DSGVO: Begründung für die technische Notwendigkeit für das Session-Cookie von Contao?

[tab]

ICH will das Cookie ja nicht loswerden. Ich weiss, dass es harmlos ist. Da ich die Erstinformation eh nur ungern per Javascript einbinden würde, kann man das Cookie (bzw die Session) ja ruhig einer sinnvollen Verwendung zuführen. In der Session speichere ich dann halt, ob die Erstinformation schon angezeigt und bestätigt wurde. Zum Glück muss man (hoffentlich ) nicht dokumentieren, welche natürliche Person da gerade bestätigt hat. Sonst müsste man das auch noch speichern und hätte schon wieder neue persönliche Daten.

Bei den Änderungen wird es eh wieder nur daraus rauslaufen, die "Großen" zu entlasten, die "Kleinen" dürfen die Suppe weiterhin komplett auslöffeln. Gute Lobbyarbeit eben . So wie offenbar auch hier...

[jk1]

Wenn du den Prozess dokumentieren bzw. erläutern kannst & dieser wasserdicht ist, musst du das nicht einzeln für jeden Nutzer speichern. Geht ja auch um Datenminimierung.

[Ionesco]

Macht doch auch einfach Gewinnspiele -> https://www.welt.de/wirtschaft/artic...-in-Panik.html

[tab]

Falls der Anwalt dann immer noch zickt, suche ich mir halt wirklich einen anderen Kunden. Oder auch den selben Kunden, aber mit einem anderen Rechtsanwalt. Das darf dann der Kunde entscheiden.

So, jetzt muss ich tatsächlich schon wieder eine Cookie-Bar setzen für einen Kunden (Rechtsanwalt), dessen Website ich mit Contao 3.5 erstellt habe. Naja, erstellt eigentlich schon vor Jahren mit Contao 3.1.4. Aber mittlerweile bei 3.5.35 angekommen. Dabei geht es nur und ausschliesslich um das von Contao automatisch gesetzte Session-Cookie. Ein Frontend-Login, ein Formular oder sonstiges, was ein Session-Cookie erfordern könnte, gibt es nicht. Ich habe ihm gesagt, dass hier allgemein die Auffassung herrscht, dass eine Einverständniserklärung für ein Session-Cookie, das wohl nur einen Hash-Wert speichert, nicht notwendig sei. Seine Antwort: "1) Wo steht das? 2) In welchem Gesetz? 3) Wozu wird das Cookie benötigt?". Meine ehrlichen Antworten: 1)Weiss nicht! 2)Weiss nicht! 3)Auf deiner Website eigentlich gar nicht bzw nur, damit man sich im Backend anmelden kann. Für einen normalen Website-Besucher also gar nicht.
Nach seiner Auffassung, ist die Frage nach der Notwendigkeit einer Einverständniserklärung für diesen Fall momentan nicht abschliessend geregelt. Somit bliebe ein Restrisiko, dass er nicht bereit sei einzugehen. Also Einverständniserklärung einholen. Howgh! Der Kunde und Rechtsanwalt in Personalunion hat gesprochen! Ich habe ihm dann gesagt, dass ich die Einverständniserklärung sowieso nicht vorschriftsmäßig einholen kann, also bevor das Cookie gesetzt wird. Das kam dann gar nicht gut. Dann habe ich ihn noch gefragt, was ich machen soll, wenn das Einverständnis nicht gegeben wird. Mehr als das Cookie wieder löschen kann ich ja sowieso nicht machen. Das ist dann aber eigentlich zu spät, da ist die Abmahnung bereits so gut wie unterwegs. Vielleicht muss ich seine Seite umstellen auf einen Static Site Generator (ohne Session-Cookie) (Scherz, noch! ). Er hat sich dann mal ein paar Kollegenmeinungen dazu (Session Cookies) angeschaut. Tenor fast durchweg: "Nichts Genaues weiss man nicht, es gibt keine Rechtsprechung dazu, ein Restrisiko ist gegeben, also Einverständnis einholen um auf der sicheren Seite zu sein." Ist eh klar, fast kein Anwalt will sich da aus dem Fenster lehnen und ins Risiko gehen. Sei es auf der eigenen Website oder bei Mandanten die er zur DSGVO berät.

