BGH Urteil - Cookie Verwendung

Hallo Matomo-Freunde,
Da es die Webanalyse betrifft, und hier auch hin und wieder Thema ist, würde ich gerne einen lesenswerten Artikel zur Cookie-Nutzung hier einstellen.

Besonders interessant natürlich der Part über Matomo und über “Disable Cookie”

1 Like

Hallo,

Danke für den interessanten Post.

Falls du es noch nicht gesehen hast: Es gibt bald ein neues Feature dazu, was noch vor Matomo 4 in 3.13.6 veröffentlicht wird:

Damit sollte die Fingerprinting-Funktion bei deaktivierten Cookies deutlich datenschutzfreundlicher werden.

Ah … Danke - das hilft mir sehr

Hi, danke Thomas für den Artikel.
Hier gibts noch eine Info vom Landesbeauftragen für Datenschutz in Baden-Würtemberg:

https://www.baden-wuerttemberg.datenschutz.de/faq-zu-cookies-und-tracking-2/

LG

Vielen Dank. Ich finde den Artikel auch sehr interessant, zumal der Standpunkt diesesmal klarer als nach dem EuGH Urteil ist.
Zum Thema “Disable Cookie” habe ich jedoch nichts gefunden!? Ich lese es so heraus, dass dies und damit auch das Fingerprinting im Fall von Matomo als nicht zwingend erforderlich angesehen wird oder andersrum gesagt, ohne Opt-In mit Matomo & Cookies gearbeitet werden kann.

Was vielen nicht klar war, wenn man Disable Cookies einsetzt - ist das rechtlich die gleiche Situation wie mit Cookie-Nutzung. Man war also nichts gewonnen oder ist sicherer :wink: Das geht hier halt auch endlich mal besser hervor.

Ab der nächsten Version soll es aber die Möglichkeit geben, das Fingerprinting zu disablen. Bin mal gespannt was da dann für Zahlen raus kommen - ob man die dann überhaupt noch nutzen kann.

Für mich ist Opt-In der einzige Ausweg.

Kleine Korrektur: Man kann es nicht deaktivieren, nur einschränken. Denn würde man es komplett deaktivieren, wäre (denke ich) jeder Pageview ein neuer Besucher.
Im update wird aber nur die Zeit eingeschränkt wie lange ein Besucher wiedererkannt wird. Somit sollte sich an den Daten kaum etwas ändern.

Ja, ohne Cookies Matomo zu nutzen, ist im Sinn des EuGH Urteils dasselbe, wie Cookies aktiviert zu haben. Das ist hin wie her.

Ich sehe jedoch ein Opt-In für Webanalyse-Cookies als keine Alternative. Die Zahlen sind für den Betreiber einer Webseite wertlos, wenn nur ein Bruchteil der Besucher einwilligt.

Dr. Schwenke schreibt aber in dem oben verlinkten Artikel:

nach der hier vertretenen Ansicht, ist die reine Reichweitenmessung/ Webanalyse auch ohne Opt-In zulässig, muss jedoch im Einzelfall dem Umfang und den Zwecken nach begutachtet werden.

Das Urteil des BGH befasste sich ja gar nicht mit diesen Cookies für Reichweitenmessung, sondern mit Cookies zu Marketing- und Werbezwecken. Ich sehe daher schon Spielraum - wie Dr. Schwenke schreibt - Matomo mit entsprechenden Datenschutzeinstellungen (IP anonymisiert, Do-No-Track-Header akzeptieren, Opt-Out-Möglichkeit anbieten, keine personenbezogene Daten in Events , Zielen, e-Commerce etc.) zu betreiben, ohne einen Opt-In einzuholen.

