Viele Webseiten konfrontieren ihre Besucher mit einem Hinweis auf das Verwenden von Cookies. Die meisten Nutzer sind davon aber ziemlich genervt. Brauchen Seitenbetreiber einen solchen Cookie Hinweis überhaupt? Wie genau sollten Seitenbetreiber vorgehen und welche Alternativen gibt es?
Inhaltsverzeichnis:
»» Cookies und die EU-Cookie-Richtlinie
»» Was können Seitenbetreiber konkret tun?
»» Hinweispflicht für Google Adsense Nutzer
»» Technische Umsetzung für Cookie Hinweise
1. Cookies und die EU-Cookie-Richtlinie
Fast alle Webseiten verwenden Cookies. Diese sind dazu da, Nutzer wiederzuerkennen und ihnen das Surfen auf einer Website zu erleichtern, etwa dadurch dass der Nutzer seine Zugangsdaten nicht bei jedem Besuch neu eingeben muss oder erkannt wird, was der Nutzer bereits gekauft hat.
Den rechtlichen Umgang regelt in der EU die so genannte „Cookie-Richtlinie“. Diese EU Cookie-Richtlinie, die eine ausdrückliche Einwilligung des Nutzers in solchen Fällen vorsieht, wurde von Deutschland aber gar nicht umgesetzt. Zur Erklärung: EU-Richtlinien sind nicht automatisch „Gesetz“, sondern müssen von den EU-Ländern umgesetzt werden. Da das in Deutschland nicht geschehen ist, gilt die Richtlinie bei uns eigentlich gar nicht.
Dafür gibt es den § 15 Abs.3 Telemediengesetz (TMG). Der besagt dass es ausreicht, den Nutzer zu unterrichten und auf ein Widerspruchsrecht hinzuweisen. Das kann aber auch in einer Datenschutzerklärung erfolgen.
Das deutsche Recht kennt aktuell trotz der EU Richtline also keine direkte Pflicht, die Nutzer in die Verwendung von Cookies einwilligen zu lassen.
Um die Sache aber noch komplizierter zu machen: Die EU-Kommission hat erklärt, dass die Richtlinie in Deutschland eigentlich gar nicht umgesetzt werden muss, da die heutigen Regelungen in Deutschland die Vorgaben der Cookie-Richtlinie bereist erfüllen. Das klingt komisch, da die deutschen Regeln gerade keine Einwilligung (also den Klick auf „Ja, ich stimme zu“), sondern nur einen Hinweis auf das Widerspruchsrecht vorsehen. Es bleibt also ein gewisses Risiko.
2. Einwilligung oder Hinweis: Was können Webseitenbetreiber konkret tun?
Die rechtlich sicherste Antwort:
Seitenbetreiber sollten die Einwilligung der Nutzer einholen. Der Einwilligungstext sollte beim ersten Aufruf der Seite eingeblendet werden. Der Hinweis sollte so konkret wie möglich sagen, um welche Daten es geht, wozu diese genutzt werden und an wen diese Daten weiter gegeben werden. Der Nutzer muss diesen Text mit einem Klick bestätigen.
Risiko: Keins
Der Mittelweg:
Sie informieren den Nutzer beim ersten Seitenaufruf über das Verwenden von Cookies und sein Widerspruchsrecht, verzichten aber auf eine Einwilligung. Der Nutzer muss hier also nicht klicken und bestätigen.
Risiko: Gering
Der wirtschaftlich sinnvollste Weg
Seitenbetreiber, die kein Google AdSense nutzen (siehe Punkt 3.) können unter rein wirtschaftlichen Gesichtspunkten auch abwarten, ob und wie Deutschland die Richtlinie in den nächsten Monaten umsetzt und solange darauf vertrauen, dass es hier erst einmal nicht zu rechtlichen Auseinandersetzungen kommt.
Risiko: Mittel
Wichtig: In ALLEN Varianten sollten Sie aber einen entsprechenden Passus zu Cookies und Hinweise für den Nutzer, wie er das Setzen von Cookies verhindern kann, in Ihre Datenschutzerklärung aufnehmen. Sie können dazu unseren kostenlosen Datenschutz-Generator verwenden:
https://www.e-recht24.de/muster-datenschutzerklaerung.html
3. Cookies und Google Adsense
Google verpflichtet alle AdSense-Nutzer seit September 2015, den Nutzern einen Hinweis auf die Google-Cookies anzuzeigen. Dazu hat Google "Richtlinie zur Einwilligung der Nutzer in der EU“ online gestellt.
http://www.google.com/about/company/user-consent-policy.html
Dort heisst es, Seitenbetreiber müssen
- „wirtschaftlich vertretbare Maßnahmen ergreifen“ um den Nutzer über das Speichern und Weitergeben der Daten zu informieren und
- müssen eine entsprechende Einwilligung der Nutzer einholen.
