Warum sorgt die EU-Cookie-Richtlinie für so viel Aufregung?

7

Ich bin verwirrt über die Aufregung um die EU-Cookie-Richtlinie. Warum ist es so schmerzhaft?

Soweit ich sehen kann, sind Cookies zulässig, die für das Funktionieren Ihrer Website erforderlich sind, z. B. Einkaufswagen und Anmeldungen auf der Website. Vermisse ich hier etwas?

Die ursprüngliche HTTP-Spezifikation wurde so konzipiert, dass sie zustandslos funktioniert. Meiner Meinung nach ist dies ein Sprungbrett in die richtige Richtung hin zu zustandslosen RESTful-Websites. Warum sollte dem Prozess ein Status hinzugefügt werden, wenn er nicht benötigt wird?

In Digest Auth usw. sind noch viele Kilometer übrig. Warum sind alle besorgt?

Eine offensichtliche Antwort könnte sein, dass Google Analytics Cookies setzen muss, um den Datenverkehr verfolgen zu können. Auf diesen Punkt gibt es eine etwas unbefriedigende Antwort: http://cookies.dev.wolf-software.com

Habe ich also etwas verpasst, über das ich in Panik geraten sollte? Was hast du dir darüber Sorgen gemacht?

Treffynnon
quelle
Schlagen Sie ernsthaft vor, dass alle EU-Websites die sitzungsbasierte Anmeldung aufgeben und wieder die HTTP-Authentifizierung verwenden? Das ist sowohl aus benutzerfreundlicher als auch aus technologischer Sicht einfach verrückt. Das Aufgeben von Social Login, Single Sign-On, Async Login, Multi-Faktor-Authentifizierung usw. würde nicht nur die Benutzerfreundlichkeit erheblich beeinträchtigen und die Conversions nachlassen, sondern auch die meisten erweiterten Sicherheitsfunktionen des Online-Bankings entfernen. Und alles für was? Ich habe kein Problem damit, dass die EU auf Verbraucher achtet und die Datenerfassung durch Marketingagenturen einschränkt. Aber gehen wir nicht über Bord ...
Lèse majesté
Und nur um klar zu sein. Ich sage nicht, dass die Digest-Authentifizierung nutzlos oder veraltet ist. Es ist jedoch kein Ersatz für Sitzungen (und URL-codierte SIDs weisen ihre eigenen Sicherheitsbedenken auf). Die HTTP-Authentifizierung eignet sich perfekt für kleine nichtkommerzielle Sites mit minimalen Anwendungsanforderungen, die nur eine Barebone-Ad-hoc-Lösung zum Schutz kleiner Verzeichnisse mit minimalem Setup benötigen. Ich verwende ständig die Digest-Authentifizierung, um den temporären Kennwortschutz für vertrauliche Dateidownloads für die Arbeit einzurichten. Für 99% der von mir entwickelten Projekte ist dies jedoch nicht akzeptabel.
Lèse Majesté
@ Lèsemajesté keine Panik! :) Nachdem ich die Anweisungen selbst gelesen habe, bin ich zu dem Schluss gekommen, dass Sitzungscookies zulässig sind, falls dies in Kraft tritt. Ich bin jedoch immer noch nicht mit Ihrer Einschätzung der Digest-Authentifizierung einverstanden und schlage vor, dass Sie berenddeboer.net/rest/authentication.html
Treffynnon

Antworten:

11

Die "Aufregung" bezieht sich auf die Verwirrung darüber, wie die neue Richtlinie (PDF: 2009/136 / EG ) ausgelegt und umgesetzt werden sollte und ob dies für europäische Webmaster fair ist oder nicht:

Gilt das Gesetz für Cookies von Drittanbietern?

Die britische Datenschutzbehörde, die für die Durchsetzung der Gesetze in Großbritannien zuständig ist, sagt in ihren Richtlinien, dass sie um Klärung bitten ( siehe meine Antwort hier ), aber bis dahin wissen wir nicht, ob wir um Erlaubnis bitten müssen, um Dritte zu verwenden -Party-Cookies von Google Analytics zum Beispiel.

Könnten die Gesetze EU-Websites lähmen?

Wenn sich herausstellt, dass nach den neuen Gesetzen europäische Webmaster die Erlaubnis jedes Besuchers einholen müssen, Cookies von Drittanbietern zu verwenden, wirkt sich dies auf viele Websites aus und macht Analysen, Affiliate-Systeme, Usability-Tests und sogar das Einbetten von Videos von Drittanbietern (viele) davon Cookies verwenden) unbrauchbar oder weit weniger effektiv. Es werden auch viele Websitebesitzer erforderlich sein, die sonst keine Anfrage zum Speichern von Cookies hätten stellen müssen, um dies plötzlich zu tun, die Dienste zu löschen oder nach Alternativen ohne Cookies zu suchen.