Zum Schluss haben wir dann noch ein paar Websites von renommierten Kanzleien angeschaut um zu sehen, was die so machen. Fast überall eine Cookie-Bar. Aber meist nur so eine komplett wirkungslose Alibi-Bar, bei der man gar nicht ablehnen KANN, die aber andererseits auch rein gar nichts bewirkt. Wenn man einfach nichts macht und damit nicht zustimmt (eine Zustimmung durch Nichtstun ist nach der DSGVO grundsätzlich gar nicht möglich, auch wenn das auf diesen Websites im Text der Cookie-Bar explizit so drinsteht), kann man einfach weitersurfen, auch wenn einem dann halt die nervige Cookie-Bar erhalten bleibt. Inklusive Google-Analytics Cookies! Ich meinte dann, dass dagegen unser absolut harmloses Session-Cookie ja geradezu rein gar nichts sei. Aber, er will kein Risiko eingehen, das Einverständnis soll zumindest DSGVO-konform eingeholt werden, also BEVOR das Cookie gesetzt wird. Besser wäre, wenn es erst gar nicht gesetzt würde. Argh. Da kenne ich momentan eigentlich keine Lösung, außer das Setzen des Cookies komplett zu verhindern. Und wenn ich mal eben ins Backend will, muss ich das dann vorher rückgängig machen und die Seite in der Zeit vom Netz nehmen. Äußerst praktisch!

[Ionesco]

Deinen Kunden wird möglicherweise auch das nicht beruhigen, aber nach meiner Erfahrung muss man immer Sinn und Zweck einer gesetzlichen Regelung im Auge haben. Bei der DSGVO scheint es um zwei Kernelemente zu gehen: Transparenz und Datensparsamkeit. Letzteres Element lässt sich offenbar durch Einwilligung des Nutzers aushebeln. Wer darlegen kann, dass er sich schon am Kern der Regelung orientiert, sollte vor jedem deutschen Gericht bestehen können. Soviel Vertrauen in unsere Rechtsstaatlichkeit habe ich noch. Auch wenn man sich zu Recht darüber ärgert, dass sich Abmahnvereine wie Geier auf das Thema stürzen, darf man - um in diesem Bild zu bleiben - nicht vergessen, worauf sich diese stürzen: Auf offensichtliche Schwächen. So wie ein ökonomisch ausgerichteter Krimineller: Es muss mit wenig Aufwand und ohne großen Widerstand viel Gewinn möglich sein. Und diese Schwachstelle wird m. E. ganz sicher nicht das Session Cookie sein, so lange die Einhaltung der beiden Kernvorgaben gut dargelegt werden kann.

Eine schöne Anekdote zum Thema Datensparsamkeit hat im Gaming-Business Microsoft geliefert: Am 25.5. informierte man darüber, dass alle Spiele durchaus tiefgreifende Daten bis hin zum Realnamen des Spielers an die Publisher funken. Dem musste man zustimmen. Der alternative Button führte zur Opt-Out-Erläuterung: Das (bereits erworbene!) Spiel deinstallieren. Im Grunde ein Skandal. Datensparsamkeit sieht jedenfalls anders aus. Und vor diesem Hintergrund soll mir einer wegen eines gut verargumentierten Session Cookies Probleme bereiten? Nicht ausgeschlossen, aber äüßerst unwahrscheinlich.

[lucina]

Seine Antwort: "1) Wo steht das? 2) In welchem Gesetz? 3) Wozu wird das Cookie benötigt?".

