DSGVO: Begründung für die technische Notwendigkeit für das Session-Cookie von Contao?

[reinweiss]

Guten Tag,

im Zuge der intensiven Beschäftigung mit den Erfordernissen der DSGVO taucht immer wieder die Frage nach der Begündung für das Session-Cookie auf.

Man kann immer wieder etwas lesen wie z.B. "Nur wenn ein Cookie technisch notwendig ist, wie etwa ein Session Cookie, das sich den Login Status merkt, darf es ohne die Einwilligung des Users gesetzt werden."

Frage: Welche technische Notwendigkeit kann ich für ein Session-Cookie anführen, wenn ich eine Contao-Website betreibe, die weder über ein Kontaktformular noch einen Login o. Ä. verfügt?

Viele Grüße
Michael

[mvo]

Unabhängig von der technischen Seite des Wieso: Ein Session Cookie, das weder PII speichert noch eine über die Browsersession hinausgehende Gültigkeit besitzt, mit einem Remember Me Cookie zu vergleichen ist aber auch etwas dahergeholt.

[stefan-at-work]

@reinweiss -> http://lmgtfy.com/?q=session+cookie

[reinweiss]

@reinweiss -> http://lmgtfy.com/?q=session+cookie

Au fein lieber Stefan, vielen Dank für den lustigen Tip!

Im Ernst und für alle anderen: Nach der in Kürze in Kraft tretenden DGSVO ist, grob gesagt alles erlaubt was nicht verboten ist, es muss aber begründet werden. Das ist auch bei Session-Cookies nicht anders. So schwammiges Geschwurbel wie z.B. "um ein besonderes Benutzererlebnis bieten zu können" oder mehrseitige Formulare, Warenkörbe etc. ziehen nicht auf Websites die keine mehrseitige Formulare anbieten.
Ich bin auf der Suche nach einer stichhaltigen und rechtssicher zu vertretbaren Begründung für die Notwenigkeit des von Contao gesetzten und offenbar unverzichtbaren Sessio-Cookie. Nicht zuletzt, weil auch immer mehr Kunden fragen warum man den Contao-Cookie nicht abschalten kann. Andere CMS könnten das.

Und jetzt werde ich mal diese tolle neue Suchmaschine ausprobieren.

[reinweiss]

Dass es mit dem lustigen Hinweis sich schlau zu machen was es mit einem Session-Cookie auf sich hat, nicht getan ist, zeigt u.a. diese Diskussion:
https://github.com/contao/core-bundle/issues/1398

We are in contact with the guys of Spirit Legal to make Contao GDPR compatible and we will take the necessary steps as soon as we reliably know what those are.

Eine konkret nutzbare Antwort wird aber auch hier nicht gegeben.

[MacKP]

Doch wird hier gegeben: https://github.com/contao/core-bundl...ment-373404544

Viele Grüße

[reinweiss]

Doch wird hier gegeben: https://github.com/contao/core-bundl...ment-373404544

Viele Grüße

Das ist die rechtssicher vertretbare Begründung warum Contao einen Session-Cookie einsetzt (einsetzen muss)?

As discussed in Mumble on March 15th, this is not something we have to implement.

We are already working on not starting the session in the front end, which turns out to be more difficult than expected. We hope to have a working solution in Contao 4.6.

If you feel like you have to adjust the PHP session timeout, your php.ini would be the correct place to do so.

Regarding the GDPR it is very likely that the Contao session cookie is not a problem, because it only stores a hash and is not used to track visitors.

We are in contact with the guys of Spirit Legal to make Contao GDPR compatible and we will take the necessary steps as soon as we reliably know what those are.

Ich muss gestehen, dass mir gewisse Zweifel bleiben.

[mvo]

Niemand kann und wird dir eine rechtssichere Begründung für deine Applikation geben. Das ist deine Aufgabe.

Die Ausführung im referenzierten Ticket sind doch mehr als klar? Was genau erwartest du?

