Contao Cookies - mal wieder

[macbee]

Hallo,

auch wenn das Thema bereits mehrfach angesprochen wurde, erhoffe ich mir eine Info, die mir leider kein Anwalt geben kann.

1) ich habe Contao Seiten von Version 2.11.16 bis zur aktuellsten im Einsatz
2) Jeder bekommt deine Datenschutz Seite
3) Jeder bekommt ein Cookiebar
4) Jedes Formular wird mit Text und Pgllichtfeld (Datenschutz) versehen.
5) Jede Seite wird auf https umgestellt
6) Sämtliche BE Formularspeicherung wird deaktiviert

Das sind alles Leistungen, die ich für meine Kunden als Kundenservice für Lau mache ... die Datenschutzverodnung lasse ich mir allerdings von Ihnen ausfüllen und schicken. Aber genau hier liegt der Hase im Pfeffer:

Es gibt dort zwei Punkte über die ich mir nicht im Klaren bin, wie diese formulaiert gehören: Cookies und IP Adressen

Ich habe hier mal das Kapitel 7 der Öster. Wirtchaftskammer (Muster DSGVO) kopiert und dazu einge Interne Contao Fragen. Grundsätzlich habe ich von meiner Seite alle Google Analytics Codes rausgeschmissen.

Verwendet wird noch Google Maps und Google Fonts - wobei beides ja schon im Webinar besprochen wurde.

Code:

7. Cookies, andere Tracking Tools sowie Web-Analyse [bei Verwendung von Web-Analyse Tools wie Google Analytics, eTracker etc]

7.1. Cookies, andere Tracking-Technologien sowie Funktionen des Webanalysedienstes [Name des Tools und Firma des Anbieters samt Unternehmenssitz einschließlich Information, ob Daten an ein (außereuropäisches) Drittland übertragen werden] können auf unserer Internetplattform auf vielfältige Art und Weise zum Einsatz kommen. Cookies sind kleine Textinformationen, die eine Wiedererkennung des Nutzers und eine Analyse Ihrer Nutzung unserer Websites möglich machen. Die dadurch erzeugten Informationen werden auf den Server des Anbieters übertragen und dort gespeichert. Sie dienen dazu, unsere Internetpräsenz insgesamt nutzerfreundlicher, effektiver sowie sicherer zu machen. Zudem dienen Cookies zur Messung der Häufigkeit von Seitenaufrufen und zur allgemeinen Navigation.

7.2. Durch die Nutzung unserer Website willigen Sie damit ein, dass wir Cookies setzen. Sie können in Ihren Browsereinstellungen die Annahme von Cookies verweigern. Wie dies im Einzelnen funktioniert, entnehmen Sie bitte der Anleitung Ihres Browser-Herstellers. Wenn Sie sich gegen bestimmte technische und/oder funktionelle Cookies entscheiden, könnte die Funktionalität unserer Website eventuell eingeschränkt werden. Einige Cookies bleiben auf Ihrem Endgerät gespeichert, bis Sie diese löschen.

7.3. Wir haben mit dem Anbieter einen entsprechenden Vertrag zur Auftragsdatenverarbeitung abgeschlossen. Diese haben sich zur Einhaltung der geltenden datenschutzrechtlichen Bestimmungen uns gegenüber verpflichtet. Nähere Informationen zu den von uns beauftragten Auftragsverarbeitern können Sie unter [Email-Adresse] anfragen.

7.4. Ihre IP-Adresse wird erfasst, aber umgehend [zB durch Löschung der letzten 8 Bit] pseudonymisiert. Dadurch ist nur mehr eine grobe Lokalisierung möglich.

7.5. [Bei außereuropäischen Anbietern] Die Beziehung zum Webanalyseanbieter basiert auf [zB Standardvertragsklauseln/einem Angemessenheitsbeschluss der Europäischen Kommission].

7.6. Die Datenverarbeitung erfolgt auf Basis der gesetzlichen Bestimmungen des § 96 Abs 3 TKG sowie des Art 6 DSGVO (insbesondere Einwilligung). Da uns die Privatsphäre unserer Nutzer wichtig ist, werden die Nutzerdaten pseudonymisiert [Pseudonymisierung muss mit dem Webanalysedienst abgeklärt werden].

