News Browser: Firefox 120 sorgt für weniger Cookie-Banner

[XCatenaccioX]

Jedenfalls ist es völlig Wumpe, ob ein Benutzer zu Zwecke von Profiling für Werbung jetzt über Cookies oder über LocalStorage oder sonstwas getrackt wird; das bedarf expliziter Zustimmung,

Liest für mich so, als drehtest du h3@d1355_h0r53 das Wort im Mund um, der eben nicht von "Zwecke[n} von Profiling für Werbung" sprach. Schon der erste Absatz in der DSGVO spricht von "personenbezogenen" Daten, von denen im Beitrag, auf den du antwortst, eben nicht die Rede ist.

Wie der Vorposter umfänglich beschrieb, gibt es von Datenschützern durchaus abgesegnete Methoden (ja, voraussetzungsreich, z. B. keine Sessions, IP-Anonymisierung, kein Fingerprinting, kein US-Cloud-Hosting, keine Cookies etc.), die mehr oder weniger stumpfe Verkehrsdaten protokollieren. Die Aussagequalität ist dann so wie "Es ist gerade ziemlich windig auf der Website und die kommen etwa aus dem Osten". Dabei als Nutzer zu sagen: "Mein Name ist Levante, und ich bitte Sie um Löschung meiner Flatulenzen!" ist eher sowas wie freiwilliges Zurverfügungstellen personenbezogener Daten - ohne Löschmöglichkeit, da kein Datensatz vorhanden, mit Ausnahme der Beschwerde-E-Mail selbst.

P. S. Deine Haltung dazu teile ich. Ich wollte nur zum Ausdruck bringen, dass es Techniker und Datenschützer mit Initiativen zur Datensparsamkeit und Anonymisierung gibt, die aber auch wissen, dass man für sowas wie "Reichweite" mal ein paar Indikationen benötigt.

 

[GrumpyCat]

Schon der erste Absatz in der DSGVO spricht von "personenbezogenen" Daten, von denen im Beitrag, auf den du antwortst, eben nicht die Rede ist.

Er schreibt doch z.B. "Natürlich darf man den Weg eines Nutzers auf der Webseite tracken". Nein darf man genau nicht, weil das eben personenbezogen ist, und dabei ist völlig egal, ob man selbst trackt oder Google oder sonstwer das macht und auch, mit welchen Methoden das genau passiert. Klar wird einem da niemand einen Strick draus drehen, wenn's z.B. um Debugging oder DDoS-Abwehr geht (=> Interessenabwägung/Zweckbindung). Aber ansonsten hat das zu unterbleiben.

Wenn's um nicht personenbezogene sondern aggregierte Daten geht ("wie häufig wurde Seite X abgerufen"), klar, geschenkt. Und klar ist teilweise die Grenze unscharf ("Wie viele Leute sind von Kampagne X gekommen und haben dann auf KAUFEN geklickt"). Wurde so aber nicht beschrieben.

 

[Brati23]

Danke für den Artikel!
Ich freue mich über die Neuerungen. FF ist seit Jahr(zehnt)en das erste was bei einer Neuinstallation von mir installiert wird.
Da werde ich gleich mal den Wert "2" aktivieren.

 

[Schrotty74]

Cool, da gibt es seit ner Weile ein AddOn für Safari unter iOS, jetzt also auch im Firefox auf dem Desktop, klasse

welches addon für ios wäre das?

 

[Salamimander]

https://apps.apple.com/de/app/consent-o-matic/id1606897889

hust ..

 

[h3@d1355_h0r53]

Du vermischst da die Sicht eines Technikers und die eines Datenschützers (wie Du auch selbst in den folgenden Absätzen merkst). Klar ist das alles rechliche Grauzone, aber auch nur, weil Gerichte halt Flachpfeifen sind. Die Intention der DSGVO ist klar: Tracking des Benutzers zu Zwecken, die nicht auf den Auftrag des Benutzers zurückgehen, ist ohne Einverständnis nicht erlaubt. Einzige Ausnahme ist vielleicht noch Aufrechterhaltung der Dienstleistung an sich (z.B. im Zusammenhang mit DDoS).