[MacKP]

Das ist die rechtssicher vertretbare Begründung warum Contao einen Session-Cookie einsetzt (einsetzen muss)?



Ich muss gestehen, dass mir gewisse Zweifel bleiben.

Rechtssicher wird dir keiner geben könnne. Geh zu einem/deinem Anwalt. Anders geht es nicht. Zumindest hier in Deutschland kann und darf kein anderer eine Rechtssichere Aussage treffen.

Viele Grüße

[reinweiss]

Rechtssicher wird dir keiner geben könnne. Geh zu einem/deinem Anwalt. Anders geht es nicht. Zumindest hier in Deutschland kann und darf kein anderer eine Rechtssichere Aussage treffen.

Viele Grüße

Wir sind schon ziemlich weit unten auf der Seite, ist aber kein Problem: Ich wiederhole noch mal die Eingangsfrage:
Welche technische Notwendigkeit kann ich für ein Session-Cookie anführen, wenn ich eine Contao-Website betreibe, die weder über ein Kontaktformular noch einen Login o. Ä. verfügt?

Das ist nämlich genau die Frage die mir der erwähnte RA als erstes stellen würde.

[Spooky]

Welche technische Notwendigkeit kann ich für ein Session-Cookie anführen, wenn ich eine Contao-Website betreibe, die weder über ein Kontaktformular noch einen Login o. Ä. verfügt?

Die einzige "technische Notwendigkeit" in diesem Fall ist, dass du Contao als Basis deiner Web Applikation benutzt - und Contao immer eine Session startet, auch wenn sie nicht benötigt wird. Aber das weißt du ja bereits: https://community.contao.org/de/show...l=1#post472005

[mlweb]

Ich bin auf der Suche nach einer stichhaltigen und rechtssicher zu vertretbaren Begründung für die Notwenigkeit des von Contao gesetzten und offenbar unverzichtbaren Sessio-Cookie.

Für Rechtssicherheit fragst Du am Besten den Rechtsanwalt Deiner Wahl.

[reinweiss]

Für Rechtssicherheit fragst Du am Besten den Rechtsanwalt Deiner Wahl.

O. K., ich verstehe. Ich werde also eine RA meiner Wahl fragen: "Warum setzt Contao gewohnheitsmäßig einen Cookie, obwohl der technisch nicht notwendig ist?"

[Spooky]

Nein, deinen Rechtsanwalt musst du fragen, ob das setzen des Session Cookie problematisch ist und du was du alles dafür festhalten musst.

[tab]

Und wenn mir der Rechtsanwalt sagt, das Cookie muss weg, weil nicht technisch notwendig bzw begründbar? Dann muss ich das CMS wechseln? . An der Stelle bin ich nämlich gerade. Ich hoffe mal das Abschalten per .htaccess oder php.ini funktioniert, sonst muss ich notfalls den Core ändern.

[reinweiss]

Und wenn mir der Rechtsanwalt sagt, das Cookie muss weg, weil nicht technisch notwendig bzw begründbar? Dann muss ich das CMS wechseln? . An der Stelle bin ich nämlich gerade. Ich hoffe mal das Abschalten per .htaccess oder php.ini funktioniert, sonst muss ich notfalls den Core ändern.

Ich habe einen ganz simplen Weg gewählt:
Contao 4.4:
/app/config/config.yml:

framework:
session:
use_cookies: false

Dann Contao-Manager aufrufen:
- Systemwartung
- Cache neu erstellen

Fazit: Contao schreibt keinen Session-Cookie mehr.


Wenn ich etwas editieren möchte:
app/config/config.yml:
framework:
session:
use_cookies: true

... und wieder retur.

Nicht gerade elegant die Prozedur.