Das heißt doch, dass ohne Analytics die Punkte 7.1 / 7.5 / 7.6 hinfällg in der Erklärung sind.

7.2 und 7.4 betrifft ja wohl Contao direkt und nun stellt sich die Frage: Müsste man aufführen, welche Cookies gesetzt werden ( Die info habe ich ja gar nicht - wo kann man das erfahren) und wo kann man erfahren, ob Contao die IP Adresse speichert und wie und wann diese verschlüsselt bzw. gelöscht wird??

Ohne diese Info kann ich ja gar nicht den AVV mit dem Kunden abschliessen...

Vielleicht habt Ihr eine Info??

Danke Euch und LG

[Spooky]

Die von Contao gesetzten Cookies enthalten keine Personen bezogenen Daten. Contao anonymisiert von Haus aus die IP Adressen (egal wo sie geloggt werden).

[macbee]

Ah ok.. aber bei dem NL formular bzw. Anfrageformular.

Hiess es nicht im Webinar, dass erst ab 3.2 im Newsletter Modul die IPs anonymisiert werden?

Denn dann werde ich schlicht alle die kein 3.2 haben auch die NL funktion abdrehen .. oder sie müssen halt updaten.

Wie schauts da mit dem Anfrageformular aus? Egal ob Onboard Contao oder EFG Modul, bzw. Benachrichtigungscenter?

Danke Euch

[Spooky]

Hiess es nicht im Webinar, dass erst ab 3.2 im Newsletter Modul die IPs anonymisiert werden?

Das kann ich dir nicht beantworten. Unabhängig von deinem AVV, der DSGVO oder sonstigen Umständen solltest du aber alte Contao Versionen ohnehin nicht mehr verwenden. Die aktuelle LTS Version ist Contao 4.4, darüberhinaus hat auch noch Contao 3.5 Support für Sicherheitsprobleme ab Mai für ein Jahr lang.

Wie schauts da mit dem Anfrageformular aus? Egal ob Onboard Contao oder EFG Modul, bzw. Benachrichtigungscenter?

Was soll damit sein?

[kubjo]

Hi Spooky,

Die von Contao gesetzten Cookies enthalten keine Personen bezogenen Daten. Contao anonymisiert von Haus aus die IP Adressen (egal wo sie geloggt werden).

DANKE für diese Aussage, bitte nicht falsch verstehen: Da ich mich darauf verlassen können muß, wäre eine offizielle Quelle hier sehr hilfreich. Kannst Du mir da weiterhelfen?

Grüße aus Ludwigsburg
Jochen Kubik

[xchs]

Reicht Dir das als offizielle Quelle: https://contao.org/de/news/contao_2-11-RC2.html ?

[Spooky]

Nein, da kann ich natürlich nicht weiter helfen . Ich bin niemand, der offizielle Aussagen darüber treffen könnte.

[kubjo]

Hi xchs,

vielen Dank, aber da drängen sich mir 2 weitere Fragen auf:

- gilt das auch für neuere Versionen z.B. 4.5.x?
- muß man nicht unterscheiden, zwischen einer Speicherung von personenbezogenen Daten in der contao Datenbank und die in den Cookies?

Sorry, ich bin kein Entwickler, deshalb die vielleicht etwas blauäugigen Fragen!

Grüße aus Ludwigsburg
Jochen Kubik

[lucina]

1. Schau doch einfach mal in die erwähnten Einstellungen, die auch in Contao 4 "Datenschutz-Einstellungen" heissen.

2. Welche personenbezogenen Daten könnten denn in einem Sessioncookie enthalten sein solange Du nicht selbst die Cookies manipulierst?

[kubjo]

Hi lucina,

vielen Dank für Deine schnelle Antwort!

1. Schau doch einfach mal in die erwähnten Einstellungen, die auch in Contao 4 "Datenschutz-Einstellungen" heissen.

Die kenne ich, und habe sie immer angehakt!

2. Welche personenbezogenen Daten könnten denn in einem Sessioncookie enthalten sein solange Du nicht selbst die Cookies manipulierst?

Ich habe KEINE Ahnung, deshalb meine Frage. Ich bin kein Programmierer, was da in den Cookies drin sein kann weiß ich nicht. Ich werde aber von meinen Kunden gefragt, und sollte eine fundierte Auskunft geben, was contao macht, kann und wie man es auf ein Minimum beschränken kann. Momentan sind ja viele Threads zu diesem Thema am glühen! Verständlich, weil niemand an den Karren gefahren werden will! Ich würde auch gerne die Cookies bei Seiten, die es technisch erlauben ganz ausschalten können.

