Author Topic: Fällt der Session Cookie von WB unter Datenschutz (DSGVO)  (Read 1952 times)

Offline mucartist

  • Posts: 6
Bei einer Firmenwebsite ohne G. Analytics und ähnlichem Kram setzt lediglich WB ein Session Cookie. Es ist wohl ein technisches Cookie, das keine persönlichen Daten sammelt. Muss man trotzdem ein Cookie Permit einbauen? Ich bin leider Laie

Offline dbs

  • Betatester
  • **
  • Posts: 8035
  • Gender: Male
  • tioz4ever
    • WebsiteBaker - jQuery-Plugins - Module - Droplets - Tests
Re: Fällt der Session Cookie von WB unter Datenschutz (DSGVO)
« Reply #1 on: May 25, 2018, 03:30:03 PM »
Meinung 1: kein Banner nötig
Aber in der Datenschutzerklärun g unter Cookies erwähnen.
« Last Edit: May 25, 2018, 03:37:56 PM by dbs »

Offline pantarhei

  • Posts: 1
Re: Fällt der Session Cookie von WB unter Datenschutz (DSGVO)
« Reply #2 on: May 25, 2018, 04:46:46 PM »
Wie sicher bist du ??<8hab mittlerweile meinen Account wechseln müssen - vormals mucartist)

Offline dbs

  • Betatester
  • **
  • Posts: 8035
  • Gender: Male
  • tioz4ever
    • WebsiteBaker - jQuery-Plugins - Module - Droplets - Tests
Re: Fällt der Session Cookie von WB unter Datenschutz (DSGVO)
« Reply #3 on: May 25, 2018, 08:08:04 PM »
Denke mal niemand ist sich sicher, deshalb auch "Meinung".
Von meinen Usern hat keiner einen Cookiebanner von mir bekommen.

Offline hgs

  • Betatester
  • **
  • Posts: 1117
    • EFG MG
Re: Fällt der Session Cookie von WB unter Datenschutz (DSGVO)
« Reply #4 on: May 26, 2018, 08:15:31 AM »
Wie sicher bist du ??<8hab mittlerweile meinen Account wechseln müssen - vormals mucartist)
Warum das denn? Ich musste noch nie meinen Account wechseln.
LG Harald

"Fange nie an, aufzuhören - höre nie auf, anzufangen." Marcus Tullius Cicero (106-43 v.Chr.)

Online astricia

  • Posts: 692
  • Gender: Female
    • netSchmiede24
Re: Fällt der Session Cookie von WB unter Datenschutz (DSGVO)
« Reply #5 on: May 26, 2018, 08:41:02 AM »
Bei meinen Kunden haben nur die einen Cookiebanner bekommen, die eine Möglichkeit zum Registrieren auf der Website bieten (Shops etc.) - oder die Adwords oder AdSense einsetzen. "Normale" WB-User brauchen meiner Meinung nach diesen Cookiehinweis nicht.

Offline evaki

  • Posts: 2748
Re: Fällt der Session Cookie von WB unter Datenschutz (DSGVO)
« Reply #6 on: May 26, 2018, 10:47:42 AM »
>>"Normale" WB-User brauchen meiner Meinung nach diesen Cookiehinweis nicht.
Bis dann die ePrivacy greift, und dann möglicherweise auch eine eine Einwilligung für Session-Cookies vorliegen, oder ein unmittelbarer Hinweis darauf folgen muß. Das ist ja alles noch in Arbeit und kann daher heute noch nicht abgeschlossen dargestellt/festgestellt werden.

Nur weil Duitschland die Richtlinie nicht in nationales Recht umgesetzt hat (machts auch mit anderen Sachen so, bis zur ausgestellten Rechnung durch die EU) bedeutet das nicht, daß einem das egal sein dürfte.

Gucksu hier

Jedenfalls ist die Abnickerei "Klick, sonst gehts hier nicht weiter" mehr als nur eine Zumutung, das ist Nötigung
MfG. Evaki
« Last Edit: May 26, 2018, 11:00:41 AM by evaki »

Offline DarkViper

  • Forum administrator
  • *****
  • Posts: 3026
  • Gender: Female
Re: Fällt der Session Cookie von WB unter Datenschutz (DSGVO)
« Reply #7 on: May 26, 2018, 02:01:47 PM »
Der "Cookie-Hinweis" als Folge der bisherigen nationalen Regelung ist als solcher seit gestern (25.5.18) eigentlich generell überflüssig, da die EU-DSGVO die 'alte', nationale Regelung überschreibt.

Dagegen ist es jetzt sehr wichtig, dass JEDER Besucher (auch Gäste) bezüglich der DatenSchutzErklärun g (DSE) informiert werden muss.