Jedenfalls ist es völlig Wumpe, ob ein Benutzer zu Zwecke von Profiling für Werbung jetzt über Cookies oder über LocalStorage oder sonstwas getrackt wird; das bedarf expliziter Zustimmung, und wenn die nicht eingeholt wird, ist's halt schlicht illegal, da braucht man keine Winkelzüge machen.

Oh und ob Du jetzt per Mamoto oder per Google Deine Benutzer ohne ihr Einverständnis trackst, ist juristisch freilich irrelevant.

Ich vermische das nicht, das geht Hand in Hand. Man trackt ja nicht den Nutzer, sondern das Nutzungsverhalten ohne Rückschlüsse auf persönliche Daten, das habe ich ja geschrieben. Und du wirfst mir vor, ich würde den Benutzer tracken - genau das Gegenteil schreibe ich doch: Nutzungsverhalten ohne Identifizierung und ohne große Rückverfolgung bei z.B. wiederkehrenden Nutzern. Und das ist vollkommen OK wenn man beachtet, welche Werte personenbezogen sind und welche nicht und dann eben nur die letzteren nimmt. Gerichtlich ist ja auch einiges geklärt und das ist keine echte Grauzone sondern halt die Auslegung der Gesetze durch die Gerichte, das ist völlig normal. Wobei in Bezug auf Analytics bis vor kurzer Zeit alles dunkelgrauer Bereich war. Und das machen die Gerichte "täglich" und der Geist der DSGVO ist auch klar, dass nicht alles berechtigtes Interesse ist und man auf alles pfeifen kann. Komplizierter wird es weil man internationale Urteile dazu kennen sollte, da in anderne EU Ländern die eigene Seite ja auch aufgerufen werden kann und z.B. Italien da eine recht strenge Auslegung hat was das betrifft. Österreich war in einigen Punkten auch strenger als Deutschland,... Vielleicht ist es eine Grauzone, vielleicht nicht, das betrifft dann aber nur einzelne Parameter ob diese als personenbezogen gewertet werden oder eben nicht.

Ich habe auch nirgends geschrieben, dass man damit Nutzer zu Zwecken der Werbung tracken soll. Im Gegenteil, zu lesen ist, dass Retargeting damit nicht möglich ist. Technisch wäre es natürlich mit Matomo und Google Ads möglich, aber dann müsste man mehr tracken, was eine Einwilligung benötigt, und das dann an Google weiterleiten, was wiederum nur rechtens mittels Vertrag mit Google wäre (de facto 1-2 Klicks und blindes Vertrauen in Google). Was aber problemlos möglich ist: Man schaltet Google Ads oder andere Werbeanzeige, setzt da einen URL Parameter mit dazu und kann dann tracken, über welche Werbeanzeige ein Nutzer gekommen ist nachdem er auf die Anzeige geklickt hat. Aber nicht wer der Nutzer ist.
Ich kann und darf hier aber keine Rechtsberatung machen.

Und natürlich macht es einen Unterschied ob man Matomo selbst hostet und so einstellt, dass es Datenschutz bewahrt oder Google Analytics nimmt. Wird über ein Drittanbieter getrackt, muss ich mit dem einen entsprechenden Vertrag abschließen über die Datenverarbeitung und im Falle von Analytics auch beim Nutzer die Zustimmung einholen, da hier massiv persönliche Daten gespeichert werden um den Nutzer über das gesamte Internet verfolgbar zu machen (das ist Googles Geschäftsmodell).

Zusammengefasst: Keine Einwilligung wenn man keine Nutzerprofile aus den Daten erstellen kann. Fehlen die Identifikationsmerkmale wie IP Adresse, etc. ist eine eindeutige Zuordnung nicht möglich. Dafür muss man wissen was diese Daten sind und wie sie technisch nicht erhoben werden können, z.B. kein Logging kompletter IP Adressen über den Webserver, kein Logging der Bildschirmauflösung, kein tracken von Benutzereingaben auf z.B. Kontaktseiten, etc... Damit weiß ich was auf der Seite passiert, wie gut z.B. SEA funktioniert aber habe keine Ahnung wer auf der Seite ist. Und wer Do Not Track aktiviert hat wird ignoriert und wer Opt-Out macht auch.