Grüße
JK

[lucina]

Du kannst Dir ja mal den von Contao gesetzten Cookie mit <f12> ansehen - da ist einer (PHPSESSID), in dem die PHP-Session drinsteht, und ein anderer (csrf_contao_csrf_token), der Cross Site Forgery Requests verhindern soll. Beide sind technischer Natur, beide kannst Du Deinem Kunden mitteilen, und beide sind absolut unproblematisch. Möglicherweise werden in C 4.6 dann gar keine Frontendcookies mehr gesetzt werden, wenn man keine Formelemente einbindet, aber das st wohl noch nicht ganz klar.

Wenn Du selbst allerdings Cokkies setzt oder setzen lässt - was beispielsweise bei der Nutzung externer Dienste oder Content-Delivery-Networks sein kann - dann solltest Du das ja auch wissen und entsprechend reagieren können. Es kann auch sein, dass verwendete Erweiterungen einen Cookie setzen. Das ist dann aber eine Frage, die Du mit der Entwicklerin / dem Entwickler klären musst.

Im Augenblick halte ich persönlich die Datenhaltung von Contao für insgesamt eher unproblematisch. Was ich problematisch finde ist 'keine Ahnung' zu haben. Das gilt für manche Kolleginnen und Kollegen, die das Fähnchen Datenschutz ganz hoch halten und gleichzeitig ihre Kundendaten via Adressbuch-Sync in irgendeine Cloud verklappen, aber auch für Endkundinnen und -kunden, die sich mit einer Frage nach Cookies die Erstellung eines Verarbeitungsverzeichnisses leicht machen möchten.

Anyway ... ;-)

[kubjo]

Hi lucina,

Du kannst Dir ja mal den von Contao gesetzten Cookie mit <f12> ansehen - da ist einer (PHPSESSID), in dem die PHP-Session drinsteht, und ein anderer (csrf_contao_csrf_token), der Cross Site Forgery Requests verhindern soll. Beide sind technischer Natur, beide kannst Du Deinem Kunden mitteilen, und beide sind absolut unproblematisch. Möglicherweise werden in C 4.6 dann gar keine Frontendcookies mehr gesetzt werden, wenn man keine Formelemente einbindet, aber das st wohl noch nicht ganz klar.

Oh, dass man die Dinger angucken kann, wußte ich nicht! Wo finde ich sie, am Anfang oder am Ende des Codes?

Wenn Du selbst allerdings Cokkies setzt oder setzen lässt - was beispielsweise bei der Nutzung externer Dienste oder Content-Delivery-Networks sein kann - dann solltest Du das ja auch wissen und entsprechend reagieren können. Es kann auch sein, dass verwendete Erweiterungen einen Cookie setzen. Das ist dann aber eine Frage, die Du mit der Entwicklerin / dem Entwickler klären musst.

Das ist mir klar!

Im Augenblick halte ich persönlich die Datenhaltung von Contao für insgesamt eher unproblematisch. Was ich problematisch finde ist 'keine Ahnung' zu haben. Das gilt für manche Kolleginnen und Kollegen, die das Fähnchen Datenschutz ganz hoch halten und gleichzeitig ihre Kundendaten via Adressbuch-Sync in irgendeine Cloud verklappen, aber auch für Endkundinnen und -kunden, die sich mit einer Frage nach Cookies die Erstellung eines Verarbeitungsverzeichnisses leicht machen möchten.

Anyway ... ;-)

Auch klar ;-)

[lucina]

Beispielsweise https://developers.google.com/web/to...e-data/cookies

("Know your tools, bro' ...")

[macbee]

Das kann ich dir nicht beantworten. Unabhängig von deinem AVV, der DSGVO oder sonstigen Umständen solltest du aber alte Contao Versionen ohnehin nicht mehr verwenden. Die aktuelle LTS Version ist Contao 4.4, darüberhinaus hat auch noch Contao 3.5 Support für Sicherheitsprobleme ab Mai für ein Jahr lang.



Was soll damit sein?