Contao 3.5:
/system/initialize.php:

/**
* Start the session
*/
//@session_set_cookie_params(0, (TL_PATH ?: '/')); // see #5339
//@session_start();

[tab]

Naja, nicht unbedingt praktikabel, wenn man nicht der einzige Redakteur ist. Das gilt auch für das, was ich gerade eben bei Webgo mit der entsprechenden Contao 3.5.35 Installation probiert habe:
Eintrag in der .htaccess

Code:

php_value session.use_cookies 0

Damit funktioniert das Frontend und der Session-Cookie wird nicht angelegt, aber schon beim Backend-Login ist natürlich "Schicht im Schacht"
"Ungültiger Anfrage-Token" ...

Ok, eventuell kommt man deswegen dann mit dem Cookie als technische Notwendigkeit durch . Mein Hals passt jedenfalls gerade nicht mehr durch die Tür ...

[MacKP]

Und wenn mir der Rechtsanwalt sagt, das Cookie muss weg, weil nicht technisch notwendig bzw begründbar?

Warum machst du dir Gedanken, was passiert wenn der Anwalt so etwas sagen würde? Das bringt dich doch nicht weiter. Fakt ist: Der Cookie speichert keine Personenbezogenen Daten und wird auch nicht so ausgewertet, dass dieser mit Personenbezogenen Daten verknüpft wird.
Aus DSGVO-Sicht ist der also unerheblich.
Ansonsten kannst du natürlich gerne zu einem Anwalt gehen und den fragen und mich dann eines besseren belehren, falls der das Gegenteil behauptet. Solange du das aber nicht wirklich weißt nützt das ganze aufregen nichts.

Viele Grüße

[lucina]

Und wenn mir der Rechtsanwalt sagt, das Cookie muss weg, weil nicht technisch notwendig bzw begründbar? Dann muss ich das CMS wechseln? . An der Stelle bin ich nämlich gerade. Ich hoffe mal das Abschalten per .htaccess oder php.ini funktioniert, sonst muss ich notfalls den Core ändern.

Dann nimm doch eben Dreamweaver.

Danach fallen Dir sicher noch ein paar Argumente ein, mit denen Du bei genauerem Nachdenken dann sicher auch benennen kannst, weshalb Du vielleicht doch den Einsatz eines CMS, bei dem nicht nur Cookies sondern auch umfangreichere Einträge in Serverlogs und bei Providern anfallen, technisch rechtfertigen kannst.

Es gibt keinen einzigen Grund weshalb ein technisch bedingter Cookie nicht zulässig und sogar einwilligungsfrei sein sollte. Das klingt ja hier alles ein wenig wie bei diesen endbekloppten Bloggern, die laut 'Mimimi' rufen und postulieren, dass die GDPR ihre Seite mit geklauten Katzenbildern nimmt.

Meine Güte, wir wollten doch alle dynamische Webseiten, oder sehnen wir uns heimlich in die Zeit zurück, in der wir zweimal täglich unsere Mailbox angerufen haben um zu erfahren, was es alles draussen in der Welt so an Neuigkeiten gibt.

Sorry, aber lasst mal bitte die Kirche im Dorf.

[reinweiss]

Naja, nicht unbedingt praktikabel, wenn man nicht der einzige Redakteur ist. Das gilt auch für das, was ich gerade eben bei Webgo mit der entsprechenden Contao 3.5.35 Installation probiert habe:
Eintrag in der .htaccess

Code:

php_value session.use_cookies 0

Damit funktioniert das Frontend und der Session-Cookie wird nicht angelegt, aber schon beim Backend-Login ist natürlich "Schicht im Schacht"
"Ungültiger Anfrage-Token" ...

Ok, eventuell kommt man deswegen dann mit dem Cookie als technische Notwendigkeit durch . Mein Hals passt jedenfalls gerade nicht mehr durch die Tür ...

Enttäuscht bin ich auch darüber, dass das Thema Cookies seitens Contao so unterschätzt wird/wurde. Das technische sich zurückziehen auf "Session-Cookies seien kein Problem" verkennt völlig die Brisanz des Themas. Unabhängig von der DSGVO hat niemand gerne Cookies auf seinem Rechner und je weniger von dem Thema verstanden wird, desto größer das Unbehagen.