Damit geht Google sogar weiter als viele EU-Datenschutzbehörden es fordern. So hat beispielsweise der britische Datenschutzbeauftragte erklärt, eine ausdrückliche Einwilligung wäre bei Cookies nicht erforderlich, es würde ein entsprechender Hinweis genügen. Andererseits schreibt Google die Einwilligung nur für AdSense und Double Klick vor, nicht hingegen für andere Dienste wie Google Analytics.
Seitenbetreiber, die Google AdSense oder DoubleClick nutzen sollten hier also den Vorgaben von Google folgen und eine Einwilligung der Nutzer einholen.
4. Technische Umsetzung für Cookie Hinweise auf Ihrer Website
Hier finden Seitenbetreiber eine Übersicht zu Tools und Plugins, mit denen Sie Cookie-Hinweise selbst erstellen und auf Ihrer Webseite einbinden können:
Wordpress:
https://de.wordpress.org/plugins/cookie-notice/
Cookie Consent Kit von Silktide:
https://silktide.com/tools/cookie-consent/
Cookie Consent Kit der Europäischen Kommission:
http://ec.europa.eu/ipg/basics/legal/cookies/index_en.htm#section_5
Cookie Control:
http://www.civicuk.com/cookie-control/index
5. Praxis-Tipp:
Nutzen Sie unseren kostenlosen Abmahn-Check für Ihre Webseite. So finden Sie die Schwachstellen und Abmahnfallen, bevor Ihre Webseite zur Kostenfalle wird.
Klicken Sie einfach auf das Formularfeld und kopieren Sie sich den Link heraus.
Sören Siebert ist Rechtsanwalt mit Kanzleien in Berlin und Potsdam.
Auf den von mir besuchten Websites der Anwälte und den Bundesländern konnte ich keine Einblendungen feststellen. Wahrscheinlich deshalb, da Google nur die Einwilligung für AdSense und Double Klick vorschreibt, nicht hingegen für andere Dienste wie Google Analytics.
Zitat:
Insofern genügt auch mir eine Datenschutzerklärung wobeibemerkt die Mehrheit der Nutzer diese Erklärung nicht lesen und auf das Kreuzchen klicken. Ich persönlich mag diese nervigen Cookie Banner auch nicht. Was kommt als nächstes?
(Um hier einen Kommentar einzustellen, muss man leider JavaScript aktivieren.)
Aber hey, die Tabakindustrie war auch mal der Meinung das ihre Produkte nicht schädlich sind. Aktuell ist es die Zuckerindustrie, die noch von sich geben darf, das Zucker gesund ist ...
zitiere Andreas L.:Es ist eher so: früher wussten das nur die Nerds, später hat die Allgemeinheit es durch die Medien erfahren, aber was will man als 0815 Nutzer schon dagegen tun.
Nun ist es so:
Ätschibätsch, wir können es dir jetzt sogar unter die Nase reiben und du kannst nix dagegen tun.
Nun gut, heute sind es "nur" die Cookies, beim nächsten mal müssen vielleicht tatsächlich die Sauereien offen gelegt werden, aber auch dann wird es nicht mehr als ein Ätschibätsch lange Nase dem Nutzer gegenüber sein.
Allein, dass das Internet für Sie nur WWW zu sein scheint, offenbart gravierende Wissensdefizite. Sie können es dann auch wie der Rest der Welt machen und sich informieren, dann hören Sie vielleicht auf, das Internet mit Stuss vollzuschreiben.
Das ganze muss ja irgendwo gehostet sein und egal ob auf eigenen Servern oder bei großen Firmen gehostet kostet das leider Geld. Und da der Großteil der Nutzer für kleine Webpages nicht spendet muss Werbung her... und da tracken Google und Co. fröhlich mit.
LG Kevin
Richtlinien müssen sein, da diese in der EU und Deutschland aber von Leuten verfasst werden die keine Ahnung haben, kommt dabei auch nur Mist raus.