Denn auch wenn sich jemand nicht registriert, so werden persönliche Daten eines Besuchers doch zumindest im Accesslog des Servers für einen gewissen Zeitraum gespeichert. IdR für bis zu 7 Tage, maximal sollten hier aber 14 Tage nicht überschritten werden. Nach dieser Zeit müssen die Logs gelöscht oder aber zumindest die IP-Adressen durch maskieren des letzten Octets anonymisiert werden.
(prinzipiell natürlich Blödsinn, aber eben Vorschrift, denn unter anderem werden genau diese unmaskierten Daten ja eine Stufe höher im Routingweg bei den Providern per Vorratsdatenspeiche rung für 6 oder mehr Monate gespeichert)
Websitebetreiber, die 'nur' ein Web-Hosting einsezen sind da mehr oder weniger fein raus und können, mangels Schreibzugriff auf die Logfiles, zumindest diese Verantwortung auf den Hoster weiterschieben.
Wer einen eigenen Root-Server (egal ob V-Server oder dedizierten Server) betreibt, hat dieses Problem natürlich selbst an der Backe.

Dabei tritt dann jetzt das Problem auf, dass diese Information bzw. das Einverständnis des Besuchers auch nachweisbar dokumentiert werden muss.
["Da war am 24.12.2018 um 12Uhr mittags jemand nicht näher Bekanntes mit der IP xyz  hier und hat sich mit unserer DSE einverstanden erklärt"]

Das nächste Problem ist, dass niemand der Zugang zur Seite verwehrt werden darf, der z.B. mit der Speicherung von Cookies oder der Einbindung von Tracking-Tools etc. pp. nicht einverstanden ist!
Der Besucher muss -genau genommen- jedem eingebundenen Dienst einzeln zustimmen können. Ob das jetzt Webfonts sind, Statistiktools, 3thPartyscripte oder sonstige Daten (Bilder, Videos, Dokumente) die von außerhalb in die Website eingebunden sind, spielt keine Rolle.
Was bisher auch noch kaum beachtet wurde, ist der DNT-Header (steht für 'Do Not Track') der in den meisten neuen Browsern gesetzt werden kann. Ist dieser gesetzt, so darf nach genauer Auslegung der EU-DSGVO keinerlei Tracking System eingesetzt werden, das die Möglichkeit bietet, einen Besucher über mehrere Seiten regelrecht zu verfolgen (was 99,9% dieser Tools eindeutig machen). Lokale, internes Tracking zur Optimierung des eigenen Angebotes ist dagegen erlaubt, solange diese Daten den Server nicht verlassen.

Vorgenannte Einstellungen sind alles Opt-In Einstellungen. Was bedeutet, dass die Tools per default abgeschaltet und erst durch den Besucher explizit freigegeben werden müssen!!!
So nebenbei bemerkt: Es laufen bereits Beschwerden gegen große Anbieter, die viele dieser Punkte nicht einhalten.

Mindestens 2 Cookies sind als technische Cookies jedoch erlaubt, es muss in der DSE jedoch auf sie hingewiesen und erklärt werden, was hier genau warum gespeichert wird.

Dabei handelt es sich um das berüchtigte 'Session-Cookie' sowie evt, ein Cookie, das sich bei Besucher merkt, ob und in welchem Umfang die DSE akzeptiert wurde. Diese Cookies sind zum technischen Betrieb einer Seite erforderlich, ohne sind verschiedene Funktionalitäten schlicht nicht realisierbar.


Meine ganz persönliche Lösung (die allerdings einiges an Programmieraufwand erfordert):
  • Beim ersten Aufruf einer beliebigen Seite wird ein Fenster eingeblendet, das erstens darauf hinweist, dass technische Cookies zum Betrieb notwendig sind, jeweils einen Link zur DSE und zum Impressum bietet und zusätzlich eine Auswahlliste mit externen Diensten, die aktiviert werden dürfen.
  • Ab da sind alle nachfolgenden Seiten ganz normal zugänglich. Je nach vorheriger Auswahl werden jedoch nur die genehmigten, externen Dienste in die Seiten eingebaut.
  • Verbietet der (unregistrierte) Besucher das Setzen von Cookies durch seinen Browser, so muss er eben damit leben, dass bei jedem einzelnen Seitenaufruf wie unter Punkt 1 verfahren wird.
  • Selbstverständlich können registrierte User die Auswahlliste jederzeit in ihrem persönlichen Profil ändern.
Bei WB könnte das noch etwas Aufwand verursachen, bis eine solche Funktionalität als Addon angeboten werden kann.

Kurz noch zu diesem Forum hier: 
Es werden generell keine externen Dienste eingebunden. Die Verbindung des 'Donate'-Buttons zu Paypal ist prinzipiell ein simpler Link, der zusätzlich zu unserer Konto-ID und dem Referer auf das Forum nur die Daten weiterliefert, die auch bei einfacher Eingabe von "http://paypal.com/" in der Adresszeile des Browsers weitergegeben würden. Also alles außerhalb unseres Verantwortungsberei ches.





Der blaue Planet - er ist nicht unser Eigentum - wir haben ihn nur von unseren Nachkommen geliehen

"You have to take the men as they are… but you can not leave them like that !" :-P
Das tägliche Stoßgebet: Oh Herr, wirf Hirn vom Himmel !