Ich erinnere mich noch gut an Gespräche zu dem gleichen Thema mit den Machern von ModX im Jahre 2008. Den texanischen ModXlern waren die europäischen Cookie-Bedenken natürlich völlig schleierhaft aber, dass die Macher eines der fortschrittlichsten CMS bis März 2018 brauchen um dann zu erklären "We are in contact with the guys of Spirit Legal to make Contao GDPR compatible ..." siehe oben, ist traurig.
Dass man hier im Forum zu ernsthaft geäusserten Bedenken, so lustige Vorschläge bekommt, doch erstmal nach Session-Cookies zu googlen ist auch nicht besser, aber noch eher verständlich.

[reinweiss]

Dann nimm doch eben Dreamweaver.

Der ist auch gut!

[tab]

Letztlich werden wir eine technische Lösung brauchen. Ich frage nochmal nach beim RA, wie das nach den mittlerweile neu vorliegenden Fakten (Ich kann Contao nicht sinnvoll betreiben, wenn ich die Verwendung von Session-Cookies generell unterbinde) aussieht.
Ich hoffe mal, dass man damit durchkommt. Ein "Opt-Out" kann ich ja jedenfalls nicht anbieten. Der Cookie ist bereits gesetzt, bevor der Besucher sich dagegen aussprechen kann. Bestenfalls kann ich ihn danach löschen. In der Praxis wird sich sicher kein normaler Besucher an so einem Cookie stören. Aber im Fall einer Abmahnung ist man in Zweifel auf den gesunden Menschenverstand des Richters angewiesen.

[Spooky]

Das technische sich zurückziehen auf "Session-Cookies seien kein Problem" verkennt völlig die Brisanz des Themas.

Was ist so "brisant" an Session Cookies? Hier wird sich vermutlich so schnell nichts ändern.

aber, dass die Macher eines der fortschrittlichsten CMS bis März 2018 brauchen um dann zu erklären "We are in contact with the guys of Spirit Legal to make Contao GDPR compatible ..." siehe oben, ist traurig.

Du kannst bei der Entwicklung gerne helfen oder anderweitig mitwirken. Aktuelle Anlaufstelle: https://github.com/contao/core-bundle/issues/1512

[hofff]

Die DSGVO verbietet per se keine Cookies, sondern reguliert das Erfassen, Speichern und Weiterverarbeiten von persönlichen Informationen (wie z.B. IP-Adresse, Name, E-Mail usw.). Das von Contao gesetzte PHP-Session-Cookie ist ein vollkommen anonymes Cookie, welches keine persönlichen Daten erhebt oder irgendwie speichert. Von daher muss das Cookie einfach nur erwähnt werden in der Datenschutzerklärung.

Contao benutzt das Session-Cookie für verschiedene Sachen und es war nun mal bisher absolut unproblematisch und wird es auch weiterhin sein. Ohne Session-Cookie funktioniert Contao einfach nicht korrekt. Da bisher aber immer das Session-Cookie benutzt wurde, kann man jetzt nicht einfach einen Schalter aktivieren oder 3 Zeilen Code ändern.

Wenn du also deine Website wirklich ohne das Session-Cookie betreiben möchtest, dann hast du nur die vorg. Möglichkeiten:

- use_cookies ständig anpassen
- ein anderes CMS benutzen (wobei sicherlich viele andere ebenfalls ein nicht abschaltbares Sessioncookie benutzen)
- Deine Website auf reines HTML/PHP umstellen

oder warten, bis Contao eine Version zur Verfügung stellen kann, die ohne Session-Cookie auskommt.

Wie bereits mehrfach erwähnt: Frage den Rechtsanwalt Deines Vertrauens, aber ohne Session-Cookie kommst du bei Contao nicht weit (zum aktuellen Zeitpunkt).

fg
nicky

[Samson1964]

Unabhängig von der DSGVO hat niemand gerne Cookies auf seinem Rechner ...