Hier, bitte:

Evaluate for each cookie if informed consent is required or not:
first party session cookies DO NOT require informed consent.
first party persistent cookies DO require informed consent. Use only when strictly necessary. The expiry period must not exceed one year.
all third party session and persistent cookies require informed consent. These cookies should not be used on EUROPA sites, as the data collected may be transferred beyond the EU's legal jurisdiction.

http://ec.europa.eu/ipg/basics/legal....htm#section_3

[tab]

Ich leite ihm die Quelle mal weiter. Bin mal gespannt, denn für uns gilt nicht notwendigerweise nur das, was die EU-Kommission da schreibt. Da die ePrivacy Verordnung noch nicht in nationales Recht umgesetzt ist, allerdings die EU meint, das geltende deutsche Recht sei bereits im Einklang damit, gilt erstmal weiterhin die Regelung aus dem TMG (§15). Die scheint mir aber in Bezug auf Session-Cookies nicht viel herzugeben. Bin aber auch kein Jurist. In jedem Fall gilt, sollte es momentan nicht rechtssicher sein, dann war das auch schon vor dem 25.5.18 der Fall. Nur hat sich damals(tm) kein Mensch dafür interessiert. Die Sache scheitert allerdings im konkreten Fall meiner Meinung nach schon bei Frage 1, denn die Notwendigkeit des Cookies ist im konkreten Fall nicht gegeben. Da das allerdings niemand wissen kann, ohne den kompletten Quellcode, inklusive Hooks und Templates sowie die Datenbank der Website genau zu durchforsten, ist das wohl verkraftbar.

Die Situation hat sich allerdings mittlerweile sowieso schon wieder entspannt, nachdem er selbst nach unserem gestrigen (Streit-) Gespräch nochmals genauer recherchiert hat und ich ihm auch mitgeteilt habe, dass die Seite der Bundesdatenschutzbeauftragten sogar mehrere Session Cookies setzt, ohne jemals mein Einverständnis dafür einzuholen. Selbst wenn die aufgrund irgendwelcher Ausnahmeregelungen nicht an die DSGVO und das BDSG gebunden wäre, würde ich mir doch zumindest wünschen, dass sie mit leuchtendem Beispiel voranginge , wenn ein Einverständnis denn tatsächlich erforderlich wäre... Die Seite wird also wohl erst einmal keine Cookie-Bar bekommen. Jedenfalls liegt mir im Moment kein Auftrag dafür vor.

Persönlich gehe ich sogar davon aus, dass das Einholen eines Einverständnisses für ein Session-Cookie eher schadet als dass es nützt (genauso auch bei einem Kontaktformular). Im Falle einer Ablehnung müsste ich in letzter Konsequenz bei jeder neu geladenen Seite wieder die Cookie-Bar anzeigen und dafür sorgen, dass auch erneut eine Entscheidung getroffen wird. Denn die Entscheidung, die auf der ersten Seite getroffen wurde, kann ich ohne Session-Cookie nicht zuordnen (Außer ich codiere den Hash in die URL, was ich schon aus Sicherheitsgründen nur sehr ungern tun würde). Zudem dürfte das Cookie dann eigentlich auch erst gesetzt werden, nachdem das Einverständnis dazu erklärt wurde. Gesetzt wird es aber immer, ich könnte es also bestenfalls wieder löschen.

[mlweb]

Die Sache scheitert allerdings im konkreten Fall meiner Meinung nach schon bei Frage 1, denn die Notwendigkeit des Cookies ist im konkreten Fall nicht gegeben.

Das stimmt m.E. so nicht. Das System welches verwendet wird setzt derzeit technisch bedingt ein Session Cookie und Dein Kunde hat ein berechtigtes Interesse dieses System auch so zu nutzen wie es ist, damit im Backend z.B. ohne Probleme Anpassungen an der Website vorgenommen werden können. Zu mindestens habe ich mit der Argumentation zwei Kundenanwälte überzeugen können.

[tschero]

Das stimmt m.E. so nicht. Das System welches verwendet wird setzt derzeit technisch bedingt ein Session Cookie und Dein Kunde hat ein berechtigtes Interesse dieses System auch so zu nutzen wie es ist, damit im Backend z.B. ohne Probleme Anpassungen an der Website vorgenommen werden können. Zu mindestens habe ich mit der Argumentation zwei Kundenanwälte überzeugen können.

Das sehe ich ganz genau so.