Ein Cookiebanner sollte gemäß neuem Urteil des EUGH unterscheiden zwischen den zwingend notwendigen Diensten, welche notwendig sind um die Website zu nutzen und solchen, die das nicht sind. Werbebanner wurden vom Gericht als nicht zwingend notwendig gesehen.
Bei Werbebanner müsste es theoretisch auch ein OPT-IN geben, also eine Frage ob überhaupt ein Cookie gesetzt werden darf und nicht ein OPT-OUT. Die Argumentation, dass Werbebanner nur mit OPT-OUT funktionieren, ist falsch, denn jedes Skript (JS/Server) kann ja prüfen, OB ein Cookie gesetzt ist oder nicht. Und dann von der Nichtexistenz von Cookies davon ausgehen, dass entweder keine Entscheidung getroffen oder aber keine Zustimmung erfolgte.
Zwingend notwendig für den Betrieb können Session-Cookies sein oder solche, die Statuswerte zur Bedienung der Website speichern.
Diese Cookies können ohne Nachfrage beim User gesetzt werden.
Mittelbar notwendig für den Betrieb einer Website können Tracker- und Analyse-Software sein. Die Argumentation, dass die Betreiber einer Website angewiesen sind auf (anonymisierte) Abruf- und Analysedaten zum Benutzerverhalten auf der Website lässt sich in vielen Fällen als legitim werten.
Hier wäre meines Erachtens je nach Art der Website und der Notwendigkeit entweder schnell, mittelbar oder gar nicht auf Verhaltensflüsse der Nutzer zu reagieren, jeweils im Kontext zu erwägen, ob das Tracking als zwingend notwendig anzusehen ist, oder nicht.
Je nach Kontext und der Art des Betriebs kann daher die Wertung kommen, daß
keine Nachfrage notwendig ist
ein OPT-OUT Cookie ausreicht
ein OPT-IN Cookie notwendig ist
Für den Betrieb der Website nicht zwingend notwendig (sieht man von Erwägungen der Barrierefreiheit ab, bei denen ständige Cookie-Warnbanner zu einer Beeinträchtigung und einer Barriere führen können!) und dabei nicht trackend, aber hilfreich hingegen ist ein Cookie, welches die Entscheidung des Users auf einen Consense-Banner speichert (und sonst nichts weiter tut).
Wir nennen dies mal CONSENSE-Cookie.
Folgendes Vorgehen bei einem Consent-Banner wäre denkbar:
(Szenario: Wir haben eine Website, auf der folgendes eingesetzt wird:
ein Tracker zur Analyse der Website,
Entscheidungskette (Entwurf):
Prüfen, ob bereits ein Domain-Cookie gesetzt wurde zur Speicherung der CONSENSE-Entscheidung. (CONSENSE-COOKIE). Ist ein CONSENSE-Cookie gesetzt?
Ja: Handeln entsprechend den Antworten, keine Cookie-Warnung mehr zeigen
Nein: Weiter bei 2.
Sendet der Browser von sich aus bereits ein "DNT" (do not track)?
Ja: Weiter mit 3b
Nein: Weiter mit 3a
Erstellung eines CONSENSE-Banners
a) mit den Bereichen A-D
b) mit den Bereichen A-C
Erstellen eines Consense-Banners mit folgenden "Fragen":
A: CONSENSE-COOKIE:
Checkbox-Frage, mit vorausgefüllter Zustimmung:
[X] Ich stimme zu, daß meine Antwort auf diese Fragen und die Zurkenntnisnahme dieses Banner in einem Cookie gespeichert werden. Ich kann dieses Cookie selbstständig wieder löschen. Ansonsten hat es eine Laufzeit von 365 Tagen und verliert danach seine Gültigkeit.
Wenn ich das Setzen dieses Cookie und die Speicherung meiner Präferenz verweigere, wird dieses Cookie Banner auf jeder aufgerufenen Seite der Domain $domainname.tld neu erfragt.
B: Informative und Zustimmungsfreie Cookies:
Auf dieser Website werden folgende Cookies zwingend gesetzt. Eine Nutzung der Website ohne Setzen dieser Cookies ist nicht möglich.
Sitzungscookies.
Zweck: Speichern von Login-Informationen, nach einem erfolgreichen Login als Autor der Seite. Sind Sie kein Autor oder haben sich nicht angemeldet, wird kein Cookie gesetzt.