Spannend wird sein, wie sich deutsche Datenschutzbehörden dazu äußern. Hier gibt es ja einzelne Landesbehörden (siehe der Link oben auf Baden Württemberg) die sich positiv äußerten in der Vergangenheit.
Sollten sie jedoch einheitlich auch die Webanalyse/Reichweitenmessung mit Cookies als eine Opt-In-pflichtige Angelegenheit ansehen, dann ist das der halbe Tod von Matomo. Welcher Nutzer aktiviert denn freiwillig die Webanalyse?

Dann kann man eigentlich nur auf die Logfile-Analyse mit Matomo umsteigen. Die Ergebnisse sind aber nicht vergleichbar und Messungen zu wiederkehrenden Besuchern sind nicht möglich.
Ich hatte dazu mal eine Analyse vorgenommen.

Ich hoffe sehr, dass die Vernunft bei dieser Art von Cookies Einkehr hält oder um es weniger dramatisch zu sagen, dass der deutsche Gesetzgeber (da die EU ja nicht zu Ergebnissen kommt) endlich Klarheit schafft.

Bin ich voll bei dir. Trotzdem ein paar Worte noch dazu …

Opt-In - die Webseitenbetreiber werden da schon eine Lösung finden. Da werden dann die Hinweis-Banner halt auffälliger, nerviger platziert oder bei jedem Seitenaufruf drüber gelegt. Sprich solange nerven, bis man aufgibt und einwilligt :wink: Siehe Spiegel.de usw. oder der Umgang mit Adblockern.

Ich betreue ein paar Kunden, die schon Opt-In einsetzen und Anfangs ca. -50% Besucher hatten. Inzwischen hat sich das aber wieder in Richtung -20% verbessert. Ich vermute, weil sich die Leute einfach dran gewöhnen. Man darf ja nicht vergessen, dass Datenschutz wichtig ist, aber den meisten Menschen doch fahrläßig damit umgehen.

Ich hatte mal einen Termin bei einem großen Kunden. Ein Datenschutzbeauftragter saß mit im Termin und hat alles befeuert was ich gesagt hatte.
Nach 8 Stunden Hin und Her - sind wir beide dann zum Zug gelaufen. Da zog er sein Handy raus und hat uns den Weg per Google Maps eingegeben. Tja - ich konnte mir dann den Seitenhieb nicht mehr verkneifen. Er sagte dann nur Beratung und “selber” machen, sind zwei Punkte :smiley:

Mit Do-Not-Track und Adblockern usw. gehen ja schon etliche Daten verloren. Daher glaube ich wird die Webanalyse halt anders werden - also Stichproben. Aber das Messverfahren bleibt ja gleich und somit sind beide falschen Zahlen wieder untereinander vergleichbar. Nicht schön - aber unsere Rechtsprechung wird uns dahin treiben, weil das Verständnis oft fehlt.

Hey Tom, schön Dich hier zu sehen! :wink:

Kurzer Kommentar dazu: Ist lt. EuGH ebenfalls verboten. Die Seite sollte normal bedienbar bleiben, selbst wenn man sich nicht für oder gegen einen Consent entscheiden möchte. Ein alles verdeckender Layer ist also genau genommen ebenfalls unzulässig (wenn er häufiger die Bedienbarkeit der Seite stört und Zwang impliziert). Die Jungs nehmen es schon ganz genau, ohne wirklich zu wissen, was das genau alles ist. :wink:

1 Like

Hi Peter,
ja das schon - aber hellgelbe Leisten am unteren Rand, die immer mitwandern ist auch so ein “nerven” :wink:
Stell dir das unten auf bvb.de mal in hellgrün vor. :smiley:

1 Like

Hallo,
habe mal die Cookies in v3.13.6 deaktiviert nach dieser Anleitung.
Funktioniert auch, auf Seiten, auf denen der JS-Trackingcode verbaut ist, werden keine Matomo-Cookies mehr gesetzt.
Rufe ich allerdings die eine Seite mit dem OptOut-iframe auf, wird nach wie vor ein Matomo-Cookie gesetzt, unabhängig von der Einstellung oder DNT an/aus.