Alleine die Pauschalbehauptung, dass Cookies zum wiedererkennen von Nutzern sind und Persönliche Daten speichern ist idiotisch.
Erstmal kann man in Cookies keine Daten speichern, die der Nutzer nicht eh schon mitgeteilt hat.
Und wenn man behauptet, dass JS und Cookies unnötig sind, kann man gar nicht falscher liegen.
Das trifft vielleicht zu wenn man sich von irgendwelchen Hinterwelt Agenturen seine Seite machen lässt, die dann aussieht als ob sie aus dem 20. Jahrhundert wären.
Autos brauchen auch keine Klimaanlage, ABS und Sitzheizung. Warum lässt man das nicht alles weg damit die Autos weniger verbrauchen!?
Weil es mit einfach angenehmer ist, und als Developer kann ich sagen, dass man heute keine Anständige Konkurrenzfähige Seite erstellen kann ohne JS zu benutzen.
Cookies sind im übrigen kleine Textdateien die auf dem Lokalen Computer gespeichert werden, sie sind nicht schädlich und sind nicht der Grund einen auszuspionieren, Spionieren kann man auch ohne Cookies und JS
Genauso JavaScript: Wozu brauche ich zum Lesen eines Zeitungsartikels JavaScript? Warum zum Abfragen des Telefonbuches? Wozu zum Eintragen eines Kommentars unter einem Artikel? Da sind anscheinend Leute am Werk, denen technische Spielereien wichtiger sind als Datenschutz. Und dann gibt es wieder irgendeinen Angriff, der auf JavaScript basiert. Der Betreiber der Seite ahnt gar nicht, was vor sich geht, weil er die Blog-Software nicht selbst entwickelt hat. Passwörter treten ihren Weg durchs Internet an und keiner will schuld daran haben.
Dann lies doch bitte die Zeitung und zieh den Stecker! Alles umsonst haben wollen aber meckern wenn Cookies verwendet werden.
Mit JavaScript verhält es sich ähnlich. JavaScript benötigen Sie z.B. um in der Telefonbuch-, Shop-, Forensuche oder in Suchmaschinen-Suchfeldern beim Eintippen schon Vorschläge zu erhalten. Ohne diese Vorschläge hätte ich oft deutlich länger benötigt um die gesuchte Information zu finden. Viele kleine Dinge passieren ebenfalls per JavaScript, die Sie gar nicht bemerken werden: Formatierung von Datumsangaben in Ihrer präferenzierten Darstellung und Zeitzone, Validierung eines Formulars vor dem Abschicken, Hinweis auf die entsprechende Seite in Ihrer Lieblingssprache, etc. Außerdem benötigen wir JavaScript als Grundlage für Ajax. Mit Ajax können vereinfacht gesagt Textschnipselchen im Hintergrund nachgeladen werden. Damit können aufwändige Datenbankanfragen (z.B. ähnliche Personen im Telefonbuch) geladen und sobald sie fertig berechnet sind Ihnen angezeigt werden. Sie können in der Zwischenzeit schon einmal anfangen zu lesen. Auch ganze Seiteninhalte werden manchmal mit Ajax geladen. Das spart sehr viel Rechenpower (und damit auch Strom so nebenbei) und macht Websites deutlich schneller.
Böse Hacker benötigen nicht JavaScript. Sie gehen viel öfter über FTP-Accounts oder MySQL Injections. Dass Passwörter im Klartext gespeichert werden und damit in Umlauf gebracht werden können, ist ein Datenbankthema. Hier hat jemand dann großen Mist gebaut. Aber meistens ist es ebenso der Fehler der User, die einfachste Passworte und keinen Passwortmanager nutzen.
Sie sehen also JavaScript und Cookies sind manchmal nicht zwingend notwendig aber kaum wegzudenken. Außerdem sind sie eher hilfreich als böse. Es kommt eben darauf an, was man damit macht. Und in dem Sinne könnte man mit einer einfachen statischen HTML-Seite (die z.B. so aussieht wie die Ihrer Bank) viel mehr Unheil anrichten.
Und nur weil man mich schon mit blankem HTML hereinlegen kann, heißt das nicht, dass ich zusätzlich Angriffspunkte mit JavaScript bieten muss.
Bei jedem Login muss irgendwo gespeichert sein, dass der Nutzer eingeloggt ist und mit welchem Account. Sonst ist Sicherung von modernen Webpages leider nicht möglich.
