BGH und Cookies

[purzel]

Hallo zusammen,
mit Erschrecken habe ich gerade einen Zeitungsartikel (kleine Provinzzeitung) bekommen, in dem der BGH das aktive Zustimmen zu Cookies zur Pflicht erklärt. Zum Brechen: da wird anscheinend überhaupt nicht differenziert, ob Session- oder andere Cookies aktiv zugelassen werden müssen.
Ich nutze auf meinen Instanzen (wissentlich) nichts was Cookies schreiben würde außer Contao (3.5) selbst. Ich habe keine Statistik-Funktionen eingebunden, will keine Werbung und gehe davon aus, dass Contao kein Tracking betreibt. Warenkorb usw. habe ich auch nicht. Laut Firefox habe ich jeweils nur die Session Cookies im PC.
Kann ich entweder Contao 3.5 mit einfachen Mitteln dazu bringen auch keine Session Cookies zu benutzen (vermutlich illusorisch) oder gibt es was Besseres als diese "Cookie-Freibrief-Einforderungs-Banner wie man sie auf vielen Seiten sieht (und die demnach wohl unzulässig sind)?
Hier ein paar Links zu Artikeln die das Urteil beschreiben:
https://www.tagesschau.de/inland/coo...tshof-101.html
https://www.sueddeutsche.de/digital/...aken-1.4921013
https://www.e-recht24.de/artikel/dat...willigung.html
Auf e-recht24 sind einige Passagen, die genau das sagen was auch meine Meinung ist - ich habe auf meinen Instanzen sinngemäß etwa stehen "Wir benutzen ausschließlich Session Ccookies".

Wenn ich mir den Sermon auf https://www.bundesgerichtshof.de/Sha...ml?nn=10690868 so angucke, wird schon da nicht differenziert
Muss ich meine Seiten nun vom Netz nehmen?

[mlweb]

Abgesehen von der Einschätzung zu Cookies, kannst Du auch einfach auf die aktuellste Contao-Version - Contao 4.9 - setzen. Session-Cookies gibt es dann vom Contao Core nur noch, wenn Du ein Formular anbietest oder im Backend oder Frontend eingeloggt bis (weil dann technisch notwendig) oder wenn Du eine Erweiterung einsetzt, die Cookies mitbringt

[planepix]

Und sonst hilft sicher Ninas Post - ohne Gewähr:
https://www.ninagerling.de/fachwisse...-websites.html

[tab]

Also CSRF-Cookie und PHPSESSID-Cookie (bei Anmeldung oder wann immer ich mir sonst durchgeführte Nutzeraktionen merken MUSS) betrachte ich persönlich als technisch notwendig. Damit gedenke ich DAFÜR nach wie vor kein Cookie-Banner zu brauchen. Ich wüsste auch gar nicht, was ich im Ablehnungsfall anderes tun sollte, als keinen Content auszuliefern. Wenn ich z.B. gesetzlich verpflichtet bin, bestimmte Informationen anzuzeigen, bevor ich den Content ausliefern darf. Das BGH-Urteil betrifft doch eine völlig anders gelagerte Problematik. Ich sehe auch in den drei Links nirgends eine Behauptung, dass man für technisch notwendige Cookies eine aktive oder überhaupt irgendeine Zustimmung bräuchte. Ich jedenfalls erkläre solche Cookies bestenfalls in der Datenschutzerklärung, dazu bin ich natürlich verpflichtet.

[BugBuster]

# Rechtsanwalt Sören Siebert 04.06.2020, 08:40 Uhr
Das stimmt soweit. Nur wenn Sie Cookies setzen für die eine Einwilligung nötig ist benötigen Sie ein Consent Tool. Wenn Sie lediglich eigene notwendige Session Cookies setzen können Sie auf eine Einwilligung/ Cookie Banner verzichten.

Bleibt also also beim alten oder übersehe ich da was? (was Session Cookies betrifft)

[purzel]

... Ich sehe auch in den drei Links nirgends eine Behauptung, dass man für technisch notwendige Cookies eine aktive oder überhaupt irgendeine Zustimmung bräuchte. Ich jedenfalls erkläre solche Cookies bestenfalls in der Datenschutzerklärung, dazu bin ich natürlich verpflichtet.

So geht es mir im Prinzip ja auch; es wird ja in den (exemplarischen) Links nicht differenziert um welche Cookies es geht - selbst auf der oben verlinkten Seite vom BGH nicht. Auch in dem EuGH Urteil finde ich keine Differenzierung.