Ich habe einen Haufen Kunden, denen ich vor Jahren eine Webseite erstellt habe und die noch Version 2.11.16 sind

Diese verwenden die Seiten mehr oder weniger aktiv. Keiner dieser Kunden kennt sich auch nur halbwegs damit aus, dass es sowas wie Sicherheitslücken gibt oder aber dass man eine Webseite aktualisieren müsste. Geld dafür in die Hand werden sie nicht nehmen, da ja gerade bei diesen alten Seiten etwas mehraufwand betrieben werden muss, damit sie auf Contao 4 gehoben werden.

Es ist mir bewusst, dass sie es machen müssten, aber die Optionen sind entweder, dass ich es für Lau mache, oder aber - wenn ich auf die Version 4 bestehe - die Seite abdrehen kann.

bzfgl. Formulare: Werden - bei deaktivierter Option im Formular - die Daten irgendwo automatisch gespeichert? Sprich in der DB, wenn sich einer zum NL anmeldet oder aber über die besagten Formulare eine Anfrage schickt?

Danke Euch

[lucina]

Ich habe einen Haufen Kunden, denen ich vor Jahren eine Webseite erstellt habe und die noch Version 2.11.16 sind

Diese verwenden die Seiten mehr oder weniger aktiv. Keiner dieser Kunden kennt sich auch nur halbwegs damit aus, dass es sowas wie Sicherheitslücken gibt oder aber dass man eine Webseite aktualisieren müsste. Geld dafür in die Hand werden sie nicht nehmen, da ja gerade bei diesen alten Seiten etwas mehraufwand betrieben werden muss, damit sie auf Contao 4 gehoben werden.

Es ist mir bewusst, dass sie es machen müssten, aber die Optionen sind entweder, dass ich es für Lau mache, oder aber - wenn ich auf die Version 4 bestehe - die Seite abdrehen kann.

Das schöne an der DSGVO ist ja, dass die Geldbussen sehr schnell sehr teuer werden können. Spätestens mit einem Brief der Aufsichtsbehörde wird auch Deinen Kunden klar sein, dass sie etwas machen müssen. Die DSGVO kommt, sie wird weh tun, und es wird nicht besser werden. Deine Kunden stehen im Impressum (oder etwa nicht???), von daher ist es auch deren Aufgabe. Oder sie müssen ihre Seite 'abdrehen'.

Übrigens, Contao 2.11 ... Ich weiss ja nicht genau wie das in Österreich ist, aber in DE gibt es so etwas wie eine Updatepflicht (Grundschutzkatalog, u.a. https://www.bsi.bund.de/DE/Themen/IT...02/m02273.html), um die IT-Sicherheit zu verbessern. Bei Euch sollte das unter https://www.sicherheitshandbuch.gv.at/#227 stehen. Schon da besteht für Deine Kunden eine Handlungspflicht mindestens seit Oktober 2017.

Deine Kunden müssen handeln. Es mag eine Pflicht bei bestehender Geschäftsbeziehung geben, dass Du sie als Experte darauf hinweist (schon um aus der Haftung herauszukommen). Aber letztlich ist es ja Sache des Kunden, es auf eine Geldbusse ankommen zu lassen. Ich sehe nicht, weshalb man da 'für lau' arbeiten sollte, sorry.

bzfgl. Formulare: Werden - bei deaktivierter Option im Formular - die Daten irgendwo automatisch gespeichert? Sprich in der DB, wenn sich einer zum NL anmeldet oder aber über die besagten Formulare eine Anfrage schickt?

Danke Euch

Welche Option im Formular meinst Du genau? Beim Newsletter ist es ja so, dass Du vermutlich sowieso einen Nachweis für eine ordnungsgemässe Anmeldung haben solltest. Da würde ich - vorbehaltlich konkreter fachjuristischer Prüfung - schon ein rechtliches und technisches Interesse des Seitenbetreibers sehen. Du musst das ja auch dokumentieren können.

[Spooky]

Ich habe einen Haufen Kunden, denen ich vor Jahren eine Webseite erstellt habe und die noch Version 2.11.16 sind

Diese verwenden die Seiten mehr oder weniger aktiv. Keiner dieser Kunden kennt sich auch nur halbwegs damit aus, dass es sowas wie Sicherheitslücken gibt oder aber dass man eine Webseite aktualisieren müsste. Geld dafür in die Hand werden sie nicht nehmen, da ja gerade bei diesen alten Seiten etwas mehraufwand betrieben werden muss, damit sie auf Contao 4 gehoben werden.