Eine Verknüpfung mit IPs wäre auch nicht gerade das gelbe vom Ei, denn die werden von vielen Providern täglich neu vergeben und ich glaube nicht, dass wir alle täglich einen neuen Account wollen ;)
Auf statischen Seiten, die uns nur etwas Text ohne weitere Interaktivität geben sollen, stimme ich dir allerdings zu.
LG Kevin
Und Frameworks wie AngularJS, ExtJS und diverse andere JavaScript-Frameworks, auf denen gesamte Web-Applikationen basieren, verteufeln wir am besten vollständig. Mobiltaugliche Webseiten, javascript-gestützt sind sicherlich ebenfalls Unsinn und einem User Inhalte cross-site zu präsentieren, die für ihn und sein Profil relevant sind, sind sicherlich auch Quatsch. Denn im Internet ist grundsätzlich alles umsonst und so ist die Welt definiert. Geld verdienen darf da keiner.
Am besten jegliche Elektronik auf den Müll und frei von jegliche Technologie mit Sonnenbrille im Wald leben. Keine gute Idee?
Gut, dann bitte so "schlaue" Vorschläge unterlassen.
Deshalb: die eigentlich richtige und technisch kontrollierbare Lösung wäre diese Meldung für Browser zu verpflichten und nicht gewissenlos umgesetzt auf Webseiten. Wie oft ich schon auf "nicht akzeptieren" geklickt habe und die Cookie-Box danach nicht wieder kam....... weil sie ein Cookie abgelegt hat, dass ich keine Cookies will :)
Ein Cookie ist ein Teil einer Webseite, zudem sind Cookies nicht schädlich, sie dienen nur als Quasi Festplatte um Daten zuspeichern, diese Daten sind nix weiteres als Textdateien. Lieber Cookies nutzen als direkt Zugriff auf die Festplatte und dort beliebig Dateien anlegen.
Dieses Hirnrissige Cookie hinweis haben wohl langweilige EU abgeordnete geschaffen, die keine nie im Internet waren und von einem anderen erfahren haben die selbst keine Ahnung haben aber meine das wäre schädlich.
Selten so einen Unfug gelesen. Das mag für eine "kleine Visitenkarte" im Netz stimmen. Sobald man aber anfängt Anwendungen oder automatisierte Prozesse (welcher Art auch immer) anzubieten, wird der Einsatz von Cookies notwendig.
Rein technisch kann man sich auch ohne Cookies behelfen - das geht schon.
Damit holt man sich aber eine Reihe von neuen Problemen ins Haus - angefangen von unschönen und ellenlangen URLs, großer Zusatzaufwand für Testen & Co, erhöhte Fehleranfälligkeit der Gesamtanwendung usw.
Für die Werbeindustrie - und alle die auf Einnahmen daraus angewiesen sind - gibt es schlicht keinen Ersatz von Cookies. Oder halt: Das gibt es schon ... die Lösungen (Local-Storage, Browser-Fingerprint, ...) sind aber allesamt deutlich "ekliger" als der Einsatz von Cookies.
Also ehe man so einen Schwachfug von sich gibt ... erstmal informieren oder es mit Dieter Nuhr halten.
wie meint ihr merkt sich eine Webseite, was ihr in euren Warenkorb gepackt habt und welche Lieferadresse ihr eingegeben habt?
Es gibt nur 2 Möglichkeiten:
Entweder, man speichert diese Info auf eurem Computer, das nennt man dann Cookie,
ODER, man speichert sie auf dem Server. Dann braucht man aber irgendeine Information, um euren Computer wiederzuerkennen, eine ID. Diese ID steckt dann auch wieder in einem Cookie.
Keine Cookies = keine Webshops
Für die ganz Schlauen:
man kann Sachen in der URL "speichern", diese ist aber im Speicherplatz sehr begrenzt und wenn ein Schlauberger diese URL kopiert, bookmarkt,... (z.B. um anderen einen Artikel zu zeigen), weil er nicht weiß, dass die URL alle persönlichen Daten erhält, sind alle persönlichen Daten plötzlich öffentlich zugänglich. Außerdem zerstört ein Klick auf einen externen Link zugleich Login und Warenkorb und Man-In-The-Middle Attacks sind plötzlich super einfach und Leute können in eurem Name Bestellungen machen.