Offline evaki

  • Posts: 2748
Re: Fällt der Session Cookie von WB unter Datenschutz (DSGVO)
« Reply #8 on: May 26, 2018, 02:33:25 PM »
>>"Meine ganz persönliche Lösung...."
Einer unserer Anwender hat gut lachen, der mit SSI auf 'ner Zeitungsdomain (Studienprojekt).
Der hat sich nur auf log-files und den für die Presse geltenden Reglen konzentriert, und gut wars.

Will er nun php für diverse DSGVO-konforme Anwendungen (z.B. Form) nutzen, packt er da die erforderlichen Informationen rein. Mit Perl/CGI wäre das zwar auch zu machen, aber find mal jemanden. PHP ist für ihn ein regelrechter Segen (z.B. für Galerien etc.)  DSE, Cookies und was sonst noch alles kommen mag kann ihn nicht schrecken. Nur bei Bedarf popts dann :-)

MfG. Evaki
p.s. Wie er die Inhalte bearbeitet und wie die Menus generiert werden weiß ich bis heute nicht. Ob WebDAV oder FTP -keine Ahnung. 2004, bei den ersten Testseiten benutzte noch DW (Nein, nicht DV ) , aber nach tausenden Seiten... -?
« Last Edit: May 26, 2018, 02:40:39 PM by evaki »

Offline evaki

  • Posts: 2748
Re: Fällt der Session Cookie von WB unter Datenschutz (DSGVO)
« Reply #9 on: May 26, 2018, 03:54:41 PM »
>>Was bedeutet, dass die Tools per default abgeschaltet und erst durch den Besucher explizit freigegeben werden müssen!!!
So könnte es aussehen

Ach DV, mach doch mal sowas schönes, büdde.

MfG. Evaki

Offline dbs

  • Betatester
  • **
  • Posts: 8035
  • Gender: Male
  • tioz4ever
    • WebsiteBaker - jQuery-Plugins - Module - Droplets - Tests
Re: Fällt der Session Cookie von WB unter Datenschutz (DSGVO)
« Reply #10 on: May 26, 2018, 05:06:15 PM »
Hab da nichts gesehen ... weil ich schon mal da war  :-D
Ist zwar super gemacht, aber willst du das wirklich auf jeder Webseite machen müssen?
Bliebe also der Weg, dass man das einmal im Browser einstellt und gut.
- keine ThirdParty-Cookies - check
- Session Cookies erlauben - check
- usw.

Offline DarkViper

  • Forum administrator
  • *****
  • Posts: 3026
  • Gender: Female
Re: Fällt der Session Cookie von WB unter Datenschutz (DSGVO)
« Reply #11 on: May 26, 2018, 05:18:01 PM »
na Franky, ist ned erlaubt. Denn auch wenn der Besucher das im Browser blockt....  Dein Server schickt es ihm ja trotzdem.. ;)

geht ja schon im Kleinen los:  hxxps://youtu.be/hcSjM3g4n-0    (die xx gegen tt tauschen)
Der blaue Planet - er ist nicht unser Eigentum - wir haben ihn nur von unseren Nachkommen geliehen

"You have to take the men as they are… but you can not leave them like that !" :-P
Das tägliche Stoßgebet: Oh Herr, wirf Hirn vom Himmel !

Offline hgs

  • Betatester
  • **
  • Posts: 1117
    • EFG MG
Re: Fällt der Session Cookie von WB unter Datenschutz (DSGVO)
« Reply #12 on: May 28, 2018, 07:48:23 AM »
>>Was bedeutet, dass die Tools per default abgeschaltet und erst durch den Besucher explizit freigegeben werden müssen!!!
So könnte es aussehen

Ach DV, mach doch mal sowas schönes, büdde.

MfG. Evaki
Ist das Beispiel nicht genau Abmahnfähig? weil der Link zum Impressum / Datenschutz durch den Banner nicht möglich ist?
LG Harald

"Fange nie an, aufzuhören - höre nie auf, anzufangen." Marcus Tullius Cicero (106-43 v.Chr.)

Offline evaki

  • Posts: 2748
Re: Fällt der Session Cookie von WB unter Datenschutz (DSGVO)
« Reply #13 on: May 28, 2018, 08:46:03 AM »
Nicht schlecht Herr Specht.
Klar, der überall zu sehende Banner beinhaltet aber oft auch noch die Sperrung weiterer Aktionen auf der Webseite. Ob man dann den Link sieht oder nicht ist dann sowieso egal; es geht nix mehr. (DSE im modal window jeht aber)

Abhilfe würde m.E. (sagt der "Sandkasten") ein Fensterchen #OnTop bringen, statt'n modal, so daß der Content nach unten verschoben wird (responsiv). Das ist dann in jedem Client "sauber".

Wird man demnächst dann wohl auch das im Design vorschreiben, zumindest auf der Eingangsseite, wie schon vom Impressum und DSE bekannt.

Man kann aber in Eigeninitiative schon jetzt handeln

Über Mobile stellt sich die Beispielseite noch schlechter dar.  :evil:

Also nehmen, aber besser machen.

MfG. Evaki