterbinden kann?
Jan Henrik Bertrand
"Zum Mai 2018 tritt die neue Datenschutz-Grundverordnung (DS-GVO) in Kraft. Dann benötigt jede Webseite, die Cookies nutzt, eine Einwilligung der Nutzer. Cookie Banner werden dann also Pflicht."
Bedeutet "Einwilligung" dann also das Opt-In Verfahren mit vorheriger Deaktivierung der Cookies oder lediglich die Pflicht, es in einem Banner o.ä. zu erwähnen mit Einwilligungsbutton? Was ist mit technisch notwendigen Cookies wie z.B. Session-Cookies o.ä.?
Also Cookies sind für diesen Anwendungsfall einfach wichtig und notwendig.
Ich speichere in Cookies z.B. auch wenn jemand sagt ich möchte mir den Login auf der Seite merken, ich speichere welche Sprache die Person bevorzugt, ob sie die Seite kennt (dann zeige ich bei Aufruf sofort den die Loginseite, das spart dem Nutzer Zeit) und ggf. auch welchen Skin (Aussehen der User) bevorzugt. Werbecookies über Third Party Zeug verwende ich grundsätzlich keine.
Was ich immer noch nicht verstanden habe. Brauche ich da überhaupt einen Cookie Warner. Denn wenn man die Seite als Gast benutzt wird max. ein Session Cookie gesetzt (das machen die modernen FrameWorks vollautomatisch.) aber ein Session Cookie braucht den Warnhinweis laut EU Richtlinie nicht. Alle anderen Cookies werden beim Loginvorgang oder aber nach der Registrierung gesetzt. Beim Registrieren wird auf die AGBs und die Datenschutzrichtlinie hingewiesen und da steht dann auch nochmal wofür wir die Cookies verwenden. Muss ich wegen der permanenten Cookies nach dem Login dann trotzdem noch diesen einfach nur lästigen Hinweis schalten?
Sinn und Zweck der Richtlinie war ja das Tracking eines Users zu unterbinden. Das passiert auf meinen Seiten nicht.
Die "rechtlich sicherste Antwort" ist so in den meisten Fällen nicht umsetzbar. Als Beispiel sei Wordpress genannt, wo auch vor der Einwilligung per Klick schon ein Cookie gesetzt wird. Unbedarfte Nutzer nutzen eine solche Lösung und glauben der Info, dass "kein Risiko" besteht - letztlich ist es aber keinen Deut näher an der Cookie-Richtlinie als ein einfacher Hinweis, mit dem Unterschied, dass die Homepage-Benutzer bewusst getäuscht werden und man sich damit fast noch strafbar macht. Es wird suggeriert, man hätte einen Einfluss darauf, ob die Seite Cookies speichert, de facto passiert das aber schon vorher.
Wer frei programmiert kann eine Seite ohne Cookies vorschalten und so sicherstellen, dass Nutzer kein Cookie erhalten, wenn sie auf "Nein" klicken. Dann muss aber konsequenterweise auch ein Impressum ohne Cookies angeboten werden und bei Klick auf Nein darf der Nutzer weder weitere Inhalte sehen, noch darf ein Cookie hinterlegt werden, das die Auswahl des Nutzers speichern würde.
Aus Entwickler-Sicht ist keine der hier aufgezeigten Lösungen wirklich risikofrei. Auch die verlinkten Plugins (z.B. für Wordpress) unterbinden nicht das Setzen eines Cookies vor dem Klick auf "Ja".
Leider hat da jemand etwas vollkommen an der Realität vorbei entschieden. Dieser Artikel müsste das Problem bei den Lösungen aber noch besser erklären und entsprechend korrigiert werden.
Definitiv fehlt bei _jedem_ Telefonat die Ansage, dass meine Verbindung, meine Zielrufnummer, Urzeiten etc. gespeichert werden. Wenn ich damit nicht einverstanden bin, muss ich auflegen. Andernfalls lass ich die Verbindung aufbauen - die Analogie zum Cookie. Und da fragt man sich doch: Wo bleiben da die Juristen, die mich vor der Speicherwut beim Telefonieren schützen? Kein lukratisches Geschäft?
