Denis Lehmkemper, Landesdatenschutzbeauftragter von Niedersachsen, hat wegen der Gestaltung eines konkreten Cookie-Banners einem Webseitenbetreiber eine Verfügung zur Anpassung geschickt. Dieser hatte dagegen geklagt. Das Verwaltungsgericht Hannover bestätigte nun wohl die Rechtsauffassung von Lehmkemper, dass im aktuellen Fall eine "Alles ablehnen"-Option im Cookie-Consent-Dialog anzubieten sei, wenn eine "Alles zulassen"-Option angezeigt wird. Eine kurze Analyse, um was es geht, und welche Implikationen das hat. Update: Rechtliche Bewertung der PUR-Modelle (Pay or consent) ergänzt.
Das Cookie-Banner-Urteil des VG Hannover
Möchte eine Webseite Cookies für Drittanwender auf den Systemen der Besucher speichern, um Werbung einzublenden, wird in Europa eine Zustimmung über die sogenannten Cookie-Banner erforderlich. Einerseits nerven solche Cookie-Banner die Nutzer. Andererseits stören sich Datenschutzbeauftragte an der Gestaltung dieser Banner.
Eine Implementierung sieht eine Schaltfläche Zustimmen zur Cookie-Speicherung vor, und bietet, wie in obigem Screenshot gezeigt, eine zweite Option zum Ablehnen oder Anpassen der Einstellungen an. An dieser Gestaltung der Cookie-Banner entzündete sich ein Streit zwischen Werbeanbietern und Landesdatenschutzbeauftragten.
Denis Lehmkemper, Landesdatenschutzbeauftragter von Niedersachsen, hatte der Neuen Osnabrücker Zeitung einen Bescheid geschickt, in der die Gestaltung des obigen Banners zur Einwilligung bemängelt und eine Schaltfläche "Ablehnen", mit der alle Cookie-Einwilligungen verweigert werden, gefordert.
Die Neue Osnabrücker Zeitung hatte gegen diesen Bescheid geklagt und zum 19. Mai 2025 gab es eine mündliche Verhandlung (AZ 10 A 5385/22) vor dem Verwaltungsgericht Hannover. Dabei ging es insbesondere um die Frage, wie genau ein Einwilligungsbanner ausgestaltet sein muss, um rechtmäßig Cookies auf den Geräten der Nutzer zu speichern. Im streitgegenständlichen Bescheid verlangte der Landesdatenschutzbeauftragte eine Umgestaltung des Banners, da das Einwilligungsbanner auf der Website der Klägerin keine wirksamen, insbesondere keine informierten und freiwilligen Einwilligungen einhole, bevor sie Cookies setze und personenbezogene Daten verarbeite.
In der mündlichen Verhandlung schloss sich das Verwaltungsgericht Hannover der Rechtsauffassung des Landesdatenschutzbeauftragten von Niedersachsen an. Die Redaktion von heise hat das Ganze im Beitrag Verwaltungsgericht: Cookie-Banner muss "Alles ablehnen"-Button enthalten aufbereitet. Mir liegt der Urteilstext nicht vor – daher das Zitat aus dem heise-Artikel:
Webseitenbetreiber müssen demnach bei Cookie-Einwilligungsabfragen einen gut sichtbaren "Alles ablehnen"-Button auf der ersten Ebene im entsprechenden Banner anbieten, wenn es dort auch die häufig zu findende "Alle akzeptieren"-Option gibt.
Ohne diese Gestaltung sei die Einholung der Einwilligung zur Cookie-Speicherung unwirksam. Hintergrund ist, dass die Speicherung von Cookies gemäß Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) sowie die Datenschutz-Grundverordnung (DSGVO) erforderlich ist.
Der Landesbeauftragte für Datenschutz Niedersachsen hat einige Aussagen aus der Verhandlung in dieser Pressemitteilung aufbereitet. Denis Lehmkemper gibt an, dass das Gericht im gegenständlichen Fall gleich mehrere Verstöße erkannt habe. So habe das Verwaltungsgericht die Aufmachung und Gestaltung des Cookie-Banners in mehrerer Hinsicht kritisiert:
- das Ablehnen von Cookies war deutlich umständlicher als das Akzeptieren,
- Nutzerinnen und Nutzer wurden durch ständige Banner-Wiederholungen zur Einwilligung gedrängt,
- die Überschrift "optimales Nutzungserlebnis" und die Beschriftung "akzeptieren und schließen" auf dem Schließen-Button seien irreführend gewesen,
- der Begriff der "Einwilligung" fehlte vollständig,
- die Zahl der eingebundenen Partner und Drittdienste war nicht ersichtlich und
- Hinweise auf das Recht zum Widerruf der Einwilligung und eine Datenverarbeitung in Drittstaaten, außerhalb der EU waren erst nach Scrollen sichtbar.
Das sind bereits eine Reihe Punkte, die das Gericht zum Urteil bewogen, dass Nutzerinnen und Nutzer keine informierte, freiwillige und eindeutige Einwilligung gegeben hatten, wie es die DSGVO verlangt.