Gilt die Richtlinie für Dienste, die außerhalb der EU gehostet werden?

Wenn ich ein Unternehmen aus Großbritannien betreibe, aber einen Blog auf einem gehosteten Dienst außerhalb der EU betreibe, der "unnötige" Cookies verwendet, muss ich mein Thema neu erstellen, um die Erlaubnis zur Verwendung dieser Cookies anzufordern? Wenn ja, ist der Dienst bereit, diese Funktionalität bereitzustellen? Wenn nicht, muss ich mein Blog an einen anderen Ort migrieren? Diese Fragen müssen noch beantwortet werden.

Wie bekomme ich am besten eine Erlaubnis?

Die neue Richtlinie soll sicherstellen, dass Personen ohne technisches Wissen die gleiche Kontrolle über ihre Privatsphäre haben wie technisch versierte Benutzer. Dazu wird ein Opt-Out-System ("Hier ist ein Cookie, Sie können es immer erbrechen, wenn Sie es nicht wollen") in ein Opt-In-System umgewandelt ("Möchten Sie ein Cookie? Hier ist, was darin enthalten ist). .. ").

Die neuen Gesetze eignen sich hervorragend für Verbraucher, werden von Datenschutzgruppen begrüßt, sind stärker auf das E-Mail- und Genehmigungsmarketing abgestimmt und stimmen mit der Stimmung von Bewegungen wie Do Not Track überein, die darauf hoffen, die von Verhaltensmethoden verwendeten Information Harvesting-Techniken zu blockieren Werbenetzwerke.

Das Problem besteht darin, dass Opt-In-Systeme mehr Schnittstellen-Overhead verursachen als Opt-Out-Systeme, da jeder Benutzer um Erlaubnis gebeten werden muss. Artikel 66 der Richtlinie lautet:

"Die Methoden zur Bereitstellung von Informationen und zum Anbieten des Verweigerungsrechts sollten so benutzerfreundlich wie möglich sein."

Leider verlassen sie die eigentliche Methode als Übung für den Leser. Dies ist wahrscheinlich eine gute Sache, da die diktierte Methode die Umsetzung des Gesetzes noch schmerzhafter machen könnte. Trotzdem wirft es immer noch viele Fragen auf, wie man am besten eine Einwilligung erhält.

Das ICO hat eine Liste von sechs Methoden zum Anfordern von Cookies angeboten ( siehe Seite 6 ). Sie geben zu, dass keine Lösung ideal ist:

  1. Popups (hässlich - siehe diese Diskussion - und von Benutzern oft ignoriert)
  2. Neue Geschäftsbedingungen (Benutzer müssen diesen ausdrücklich zustimmen, bevor sie die Website nutzen)
  3. Einstellungsgesteuerte Zustimmung (gut für die visuelle Anpassung, nicht so gut für die Analyse)
  4. Funktionsgesteuerte Zustimmung (muss die Benutzer weiterhin darauf aufmerksam machen, dass Cookies verwendet werden)
  5. Funktionale Verwendungen (sie schlagen einen permanenten Berechtigungsbereich mit Benachrichtigungen vor)
  6. Über Dritte (aber sie wissen noch nicht, wie die Gesetze gelten)

Da es keinen "One Solution Fits All" -Ansatz gibt, um die Erlaubnis zum Speichern von Cookies anzufordern, muss jeder Websitebesitzer seine eigene Vorgehensweise finden. Da nicht wirklich darüber nachgedacht wurde, das Anforderungsformat zu standardisieren oder ein gemeinsames Erscheinungsbild zu präsentieren, werden wir wahrscheinlich eine Vielzahl verschiedener Popups und Implementierungen sehen.

Sollten Browser nicht damit umgehen?

Das ideale Szenario könnte darin bestehen, all dies an den Browser zu delegieren, aber die Steuerelemente für Cookies sind nicht ausgereift genug, und selbst wenn Browser-Updates eine granulare Cookie-Unterstützung bringen würden, müssten wir immer noch ältere Browser aufnehmen, was eine Art In-Funktion darstellt -Seitenanfrage unvermeidlich.

Stellt es einen kommerziellen Nachteil dar?

Die neuen Datenschutzgesetze könnten EU-Webdienste weniger attraktiv machen als US-amerikanische. Wie Nick Halsted von TweetMeme sagt:

"Wenn Sie zwei Websites mit identischer Funktionalität besuchen und eine von ihnen Sie auffordert, eine große, beängstigende Box mit der Aufschrift" Ich verfolge alles über Sie "zu unterschreiben, und die US-amerikanische nicht, für welche werden Sie sich anmelden ? " [ Quelle ]

Das Hinzufügen eines modalen Berechtigungsbalkens kann nicht nur zu einer Verringerung der Anmeldungen und des Engagements führen, sondern wir können auch nicht alternative Anforderungsmethoden für Split-Tests verwenden, da wir für die Verfolgung der Ergebnisse eines Split-Tests zunächst den Benutzer um Erlaubnis bitten müssen.

Wenn sich herausstellt, dass EU-Unternehmen Google Analytics et al nicht ohne Erlaubnis jedes Besuchers verwenden können (wenn dies US-Unternehmen können), ist das nicht auch ein Wettbewerbsnachteil? Die USA haben bereits eine florierende Start-up-Community und ein finanzierendes Ökosystem. Einige würden argumentieren, dass Datenschutzrichtlinien, obwohl sie für Benutzer großartig sind, für Unternehmen ein Schmerz sind, weil sie diejenigen, die mit Unternehmen außerhalb der EU konkurrieren, weiter unterdrücken.

Wurde es wirklich durchdacht?

Während das Ziel, Benutzer in die Lage zu versetzen, Entscheidungen über ihre eigene Privatsphäre zu treffen, ein vorrangiges ist, wurden die Usability-Aspekte nicht durchdacht. Die gute Nachricht ist, dass wir (zumindest in Großbritannien) bis Mai 2012 Zeit haben, etwas herauszufinden.

Kurz gesagt, es gibt keinen Grund zur Sorge , aber es gibt viel zu überlegen . Sobald das ICO den Fall für Cookies von Drittanbietern geklärt hat und andere EU-Datenschutzbeauftragte dasselbe getan haben, ist es wichtig, dass europäische Webmaster Ressourcen bündeln, um eine einheitliche Lösung zu präsentieren.

Nick
quelle
"Es werden auch viele Websitebesitzer erforderlich sein, die sonst keine Anfrage zum Speichern von Cookies hätten stellen müssen, um dies plötzlich zu tun, die Dienste zu löschen oder nach Alternativen ohne Cookies zu suchen." Ich denke, sie werden ihre Geschäfte aus Europa verlegen. In vielen Fällen ist es so viel einfacher.
Feeela
4

Die meisten Beschwerden, die ich gesehen habe, fallen außerhalb der von Ihnen genannten Ausnahmen und eher in den Bereich Marketing / Daten. Einige der großen Probleme, die ich sehe, sind:

  1. Standardanalyse (Google Analytics und andere)
  2. Zusätzliche Tests (A / B-Tests usw. zur Optimierung der Benutzerfreundlichkeit / Conversion-Rate)
  3. Affiliate-Tracking.
  4. Re-Marketing Es gibt jetzt viele Programme, die ein Cookie löschen und dynamische Anzeigen basierend auf den Aktivitäten des Benutzers generieren.
  5. Personalisierung - wie das Anbieten personalisierter Produktempfehlungen basierend auf zuvor angesehenen Produkten usw.

Zugegeben, ich bin in den USA ansässig, daher habe ich dies nicht so genau verfolgt wie andere, aber ich glaube nicht, dass eine der oben genannten Ausnahmen in die "Ausnahmen" fällt und alle weit verbreitet sind.

Joshak
quelle
2

Es scheint schmerzhaft für Leute zu sein, die die Schlagzeilen lesen und das über diese erlaubten Ausnahmen nicht wissen.

Es ist auch schmerzhaft, wenn Sie Cookies für statistische Zwecke haben, da diese nicht ohne Zustimmung erlaubt sind:

Die Ausnahme würde beispielsweise nicht gelten, nur weil Sie entschieden haben, dass Ihre Website attraktiver ist, wenn Sie sich an die Vorlieben der Benutzer erinnern oder wenn Sie ein Cookie verwenden, um statistische Informationen über die Nutzung Ihrer Website zu sammeln.

http://www.ico.gov.uk/~/media/documents/library/Privacy_and_electronic/Practical_application/advice_on_the_new_cookies_regulations.pdf

Es ist auch schmerzhaft, denn obwohl es einfach ist, JavaScript auf Ihrer Website zu platzieren, das Statistiken verfolgt, ist es nicht einfach, es sei denn, Sie haben dieses Plugin gesehen.

Paulmorriss
quelle
Ich finde es reichhaltig, dass eine Regierung, die IE6 in einigen ihrer Abteilungen (z. B. MoJ) aktiv beibehält, die bloße Wange hat, das Gesetz zu erlassen, ja sogar andere auf ihrer Website oder in ihrem Geschäft zu beraten.
Digitale Essenz
1
@ Digital Der ICO macht die Gesetze nicht. Sie interpretiert und setzt lediglich die EU-Richtlinie durch. Es sieht nach einem harten und undankbaren Job aus.
Nick