Die alternative Verwendung von post-Requests hat zwar dieses Problem nicht, unterbindet aber die Nutzung von Links auf Webseiten.
Mir stellt sich dann also die Frage warum du an Developer appellierst Cookies nicht zu verwenden wenn du selber keine Ahnung hast wofür man sie braucht.
Schon alleine wegen dieser neuen Cookie-Richtlinie braucht man Cookies um die Nachricht nicht jedes mal erneut anzuzeigen.
Es gibt ein weites Anwendungsgebiet für Cookies das sich nicht nur auf Logins etc. bezieht und wenn du Cookies nicht leiden kannst, dann schalte sie eben aus.
Trotzdem ist diese Richtlinie Rotz und würden die Menschen in der Schule nicht nur lernen wie man Word Dateien und PowerPoint Präsentation erstellt dann müssten auch die Website-Betreiber ihren Besuchern nicht erklären wie das Internet funktioniert.
Ich glaub ich hatte es schon erwähnt aber wiederhole es noch einmal:
In Cookies können keine Daten gespeichert werden, die der Benutzer nicht gesendet hat.
Und weil du dich so wegen Tracking aufregst, wo ist da das Problem?
Mit Cookies wird man nicht raus finden können, dass Max Musterman der in Musterstraße 1, 12345 Musterstadt wohnt jetzt diese Website benutzt.
Bei dem Tracking geht es einfach darum zu wissen wann Benutzer die Seite verlassen, wie lange sie auf einer Seite sind welche Geräte sie benutzen (Browser, Betriebssystem) und aus welcher Gegend sie kommen (Keine genaue Adresse).
Diese Daten werden dann verwendet um die Website zu verbessern.
Es sind auch die unzähligen dynamischen Webseiten, die mit Wordpress, Joomla, usw. erstellt wurden...
Wenn dich interessiert, wie so eine Seite funktioniert, dann nutze mal in deinem Browser so eine Funktion namens "Element untersuchen", "Entwicklertools" oder ähnlich (hängt vom verwendeten Browser ab, wie es genannt wird) - du wirst staunen, was da alles in Hintergrund werkelt...!
Mein Problem mit Tracking: Es ist damit möglich, ein Profil zu erstellen. Welcher Benutzer besucht welche Webseiten. Wenn man genügend davon zusammenhat, kann man schon recht genau Besucher identifizieren. Identifikation muss dabei nicht bedeuten, dass man auch die Postadresse des Benutzers weiß. Wenn Google Analytics in so viele Web-Auftritte eingebunden ist, wie das heute der Fall ist, hat Google schon einen ganz guten Überblick über Identitäten und Lebensumstände der WWW-Benutzer.
Mein Problem mit Cookies ist: Ich schalte sie natürlich ab, aber dann gibt es Seiten, die nicht mehr arbeiten wollen, oder merkwürdige Fehlfunktionen aufweisen, die ich als Benutzer nicht mit Cookies in Verbindung bringen würde. Und jetzt dieser Mist mit den Cookie-Warnungen, die ich nur durch das Erlauben von Cookies unterbinden kann. Die richtige Herangehensweise wäre: Wenn der Benutzer Cookies deaktiviert hat, dann braucht es auch keinen Warnhinweis.
Wenn Betreiber nicht auf Vorschläge reagieren muss das nichts damit zu tun haben, dass die Seite nicht verwendet wird.
Klar kann es dem ein oder anderen Unbehagen bereiten wenn Firmen wie Google alles über ihr Konsumverhalten wissen (nebenbei gesagt sharen sie eh ihr ganzes Leben auf FB und Co.), aber mich stört es nicht weiter wenn mir passend zu meinem Konsumverhalten Produkte vorgeschlagen werden.
Und solange Google nicht weiß, das Max Mustermann die Sachen bestellt sondern Nutzer o4oHY11x8j98b8M1Tpa9yLL7G1uLJ8t9 gerne Metallica hört und sich für pinke Badeschlappen interessiert, stört mich das nicht weiter.
Wenn man weiß wie man sich im Internet bewegt, dann kann man auch dafür sorgen, dass Google eben nur die belanglosen Dinge weiß. Es gibt eine Seite von Google auf der man sich anzeigen lassen kann, was Google alles über einen weis (Google Konto Einstellungen irgendwo), zudem gibt es eine riesen Anzahl Add-Ons die Analytics blocken.