Ergänzende Anmerkung: Die monierte "ständigen Wiederholungen der Banner-Abfragen" dürfte einem juristischen Missverständnis bzw. einer ungeschickten Implementierung geschuldet sein. Problem ist, dass die "reine Lehre" besagt, dass bei Ablehnung keine Cookies gespeichert werden dürfen. Und damit sind wir beim Thema "technisch erforderliche Cookies". Praktisch müsste die Seite bei Cookie-Ablehnung genau ein Cookie auf dem Client des Benutzers ablegen, was "kein Cookie-Consent für Werbung" signalisiert. Weil das aber (wohl nach Diskussionen mit Datenschützern und Juristen, so meine Interpretation) unterbleibt, weiß die Webseite beim nächsten Besuch nichts von der vorherigen Ablehnung durch den Benutzer. Ergo kommt die neue Cookie-Abfrage – technisch wäre das leicht zu lösen – alleine die Juristerei scheint da einen Strich durch die Rechnung zu machen (zumindest, was ich in Diskussionen mit meinem Werbeanbieter so mitbekommen habe) – worauf dann andere Juristen im aktuellen Urteil im Zirkelschluss "durch ständige Banner-Wiederholungen zur Einwilligung gedrängt werden" machen.
Denis Lehmkemper hofft, dass das Urteil ein Signal an möglichst viele Anbieter sendet und so dazu beiträgt, datenschutzkonforme Einwilligungslösungen umzusetzen.
Praktische Konsequenzen, Versuch einer Analyse
Hier bei mir sind dann bereits Lesermails mit dem Tenor "Gerichtsurteil – pass mal deine Banner an" eingeschlagen. Daher versuche ich eine kurze Bewertung und Analyse, was dieses Urteil bedeutet. Grundsätzlich: Die Verwaltungsrichter führen eine juristische Bewertung dessen durch, was die angezogenen Rechtsregelungen – im konkret verhandelten Fall – vorgeben. Da gibt es auch wenig zu diskutieren.
Anmerkung: So ad-hoc geht mir aber "ganz schön bigotte Situation" durch den Kopf. Wir haben zwar die Rechtsauffassung des Landesdatenschutzbeauftragten und der Deutschen Datenschutzkonferenz (DSK), wie Cookie-Einwilligungsbanner gefälligst auszusehen haben. Kann man zur Kenntnis nehmen – problematisch sehe ich dann aber die Situation, dass wir aktuell vor der "Nutzung von Microsoft 365, US-Cloud-Produkte und AI-Einführung" in Unternehmen stehen. Bezüglich Windows und Office 365 gab es beispielsweise eine Aussage der DSK, dass die Produkte nicht DSGVO-konform einsetzbar seien. Und wenn ich die obigen Buzzwords Microsoft 365, US-Cloud, AI-Lösungen so ansehe, ist das alles andere als DSGVO-konform.
Im Cookie-Banner-Kontext diskutieren wir darüber, dass ein Tracking der Webseitenbesucher möglich wäre und IP-Adressen übertragen werden und es werden juristische Maßnahmen aufgefahren. Im Kontext Microsoft 365, US-Cloud, AI-Lösungen werden dagegen persönliche Daten in oft erheblichen Umfang verarbeitet und an Auftragsverarbeiter außerhalb der EU transferiert, ohne dass dies (bisher) gravierende juristische Folgen zeitigt. Hier im Blog habe ich öfters "soll doch jemand klagen – solange da kein finales Urteil vorliegt, wird das weiter gemacht und ist zulässig" vernommen.
Meine obigen Gedanken im eingerückten Text sind aber zur Bewertung des Sachverhalts, um den es hier im Beitrag bzw. im Urteil des OG Hannover nicht relevant.
Juristische Folgen offen
Zurück zum obigen Thema: Es liegt nach meinem Wissen eine erste Erkenntnis aus der mündlichen Verhandlung vor dem VG Hannover vor. Bevor nicht die Urteilsbegründung veröffentlicht und bevor nicht das VG Urteil rechtskräftig ist, wird sich erst einmal gar nichts ändern. Danach werden die betreffenden Stellen das Ganze bewerten und ggf. entsprechende Schritte einleiten oder Revision einlegen.
Das VG-Urteil aus Hannover gilt zudem – nach meiner Interpretation, ich bin kein ausgebildeter Jurist – nur für die Neue Osnabrücker Zeitung. Die Aufsichtsbehörden in Form der Landesdatenschutzbeauftragten könnten ein rechtskräftiges Urteil dann nutzen, um massenhaft Bescheide an Webseitenbetreiber zwecks Cookie-Banner-Anpassung zu verschicken. Ob das so kommt, muss man abwarten.
Was ist mit dem PUR-Modell?
Was in meinen Augen spannend aber bezüglich des obigen Urteils völlig offen ist: Viele Webseiten greifen inzwischen auf Abo-Lösungen nach dem PUR-Modell zurück (Consent or pay-Lösung). Wer solche Abos hat, bekommt keine Werbung und auch keine ständigen Cookie-Abfragen angezeigt.
Ob dies über contentpass oder andere PUR-Abo-Lösungen erfolgt (siehe obiger Screenshot), spielt erst einmal keine Rolle. Das obige Urteil des VG Hannover trifft diesbezüglich keine Aussage und auch der Bescheid des Landesdatenschutzbeauftragten von Niedersachsen hat dies meines Wissens auch nicht adressiert.