Dass ein Upgrade auf 4.9 helfen könnte habe ich mir schon fast gedacht bzw. befürchtet. Versions-Upgrades machen bekanntlich IMMER Schmerzen (in meinem Fall vermutlich 3.5 -> 4.4 -> 4.9) und dazu habe ich im Moment einfach keine Zeit - gerade weil es nicht in ein paar wenigen Stunden gemacht ist.

Ich habe tatsächlich ein Web-Formular, welches man aber nicht nutzen MUSS. Dessen Inhalt gibt es auf der davor geschalteten Seite auch als PDF zum Ausdrucken und herkömmlich Ausfüllen (Kugelschreiber). Das PDF selbst enthält KEINE Formulare.
@mlweb: würde es denn alle Cookies einsparen, wenn man das Formular erst gar nicht anklickt? Mit anderen Worten würde ja dann der Session-Cookie-Hinweis auf der vorgenannten Seite ausreichen.

Aber selbst wenn ich eine aktive Zustimmung (Checkbox) zur Verwendung von (Session-)Cookies mache, habe ich ein Formular, welches ein (vermutlich) Session Cookie benötigt. Quasi wie tab schrieb:

Ich wüsste auch gar nicht, was ich im Ablehnungsfall anderes tun sollte, als keinen Content auszuliefern. Wenn ich z.B. gesetzlich verpflichtet bin, bestimmte Informationen anzuzeigen, bevor ich den Content ausliefern darf.

Also das berühmte Ei-Henne-Problem?

{Zitat von e-recht24}
Bleibt also also beim alten oder übersehe ich da was? (was Session Cookies betrifft)

Genau so denke ich ja auch aber ich habe halt ein bisschen Angst vor Abmahn-Anwälten die sich jetzt (möglicherweise) auf genau sowas stürzen könnten... Ein kleines bisschen beruhigen mich da die letzten beiden Absätze des Artikels der Süddeutschen Zeitung.

[lucina]

So geht es mir im Prinzip ja auch; es wird ja in den (exemplarischen) Links nicht differenziert um welche Cookies es geht - selbst auf der oben verlinkten Seite vom BGH nicht. Auch in dem EuGH Urteil finde ich keine Differenzierung.

Die braucht es auch nicht, denn es wird ja bereits behandelt, was eine Einwilligung benötigt und was nicht. Zudem geht es in der von Dir zitierten Entscheidung um die Ausgestaltung der Zustimmung. Da hatte ein Anbieter die betreffenden Häkchen vorab bereits gesetzt und sich somit die Zustimmung quasi erschlichen. Zumindest die Pressemitteilung des BGH geht ja auch detailliert daruaf ein, welche Zustimmung da gefordert wurde und welche Einwilligungen zum setzen welcher Cookies führten. Tenor ist, dass es ja so nicht geht: Ein Angebot zu einem Gewinnspiel zu machen und dabei einen Vertrag unterzuschieben, der zur Folge hat, dass die Kavallerie kommt.

Im weiteren hat der BGH dann auch noch das Dark Pattern moniert und festgestellt, dass beim Setzen von 57 partnerbezogenen Cookies von einer informierten Einwilligung eben nicht die Rede sein kann. Yahoo (oder wie die gerade heissen) versucht es in diesem Stil ja auch, und solchen Praktiken gehört ganz richtig der Stecker gezogen.

Vielleicht liest Du ganz einfach die bereits von Dir verlinkte Presseinformation des BGH noch einmal genau durch, gerne auch vor dem Hintergrund der einschlägigen aktuellen Vorschriften.

Dass ein Upgrade auf 4.9 helfen könnte habe ich mir schon fast gedacht bzw. befürchtet. Versions-Upgrades machen bekanntlich IMMER Schmerzen (in meinem Fall vermutlich 3.5 -> 4.4 -> 4.9) und dazu habe ich im Moment einfach keine Zeit - gerade weil es nicht in ein paar wenigen Stunden gemacht ist.

An dieser Stelle läufst Du dann leider in eine andere Falle, nämlich die des IT-Sicherheitsgesetzes (speziell die unter https://www.bsi.bund.de/DE/Themen/KR...BAD70.2_cid501 nachzulesenden Pflichten). Deine Systeme sollen "dem Stand der Technik" entsprechen, um einen Schutz vor Eingriffen zu gewährleisten. Ich bin mir nicht sicher, ob "keine Zeit" ein valides Argument ist.

Im Übrigen teile ich gerne meine Erfahrung, dass ein von Dir skizziertes Update in allen Fällen, die mir bisher untergekommen sind und bei denen die beteiligten Contao-Installationen nicht entgegen aller Regeln der Kunst totgefrickelt waren, erstaunlich stresslos vonstatten gingen und meist in einer Stunde erledigt waren. Man setzt eine neue Installation auf, versieht sie mit den bisherigen Erweiterungen in aktueller Version, dem /files- und dem /templates Ordner, lässt dann das Installtool die Updates in einer Kopie der Datenbank erledigen und ist dann schon fast fertig. Oft darf mann dann noch drei Zeilen CSS ändern, um die Änderungen in den Navigationstemplates aufzufangen. Im Grossen und Ganzen ist es das schon.