Name: Blafasel, Typ: Session, Dauer: X Tage, automatische Löschung: Nach x Tagen
Darstellungsoption
Zweck: Speichern einer gewünschten Darstellungsoption der Website
Name: Blafasel, Typ: Session, Dauer: X Tage, automatische Löschung: Nach x Tagen
Schriften
Zweck: Darstellung einer Schriftart
Zur optischen Darstellung der Website wird eine Schriftart XXXX eingesetzt. Diese wird von der Fa. aaaa von dem Server domainnamen.tld bereitgestellt. Ob und wie der AUfruf der Schrift gespeichert und weiter verarbeitet wird, liegt ausserhalb der Hand der Betreiber dieser Website
Skript-Bibliotheken
Zweck: Performantes Laden einer JavaScript-Bibliothek
Zur optischen Darstellung der Website wird ein JavaScript XXXX eingesetzt. Diese wird von der Fa. aaaa von dem Server domainnamen.tld bereitgestellt. Ob und wie der Aufruf der Schrift gespeichert und weiter verarbeitet wird, liegt ausserhalb der Hand der Betreiber dieser Website
C: OPT-OUT-Cookies
Systeme, die nur mittelbar zwingend zum Betrieb sind und daher ein setzen OPT-OUT-Cookie setzen
(Beispiele von J. Nehlsen):
Zustimmungsabfrage. Nicht vorausgefüllt:
[ ] Ich möchte die personalisierte Newsseite im meinem Hochschulportal. Dafür setzen wir ein dauerhaftest Cookie. Diese Einwilligung ist freiwillig und kann jederzeit unter ... widerrufen werden. Nach einem Widerruf steht mir dieser Dienst nicht mehr zur Verfügung. Weitere Informationen finden sich in der Cookie-Richtlinie (Link) und der Datenschutzerklärung (Link).
Cookiedaten:
Name: Blafasel, Typ: Session, Dauer: X Tage, automatische Löschung: Nach x Tagen
[ ] Ich möchte der Universität helfen die Webseite zu verbessern. Dafür gestatte ich Dienstleister xyz Zugriff auf meinen Bewegungsverlauf, Dauer, ... Diese Einwilligung ist freiwillig und kann jederzeit unter ... widerrufen werden. Mit Widerruf endet der Zugriff. Weitere Informationen finden sich in der Cookie-Richtlinie (Link) und der Datenschutzerklärung (Link).
Cookiedaten:
Name: Blafasel, Typ: Session, Dauer: X Tage, automatische Löschung: Nach x Tagen
D: OPT-IN-Cookies
Systeme, die nicht zwingend notwendig sind und trackende Verfahren nutzen und daher eine OPT-IN ZUstimmug benötigen:
[ ] Auf der Webseite wird Werbung der Firma XXXX eingesetzt. Diese verwendet ein trackendes Verfahren zur Analyse der Benutzerbewegungen. Die Einnahmen der Werbung dienen der Bereitstellung der Website. Stimmen Sie zu, dass diese Werbung angezeigt, ihre ZUgriffsdaten mit Dritten gemäß den Datenschutzbestimmungen der Firma XXXX unter ... weitergegeben und dafür ein Cookie gesetzt werden darf?
Cookiedaten:
In Ergänzung zu #54 und #73
Ein Cookiebanner sollte gemäß neuem Urteil des EUGH unterscheiden zwischen den zwingend notwendigen Diensten, welche notwendig sind um die Website zu nutzen und solchen, die das nicht sind. Werbebanner wurden vom Gericht als nicht zwingend notwendig gesehen. Bei Werbebanner müsste es theoretisch auch ein OPT-IN geben, also eine Frage ob überhaupt ein Cookie gesetzt werden darf und nicht ein OPT-OUT. Die Argumentation, dass Werbebanner nur mit OPT-OUT funktionieren, ist falsch, denn jedes Skript (JS/Server) kann ja prüfen, OB ein Cookie gesetzt ist oder nicht. Und dann von der Nichtexistenz von Cookies davon ausgehen, dass entweder keine Entscheidung getroffen oder aber keine Zustimmung erfolgte.
Zwingend notwendig für den Betrieb können Session-Cookies sein oder solche, die Statuswerte zur Bedienung der Website speichern. Diese Cookies können ohne Nachfrage beim User gesetzt werden.