Ergänzung: PUR-Modelle sind außen vor!
Nach Veröffentlichung des Beitrags bin ich nun doch noch auf eine Einordnung des PUR-Modells (Consent or pay) gestoßen. In obigem Screenshot ist der Banner von contentpass zu sehen, der auf borncity in allen Blogs genutzt wird. Der Banner bietet dem Seitenbesucher die Wahl, der Werbung durch akzeptieren von Cookies zuzustimmen, oder werbefrei mit einem contentpass-Abonnement zu surfen.
Hintergrundinformation: Bei contentpass oder anderen PUR-Abomodellen werden die Einnahmen der Abonnenten unter den contentpass bzw. PUR angeschlossenen Publishern geteilt. Viel kommt hier bei borncity nicht herum (ca. 10 Euro / Monat an Einnahmen). Das wird mir von den monatlichen Kosten, die ich für die contentpass-Lösung zahle, dann abgezogen. Welche Kosten für den Publisher für ein solches Modell entstehen, hängt etwas von den Besucherzahlen ab – man ist aber schnell im dreistelligen Euro-Bereich.
Spannend ist in diesem Kontext aber die rechtliche Bewertung. Erstens trifft das obige Urteil des Verwaltungsgerichts Hannover die PUR-Abomodelle (also auch contentpass) nicht – ich bin mit borncity daher außen vor. Aber noch informativer ist das Dokument "Stellungnahme 08/2024 zur „Wirksamkeit von Einwilligungen imKontext von „Consent or Pay"-Modellen großer OnlinePlattformen", welches am 17. April 2024 vom edbp angenommen wurde.
Das Kürzel edbp steht für European Data Protection Board – also die Vereinigung der EU-Datenschutzbeauftragten. Hintergrund des Dokuments ist, dass die niederländischen, norwegischen und deutschen (Hamburg) Aufsichtsbehörden den EDSA (Europäischer Datenschutzausschuss) um eine Stellungnahme zu der Frage ersuchten, unter welchen Umständen und Bedingungen "Consent or Pay"-Modelle (also PUR-Modelle wie das oben erwähnte contentpass) in Bezug auf verhaltensorientierte Werbung großer Online-Plattformen in einer Weise umgesetzt werden können, die auch unter Berücksichtigung des Urteils des Gerichtshofs der Europäischen Union (EuGH) in der Rechtssache C-252/21 eine wirksame und insbesondere freiwillig erteilte Einwilligung darstellt.
Die edbp-Stellungnahme beschränkt sich daher auf die Umsetzung von "Consent or Pay"-Modellen durch große Online-Plattformen (die für die Zwecke dieser Stellungnahme definiert werden), bei denen Nutzer aufgefordert werden, in die Verarbeitung
zum Zwecke der verhaltensorientierten Werbung einzuwilligen.
Geht man die Stellungnahme durch, gibt der europäische Datenschutzausschuss Empfehlungen an die Anbieter dieser "Consent or Pay"-Modelle und an die Datenschutzaufsicht. Grundsätzlich sind "Consent or Pay"-Modelle nach Ansicht des edbp DSGVO-konform, solange für Abonnenten der Zweck klar erkennbar ist und das Entgelt für das Abo nicht so beschaffen ist, dass es betroffene Personen an einer echten Wahl hindert.
Im Kontext des contentpass-Modells, welches ich hier im Blog nutze, sind diese Kriterien aus meiner Sicht erfüllt. Die verfügbaren Optionen sind im Consent-Banner klar benannt und der Nutzer hat die Wahl, per Abo auf Werbung zu verzichten oder mit Werbung kostenfrei die Inhalte abzurufen. Zur Höhe der Einnahmen (aktuell 3,99 Euro/Monat) ist anzumerken, dass dieser Betrag so beschaffen ist, dass betroffene Personen eine echte Wahl haben. Denn das Abonnement gilt nicht ausschließlich für die Blogs unter borncity.com, sondern für alle am contentpass teilnehmende Webseiten. Ein contentpass-Abonnent surft also werbefrei auf allen angeschlossenen Webseiten (und nicht nur auf borncity.com). Das erklärt auch, warum bei mir am Ende des Monats nur wenige Cents ankommen.
Passe mal deine Cookie-Banner an …
Im Sinne "pass mal deine Cookie-Banner an"-Aufforderung, die mir mehrfach aus der "geneigten Leserschaft" zugegangen ist, ist also [auch ohne meinen Nachtrag zu contentpass] gar nichts entschieden. Zudem ist eine solche Aufforderung eine vollständige Verkennung bzw. Unkenntnis der Sachverhalte geschuldet.
Die Cookie-Consent-Lösungen werden in der Regel nicht von einzelnen Webseitenbetreibern, sondern von den Vermarktungspartnern für die Werbung gestaltet. Da sitzen die Verantwortlichen mit Juristen und ggf. Landesdatenschutzbeauftragten zusammen, in der Hoffnung, am Ende des Tages eine Lösung zu bekommen, die etwas hält.