Bin seit Anfang der 90er im Internet unterwegs und mit jedem zusätzlichen Jahr, erhöht sich die Anzahl der Facepalms. Bei diesem ganzen Gehabe fühle ich mich jedenfalls diskreditiert, frei nach dem Motto: Der Bürger ist ein Vollidiot und müssen ihn schützen... Fragt sich halt nur: Vor was?
Viele denken Javascript wird nur gebraucht um Werbung zu laden. Mit AJAX was Javascript braucht, lädt man Content nach.
Ohne Javascript & AJAX müsste man pro Klick auf Facebook, z. B. Chat Fenster öffnen, Kommentar schreiben, Nachricht Empfangen etc. die ganze Seite neu Laden.
Javascript & Cookies wurden nicht für die Werbeindustrie entwickelt, sondern weil ihr sonst den COMPUTER dauernd Anschreien würdet.
mich würde auch interessieren, ob der Artikel noch aktuell ist, oder sich die Rechtslage mittlerweile geändert hat bzw. ob es klar ist ab wann und wie sie sich ändert.
Herzliche Grüße
Mein Problem mit Tracking: Es ist damit möglich, ein Profil zu erstellen. Welcher Benutzer besucht welche Webseiten. Wenn man genügend davon zusammenhat, kann man schon recht genau Besucher identifizieren. Identifikation muss dabei nicht bedeuten, dass man auch die Postadresse des Benutzers weiß. Wenn Google Analytics in so viele Web-Auftritte eingebunden ist, wie das heute der Fall ist, hat Google schon einen ganz guten Überblick über Identitäten und Lebensumstände der WWW-Benutzer.
Mein Problem mit Cookies ist: Ich schalte sie natürlich ab, aber dann gibt es Seiten, die nicht mehr arbeiten wollen, oder merkwürdige Fehlfunktionen aufweisen, die ich als Benutzer nicht mit Cookies in Verbindung bringen würde. Und jetzt dieser Mist mit den Cookie-Warnungen, die ich nur durch das Erlauben von Cookies unterbinden kann. Die richtige Herangehensweise wäre: Wenn der Benutzer Cookies deaktiviert hat, dann braucht es auch keinen Warnhinweis.
Wenn Betreiber nicht auf Vorschläge reagieren muss das nichts damit zu tun haben, dass die Seite nicht verwendet wird.
Klar kann es dem ein oder anderen Unbehagen bereiten wenn Firmen wie Google alles über ihr Konsumverhalten wissen (nebenbei gesagt sharen sie eh ihr ganzes Leben auf FB und Co.), aber mich stört es nicht weiter wenn mir passend zu meinem Konsumverhalten Produkte vorgeschlagen werden.
Und solange Google nicht weiß, das Max Mustermann die Sachen bestellt sondern Nutzer o4oHY11x8j98b8M1Tpa9yLL7G1uLJ8t9 gerne Metallica hört und sich für pinke Badeschlappen interessiert, stört mich das nicht weiter.
Wenn man weiß wie man sich im Internet bewegt, dann kann man auch dafür sorgen, dass Google eben nur die belanglosen Dinge weiß. Es gibt eine Seite von Google auf der man sich anzeigen lassen kann, was Google alles über einen weis (Google Konto Einstellungen irgendwo), zudem gibt es eine riesen Anzahl Add-Ons die Analytics blocken.
wie meint ihr merkt sich eine Webseite, was ihr in euren Warenkorb gepackt habt und welche Lieferadresse ihr eingegeben habt?
Es gibt nur 2 Möglichkeiten:
Entweder, man speichert diese Info auf eurem Computer, das nennt man dann Cookie,
ODER, man speichert sie auf dem Server. Dann braucht man aber irgendeine Information, um euren Computer wiederzuerkennen, eine ID. Diese ID steckt dann auch wieder in einem Cookie.
Keine Cookies = keine Webshops
Für die ganz Schlauen:
man kann Sachen in der URL "speichern", diese ist aber im Speicherplatz sehr begrenzt und wenn ein Schlauberger diese URL kopiert, bookmarkt,... (z.B. um anderen einen Artikel zu zeigen), weil er nicht weiß, dass die URL alle persönlichen Daten erhält, sind alle persönlichen Daten plötzlich öffentlich zugänglich. Außerdem zerstört ein Klick auf einen externen Link zugleich Login und Warenkorb und Man-In-The-Middle Attacks sind plötzlich super einfach und Leute können in eurem Name Bestellungen machen.