Bitte nicht von Dir auf alle anderen schließen. Mir sind die Dinger völlig egal.

[tab]

Mir sind sie auch weitgehend egal. Ich gehe sie allerdings regelmäßig durch und lösche diejenigen, die ich nicht brauche, insbesondere Tracking-Cookies.

[hofff]

Mir sind sie auch weitgehend egal. Ich gehe sie allerdings regelmäßig durch und lösche diejenigen, die ich nicht brauche, insbesondere Tracking-Cookies.

In unregelmäßigen Abständen einfach mal alle Browserdaten löschen, wirkt Wunder! ;-)

fg
nicky

[Samson1964]

In unregelmäßigen Abständen einfach mal alle Browserdaten löschen, wirkt Wunder! ;-)

fg
nicky

Empfehle ich im Moment jedem Besucher unserer Website, wenn die sich nicht mehr anmelden können (veraltete Cookies) oder das Layout zerschossen (nach CSS-Änderung) aussieht.

[jk1]

Und wenn mir der Rechtsanwalt sagt, das Cookie muss weg, weil nicht technisch notwendig bzw begründbar? Dann muss ich das CMS wechseln? . An der Stelle bin ich nämlich gerade. Ich hoffe mal das Abschalten per .htaccess oder php.ini funktioniert, sonst muss ich notfalls den Core ändern.

Das wird dir kein Anwalt sagen. Und wenn doch, hat er keine Ahnung & du musst dir einen anderen suchen. Es ist nunmal eine technische Notwendigkeit, da Contao ansonsten nicht funktioniert (du kannst dich nicht ins CMS einloggen). Du hast ein berechtigtes Interesse und es werden keine personenbezogenen Daten gespeichert. Überhaupt kein Problem. Wichtig ist nur, dass es rechtskonform in der Datenschutzerklärung erläutert wird.

[lucina]

Empfehle ich im Moment jedem Besucher unserer Website, wenn die sich nicht mehr anmelden können (veraltete Cookies) oder das Layout zerschossen (nach CSS-Änderung) aussieht.

Irgendetwas machst Du (oder Dein Server) dann falsch. Ist mir in 1012 Jahren noch nicht passiert ...

[tschero]

Das wird dir kein Anwalt sagen. Und wenn doch, hat er keine Ahnung & du musst dir einen anderen suchen. Es ist nunmal eine technische Notwendigkeit, da Contao ansonsten nicht funktioniert (du kannst dich nicht ins CMS einloggen). Du hast ein berechtigtes Interesse und es werden keine personenbezogenen Daten gespeichert. Überhaupt kein Problem. Wichtig ist nur, dass es rechtskonform in der Datenschutzerklärung erläutert wird.

Das sehe ich ganz genau so.
Hier wird man ggf. auf den hoffentlich vorhandenen, gesunden Menschenverstand bei den Richtern vertrauen können.

[fusch]

Liebe alle,

auf der Seite des Instituts für Medienrecht der Uni Münster gibt es eine sehr ausführliche Vorlage einer Datenschutzerklärung gemäß DSGVO.
Dort sind alle Passagen kommentiert und erklärt. Auch das mit den technisch notwendigen Cookies (die erlaubt sind, nur erklärt werden müssen.)

https://www.uni-muenster.de/Jura.itm...hutzerklaerung

Diese Vorlage kommt immerhin von Juristen, auch wenn diese keine Haftung übernehmen. Aber sie haben sich gründlich mit dem Thema befasst.

Gruß
Hella

[Samson1964]

Irgendetwas machst Du (oder Dein Server) dann falsch. Ist mir in 1012 Jahren noch nicht passiert ...