Ich verfolge dieses "Spiel" ja bereits einige Tage und habe gegenüber meinem Werbevermarkter immer wieder kommuniziert "schaut, dass eine rechtssichere Lösung kommt". Schau ich mir die Volten von Google in Bezug auf Third-Party-Cookie-Unterstützung im Chrome-Browser an, tut jeder Webseitenbetreiber gut daran, erst einmal abzuwarten, was bei Rechtskraft des Urteils wirklich die Folge ist.
Die Dickschiffe der Medien- und Tech-Plattformen gewinnen
Gesetzt der Fall, es muss von deutschen Webseiten eine "Alles ablehnen"-Option prominent in "jedem" Cookie-Consent-Banner [also auch bei PUR-Modellen] kommen, steht jetzt schon fest, wo die Gewinner sitzen. Die großen Medienplattformen wie Facebook, TikTok, X, Instagram und YouTube sind diesbezüglich außen vor. Durch den Zwang zur Benutzeranmeldung lässt sich von den Plattformen sehr genau, auch ohne Cookie-Consent, erkennen, wer welche Interessen hat und wer welche Werbung gesehen hat.
Auf YouTube siehst Du beispielsweise Werbeunterbrechungen in Videos, ohne dass du jemals eine Cookie-Zustimmung gesehen hast. Ein Influencer, der über Twitch, YouTube etc. streamt, oder sich auf Instagram etc. vermarktet, wird sich – nach meiner aktuellen Einschätzung – über obigen Sachverhalt keine Gedanken machen müssen. Dort ist kein Cookie-Consent erforderlich – die Werbung wird ausgespielt, da man den "User" kennt.
Und die großen Medienseiten (Spiegel, Focus, Zeit etc.) werden das "Problem" schlicht durch eine Paywall samt Zwang zur Anmeldung lösen oder eben auf das "Pay or consent"-Modell (PUR-Modell) gehen. Finanziert das Abo die Kosten, sind die Anbieter nicht auf Werbung angewiesen. Andernfalls lässt sich eine Zustimmung zur Werbeeinwilligung über AGBs oder explizite Abfragen im Benutzerkonto einholen.
Auf der Strecke bleiben dann die (kleineren) Webseiten, die auf externe Werbenetzwerke und damit auf die Cookie-Einwilligung über Consent-Banner (ohne das PUR-Modell nutzen zu können oder zu wollen) zur Finanzierung angewiesen sind. Wird die Cookie-Annahme durch den Nutzer abgelehnt, schalten die Werbenetzwerke keine Anzeigen – die Webseiten bekommen keine Werbeeinnahmen. Dann stellt sich sehr schnell die Frage: Lässt sich ein Angebot monetarisieren, oder wird es eingestellt. Hier wird jeder Betreiber seinen Weg finden müssen.
Implikationen für Borncity
Ich sitze ja seit zwei, drei Jahren an obigem Thema dran, und bin einerseits als Internetnutzer von der Cookie-Consent-Thematik als Konsument, andererseits als Publisher betroffen. Als Publisher betrachte ich die Cookie-Zustimmung von Medienseiten, die ich als Konsument besuche, auch unter dem Blickwinkel, dass diese Angebote finanziert werden müssen. Ich bin daher seit jeher bewusst ohne AdBlocker unterwegs und akzeptiere auch die Cookie-Abfragen.
Dass ich "von Werbung erschlagen wurde, und die Inhalte nicht mehr konsumieren konnte", wie es von manchen Zeitgenossen, die das als Rechtfertigung zum Einsatz eines Werbeblockers, immer wieder kolportiert wurde, kann ich nicht bestätigen. Wenn eine Seite im Web es übertreibt und ich die Informationen nicht bekomme, die ich suche, bleibe ich halt weg.
Als Publisher mache ich mir natürlich ständig Gedanken, wie das Thema aus Sicht beider Seiten gestaltet werden könnte – der IT-Blog ist im Mai 2025 gerade 18 Jahre alt geworden (siehe "Volljährig" – der Blog ist 18 geworden …), ich mache das also nicht erst seit gestern.
Mein Versuch, in den letzten zwei, drei Jahren, die Werbenetzwerke für cookie-less Anzeigen zu gewinnen, ist gescheitert bzw. im Sande verlaufen. Solange noch die Einstellung der Third-Party-Cookie-Unterstützung durch Google im Chrome-Browser drohte, hieß es "wir untersuchen und überlegen". Aber unter der Hand hieß es "es werden max. 5% der bisherigen Einnahmen auf diesem Weg zu erwirtschaften sein". Es gab 2022 einen Versuch mit einer cookie-less-Anzeige hier im Blog, der aus gut aussah. Letztendlich sind wir aber daran gescheitert, dass nicht genügend Anzeigevolumen für mehrere Blogs eingeworben werden konnte.
Eine Finanzierung der Blogs über Sponsoring ist aus meinen bisherigen Erfahrungen unrealistisch (ich hatte 2024 einige Gedanken im Beitrag Gedanken zu werbefreiem IT-Blog und alternativer Monetarisierung "Contentpass"-Banner im Blog diskutiert). Sollte am Ende des Tages dann eine Option "Alle Cookies ablehnen" in einem, wie auch immer gearteten Cookie-Consent-Banner stehen [müssen], wird das von den Werbepartnern (und in meinem Fall von contentpass als weiteren Dienstleister) implementiert.