Die alternative Verwendung von post-Requests hat zwar dieses Problem nicht, unterbindet aber die Nutzung von Links auf Webseiten.
Es sind auch die unzähligen dynamischen Webseiten, die mit Wordpress, Joomla, usw. erstellt wurden...
Wenn dich interessiert, wie so eine Seite funktioniert, dann nutze mal in deinem Browser so eine Funktion namens "Element untersuchen", "Entwicklertools" oder ähnlich (hängt vom verwendeten Browser ab, wie es genannt wird) - du wirst staunen, was da alles in Hintergrund werkelt...!
Mir stellt sich dann also die Frage warum du an Developer appellierst Cookies nicht zu verwenden wenn du selber keine Ahnung hast wofür man sie braucht.
Schon alleine wegen dieser neuen Cookie-Richtlinie braucht man Cookies um die Nachricht nicht jedes mal erneut anzuzeigen.
Es gibt ein weites Anwendungsgebiet für Cookies das sich nicht nur auf Logins etc. bezieht und wenn du Cookies nicht leiden kannst, dann schalte sie eben aus.
Trotzdem ist diese Richtlinie Rotz und würden die Menschen in der Schule nicht nur lernen wie man Word Dateien und PowerPoint Präsentation erstellt dann müssten auch die Website-Betreiber ihren Besuchern nicht erklären wie das Internet funktioniert.
Ich glaub ich hatte es schon erwähnt aber wiederhole es noch einmal:
In Cookies können keine Daten gespeichert werden, die der Benutzer nicht gesendet hat.
Und weil du dich so wegen Tracking aufregst, wo ist da das Problem?
Mit Cookies wird man nicht raus finden können, dass Max Musterman der in Musterstraße 1, 12345 Musterstadt wohnt jetzt diese Website benutzt.
Bei dem Tracking geht es einfach darum zu wissen wann Benutzer die Seite verlassen, wie lange sie auf einer Seite sind welche Geräte sie benutzen (Browser, Betriebssystem) und aus welcher Gegend sie kommen (Keine genaue Adresse).
Diese Daten werden dann verwendet um die Website zu verbessern.
Selten so einen Unfug gelesen. Das mag für eine "kleine Visitenkarte" im Netz stimmen. Sobald man aber anfängt Anwendungen oder automatisierte Prozesse (welcher Art auch immer) anzubieten, wird der Einsatz von Cookies notwendig.
Rein technisch kann man sich auch ohne Cookies behelfen - das geht schon.
Damit holt man sich aber eine Reihe von neuen Problemen ins Haus - angefangen von unschönen und ellenlangen URLs, großer Zusatzaufwand für Testen & Co, erhöhte Fehleranfälligkeit der Gesamtanwendung usw.
Für die Werbeindustrie - und alle die auf Einnahmen daraus angewiesen sind - gibt es schlicht keinen Ersatz von Cookies. Oder halt: Das gibt es schon ... die Lösungen (Local-Storage, Browser-Fingerprint, ...) sind aber allesamt deutlich "ekliger" als der Einsatz von Cookies.
Also ehe man so einen Schwachfug von sich gibt ... erstmal informieren oder es mit Dieter Nuhr halten.
Diese dämliche Meldung nervt aber einfach nur auf jeder Website.
Deshalb: die eigentlich richtige und technisch kontrollierbare Lösung wäre diese Meldung für Browser zu verpflichten und nicht gewissenlos umgesetzt auf Webseiten. Wie oft ich schon auf "nicht akzeptieren" geklickt habe und die Cookie-Box danach nicht wieder kam....... weil sie ein Cookie abgelegt hat, dass ich keine Cookies will :)
Ein Cookie ist ein Teil einer Webseite, zudem sind Cookies nicht schädlich, sie dienen nur als Quasi Festplatte um Daten zuspeichern, diese Daten sind nix weiteres als Textdateien. Lieber Cookies nutzen als direkt Zugriff auf die Festplatte und dort beliebig Dateien anlegen.
Dieses Hirnrissige Cookie hinweis haben wohl langweilige EU abgeordnete geschaffen, die keine nie im Internet waren und von einem anderen erfahren haben die selbst keine Ahnung haben aber meine das wäre schädlich.
Es tut mir leid, dass zu sagen: Es treiben sich offenbar genug Leute mit keiner bis wenig Ahnung hier rum, ganz abgesehen von den erwähnten Politikern, die praxisferne Gesetzt erlassen.