Hmmm, ist dies so korrekt?
iframe

Danke + Gruß!

Hallo,

Das MATOMO_SESSID Cookie hat nichts mit dem Tracking zu tun, sondern wird nur für PHP sessions in der Matomo Anwendung verwendet (also allen voran um den Login zu speichern).

Warum das Cookie auch im OptOut iFrame gesetzt wird, steht hier:

kurz gesagt wird es zum Verhindern von Cross Site Request Forgery (also dass eine fremde Webseite den Status des Opt-Out iFrames verändern kann) benötigt.

1 Like

Ich habe oben auf der Seite einen farbigen Banner mit einem Cookie Hinweis der sich klar von der Seite abhebt und einen Teil des Headers überdeckt. Solange dieser Header eingeblendet ist wird kein Cookie gesetzt… in der Praxis nervt dieser Cookie Hinweis aber und jeder klickt ihn weg, setzt damit das Opt-In.

In dem Header gibt es einen Hinweis zu einer Seite die auch im Footer verlinkt is in der es um Cookie und Datenschutz geht. Dort kann man dem Tracking wiedersprechen… aber das macht kaum jemand.

Theoretisch kann man den Banner obern auch stehen lassen und die Seite problelos nutzen. Damit bin ich auf der sicheren Seite… und dass wobei ich eigentlich keinen Cokkie Hinweis bräuchte da es eine private Seite ist auf der ich Blogbeiträge schreibe. Werbung gibt es auf der Site keine und es werden weder externe Inhalte geladen noch irgendwelche Daten nach außen gegeben. Mir tut der Opt-In Banner nicht weh.

Was ich mir wünschen würde wäre eine einfachere Opt-In Einbindung seitens Matomo. Bin gespannt was dazu in Version 4 kommt! Wann 4.0 kommt ist ja die große Frage, hier gibt es ganz unterschiedliche Aussgaen udn immer wieder Verschiebungen.

Ehrlich gesagt, bezweifle ich, dass so etwas jemals kommen wird. Die API selbst gibt es schon (JavaScript Tracking Client: Integrate - Matomo Analytics (formerly Piwik Analytics) - Developer Docs - v3, außer du meinst Verbesserungen daran) und einen fertigen Banner anzubieten ist schwer, weil es keine Lösung für alle gibt, weil alle Webseiten unterschiedlich sind.

Das wäre meiner Meinung nach eher ein Fall für ein (oder mehrere) Plugins im Marketplace, die verschiedene Möglichkeiten dazu implementieren.

Auch bin ich auch nicht so begeistert von nervigen Leisten und habe daher nicht so eine große Motivation selbst der zu sein, der diese Plugins schreiben wird.

Ich kann mich nicht erinnern, dass es dazu schon etwas Offizielles gegeben hat außer “wahrscheinlich 2020”. Daher meine semi-offizielle Antwort:

Wenn alles von 4.0.0 Milestone · GitHub erledigt und implementiert ist, ist schon mal ein großer Teil und die gravierendsten Änderungen getan und es wird die ersten experimentellen Beta-Versionen geben. Dannach liegt der Fokus darauf alle Bugs, die durch die Änderungen neu auftauchen zu beheben und hoffen, dass Leute ausgiebig testen und Bugs melden. Wenn Zeit bleibt, werden auch noch Features von 4.0.0 RC Milestone · GitHub angegangen (oder irgendjemand außerhalb des Teams möchte an einem Feature arbeiten).
Und wenn nach einigen Beta releases es scheint, dass die Bugs gefixed sind und alle Dokumentation aktualisiert ist, sollte einer Veröffentlichung von Matomo 4 nichts im Weg stehen.

Alle neuen Features stehen eigentlich schon in den beiden Milestones fix (außer natürlich, wenn jemand ein gutes Argument hat, warum noch etwas dazukommen soll oder wenn jemand selbst etwas beiträgt)