Dann schaue ich mir am Ende des Tages an, wie die Cookie-Consent-Rate ausschaut. Aus 2024 weiß ich, dass die Zustimmungsrate zwischen 50 und 60 % lag. Rechne ich die potentiellen Einnahmen hoch und schaue mir an, wie das Ganze, trotz contentpass (wo ich monatlich für zahle), in 2025 ausschaut, macht es voraussichtlich wirtschaftlich keinen Sinn mehr, noch viel in die Blogs zu investieren.
Aktuell bin ich zudem in der Evaluierung, um von Google Adsense- und AdExchange-Anzeigen weg zu kommen und rein deutsche Werbenetzwerke für Anzeigen hier im Blog einzusetzen. Mit etwas Glück normalisieren sich die Einnahmen dann – aktuell bröckelt alles – und wenn Googles KI in der Suche dann noch den Traffic weg nimmt, läuft es in einen kritischen Bereich.
Aber am Ende des Tages kommt das zum Tragen, was ich seit März 2021 kommuniziere: Ich betreibe die Blogs solange ich es persönlich (von der Gesundheit und den Fähigkeiten her) noch kann, es es noch Spaß macht, technisch funktioniert, juristisch zulässig und wirtschaftliche sinnvoll ist. Trifft eine Bedingung nicht mehr zu, "isch over".
Am Ende des Tages könnte es dann so kommen, dass mir die juristische und wirtschaftliche Seite die Entscheidung, weiter zu bloggen, abnimmt. Meine Frau würde einen Freudensprung machen "endlich hast Du als Rentner Zeit, den Keller aufzuräumen".
Ich selbst formuliere es so: Abwarten, was kommt. Vielleicht haben die Landesdatenschutzbeauftragten mit obigem VG-Urteil bei Rechtskraft eine Schlacht gewonnen, aber am Ende des Tages den "Krieg doch verloren" – nämlich, wenn Webseiten eingestellt oder auf Abo-Lösungen etc. umgestellt werden.
Im Kontext der von mir oben aufgeworfenen Stichwörter "Cloud, AI-Lösungen etc." befassen wir uns im Bereich Cookie-Consent – zumindest in meinen Augen – mit Petitessen. Die dickeren DSGVO-Fische lauern imho eher in den Stichwörtern AI und Cloud, wo komplette Dokumente mit persönlichen Daten ohne Zustimmung in "Black-Boxen" wandern, die Landesdatenschutzbeauftragten sich aber an den Dickschiffen der Tech-Firmen und Großunternehmen die "Zähne ausbeißen". Schaun mer mal, pflegte Franz Beckenbauer zu sagen.
MVP: 2013 – 2016
Oft gibt es keine Möglichkeit, alle Cookies abzulehnen.
Da gibt es dann nur die Option "alle ablehnen, außer technisch notwendige" o.Ä.
D.H., man kann de facto nicht alle Cookies ablehnen.
Bei entsprechenden Seiten trage ich dann die Seite in die Cookie-Blockierliste des Browsers ein.
Dann sorgt der Browser dafür, das keine Cookies gespeichert werden.
Und ich habe bisher keine Seite gefunden, die deswegen nicht funktioniert hätte.
Das es "technisch notwendige" Cookies gibt, wie viele Cookiebanner suggerieren, ist also sehr oft schlicht falsch.
naja alleine das früher alles ohne cookies funktionierte zeigt doch schon das es ein "technisch notwendig" nicht gibt!
Technisch notwendig ist ne Umschreibung für: wir scheißen auf das Gesetz!
Selbst für nen Warenkorb & Co. sind keine Cookies notwendig und da könnte man ja tatsächlich noch ohne schlechtes Gewissen von technisch notwendig reden…
Aber wie immer gilt: schütz dich selbst, wenn du geschützt sein willst!
und in welchem Cookie speichert man, das der Besucher keine Cookies möchte?
Vielleicht in einem "technisch notwendigen" ?
Cookies sind einst eingeführt worden, weil das HTML/HTTP keinen "Zustand" kennt, was manchmal nett wäre zu haben…
Warum sollte man das speichern? Man kann doch jedes Mal fragen.
An dem Kram sieht man wieder, seit dem Krümmungskoeffizienten der Banane hat die EU nichts auf die Reihe bekommen.
Das könnte auch einfach ähnlich DNT im Browser eingestellt werden und gut ist… müssten sich die WerbeMAFIA und Sitebetreiber halt auch nur dran halten, will man aber nicht! Cookies sind NICHT notwendig!
Nutzer legt das in den Browsereinstellungen fest und gut ist!
Wenn wir keine anderen Probleme haben, kann "man" sich mit diesem Pipifax beschäftigen. Der Bannermist muss komplette weg und im Hintergund sollte nur techische Cookies zugelassen sein. Wenn ein Kleinkarierter gerne das Ganze konfigurieren möchte, dann sollte auf der Site irgendwo eine "Cookie-Konfigieren-Link" sein.
Ich will es mal so formulieren: solange nicht eindeutig klar ist, ob diese "Alles zulassen" und insbesondere "Alles ablehnen"-Felder nur pro-forma der DSGVO wegen angezeigt werden und nicht eindeutig klar ist ob der Wunsch nach "Alles ablehnen" auch strikt befolgt wird (oder eben nicht) bleibt immer ein ungutes Gefühl!