Ich hab das Tracking und die Technik dahinter gelernt, im beruflichen Alltag umgesetzt und kam irgendwann zu der Meinung, dass das alles gefährlich, unethisch und den Nutzern gegenüber unfair ist. Aber als Seitenbetreiber sollte man wissen, was passiert. Aber glaube mir, es schätzt kein einziger Nutzer der Seiten, da kam noch nie Feedback! Weil alle nur z.B. hier meckern, sich nicht auskennen oder es ihnen egal ist oder eben sowieso Banner und Cookies geblockt werden (was ich sehr gut finde und respektiere). Und wenn hier ein Redakteur schreibt, dass das alles eine Seuche ist, dann konnte ich nicht widerstehen das zu verbessern. Die Banner sind nicht die Seuche, die sind Folge der Seuche, die die Seitenbetreiber verursachen.

 

[autopilot]

... nämlich dubiose Anbieter wie die ComputerBase GmbH, dort bekommt msan die Tracking-von-333-Anbietern-Pistole an den Kopf gehalten oder zahlt. Wenigstens kann man mit uBlock den Lauf zustopfen.

Und trotzdem treibst du dich hier noch rum?

 

[GrumpyCat]

Die Banner sind nicht die Seuche, die sind Folge der Seuche, die die Seitenbetreiber verursachen.

(Ich denke mal, wir sind uns grundsätzlich einig)
Ja, ich betreue (auch) einige Community-Webseiten, da meinten die Kollegen bei der DSGVO damals, dass man überall Banner schalten müsste. In unsere Config geschaut und nein, ist rechtlich unnötig (kein Tracking, keine Werbung etc.). Alles prima einfach so.

 

[Untertan]

aber sollte nicht eigentlich mit Firefox 120 die Passkey Unterstützung Einzug erhalten

Das funktioniert doch schon länger kannst Du testen bei https://webauthn.io.

 

[andy_m4]

Zusammengefasst: Keine Einwilligung wenn man keine Nutzerprofile aus den Daten erstellen kann.

Das mit der Einwilligung ist ohnehin fragwürdig.
Das setzt voraus, das man weiß das die Person die die Webseite besucht (oder den Internetdienst benutzt) überhaupt geschäftsfähig ist. Ein Banner bestätigen kann auch ein 6-Jähriger. Aber das ist natürlich keine wirksame Einwilligung.
Das zweite Problem ist, das man nicht davon ausgehen kann, das das Gerät exklusiv nur einem Benutzer zur Verfügung steht. Das kann ja auch von mehreren Personen im Haushalt geteilt werden.

Die Grundannahmen der Einwilligung: "Da sitzt jemand Geschäftsfähiges dran und nur der nutzt das Gerät" ist schon problematisch. Insofern müssten eigentlich alle gängigen Einwilligungen ungültig sein, weil die das nicht sicher stellen.
Keine Ahnung, ob da juristisch/gerichtlich schon mal drauf geguckt worden ist.

Im Augenblick haben wir ja das Problem, das eher selten Do not track akzeptiert wird, obwohl es eigentlich eine wirksame Willensbekundung ist.

 

[Mordhorst3k]

Die wurden aufgekauft, bitte das "I still don't care about cookies" Addon nutzen.

Wusste ich nicht. Nicht mitbekommen. Addon wird gleich ausgetauscht. Außerdem benutze ich Waterfox Fork von Firefox - bin aber aktuell am überlegen, auf Vivaldi umzusteigen. Ist aber Offtopic und hat hier im Thread nix zu suchen.

Nein, das akzeptiert auch Dialoge, wenn es einfacher umzusetzen ist.

Weiß ich, hatte mir bei meinem Post schon was gedacht, als ich es geschrieben habe. Manche, wie @Vindoriel werden da halt getriggert, weil dann der Oberlehrermodus greift. Etwas Eigeninitative sollte schon drin sein.

 

[Vindoriel]

Und trotzdem treibst du dich hier noch rum?

Mit dem richtigem Browser existiert nichtmal die Pistole.