27.12.2017 Relaunch: Contao 3.5 -> 4.4, PHP 5.6 -> 7.1, neues Layout mit ProTheme. Danach kam ich erstmal auch nicht mehr rein. Die Cookies von vor dem 27.12. waren noch im Browser gespeichert. Passiert mir bei jedem größeren Update. Man loggt sich z.B. auf der Website im FE oder BE ein, wird aber ohne Fehlermeldung gleich wieder rausgeworfen. Seit dem 27.12. habe ich pro Tag 1-3 Anfragen wegen solcher Probleme - bei über 21.000 Mitgliederkonten.

[Spooky]

Ja, dieses Problem kann durchaus auftreten.

[Sascha]

Wahnsinn schlappe 27 Seiten hat die Musterdatenschutzerklärung der Uni-Münster. Bei anderen Anwälten gibts nur die Hälfte;-)

[reinweiss]

Wahnsinn schlappe 27 Seiten hat die Musterdatenschutzerklärung der Uni-Münster. Bei anderen Anwälten gibts nur die Hälfte;-)

... wenn man die Erklärungen und Optionen mitzählen würde. Fertig bleiben 6-7 Seiten übrig.

[tab]

Das wird dir kein Anwalt sagen. Und wenn doch, hat er keine Ahnung & du musst dir einen anderen suchen. Es ist nunmal eine technische Notwendigkeit, da Contao ansonsten nicht funktioniert (du kannst dich nicht ins CMS einloggen). Du hast ein berechtigtes Interesse und es werden keine personenbezogenen Daten gespeichert. Überhaupt kein Problem. Wichtig ist nur, dass es rechtskonform in der Datenschutzerklärung erläutert wird.

Ich werde ihm das sagen und mir ggf einen anderen Anwalt suchen - und einen anderen Kunden gleich dazu. Mein Anwalt ist das nicht. Wenn es den Anwalt dann immer noch stört, werde ich ihm eine technische Notwendigkeit anderer Art liefern. Ich muss beim Kunden eine Erstinformation anzeigen lassen, bevor der Website-Besucher auf eine Seite mit den Links zu diversen Tools kommt. Da gibt es zwar was mit Hilfe von Javascript, aber man kann es sicher auch über die Session lösen, womit dann das Session-Cookie einen Sinn erhält (im Frontend). Mit Javascript wäre ich sowieso skeptisch. So eine Erstinformation muss ggf ebenso zwingend angezeigt werden wie ein Impressum. Und ein Impressum, zu dessen Aufruf und Anzeige zwingend Javascript benötigt wird, ist nicht rechtssicher. Dazu gibt es Urteile. Kann mir nicht vorstellen, dass das für eine Erstinformation nicht gelten soll. Aber auch das wird ja wohl der Anwalt wissen. Die vorhandene Javascript-Lösung ist auch schon wieder DSGVO-relevant, weil das Script und auch der Text selbst von einem fremden Server geladen wird. Da müsste also eigentlich vor der Erstinformation nochmal ein Einverständnis eingeholt werden und mit dem Anbieter ein Auftragsdatenverarbeitungsvertrag geschlossen werden.

Falls der Anwalt dann immer noch zickt, suche ich mir halt wirklich einen anderen Kunden. Oder auch den selben Kunden, aber mit einem anderen Rechtsanwalt. Das darf dann der Kunde entscheiden.

[WebRoxx]

Man sieht auch hier wie die DSGVO Auslegungssache ist. 10 Leute, 10 Meinungen, 10 Interpretationen.

Ich bin der Meinung Session-Cookies stellen kein Problem da, warum auch da sie wie schon gesagt wurden nicht personengebunden sind, zumindest kenne ich da kein Beispiel. bei Wordpress ist mir zum Beispiel aufgefallen das einige Session-cookies setzen und andere nicht, liegt wohl an gewissen Plugins also selbst da ist man ne sicher. Aber mir sind die ganzen Cookies etc. echt egal.

Für mich persönlich ist eher viel wichtiger zu wissen und auch nicht eindeutig rauszulesen ab wann ist eine Seite privat und wann nicht. Ich betreibe Fanseiten über Bands (unter anderem auch mit Foren) erziele damit aber keine Gewinnabsicht noch sind Werbebanner oder Statistik-Tools drin.