Ähnlich siehe der DNT-Header oder dessen Nachfolger GPC – überprüfen ob das eingehalten wird kann und will das niemand.
Zumindest bezüglich Contentpass, was hier im Blog zum Einsatz kommt, kann ich sagen, dass täglich oder mehrfach die Woche ein Bot crawlt. Wird da was gefunden, bekomme ich eine Nachricht und muss zeitnah (binnen weniger Tage) reagieren, oder ich werde gesperrt. Hatte ich zweimal bei der Einführung und beim Blog-Umzug. War eine längere Suche, weil die Code-Teile nicht offensichtlich waren. Ich gehe davon aus, dass dieses Thema von Google Partnern, die AdExchange-Kunden betreuen, im Griff ist, Google ist da wenig tolerannt.
Naja da stellt sich aber eher die Frage ist das zum Schutze der Seitenbesucher oder um Klick-/Besucherzahlenbetrug zu verhindern?
Können kann man das schon und entsprechende Strafen bei Nichteinhaltung die auch richtig weh tun (und zwar direkt an die geschädigten User), würden das auch regeln… will man halt nur nicht!
Werbung ist ein Millionengeschäft und die Daten selbst ein Milliardengeschäft.
Dabei wird auch oft dem „berechtigten Interesse" als Einstellung keine klare transparenz aufgezwungen. Wenn ich deine Daten will dann habe ich halt ein berechtigtes Interesse – so schaut es aus.
Schaut man sich bei einigen Anbieter diese Einstellungen an wird man teilweise regelrecht erschlagen und das ist auch im Bereich der Apps bei Google Android oder Apple der Fall.
Wenn ich weiß das mich so etwas erwartet, nutze ich den Privten Browsermodus, winke das alle mit „wenn es sein muss …ok" ab und abschließend putzen wir das in die Tonne.
Neuster Schrei des Tages … du benutzt einen Adblocker. Analog cookiebanner steht darunter „weiter ohne uns zu unterstützen". Da hab ich auch kein schlechtes Gewissen bei.
Das leidige Kekse Thema, ich finde diese Banner das lästigste, was unserer Gesetzgebung jemals eingefallen ist.
Zumal die Ablehntaste nicht immer an derselben Stelle liegt oder dich in eine Schleife schickt, bei der man zurück zum Anfang kommt.
Mittlerweile bin ich dazu übergegangen, alle Kekse einer Webseite bis auf die dritt Kekse anzunehmen, wer würde schon einen Keks von jemanden fremden einfach so annehmen, die werden aber alle, sobald ich die betreffende Webseite wieder verlasse, Automatisch gelöscht.
Für die Zukunft habe ich mir schon überlegt, dritt Kekse zu manipulieren, um dem Anbieter falsche Daten unterzuschieben, wenn er sie das nächste Mal abfragt.
Dumme Frage: Warum sind überhaupt Cookies notwendig?
Reicht nicht eine Thematik-Orientierte Werbung?
Reicht nicht die IP-Adresse für eine recht gute Identifizierung?
Gibt es nicht eine "Werbe-ID", die automatisch mit der Anfrage übertragen wird?
andere Möglichkeiten?
Das ware das von mir erwahnte cookie-less Modell. Vermarkter im Umfeld der Google Partner haben abgewunken. Ich hatte was mit Wolfgang Sommergut implementiert – ist aber mangels Anzeigevolumen ausgelaufen.
Es ist nie zielführend, einen Mißstand damit zu rechtfertigen, dass auf der Welt viel schlimmere Schweinereien im Gange sind. Der Hinweis auf Cloud-/AI-Problematik geht also am Thema vorbei.
Hintergrund ist doch, dass man gute Gründe hat, Cookies zu verweigern. Die Auswüchse, die das mit den seitenübergreifenden Cookies genommen hat, sind einfach verbraucherfeindlich. Als Cookie-Verweigerer wird man jedoch bei jedem Seitenaufruf erneut gegängelt, während die Cookie-Schlucker einmal geklickt haben und dann in Ruhe gelassen werden. Wenn dann auch noch der Nagscreen sogar entsprechende Abnick-Addons überwindet und zum Quiz wird, wo man erst mal herausfinden muss, was die genau wollen, bis man überhaupt die „Ausgewähltem zustimmen"-Schaltfläche klicken kann (wie z.B. bei Heise), dann ist das Schikane³.
Insofern gehört es schlicht zum fairen Umgang, den Besucher neutral nach Ja/Nein zu fragen und nicht übertölpeln zu wollen. – Wären die Sitten im Web nicht so verwahrlost, gäbe es umgekehrt auch mehr faire Nutzer, die bereit wären, gute Inhalte zu bezahlen. Aber mit einem absehbaren Geldbetrag, nicht mit ihren Daten oder einem Abo.
Überdies glaube ich nicht, dass es sich große Medienhäuser leisten können, alles hinter eine Bezahlschranke zu schaffen. Man ruft die Seite auf, ist frustriert, weil man nicht an die Information kommt, schließt das Fenster und bleibt weg. Das wäre keine gute Werbung.