 

[h3@d1355_h0r53]

@andy_m4 Oh ja, Minderjährige muss noch entschieden werden. Soweit ich weiß darf man erst ab 16 selbstständig einwilligen… darunter kommt es darauf an ob sich das Angebot direkt an Kinder richtet und ob man die Gesetze streng auslegt oder nicht. Aber andererseits klar, bei jedem Newsletter braucht man Double Opt-In und für jedes Pornoangebot hierzulande ne sichere Altersverifikation. Vielleicht gibt es ja vor dem Cookiebanner dann noch ein Banner mit Altersverifikation.

Bei Do not Track hat neulich das LG Berlin bei LinkedIn geurteilt. Widerspruch gegen Tracking kann auch automatisch ausgeübt werden. Do not track ist somit im Sinne der DSGVO wirksam und muss akzeptiert werden!
Eigentlich wäre damit der Cookiebanner hinfällig, denn die ablehnende Entscheidung ist ja automatisch getroffen worden.

Allerdings ging es in dem Verfahren um die Aussage seitens LinkedIn, dass DNT nicht akzeptiert wird. Das ist aber ein Wettbewerbsverstoß, da es impliziert, dass DNT nichts wert ist.

 

[andy_m4]

Oh ja, Minderjährige muss noch entschieden werden. Soweit ich weiß darf man erst ab 16 selbstständig einwilligen…

Mein Punkt war ja auch gar nicht so sehr, ab welchem Alter eine Einwilligung wirksam ist, sondern das der Seitenbetreiber gar nicht wissen kann, wie alt derjenige ist der da irgendwo auf "Akzeptieren" klickt und daher der Klick keine Bestätigung für irgendwas sein kann, weil man immer davon ausgehen muss, das da jemand sitzt, der das gar nicht entscheiden kann/darf.

Jedenfalls läuft da noch sehr viel schief und zugunsten der Tracking-Branche.

 

[Remedy11]

@Mordhorst3k @supertramp @Saeniv @Strikerking @Einstein90

der Filter cookiebanners.service.mode.privateBrowsing ist auch nur für das Private-Browsing

cookiebanners.service.mode & cookiebanners.service.mode.privateBrowsing
jeweils auf 2 stellen und man hat ruhe^^

das Addon dont care about Cookies oder das uBo Script kann man sich schenken,
zu viele Fehler. Hab das ein paar Tage schon aktiviert und funzt bestens^^

Anhang anzeigen 1423561

Danke für den Tip.
Wo muss man die Befehle eingeben bzw. wo finde ich deine gezeigte Such-Leiste?

 

[2002Andreas]

wo finde ich deine gezeigte Such-Leiste?

In die Adressleiste about:config eingeben..die Warnmeldung bestätigen:

 

[Yumix]

cookiebanners.service.mode & cookiebanners.service.mode.privateBrowsing
jeweils auf 2 stellen und man hat ruhe^^

Naja, es ist besser aber würde jetzt nicht soweit gehen und sagen dass man Ruhe hat. Hab beide mal aktiviert und random einige Seiten getestet und viele Cookiebanner schienen nicht erkannt zu werden. Eventuell auch ein Grund warum es erstmal nur in Deutschland aktiv ist

 

[riloka]

Auf jeden Fall vor dem Testen in Modus zwei Schalten. Etliche Banner haben kein Opt Out.
Danach kann man ja Seiten melden.
(https://github.com/mozilla/cookie-banner-rules-list/issues)

Ich sehe die grossen deutschen IT News Seiten oder Öffentlich Rechtlichen sind bereits abgedeckt 🤣

 

[Tevur]

Die cht wurde auch der Android-Firefox auf 120 über den PlayStore ausgeliefert.

Ich nehme an, da kann man die Option nicht aktivieren. Oder weiß jemand wie?

 

[riloka]

Ich nehme an, da kann man die Option nicht aktivieren. Oder weiß jemand wie?

zumindest der NightlyFox für Android hat die gleichen about:config Einstellungen wie der große Bruder.
Ich hatte auch in der Vergangenheit immer die Option Seiten zu melden die noch nicht unterstützt wurden.