Es ist mir bewusst, dass sie es machen müssten, aber die Optionen sind entweder, dass ich es für Lau mache, oder aber - wenn ich auf die Version 4 bestehe - die Seite abdrehen kann.

Du bist ja nicht verantwortlich dafür, warum solltest du das machen? Der Betreiber und Verantwortliche der Website muss sich darum kümmern. Das bist vermutlich nicht du.

bzfgl. Formulare: Werden - bei deaktivierter Option im Formular - die Daten irgendwo automatisch gespeichert? Sprich in der DB, wenn sich einer zum NL anmeldet oder aber über die besagten Formulare eine Anfrage schickt?

Nein. In Contao 4 werden im System Log (für den in den System Einstellungen eingestellten Zeitraum) Einträge gemacht, dass eine bestimmte (anonymisierte) IP ein Formular abgesendet hat und dadurch eine Email an eine Email Adresse geschickt wurde.

[tab]

Naja, die Email-Adresse wird bei der Newsletter-Anmeldung notgedrungen gespeichert. Wie sollte man sonst einen Newsletter versenden?

[tpk]

Ich häng mich hier mal dran.

Hab gerade das hier gelesen:
https://www.ithelps.at/blog/99-onlin...ormulare-dsgvo

Die sagen, dass Kontaktformulare nicht nur mit SSL abgesichert werden müssen, man müsse auch über SMTP verschicken. Heißt das konkret, dass es bei Contao nicht mehr reicht, in den Einstellungen des Formulars die E-Mail anzulegen und gut ist?

[Spooky]

Heißt das konkret, dass es bei Contao nicht mehr reicht, in den Einstellungen des Formulars die E-Mail anzulegen und gut ist?

Ob das überhaupt reicht hängt von deinem Hoster ab. Auf einem Shared Hosting solltest du dich ohnehin nicht auf die sendmail Funktionalität des Web Servers verlassen - denn du weißt ja nicht, wie der die Emails verschickt.

[tpk]

Ob das überhaupt reicht hängt von deinem Hoster ab

Kannst Du das noch erläutern?

[Spooky]

Kannst Du das noch erläutern?

Es kann ja sein, dass der Hoster gar keinen Anonymen Versand über den Web Server erlaubt. Oder er hat schlicht und einfach keinen SMTP Server für den Web Server konfiguriert.

[tpk]

SMTP != automatisch anonym? Woran erkennt man das?

[Ainschy]

Bei den Versand der Mail über Contao, sollte man die Zugangsdaten für ein E-Mail Postfach hinterlegen. Damit die E-Mails über eine sichere Verbindung an den SMTP Server übertragen werden. Im Grunde wie bei jedem E-Mail Programm.

Die E-Mail über die PHP mail() Funktion zu versenden ist unsicher.

[tpk]

@Ainschy

Ich habe Spooky so verstanden, dass selbst SMTP noch nicht sicher genug sein könnte?!

[Spooky]

SMTP != automatisch anonym? Woran erkennt man das?

Verstehe ich jetzt nicht was du meinst?

[tpk]

Es kann ja sein, dass der Hoster gar keinen Anonymen Versand über den Web Server erlaubt. Oder er hat schlicht und einfach keinen SMTP Server für den Web Server konfiguriert.

Das klingt für mich so, dass obwohl SMTP angeboten wird und funktioniert, dieses immer noch nicht sicher genug ist.

[Spooky]

Emails werden immer über SMTP versendet . Der Punkt ist, dass du selbst definieren solltest, über welchen SMTP Server und mit welchen Verbindungsparameter die Emails versendet werden.

Dadurch weißt du auch im Sinne des Datenschutzes, wie und wer Daten (also Emails in diesem Fall) in erster Instanz bekommen hat und was mit diesen Daten passiert (theoretisch besteht da ja dann ein Vertrag).

[tpk]

OK, in dem Moment wo ich ein eigenes SMTP Konto verwende und TLS anschalten kann, ist alles gut?