Solange sich das Internet – auf Kosten aller Verbraucher – durch Werbung finanziert, muss es eben von der großen Mehrheit leben, die hastig auf jegliche „Akzeptieren"-Fläche tappt, nur um rasch auf die gewünschte Seite zu kommen. Wer bewusst Cookies ablehnt, ist für Werbung sowieso nicht empfänglich.
Wer im Browser Javascript abschalte, wird auch nicht von Fragen zu cookies belästigt.
Deswegen sperrt man auch nicht mehr alles, sondern nutzt Coockie Faker; Refferrefaker; User Agent Switcher usw… dann erstickt doch an den Fakedaten!
;-P
Und beim Schließen des Browser wird sowieso alles gelöscht.
Wenn der Button "Alle Ablehnen" zukünftig eingeblendet werden muss, sehe ich schon das Szenario auf die Nutzer zukommen, dass sie des öfteren bei einem Klick auf diesen Button entweder auf einer leeren Seite oder bei "www.google.de" landen.
Ich meine mich dunkel daran zu erinnern, dass mir sowas (Umleitung zu google) vor ein paar Wochen bereits einmal auf einer Seite passiert ist. Ich erinnere mich aber beim besten Willen nicht mehr daran, auf welcher Seite das war. Jedenfalls keine, die ich häufiger besuche, sonst wüsste ich es genau.
ich rege mal an: wer Geld in der IT verdient und mit diesem Blog schon Probleme gelöst hat, der kann ja gerne mal 25 oder 50€ an den Inhaber sponsorn.
Ich denke das Geld ist da gut aufgehoben.
Hab ich das schon gemacht? Ja, aber vermutlich auch zu selten.
ich sehe das so ich partizipiere nur am freien Internet (dafür wurde das Internet geschaffen: für den freien weltweiten Datenaustausch) wer damit Geld verdienen will soll sich hinter eine Paywall verkriechen!
Hab auch keine Problem damit für nen Artikel etwas zu bezahlen… allerdings nen fairen Preis und keine 2€ pro Artikel.
Artikel hinter Paywalls akzeptiere ich auch und versuche nicht mir diese zu ergaunern, wenn sie mich interessieren wird ebene gezahlt.
Im freien Internet heisst aber frei: weder Geld noch Daten!
Jeder Sitebetreiber hat die Wahl!Am freien Netz partizipieren oder hinter PAywall Geld verdienen.
Volle Zustimmung meinerseits. @Christian Krause
Sponsorn kann man als regelmäßiger Leser auch, ohne Geld mit IT zu verdienen ;-)
Generell begrüße ich es wenn neben den *Alles akzeptieren* sich ein *Alles ablehnen* Button in der Auswahl angezeigt werden muss. Das ist völlig unabhängig über welche Seite wir reden.
Es wird nur allzu gerne *vergessen* das es sich bei der Freigabe um ein Opt-In und nicht um ein Opt-Out handeln muss. Das verkomplizieren des Ablehnen was oft praktiziert wird, meistens sogar noch so das man zum ablehnen aktiv einzelne Haken deaktivieren muss, widerspricht dem Opt-In Vorgaben. Die aktivierten Vorauswahlen machen es de-facto zu einem Opt-Out.
Jetzt muss nur noch das ominöse *berechtigte Interesse* einkassiert oder spezifiziert werden. Ohne eine plausible Angabe woraus sich das berechtigte Interessen ableite, darf es hier kein Zwangs Opt-In geben.
Die EU will eh die DSGVO Regeln für kleine Betriebe lockern.
Ich würde einfach den Button einbauen, sehen was passiert. Wenn zu wenig Geld rein kommt, kann man immer noch die Alternativen ausprobieren.
Cookies werden heute hauptsächlich für Werbung u.ä. genutzt und haben selbst in der IT diesen Ruf, wie man in den Kommentaren sieht.
Ursprünglich waren sie gedacht, um Daten zwischen Webseiten auszutauschen, daß man z.B. auf einen Warenkorb zugreifen kann oder andere Einstellungen oder Eingaben zwischengespeichert werden. Das verstehe ich unter technisch notwendig. Da jedoch auch Drittanbieter diese Cookies finden, lesen und missbrauchen können, sind sie heute zum Speichern irgendwelcher IDs oder Seitenbesuche nicht mehr zeitgemäß.
Cookies sind so 1990. Es gibt keine technische Notwendigkeit für ein Portal oder eine eCommerce Plattform überhaupt noch auf Cookies zu setzen. Moderne Websites kommunizieren eh direkt mit einer REST API oder halten Zustände im lokalen session/localStorage des Browsers.
Wer heute mit einer angeblichen "technischen Notwendigkeit" daher kommt, der lügt Dir ins Gesicht oder beherrscht seine eigene Technik nicht.
Cookies ist halt der kleinste gemeinsame Nenner von 3rd Party Schmus, wenn es um eine Integration auf der eigenen Website und um Datenabgreifen geht.
This!
Kekse waren schon immer dazu bestimmt, um festzustellen, woher du kommst, wohin du gehst und wann du das letzte Mal hier warst, daneben auch um deine Interessen gebiete zu sammeln und weiterzugeben, um Rückschlüsse auf dein Surfverhalten ziehen zu können.