Ich habe tatsächlich ein Web-Formular, welches man aber nicht nutzen MUSS. Dessen Inhalt gibt es auf der davor geschalteten Seite auch als PDF zum Ausdrucken und herkömmlich Ausfüllen (Kugelschreiber). Das PDF selbst enthält KEINE Formulare.
@mlweb: würde es denn alle Cookies einsparen, wenn man das Formular erst gar nicht anklickt? Mit anderen Worten würde ja dann der Session-Cookie-Hinweis auf der vorgenannten Seite ausreichen.

Aber selbst wenn ich eine aktive Zustimmung (Checkbox) zur Verwendung von (Session-)Cookies mache, habe ich ein Formular, welches ein (vermutlich) Session Cookie benötigt.

Session-Cookies waren noch nie das Problem.

Genau so denke ich ja auch aber ich habe halt ein bisschen Angst vor Abmahn-Anwälten die sich jetzt (möglicherweise) auf genau sowas stürzen könnten... Ein kleines bisschen beruhigen mich da die letzten beiden Absätze des Artikels der Süddeutschen Zeitung.

Ich kann natürlich nicht Deinen persönlichen Angstfaktor einschätzen. Lass Dich halt beraten.

[purzel]

Herzlichen Dank für Deine ausführliche Stellungnahme. Ich vermute zwar (kann mich natürlich irren, sorry in diesem Fall) dass Du auch nicht gerade ein Jurastudium absolviert hast - dennoch reduziert es meine Ängste. Das mit der Vorauswahl, Dark Pattern & Co hatte ich natürlich gelesen - mich aber daran gestört, dass ich nirgendwo dedizierte Informationen fand wie es sich mit eben z.B. Session Cookies verhält. Vielleicht habe ich an falschen Stellen gesucht, das will und kann ich nicht ausschließen. Letztendlich KÖNNTE man das "Voraussetzen von Session Cookies" ja als "vorausgewählten Haken" sehen wenn man spitzfindig ist. Allerdings habe ich wie gesagt den Hinweis auf die Session Cookies in meiner Datenschutzerklärung, jetzt mal genau:
Die einzigen von uns verwendeten Cookies sind so genannte „Session-Cookies“. Sie werden nach Ende Ihrer Sitzung automatisch gelöscht. Für diese Cookies ist es nicht erforderlich, die Nutzung von Ihnen einzufordern. ... Wir verwenden weder Tracking-Cookies noch solche, die für Analyse-/Statistik-Dienste oder gar Werbung verwendet werden (könnten).
Das mit dem Nicht-Einfordern der Session Cookies hatte ich seinerzeit irgendwo mal gefunden, ist schon eine Weile her - vermutlich kurz nach "scharf" werden der DSGVO. Ich denke, ich muss mir vielleicht doch weniger Sorgen machen als in meiner gestrigen Anfangs-Panik.

Zu der Upgrade Geschichte (eigentlich OT): Natürlich wäre "keine Zeit" bei Rechtsfragen kein Argument. Immerhin mache ich schon des Öfteren die "kleinen" (Sicherheits-)Updates (letzte Zahl in der Version); allerdings gucke ich nicht täglich nach ob es welche gibt ;-)
Ich kann mich aber halt an mein Upgrade von 2.6 auf 3.5 erinnern - das war gefühlt die Hölle. OK, ich hatte damals auch viele Templates angepasst (und heute immer noch), da ging nach dem Upgrade fast nichts mehr ordentlich. Und es gab etliche Plugins, die wurden nicht weiterentwickelt und dann einen Ersatz zu finden ist manchmal eine sehr zeitintensive Odysse (oder unmöglich). Es ist ja weiterhin sehr zeitraubend, JEDE Seite der Instanz zu testen. Das geht eben nicht alles Hopplahopp. Vielleicht - das käme auf einen Versuch an - ist das bei 3.5 -> 4.9 nicht mehr so krass. Wenn denn mein Hoster 4.9 unterstützt, das ging voriges Jahr nämlich noch nicht...

[lucina]

Herzlichen Dank für Deine ausführliche Stellungnahme. Ich vermute zwar (kann mich natürlich irren, sorry in diesem Fall) dass Du auch nicht gerade ein Jurastudium absolviert hast ...