Aber das war jetzt Off-topic, sorry.

[Ionesco]

Ich arbeite gerade das oben verlinkte Muster der Uni Münster durch. Das hilft schon sehr und führt einen zu wichtigen Klärungspunkten. Auch die Diskussionen hier im Forum bringen mich wirklich weiter. Und so sehr ich ja etwas stinkig bin auf die Politik, die leider immer wieder vergisst, auch das Abmahnwesen sinnvoll und fair zu überarbeiten, und somit einer Schmuddelbranche immer wieder die Existenz absichert, so sehr muss ich auch zugeben, dass eine Sensibilisierung für den Umgang mit Daten anderer dringend erforderlich ist. Und hier würde ich auch nicht zwischen den großen Konzernen und meinem lieben Nachbarn unterscheiden, der meine Kontaktdaten gerne mal eben zu Datenkonzernen wie Facebook überträgt oder Fotos von mir in die Cloud seines (!) Vertrauens. Wenn das, was in den letzten Jahren in Sachen Datenschutz bzw. Datenmissbrauch abgeht, so fortgesetzt wird, ... dann Halleluja. Richtig ärgerlich ist, dass sich Konzerne mit ganzen Abteilungen und Spezialisten darauf stürzen können, während man als Privatperson oder Kleingewerbetreibender ziemlich allein dasteht. Aber wie will man das vermeiden. Datenschutz geht uns letztlich alle an.

Ich möchte eine Passage aus dem o.g. Muster kurz ansprechen: Unter Widerruf steht recht weit unten "Es folgt eine Beschreibung, auf welche Weise der Widerruf der Einwilligung und der Widerspruch der Speicherung ermöglicht wird." Das kann das Muster natürlich nicht liefern. Aber das ist so ein kleines heimliches "Highlight": Wie nehme ich so einen Widerruf sinnvoll entgegen? E-Mail dürfte wegen fehlender Absicherungsmöglichkeiten hinsichtlich Authentizität und der inneren Unlogik wegfallen. Schreibt mir einer einen Brief, kann ich ihn aber auch nicht identifizieren. Im Grunde müsste ich die Kopie des Perso anfragen. Aber eigentlich darf man das Ding nicht fotokopieren. Und wer schickt mir schon so etwas? Und was ist, wenn mir der Schreiberling irgendwann wieder eine E-Mail schreibt. Ist das der Beginn einer neuen Episode oder der Anlass zur sofortigen Löschung? Will nur sagen: In der Praxis kann das ganz schön haarig werden. Vielleicht nicht für die Großen. Die haben recht bald super Abläufe definiert und durch Anwälte geprüft. Und die Kriegskasse ist auch gut gefüllt. Ich denke an unsereins. Aber ich bin zuversichtlich, dass mir noch etwas einfälllt.

Jedenfalls mal ein dickes Danke hier wegen des hilfreichen Austauschs. Nicht als Ersatz für den Anwalt, sondern zwecks Erweiterung des Denkens.

[jk1]

@tab: Wenn du die Dinger wirklich loswerden willst, könnte man doch bestimmt auch eine Contao-Hook nehmen (ein recht späte), die das Cookie wieder löscht. Und zwar nur im FE. Geht auch per JS, aber mit PHP wäre es schon besser. Gibt dann wahrscheinlich nur bei der Frontend-Vorschau Probleme. Oder wenn du zwischen BE und FE hin und her wechselst. Oder wenn du einen FE-Editor/-Helper nutzt

Hier noch ein interessanter Artikel: https://www.golem.de/news/dsgvo-merk...05-134335.html
Kann sie zwar nicht überall machen, aber zumindest in den Öffnungsklauseln der DSGVO. Am 15. Mai gibt es ggf. auch nochmal neues - da gibt es eine Sitzung des EU-Parlaments - inkl. Live-Stream.