Wer mit Google sucht, bekommt auch von Google einen Keks und eine Benutzer ID wodurch du als Benutzer ganz eindeutig zu klassifizieren bist, weil Google ja auch wissen möchte, ob du das gesuchte gefunden hast oder um dir Werbung deiner Suchinteressen auf der nächsten Seite anzeigen zu können.
Das ist gezielte Werbung, etwas Besseres gibt es eigentlich fast nicht, es sei denn du nutzt einen Werbeblocker, dann verpufft die Werbung im Nichts.
Ich behaupte einfach Mal, eigentlich müssten die Webseitenbetreiber als auch die Browserhersteller mir Geld bezahlen, für die Zwischenspeicherung ihrer Datenbanken und Kekse, die sie auf meinem PC im Browser bis zum nächsten Besuch zwischenspeichern, als auch für das Abgreifen von meinen Daten als auch die Daten von meinem PC.
Finde ich auch. Eigentlich sollten die Anwender Geld für den ganzen Keks Müll bekommen. Cool wäre eine User-Paywall im Browser. Jeder, der mir ein Cookie ablegt oder Daten von mir will, bekommt dann eine Rechnung ;-)).
Werbeblocker, Private Mode, Privazer-Reiniger, ggf. VM mit Snapshot.
Die Kekskrümel haben eine kurze Haltbarkeit ;-)
Das Grundproblem besteht ja darin, dass sich auf dieses Werbe,- Anzeigen Modell seit jeher verlassen wurde.
Fast jeder Webseitenbetreiber macht(e) mit, Alternativen wurden nicht gesucht und auf einmal warf das Geschrei groß, als es um die Diskussion zum Verbot von Adblockern medial um sich griff.
Mimimi, wir armen Webseitenbetreiber verdienen kein Geld wenn ihr "pösen" Leute Adblocker verwendet. Die "Bettel"-Banner dürften vielen noch in Erinnerung sein. Googledienste wie Analytics oder Doubleclick an der Stelle besonders erwähnt.
Und nun? Es gibt grade bei den Consent-Systemen wie von "Admiral", Seiten die knapp 2000 Servicedienstleister involviert haben, wovon ein Teil schonmal trackt, Cookies setzt und Werbung anzeigt, BEVOR Anwender eine Webseite vollständig zu sehen bekommen.
Der Rest wird nachgeladen. Natürlich schön nach Geolocation. Ablehnen, oder gar Transparenz? Was ist das? Anwender werden ausgenommen wie Weihnachtsgänse und sollen dafür sogar noch draufzahlen und werden kriminalisiert von der Werbe,- und Contentindustrie wenn sie blocken.
Zudem:
Das größte Bidscript, was ich bisher sah, war 15MB groß und wenn Werbung und Anzeigen geblockt werden, werden immer wieder neue Methoden gesucht um auf Zielrechnern Werbung anzuzeigen und tracken zu können, ob mit oder ohne Zustimmung.
Youtube, bzw Google ist da ein Beispiel die es vorgemacht haben, da diese keine Zustimmung mehr brauchen und plattformübergreifend tracken können. Gebe hier Anwendern, Webseitenbetreibern und vor allem auch SEO-Diensten die Schuld weil seit Jahren speziell nur diese eine Firma mit Daten regelrecht befeuert und sich abhängig gemacht wurde.
Auf der anderen Seite betrachtet, ist vieles schon erledigt, wenn Javascript deaktiviert wird. Nur das zeigt auch, dass das Netz in der Form wie wir es kennen, kaputt ist, denn ohne Javascript sieht der Anwender auf einmal, dass kaum noch eine Seite funktional ist
Meiner Meinung nach sollte derlei Verhalten unter Computersabotage und Nötigung gestellt werden. Mit Haftstrafen, ohne Diskussion oder Plazebostrafen die nicht ernst genommen werden.
Man kann vieles diskutieren und bedenken – der Tenor deines Kommentar geht mir aber arg in pauschale Vorwürfe und Rechtfertigungsversuche, wenn Du Ad-Blocker einsetzt (so meine Interpretation). Ad hoc ist mir kein Webseitenbesucher in Deutschland oder Europa bekannt, der kriminalisiert und darauf hin juristisch belangt worden wäre. Ergo läuft die Argumentation auf Stammtisch hinaus.
Zu deinem letzten Absatz: Noch leben wir in einem Rechtsgefüge, das deine Meinung wohl eher nicht toleriert, sondern Strafen oder Sanktionen verhängt, die dem Sachverhalt angemessen sind. Und das ist auch gut so. Wie die Rechtsdiskussion bzgl. des obigen Themas ausgeht und welche Folgen das zeitigt, werden wir abwarten müssen.
Es ist gut, dass juristisch diskutiert wird – vielleicht bewegt sich am Ende des Tages was und es gibt rechtssichere Modelle, die einen Ausgleich der Interessen aller Seiten schaffen – aktuell habe ich keine Idee, wie es in der Breite funktionieren könnte. Wenn die Geschäftsmodelle nicht mehr tragen, werden die Angebote verschwinden – so einfach ist das. Ob Du dann "im gelobten Land bist", wird sich zeigen.