Mittelbar notwendig für den Betrieb einer Website können Tracker- und Analyse-Software sein. Die Argumentation, dass die Betreiber einer Website angewiesen sind auf (anonymisierte) Abruf- und Analysedaten zum Benutzerverhalten auf der Website lässt sich in vielen Fällen als legitim werten. Hier wäre meines Erachtens je nach Art der Website und der Notwendigkeit entweder schnell, mittelbar oder gar nicht auf Verhaltensflüsse der Nutzer zu reagieren, jeweils im Kontext zu erwägen, ob das Tracking als zwingend notwendig anzusehen ist, oder nicht. Je nach Kontext und der Art des Betriebs kann daher die Wertung kommen, daß
Für den Betrieb der Website nicht zwingend notwendig (sieht man von Erwägungen der Barrierefreiheit ab, bei denen ständige Cookie-Warnbanner zu einer Beeinträchtigung und einer Barriere führen können!) und dabei nicht trackend, aber hilfreich hingegen ist ein Cookie, welches die Entscheidung des Users auf einen Consense-Banner speichert (und sonst nichts weiter tut). Wir nennen dies mal CONSENSE-Cookie.
Folgendes Vorgehen bei einem Consent-Banner wäre denkbar: (Szenario: Wir haben eine Website, auf der folgendes eingesetzt wird: ein Tracker zur Analyse der Website,
Entscheidungskette (Entwurf):
Prüfen, ob bereits ein Domain-Cookie gesetzt wurde zur Speicherung der CONSENSE-Entscheidung. (CONSENSE-COOKIE). Ist ein CONSENSE-Cookie gesetzt? Ja: Handeln entsprechend den Antworten, keine Cookie-Warnung mehr zeigen Nein: Weiter bei 2.
Sendet der Browser von sich aus bereits ein "DNT" (do not track)? Ja: Weiter mit 3b Nein: Weiter mit 3a
Erstellung eines CONSENSE-Banners a) mit den Bereichen A-D b) mit den Bereichen A-C
Erstellen eines Consense-Banners mit folgenden "Fragen":
A: CONSENSE-COOKIE: Checkbox-Frage, mit vorausgefüllter Zustimmung:
[X] Ich stimme zu, daß meine Antwort auf diese Fragen und die Zurkenntnisnahme dieses Banner in einem Cookie gespeichert werden. Ich kann dieses Cookie selbstständig wieder löschen. Ansonsten hat es eine Laufzeit von 365 Tagen und verliert danach seine Gültigkeit. Wenn ich das Setzen dieses Cookie und die Speicherung meiner Präferenz verweigere, wird dieses Cookie Banner auf jeder aufgerufenen Seite der Domain $domainname.tld neu erfragt.
B: Informative und Zustimmungsfreie Cookies:
Auf dieser Website werden folgende Cookies zwingend gesetzt. Eine Nutzung der Website ohne Setzen dieser Cookies ist nicht möglich.
C: OPT-OUT-Cookies Systeme, die nur mittelbar zwingend zum Betrieb sind und daher ein setzen OPT-OUT-Cookie setzen
(Beispiele von J. Nehlsen): Zustimmungsabfrage. Nicht vorausgefüllt:
[ ] Ich möchte die personalisierte Newsseite im meinem Hochschulportal. Dafür setzen wir ein dauerhaftest Cookie. Diese Einwilligung ist freiwillig und kann jederzeit unter ... widerrufen werden. Nach einem Widerruf steht mir dieser Dienst nicht mehr zur Verfügung. Weitere Informationen finden sich in der Cookie-Richtlinie (Link) und der Datenschutzerklärung (Link). Cookiedaten:
[ ] Ich möchte der Universität helfen die Webseite zu verbessern. Dafür gestatte ich Dienstleister xyz Zugriff auf meinen Bewegungsverlauf, Dauer, ... Diese Einwilligung ist freiwillig und kann jederzeit unter ... widerrufen werden. Mit Widerruf endet der Zugriff. Weitere Informationen finden sich in der Cookie-Richtlinie (Link) und der Datenschutzerklärung (Link). Cookiedaten:
D: OPT-IN-Cookies Systeme, die nicht zwingend notwendig sind und trackende Verfahren nutzen und daher eine OPT-IN ZUstimmug benötigen:
[ ] Auf der Webseite wird Werbung der Firma XXXX eingesetzt. Diese verwendet ein trackendes Verfahren zur Analyse der Benutzerbewegungen. Die Einnahmen der Werbung dienen der Bereitstellung der Website. Stimmen Sie zu, dass diese Werbung angezeigt, ihre ZUgriffsdaten mit Dritten gemäß den Datenschutzbestimmungen der Firma XXXX unter ... weitergegeben und dafür ein Cookie gesetzt werden darf? Cookiedaten: