Cookies und der Cookie Permission-Irrsinn

[msfrog]

Hallo,
bisher dachte ich, dass WB nur dann Cookies setzt, wenn man sich einloggt. Jetzt habe ich aber festgestellt, dass WB eine Session-ID generiert und in einem Cookie speichert. Angesichts der immer weiter um sich greifenden Idiotie mit ausufernden Datenschutzerklärun gen und diesen Cookie-Nervrequestern frage ich mich, ob das unbedingt nötig ist. Wozu wird diese ID denn genau verwendet? Könnte man das nicht evtl. per Default abschalten, um die Besucher wenigstens mit den Cookie Consent-Requestern verschonen zu können? Was meint ihr dazu?

[dbs]

Hallo, ich glaube nicht, dass der Sessioncookie zu der Art Cookies gehört, die einen Bannerhinweis benötigen.
Glücklich bin ich darüber trotzdem nicht. Er soll wohl aber bei Formularen benötigt werden.

[msfrog]

Hallo dbs,
ich wär da nicht so sicher. Bisher hab ich nirgends einen Hinweis darauf gefunden, dass bei den Cookies irgendwie unterschieden wird. Entweder Cookies da, dann Banner oder eben keine Cookies ohne Banner.

[dbs]

Mal als Beispiel dies hier:
https://hilfe-center.1und1.de/hosting/mywebsite-c10082646/einrichtung-c10082730/eu-cookie-richtlinie-was-sie-beachten-sollten-a10795254.html

... Für die EU-Cookie-Richtlinie ist der Unterschied zwischen Profiling-Cookie (Zustimmung nötig) und dem technischen Cookie (keine Zustimmung nötig) wichtig ...

Vielleicht finden wir noch mehr Beispiele.

[evaki]

DSGVO=Verarbeitung personenbezogener Daten
ePrivacy–Verordnung=Verarbeitung von Kommunikationsdaten .
Letztlich entscheidend wird die ePrivacy-Richtlinie ein, die aber dummmerweise bis zum 25. Mai 2018 wohl nicht rechtzeitig mit der DSGVO in Einklang gebracht werden kann. Sogar Juristen können aktuell nicht sagen, "wo's lang geht", und geben Empfehlungen, beruhend auf Vermutungen. Seriöse Juristen benennen die Probleme halt auch. Auf der "sicheren Seite" ist man wohl, wenn man alle verwendeten Formen von Cookies angibt, und das wichtigste, deren Verwendungsgrund angibt. Nur unabdingbare sollte man einsetzen. Dieser Hinweis sollte als erstes beim Zugriff auf eine Website erscheinen.

>>Könnte man das nicht evtl. per Default abschalten?
Versuche es mal im Template mit diesem Tip

MfG. Evaki

[msfrog]

Naja, aber da haben wir doch schon ein Problem. Wozu dient dieses Session-Cookie von WB und ist es zum Betrieb unbedingt erforderlich? Speziell letzteres bezweifle ich, denn ich kann mir meine Webseiten auch problemlos mit geblockten Cookies ansehen. Lediglich der Login funktioniert dann natürlich nicht, aber das ist für den normalen Besucher ja unerheblich.

[evaki]

DEV arbeitet an der Lösung (Core un so...)
Soll rechtzeitig "zum Termin" fertiggestellt sein. Daumen drücken!
MfG. Evaki

[msfrog]

Hallo Evaki,
danke für den Link, hab die Antwort von Dietmar auch grad gelesen. Wär natürlich gut, wenn das schon vor dem Termin fertig wird, ich hätte einige Seiten upzudaten...

[dbs]

Ich habe eben mal einen Test ohne SessionCookie im Frontend gemacht (deaktiviert in initialize.php Zeilen ab 486).
Hatte sofort Schwierigkeiten mit dem Multilanguage-Menü. Seite leitet unendlich weiter.
Vielleicht hat es auch mit Shorturl zu tun oder beidem.

Für mich ist das SessionCookie ein SystemCookie, ohne persönliche Informationen und wäre damit nicht bannerpflichtig.

[evaki]

Naja, da die Juristen fortlaufend mitteilen, daß vieles kontrovers diskutiert wird, ist so einiges nicht eindeutig. weshalb nicht jeder Formfehler sanktionsfähig sein wird (wahrscheinlich dann wieder mit einer Zeitvorgabe für Änderungen, und entsprechenden Richtersprüchen). Deshalb gebe ich selbst (mit Rücksprache) ja den Rat, den Unterschied zwischen SessionCookie und SystemCookie erst garnicht zu machen, und eben zwei Zeilen Text hinzuzufügen. Dann ist erstmal Ruhe im Karton. Abmahner laufen dann auf, und das ist gut so 

Und zu den "Schwierigkeiten" sag ich mal, daß im FE alles bis auf spezielle Modulfunktionen oder Anforderungen wie Warenkörbe etc. auch ohne Cookies funktionieren sollte. Obwohl, für Warenkörbe sind die auch nicht zwingend, scheint nur aufwendiger in der Programmierung zu sein, wie ich mal "irgendwo" lesen konnte.
MfG. Evaki

[Luisehahne]

Den netten Spruch habe ich gefunden

das Internet wurde konzipiert um einen Atomschlag zu überstehen - aber an Juristen hat damals keiner gedacht

Soweit ich das verstehe sind Session Cookies ohne Einwilligung des Benutzers erlaubt, sofern das Session Cookie für die Benutzung der Website unbedingt erforderlich ist.

Ich habe mit dbs den versuch gestartet und session deaktiviert, danach war hängen im Schacht. Wir setzen mit dem sessioncookie keine persönlcihe Daten. WebsiteBaker müsste komplett neu gecodet werden um ohne zu arbeiten.

Fortsetzung folgt
Dietmar

[evaki]

>>Session Cookies ohne Einwilligung des Benutzers erlaubt
So wird es gehandhabt. (Deutschland hat die Cookie-Richtlinie nicht in nationales Recht umgesetzt.) Bei der Anwendung der E-Privacy-Richtlinie könnte es etwas enger werden, aber auch eindeutiger in den zulässigen Verwendungen, z.B. Spracheinstellungen, Konfigurationen usw. Entscheidend ist hierbei die Begründung für die jeweilige Nutzungsform. Es muß die z.B. die technische Notwendigkeit begründet werden. Dort wo es  über die "Verarbeitung von Kommunikationsdaten" hinausgeht, greift dann die DSGV, eben hier dann auch mit entsprechenden Begründungen.

Und da an einigen Stellen einiges offen bzw. kontrovers dasteht, kann man das auch schon jetzt, wie schon gesagt, mit ein paar Zeilen mehr erschlagen. Meine Gespräche in den letzten Tagen, haben mich von der Panikschiene runter gebracht. Machts doppelt und dreifach, erklärt mit Links noch das Internet dazu -Ihr sollt ja kein Buch schreiben, sondern ?? Ja was eigentlich? Ist das wirklich notwendig, den Besuchern das Internet vom Hoster bis zum Browser und, und, und... zu erklären? Dort sehe ich im Moment das hauptsächliche Problem. Oft muß man den Leuten erklären, daß das Ding womit sie im Internet surfen ein Browser ist.

MfG. Evaki

[msfrog]

Hallo,
danke für euer Feedback. Ich würde mich bei solchen Themen nicht drauf verlassen, wie normale Menschen das verstehen. Vor Gericht gibt es keinen gesunden Menschenverstand Also wirds wohl drauf hinauslaufen, dass ich überall dieses blöde Banner einbauen muss.

Trotzdem würde mich interessieren, was genau dieses Cookie macht bzw. wozu dessen Informationen genutzt werden. Wie gesagt, wenn ich Cookies nicht erlaube kann ich meine Seiten trotzdem nutzen. Multi-Language-Menüs hab ich nicht drin, wird das nur dafür benutzt?

Evaki, für Warenkörbe ist das der einfachste Weg. Irgendwie musst du den Nutzer wiedererkennen, damit du weißt, welcher Warenkorb zu ihm gehört. Früher hat man das über eine Session-ID in der URL gemacht, das ist aber sicherheitstechnisc h eine Katastrophe. Kopierte Links mit der ID führten dann z.B. fremde Nutzer ins Kundenkonto usw. Es gäbe sicher auch noch andere Möglicheiten, z.B. über die IP-Adresse, aber auch das ist problembehaftet. Ich versteh auch nicht, warum diese Cookie-Panik geschoben wird. Ja, es gibt Missbrauchspotentia l, dann muss man den entsprechenden Seiten eben auf die Finger hauen. Aber gleich mal eine sinnvolle und nützliche Technik im Netz mit diesem Fluch zu belegen zeigt nur, dass die Politik von der Technik null Ahnung hat.

[evaki]

>>zeigt nur, dass die Politik von der Technik null Ahnung hat.
Es freut sich der Jurist, wo Geld zu holen ist 

Ja der DAU und die Richter, da hab' ich hier schon zu erklärt, daß man das nicht unterschätzen sollte.
Vielleicht noch schnell ein E-Book (On Demand) erstellen und den Link der Datenschutzerklärun g beifügen. 
MfG. Evaki

[evaki]

(Falls da 'n extra Topic draus werden soll, dann bitte abtrennen/verschieben)

DSGVO und der Jugendschutz
Ob man nun wirklich an Jugendschutz oder eher an eine ungestörte Geschäftstätigkeit dachte, ist hier unerheblich. Art. 8 DSGVO ist maßgeblich. Weil es hier jedoch auch nationale Spielräume gibt, empfehle ich zusätzlich die Anbieter-Alterskennzeichnung (per XML-Datei) auf dem Server zu hinterlegen, auch wenn das anscheinend noch nirgendwo erwähnt wird/ist (oder hat wer?). Wer keine Probleme bei (oder nach) Bestellungen mit Kiddies haben will, setzt dann rigoros die Altersstufe ab 18 Jahren. Dann sollten die Eltern das Problem an der Backe haben, und der Jugendschutz wird ernst genommen.
Schon mal'n Smartphone mit Jugendschutzsoft, die age-de.xml erkennt, gesehen?
Da lachen ja die Kinder, ähm die Hühner.

MfG. Evaki
p.s. "Sie haben Post:
Liebe Kunden, ab dem 30.4.2018 werden wir Ihnen die Möglichkeit geben, einen ADV-Vertrag gemäß DSGVO herunterzuladen.

[evaki]

@Luisehahne:

Ich habe mit dbs den versuch gestartet und session deaktiviert, danach war hängen im Schacht. Wir setzen mit dem sessioncookie keine persönlcihe Daten. WebsiteBaker müsste komplett neu gecodet werden um ohne zu arbeiten.

Manchmal (gut, bei mir häufiger) brauchts halt 3xGuck

Es geht ja nicht um die Session(s) (gibts auch ohne php vom Indianer), sondern nur um die (Session)Cookies, und dann auch nur im FE.

MfG. Evaki

[evaki]

Nach "DSGVO und der Jugendschutz" gehts diesmal um DSGVO und die Fotografie.
Also vor Veröffentlichung den überfahrenen Hasen fragen, und die Metadaten löschen wegen Rückverfolgbarkeit.
MfG. Evaki

[Luisehahne]

Gefunden bei Heise
Keine Strafen: Österreich zieht neuem Datenschutz die Zähne
Dietmar

[hgs]

Dann mal schnell alle Domänen nach Österreich umgezogen und als KdöR habe ich Ruhe 

[evaki]

Habe gerade 20 Seiten "ADV" (Auftragsdatenverarb eitung) vor mir liegen, is ja Tach vonne Aabeit 
Da wartet noch viel Spaß auf Euch.

MfG. Evaki
p.s. Is jetz mein Telefonspeicher in Handy, Telefonanlage un so auch Datenverarbeitung im Sinne von DSGVO?
Läude holt Euer DIN A6-Adressbücher wieder raus, aber mit Dokumentenpapier.

[dbs]

Hehe, wenn du es beruflich nutzt, wohl ja.
Machst halt noch ein paar AVV's mit den Anbietern.

[evaki]

>>AVV's mit den Anbietern
Soweit kommts noch... Millionen Telekomanschlüsse mit Routern, die Adressspeicher haben, und noch keine Frage/Meldung von irgendwo? Da steht die Telekom vor -ups

Jedenfalls wird das, was sich bisher Verfahrensverzeichn is nannte, durchs Verzeichnis von Verarbeitungstätigk eiten (DSGVO) abgelöst.

Wie verhält sich das Verfahrensverzeichn is zu ADV? Beides verhält sich doch in diesem Beispiel "irgenwie" zu Drittleistern. Vielleicht 'nen Tip wo guck?

Als Freiberufler sollte man (meine pers. Empfehlung) konsequent private Kontakte von beruflichen trennen. Gerade bei denen wird das Gegenteil sehr oft "gepflegt" Deshalb neben dem priv. Telefon, ein zweites oder mehr anschließen. Die Telefone haben dann getrennte Personenverzeichnis se. Wie das dann mit dem Adressverzeichnis des Routers im Falle der Synchronistaion aussieht, weiß ich noch nicht. Bringt der das alles in ein einziges Verzeichnis, sollte man die Synchronisation tunlichst unterlassen. Aber vielleicht weiß da jemand schon wie sich das verhält -bei jedem Router anders oder gleich und wie?

MfG. Evaki

Edith: Ansonsten, gerade entdeckt: Datenschutz Verfahrensverzeichn is (mit Muster)

[evaki]

Und noch ein bisschen DSGVO-Irrsin, nämlich die Informationspflicht en.
Wenn man diesem Beitrag folgt, kann Telefonieren demnächst zur akrobatischen Nummer werden.

Schon allein deshalb getrennte Telefone für private und berufliche Kontakte.
Auch berufliche Kontakte nicht übers private Telefon annehmen.

MfG. Evaki

[CyberDyne]

Hallo,
über den Sinn und Unsinn der DSGVO kann man wohl bis zum Sanktnimmerleinstag diskutieren, ohne zu einem Ergebnis zu kommen.
Trotzdem hätte ich gerne gewusst, was in dem Cookie über die jeweilige Sitzung gespeichert wird.

"Is n' Systemcookie, daher Ausnahme" reicht leider nicht, respektive meinen Kunden reicht das nicht, die sich einem Mob von Abmahnanwälten gegenüber sehen und die dann wohl zu mir schicken wollen, gebe ich hier eine klare Auskunft.

Also wat speichert WB in diesem Cookie? Kann man das nicht einmal kurz und bündig auflisten? Viel scheint es ja nicht zu sein und sie wird halt auch ohne Formular und ohne Warenkorb generiert.

Viele Grüße,
Klaus

[evaki]

>>Is n' Systemcookie
Das ist sowieso ne Null-Info bzw. Allerweltsbezeichnu ng
Ein "Systemcookie" wäre eher dem Server (z.B. Apache) zuzuordnen, der kanns auch.
Da aber meist das System unbekannt ist, haut man halt so eine Bezeichnung raus.

Was bei WB generiert und übertragen wird ist ein Session-Cookie, eine beim Client hinterlegte Datei, die auf der Benutzerseite nach dem Schließen des Clients automatisch gelöscht wird.

Was macht WB?
Generiert aus Sitzungs ID und Session ein Session-Cookie

Das sagt z.B. FF

Code: [Select]

Name: wb-4857-sid
Inhalt: 77050mor6fii4fg9qnju0r7fm1
Host: localhost
Pfad: /
Senden für: Jeden Verbindungstyp
Gültig bis: Zum Ende der Sitzung
Also alles andere als Persistent oder auch Permanent-Cookies. Die könnte aber z.B. ein Modul generieren. Obs eines gibt? Keine Ahnung!

MfG. Evaki