CookieConsent wird von Ghostery gefiltert

[ceilers]

Hallo,
ich bin gerade dabei mein Blog DSGVO-tauglich zu machen und bin dabei auf ein Problem gestoßen:
Ghostery filtert die Cookie Consent Cookie-Zustimmung als Tracker aus.

Ich habe mir die Cookie-Consent-Skripte noch nicht angesehen ob die wirklich als Tracker dienen können. Aber egal ob die nach Hause telefonieren oder nicht, Ghostery filtert die jedenfalls raus.

Zumindest Ghostery-Nutzer bekommen also die Cookie-Zustimmung nicht zu sehen. Vermutlich gibt es noch weitere Filter die das genauso machen.

Darüber, ob das praktisch ein Problem ist, lässt sich bestimmt super streiten. Wer so einen Filter laufen hat, hat sicher auch die Cookie-Einstellungen nach seinen Vorstellungen angepasst und braucht keine Warnung vor dem Setzen eines Cookies.

Rechtlich fürchte ich, dass sich das zumindest in einer Grauzone bewegt. Und dass sich womöglich irgendwann ein findiger Abmahn-Anwalt drauf stürzt.

Vielleicht sehe ich ja auch nur zu schwarz, aber das ist bei mir quasi Berufsbedingt.

Die sauberste (und aufwendigste) Lösung des Problems dürfte eine eigene Cookie-Zustimmung sein.
Aber vielleicht geht es ja auch einfacher?

Viele Grüße
Carsten

[thh]

ich bin gerade dabei mein Blog DSGVO-tauglich zu machen und bin dabei auf ein Problem gestoßen:
Ghostery filtert die Cookie Consent Cookie-Zustimmung als Tracker aus.

Ich habe mir das Thema noch nicht angesehen, aber das kann eigentlich schon theoretisch kein Problem sein.

Entweder hält man das Setzen eines Cookies für zustimmungspflichtig, oder man hält es nicht für zustimmungspflichtig. Sieht man keine Zustimmungspflicht, braucht man kein Banner, keinen Consent und auch sonst nix, hat das Problem also gar nicht.

Hält man aber das Setzen eines Cookies für zustimmungspflichtig, dann darf man natürlich nicht nur ein Banner einblenden, sondern darf Cookies erst und nur dann setzen, wenn die Zustimmung erteilt wurde. Ansonsten würde man ja gerade Cookies ohne Zustimmung setzen. Wenn in diesem Fall also das Banner mit der Zustimmung ausgefiltert wird, kann das kein Rechtsproblem sein, weil dann schlicht keine Cookies gesetzt werden.

[ceilers]

Entweder hält man das Setzen eines Cookies für zustimmungspflichtig, oder man hält es nicht für zustimmungspflichtig. Sieht man keine Zustimmungspflicht, braucht man kein Banner, keinen Consent und auch sonst nix, hat das Problem also gar nicht.

Das ist etwas komplexer, siehe z.B. https://www.it-recht-kanzlei.de/cookies ... dnung.html.

Vereinfacht: Eine Einwilligung ist nicht nötig, wenn es

• 1. berechtigte Interessen gibt (wirtschaftlich, rechtlich, technisch, ...)
  2. und der Cookie zur Erreichung nötig ist
  3. und keine überwiegenden Interessen des Betroffenen dem entgegen stehen

Fangen wir mal an:

• 1. Für welche Interessen wäre der Cookie im s9y-Frontend für einen passiven Besucher der Seite (= nur lesen) nötig? Ich weiß keine.
  2. Für die passive Nutzung ist der Cookie nicht nötig. Erst wenn sich der Benutzer anmeldet oder Daten für einen Kommentar oder was auch immer eingibt wird der Cookie benötigt.
  3. Da es weder berechtigte Interessen noch eine technische Notwendigkeit gibt stellt sich diese Frage eigentlich nicht. Aber schon das Gebot der Datensparsamkeit würde das Setzen des unnötigen Cookies verbieten

Und damit wird das Ganze zum Problem. Aus meiner Sicht darf der Cookie erst dann ohne Zustimmung gesetzt werden, wenn er für die Nutzung benötigt wird. Also keinesfalls beim nur lesenden Besucher. Von dem bräuchte man eine Zustimmung. Und die Möglichkeit, das Setzen des Cookies zu verhindern, wenn er ablehnt, da hast Du natürlich völlig recht.

Leider wird der Cookie schon beim ersten s9y-Aufruf gesetzt, und ich habe keine Möglichkeit gefunden, dass zu verhindern. Nur eine Frage hier im Forum, in der genau darum gebeten wurde: viewtopic.php?f=10&t=22757.

Und das Risiko durch den unerlaubt gesetzten Cookie wenigstens zu minimieren möchte ich Cookie Consent einsetzen und in die Datenschutzerklärung schreiben, dass s9y den Cookie automatisch setzt und sich das von meiner Seite aus nicht verhindern lässt. Wer den Cookie nicht möchte muss die Annahme in seinem Browser ausschalten oder auf den Besuch verzichten (und danach dann konsequenterweise den Cookie im Browser löschen).

Besser wäre es natürlich, wenn kein unnötiger Cookie gesetzt würde, dann könnte man sich die Zustimmung sparen. Da der Cookie aber nun mal gesetzt wird obwohl er nicht nötig wäre ist die Zustimmung nötig. Und eigentlich auch die Möglichkeit, den Cookie zu verhindern wenn der Benutzer ablehnt.

Viele Grüße
Carsten