[lucina]

Naja, das kommt ja stark darauf an wie es insgesamt konfiguriert ist - bei meiner eigenen Seite wird eine Mail über ein Kontaktformular von PHP an ein lokal laufendes Sendmail übergeben, das nichts anderes tut als die Nachricht in meine Mailbox zu stopfen, mit der meine Mailclients über ein VPN per IMAP verbunden sind. Im Grunde genommen wird da nur auf einem Server eine Datei von Häufchen a nach Häufchen b geschoben, und die Nachricht verlässt physisch den Rechner gar nicht. Ich persönlich sehe da den Sinn nicht das auch noch zu verschlüsseln.

Etwas anderes wäre es beim Shared-Hosting-Szenario, wo Webserver und Mailserver durchaus unterschiedliche Maschinen in unterschiedlichen Rechenzentren sein können. Da wäre es, wenn das beim selben Hoster ist, eine Frage des Vertrauens in diesen Webhoster, das der seine internen Prozesse und Leitungen ausreichend absichert. Nachfragen.

Wenn jetzt aber Webserver und Mailserver bei verschiedenen Anbietern liegen, dass werden die Daten auf jeden Fall offen durchs Netz geleitet, so sie denn nicht abgesichert / verschlüsselt sind. Sinnvollerweise nutzt man dann eine verschlüsselte Verbindung, also SMTP über TLS/SSL - man kann das auch ohne machen, aber warum sollte man das tun? Das ist ja letztlich nur eine Frage der Porteinstellungen.

[macbee]

Ersteinmal danke für die ausführlichen Infos.

Irgendwo hier im Forum gab es einen Link auf dieses Script

https://cookie-bar.eu/

was ich eigentlich recht gut finde, da es halt auch die Mehrsprachenfähgket unterstützt. Ein Probelm dabei ist allerdings, dass es in der "deutschen" Fassung automatisch beim Anfangs Pop-Up einen Hinweis auf die Datenschutzseite der deutschen Behörde gibt. Dieser lässt sich zwar ausblenden, schöner wäre es aber, wenn er für österreich halt auf die Österreischische Behörde verlinken würde.

Besuchen Sie die Internetseite des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit, um mehr über Cookies und lokalen Speicher zu erfahren.

Laut Entwickler ist er sich der Problematik bewusst ud arbeitet an einer Lösung - habt Ihr diesen im Einsatz? Ich denke der Link zur Datenschutzbehörde ist eine nettes Nice to Have aber kein muss und sollte der Nutzung ja keinen Hinderungsgrund sein.

Wie seht ihr das?

LG

[macbee]

Hi,

ich stehe gerade ein wenig auf dem Schlauch:

In einer Webseite habe ich nun mal in Chrome - developer Tools - Application und dann auf Cookies geklickt.

Neben den bekannten Google Cookies bei den Maps und dem Session Cookie werden aber noch 2 weitere Arten angezeigt:

zum einen ein

_utma und _utmz .... ausgehend auf meine Domain (wird wohl der Link meines logos im Footer sein, da ich analytics (noch) laufen habe

und dazu dann noch

_ga und fingerprint von einem Bildlink des Tourismusverbandes, dessen Logo unten in der Fusszeile eingebaut werden sollte.

Heißt das nun - wenn man es genau machen will - dass man entweder

A) Die verlinkungen herausnehmen sollte

oder

B) Einen Hinweistext aufnehmen soll?

Denke mir, dass A) wohl sinnvoller ist, da das Logo auf jeder Seite gleich zu beginn geladen wird....

Interessanterweise werden mir diese Cookies aber NICHT im Firefox und auch nicht in Safari angezeigt, sondern nur in Chrome....

Bei Safari und FF sehe ich nur den Sessioncookie... Hat jemand dafür eine Erklärung???

Danke Euch

[jk1]

Was für ein Logo meinst du?

Hier was zu den beiden Cookies:
https://cookiepedia.co.uk/cookie/17
https://cookiepedia.co.uk/cookie/57

Bzgl. Firefox: öfters mal Seite neu laden. Manche setzen sich erst später. Ansonsten ggf. ein Opt-Out Cookie gesetzt, oder eine Erweiterung die das blockt, oder der Cookie wird auf andere Weise geblockt.
Ggf. auch mal bei Chrome alle Cookies löschen & dann nochmal dort prüfen. Vielleicht wurden die ja auch schon früher gesetzt.