(Um hier einen Kommentar einzustellen, muss man leider JavaScript aktivieren.)
wie bitte stellen Sie sich das vor?
Javascript erleichtert den Alltag ungemein und bietet Ihnen ebenfalls sehr bequeme Bedienungsmöglichkeiten.Was haben Sie denn dagegen? Oder wollen Sie in Zukunft Unsummen bezahlen für einen Webauftritt?
Wäre so als ob Du fordern würdest die gesamte Elektronik aus dem PKW zu verbannen - fahren wird er immer noch können aber viele wichtige und nützliche Merkmale wären nicht mehr realisierbar
Also nein, Cookies sind nicht zwingend notwendig und manchmal auch kein Javascript. Dann müssen wir aber auch auf viele liebgewonnene Funktionen verzichten.
Und Frameworks wie AngularJS, ExtJS und diverse andere JavaScript-Frameworks, auf denen gesamte Web-Applikationen basieren, verteufeln wir am besten vollständig. Mobiltaugliche Webseiten, javascript-gestützt sind sicherlich ebenfalls Unsinn und einem User Inhalte cross-site zu präsentieren, die für ihn und sein Profil relevant sind, sind sicherlich auch Quatsch. Denn im Internet ist grundsätzlich alles umsonst und so ist die Welt definiert. Geld verdienen darf da keiner.
Am besten jegliche Elektronik auf den Müll und frei von jegliche Technologie mit Sonnenbrille im Wald leben. Keine gute Idee?
Gut, dann bitte so "schlaue" Vorschläge unterlassen.
Bei jedem Login muss irgendwo gespeichert sein, dass der Nutzer eingeloggt ist und mit welchem Account. Sonst ist Sicherung von modernen Webpages leider nicht möglich.
Eine Verknüpfung mit IPs wäre auch nicht gerade das gelbe vom Ei, denn die werden von vielen Providern täglich neu vergeben und ich glaube nicht, dass wir alle täglich einen neuen Account wollen ;)
Auf statischen Seiten, die uns nur etwas Text ohne weitere Interaktivität geben sollen, stimme ich dir allerdings zu.
LG Kevin
Mal ganz abgesehen davon, dass eine Verknüpfung mit der IP-Adresse datenschutztechnisch ein Super-Gau wäre....
Cookies sind im übrigen kleine Textdateien die auf dem Lokalen Computer gespeichert werden, sie sind nicht schädlich und sind nicht der Grund einen auszuspionieren, Spionieren kann man auch ohne Cookies und JS
Du brauchst es vielleicht nicht, aber der Seitenbetreiber hat vielleicht schon ein berechtigtes Interesse daran deine Eingaben auf SQL-Injections zu untersuchen...
Und damit hast du selbst auch eins. Namlich das nicht jedes Script-Kiddie deine nicht-veröffentlichte Emailaddresse einfach aus der Datenbank ziehen kann um dich dann vollzuspammen...
Das du den Sinn von Cookies und Scripten nicht verstehsts, heißt noch lange nicht das sie keinen haben....
Genauso JavaScript: Wozu brauche ich zum Lesen eines Zeitungsartikels JavaScript? Warum zum Abfragen des Telefonbuches? Wozu zum Eintragen eines Kommentars unter einem Artikel? Da sind anscheinend Leute am Werk, denen technische Spielereien wichtiger sind als Datenschutz. Und dann gibt es wieder irgendeinen Angriff, der auf JavaScript basiert. Der Betreiber der Seite ahnt gar nicht, was vor sich geht, weil er die Blog-Software nicht selbst entwickelt hat. Passwörter treten ihren Weg durchs Internet an und keiner will schuld daran haben.
Mit JavaScript verhält es sich ähnlich. JavaScript benötigen Sie z.B. um in der Telefonbuch-, Shop-, Forensuche oder in Suchmaschinen-Suchfeldern beim Eintippen schon Vorschläge zu erhalten. Ohne diese Vorschläge hätte ich oft deutlich länger benötigt um die gesuchte Information zu finden. Viele kleine Dinge passieren ebenfalls per JavaScript, die Sie gar nicht bemerken werden: Formatierung von Datumsangaben in Ihrer präferenzierten Darstellung und Zeitzone, Validierung eines Formulars vor dem Abschicken, Hinweis auf die entsprechende Seite in Ihrer Lieblingssprache, etc. Außerdem benötigen wir JavaScript als Grundlage für Ajax. Mit Ajax können vereinfacht gesagt Textschnipselchen im Hintergrund nachgeladen werden. Damit können aufwändige Datenbankanfragen (z.B. ähnliche Personen im Telefonbuch) geladen und sobald sie fertig berechnet sind Ihnen angezeigt werden. Sie können in der Zwischenzeit schon einmal anfangen zu lesen. Auch ganze Seiteninhalte werden manchmal mit Ajax geladen. Das spart sehr viel Rechenpower (und damit auch Strom so nebenbei) und macht Websites deutlich schneller.
Böse Hacker benötigen nicht JavaScript. Sie gehen viel öfter über FTP-Accounts oder MySQL Injections. Dass Passwörter im Klartext gespeichert werden und damit in Umlauf gebracht werden können, ist ein Datenbankthema. Hier hat jemand dann großen Mist gebaut. Aber meistens ist es ebenso der Fehler der User, die einfachste Passworte und keinen Passwortmanager nutzen.
Sie sehen also JavaScript und Cookies sind manchmal nicht zwingend notwendig aber kaum wegzudenken. Außerdem sind sie eher hilfreich als böse. Es kommt eben darauf an, was man damit macht. Und in dem Sinne könnte man mit einer einfachen statischen HTML-Seite (die z.B. so aussieht wie die Ihrer Bank) viel mehr Unheil anrichten.
Ganz einfach. Aber ich sehe an deinen anderen Kommentaren, dass noch einiges an Aufholbedarf zu diesen Themen bei dir existiert. Nicht böse gemeint, aber wer so gefährliches Halbwissen mit komplexen Technologien und Anwendungen besitzt, der sollte nicht so rumstänkern.
Es ist dabei nur nötig von GET auf POST Methoden umzustellen.
Ich kenne nicht ein sicherheitsrelevantes webbasiertes System das SessionIDs in Cookies speichert...
Stichwort CSRF/SessionFixation/CookiePoisoning/POODLE usw...
Und nur weil man mich schon mit blankem HTML hereinlegen kann, heißt das nicht, dass ich zusätzlich Angriffspunkte mit JavaScript bieten muss.
Dann lies doch bitte die Zeitung und zieh den Stecker! Alles umsonst haben wollen aber meckern wenn Cookies verwendet werden.
Aber auch um Websites zu verbessern. JA, verbessern (!). Falls mal Zeit besteht sich in die Themen einzulesen, wird dann auch klar, warum das so ist.
Vielleicht nochmal reinlesen in das Thema Cookies etc.. Denn das eine hat mit dem anderen soviel zu tun wie ein Fahrrad mit einem Auto.
Richtlinien müssen sein, da diese in der EU und Deutschland aber von Leuten verfasst werden die keine Ahnung haben, kommt dabei auch nur Mist raus.
Alleine die Pauschalbehauptung, dass Cookies zum wiedererkennen von Nutzern sind und Persönliche Daten speichern ist idiotisch.
Erstmal kann man in Cookies keine Daten speichern, die der Nutzer nicht eh schon mitgeteilt hat.
Und wenn man behauptet, dass JS und Cookies unnötig sind, kann man gar nicht falscher liegen.
Das trifft vielleicht zu wenn man sich von irgendwelchen Hinterwelt Agenturen seine Seite machen lässt, die dann aussieht als ob sie aus dem 20. Jahrhundert wären.
Autos brauchen auch keine Klimaanlage, ABS und Sitzheizung. Warum lässt man das nicht alles weg damit die Autos weniger verbrauchen!?
Weil es mit einfach angenehmer ist, und als Developer kann ich sagen, dass man heute keine Anständige Konkurrenzfähige Seite erstellen kann ohne JS zu benutzen.
Das ganze muss ja irgendwo gehostet sein und egal ob auf eigenen Servern oder bei großen Firmen gehostet kostet das leider Geld. Und da der Großteil der Nutzer für kleine Webpages nicht spendet muss Werbung her... und da tracken Google und Co. fröhlich mit.
LG Kevin
Allein, dass das Internet für Sie nur WWW zu sein scheint, offenbart gravierende Wissensdefizite. Sie können es dann auch wie der Rest der Welt machen und sich informieren, dann hören Sie vielleicht auf, das Internet mit Stuss vollzuschreiben.
Das Internet umfasst auch Dienste wie Mail, IP-Telefonie, App-Kommunikation wie WhatsApp etc, während das WWW die Websites der Browser umfasst (inkl. JavaScript etc.).
Daher redet der Artikel auch richtigerweise nicht um Internet.
Auch ohne Cookies geht es nicht!
Sie haben nun mal auch Ihre Daseinsberechtigung. Man muss ganz klar vom Nutzen unterscheiden, denn Cookies haben einfach einen schlechten Ruf - zum größten Teil aus Unwissen der User und zum anderen auch aus der Presse. Es gibt da die schlechten Cookies wie Tracking... Und ja, die sind für die Besucher von keinem Vorteil. Aber es gibt auch genau das Gegenteil, nämlich z.B. Das CRFS Token, was nichts anderes ist als ein Cookie. Eine sichere Benutzung ohne dieses Cookies ist fast nicht denkbar da OHNE dieses Cookie eine Session von einem anderen Browserfenster übernommen werden könnte um Transaktionen zu tätigen. Würde mich mal interessieren ob euch das gefallen würde.
Es ist also absolut NOTWENDIG um überhaupt Dinge gewährleisten bzw. umsetzen zu können.
Und zum Thema JavaScript. Welche Alternative gibt es? Tabellen filtern ohne Seite nachladen. Hinweistexte zu falschen Eingaben bei Textfeldern ohne Seite nachzuladen. Das alles wäre nicht möglich ohne JS, und wenn Ihr auf einer Website seid, oder noch besser in einer Business Applikation wo genau solche Funktionen nicht gehen, dann wechselt Ihr aber schneller euren Anbieter als ein Entwickler von 0 auf 100 per for-Schleife zählen kann!
Wenn euch Datenschutz so wichtig ist, dann geht den Schritt und löst endlich mal euren Google, Facebook, Instagram, Whatsapp, Twitter Account auf (Auch Gmail). Nutzt DuckDuckGo als Suchmaschine. Nutzt Linux ElementaryOS, schmeißt euer Handy in den Müll. Und zieht das nächste mal eine Maske auf wenn Ihr über die Straße geht. Mal sehen wie lange ihr noch Spaß in einer digitalisierten Zeit habt. Denn mit (Daten-)Sicherheit beginnt auch die Unbequemlichkeit. Ich reg mich weniger über Cookies und Scripten auf als über die Tatsäche das mein Banking Anb ieter im Online Banking noch immer kein Passwort mit mehr als 6 Stellen und Sonderzeichen zulässt -> Das ist im Jahr 2018 ein Grund zum aufregen.
Die meisten Daten geben wir Freiwillig aus Bequemlichkeit und naivität Preis und nicht durch Cookies oder JavaScript.
Amen
Aber hey, die Tabakindustrie war auch mal der Meinung das ihre Produkte nicht schädlich sind. Aktuell ist es die Zuckerindustrie, die noch von sich geben darf, das Zucker gesund ist ...
zitiere Andreas L.:Es ist eher so: früher wussten das nur die Nerds, später hat die Allgemeinheit es durch die Medien erfahren, aber was will man als 0815 Nutzer schon dagegen tun.
Nun ist es so:
Ätschibätsch, wir können es dir jetzt sogar unter die Nase reiben und du kannst nix dagegen tun.
Nun gut, heute sind es "nur" die Cookies, beim nächsten mal müssen vielleicht tatsächlich die Sauereien offen gelegt werden, aber auch dann wird es nicht mehr als ein Ätschibätsch lange Nase dem Nutzer gegenüber sein.
Auf den von mir besuchten Websites der Anwälte und den Bundesländern konnte ich keine Einblendungen feststellen. Wahrscheinlich deshalb, da Google nur die Einwilligung für AdSense und Double Klick vorschreibt, nicht hingegen für andere Dienste wie Google Analytics.
Zitat:
Insofern genügt auch mir eine Datenschutzerklärung wobeibemerkt die Mehrheit der Nutzer diese Erklärung nicht lesen und auf das Kreuzchen klicken. Ich persönlich mag diese nervigen Cookie Banner auch nicht. Was kommt als nächstes?