Nur im Nebenfach. Und wie immer gilt: Verbindliche Ratschläge gibt es nur von jemandem, der/die sich wirklich damit auskennt. Im Zweifelsfall sind das dann Jurist*innen, die sich auf Medienrecht spezialisiert haben.

[tab]

Nur im Nebenfach. Und wie immer gilt: Verbindliche Ratschläge gibt es nur von jemandem, der/die sich wirklich damit auskennt. Im Zweifelsfall sind das dann Jurist*innen, die sich auf Medienrecht spezialisiert haben.

Wichtig ist auch der zweite Halbsatz des letzten Satzes. Man kann nicht davon ausgehen, dass sich jeder Jurist automatisch damit auskennt. Wobei sich die meisten wohl relativ schnell kundig machen könnten. Ich durfte das auch schon erleben, als ich darauf hinweisen musste, dass das "Recht am eigenen Bild" das Urheberrecht nicht umfasst oder außer Kraft setzt, dass also kein Recht für die Verwendung eines Bilds besteht, nur weil man darauf abgebildet ist. Das kann durchaus teuer werden .

[WorkerBeeEu]

[...]
Und wie immer gilt: Verbindliche Ratschläge gibt es nur von jemandem, der/die sich wirklich damit auskennt. Im Zweifelsfall sind das dann Jurist*innen, die sich auf Medienrecht spezialisiert haben.

Habe selten so gut gelacht in den letzten Tagen leider wird keiner von niemanden eine fachlich verbindliche Aussage zu dem Thema erhalten. Selbst Fachanwälte reden in der Regel um den heißen Brei, weil es keine gesetzliche Definition für die Begrifflichkeiten gibt z.B. was genau ein "technisch relevanter" Cookie ist. Selbst die Nutzung des Begriffs Cookie in ist Rechtsrahmen komplett verzerrt.

Im Kern der ganzen Cookie-Geschichte geht es eigentlich gar nicht um Cookies sondern um das Tracking. Würdest du den Nutzer über einen URL-Parameter tracken wäre das genauso schlimm und du müsstest den Nutzer darüber aufklären.

Ich Empfehle das Contao wenigstens auf die Version 4.4 zu hieven. Das geht ab 3.5 eigentlich sehr unkompliziert und sollte innerhalb von einer Stunde erledigt sein. Ggf. musst du das eine oder andere Plugin entfernen oder ersetzen.

[purzel]

leider wird keiner von niemanden eine fachlich verbindliche Aussage zu dem Thema erhalten. Selbst Fachanwälte reden in der Regel um den heißen Brei, weil es keine gesetzliche Definition für die Begrifflichkeiten gibt z.B. was genau ein "technisch relevanter" Cookie ist. Selbst die Nutzung des Begriffs Cookie in ist Rechtsrahmen komplett verzerrt.

Im Kern der ganzen Cookie-Geschichte geht es eigentlich gar nicht um Cookies sondern um das Tracking. Würdest du den Nutzer über einen URL-Parameter tracken wäre das genauso schlimm und du müsstest den Nutzer darüber aufklären.

Traurig genug dass das nicht ordentlich definiert ist - erklärt aber immerhin, warum ich nichts gefunden habe
Statistik, Werbung und Tracking verwende ich ja nicht. Was ich nicht will das man mir tu' das füg' ich keinem And'ren zu

Ich Empfehle das Contao wenigstens auf die Version 4.4 zu hieven. Das geht ab 3.5 eigentlich sehr unkompliziert und sollte innerhalb von einer Stunde erledigt sein. Ggf. musst du das eine oder andere Plugin entfernen oder ersetzen.

Ja huch
Ich habe mal eben geschaut und muss sagen: ich war wohl etwas "umnachtet" - Asche auf mein Haupt. Beide Instanzen SIND SCHON schon auf 4.4.x wobei x unterschiedlich ist. Es war definitiv NICHT innerhalb einer Stunde erledigt. Klar, das "Grundsätzliche" schon - aber bis alles wieder so geht wie man es gewohnt ist dauert (*). Bei der Einen hatte ich genau deswegen seinerzeit wohl nicht genug Zeit es zu vollenden, d.h. die www.... ist noch 3.5 während es schon eine test.... auf 4.4.40 im Wartungsmodus gibt. Die Andere, für die ich auch deutlich mehr Zeit aufwende ist immerhin 4.4.48 - da gibt es bestimmt auch schon Patches, ich weiß aber gerade meine Contao-Manager Passwört für beide Instanzen nicht

(*) noch mehr OT: Ich sehe das wie bei einer Betriebssystem-Installation: Man hat es in weniger als einer Stunde installiert, braucht aber mindestens einen Tag bis man sinnvoll/ergonomisch damit arbeiten kann.