Eure Einschätzung zu einem Consent Manager, der grundsätzlich sämtliche JS blockt.

**pipkin** · 16.07.2021, 15:28

Hallo zusammen,

ich habe es gerade mit einem Cookie Consent Manager zu tun, der alle Scripte in der Website blockt. Also nicht nur die, die Cookies setzen wollen, sondern auch sämtliche in Contao eingebundenen Scripte wie die jQuery Library (Lokal wie CDN), lokale colorbox.js, eigene JS etc. Ich habe leider keinen direkten Draht zum Anbieter, da quasi ein Reseller dazwischen sitzt. Dieser hat Zugriff zur Konfiguration, den habe ich ebenfalls nicht.

Auf eine Supportanfrage kam folgende Antwort:

----------------

"Wir haben vor einiger Zeit ein Feature für den Consent Manager veröffentlicht, mit dem extern oder intern geladene JS-Dateien, die für die Darstellung der Website notwendig sind, markiert werden können. Sprich: jQuery, Slider-Plugins, das Bootstrap Bundles etc.
Bitte versuchen Sie, alle JS-Dateien, die für die Darstellung der Website notwendig sind, mit ccm-load-before-consent="true" zu versehen.

Beispiele:

<script ccm-load-before-consent="true" src="https://code.jquery.com/jquery-1.12.4.min.js"></script>
<script ccm-load-before-consent="true" src="assets/jquery-ui/js/jquery-ui.min.js"></script>
<script ccm-load-before-consent="true" src="assets/colorbox/js/colorbox.min.js"></script>

...

Noch eine kurze Information:
Bei anderen Consent Managern die mit einem Tag-System arbeiten funktioniert das durch explizites Blocken, was einen großen manuellen Aufwand mit sich zieht (nicht zu vergessen, dass bei jeder Anpassung der Website up to date gehalten werden muss).
Da bietet die automatisierte Variante einen großen Vorteil.

Die Möglichkeit “explizites blocken” funktioniert ebenfalls mit unserem Consent Manager, indem das Script Attribut type="javascript/blocked" gesetzt wird. Dann müssen alle zu blockierenden Scripte markiert werden, jedoch ist damit auch der Automatismus dahin."

----------------

Ich habe nun ein paar große Fragezeichen auf der Stirn.

Die Scripte manuell zu entblocken erscheint mir bei einem CMS, das dynamisch Scriptaufrufe für alles Mögliche in den Quellcode baut, regelrecht Mumpitz zu sein. Oder liege ich da falsch?
Ich müsste ja an all die einzelnen Stellen in den Codes des Core oder der Erweiterungen gehen, also dahin, wo das Code-Schnipselchen gebaut wird, und etwas einfügen. Und das ist dann beim Update wieder weg.

Und ist das nicht eine absolut unzeitgemäße Vorgehensweise?

Sollte der genannte Automatismus nicht darin bestehen, dass ausgelesen wird, welches Script Cookies setzt, um dann diese einzustufen in Kategorien (braucht Zustimmung/ braucht keine), und nur die zustimmungspflichtigen zu blocken?

Liege ich total falsch damit?

Ich freue mich auf Einschätzungen.

**Spooky** · 16.07.2021, 15:36

Zitat von pipkin

Sollte der genannte Automatismus nicht darin bestehen, dass ausgelesen wird, welches Script Cookies setzt, um dann diese einzustufen in Kategorien (braucht Zustimmung/ braucht keine), und nur die zustimmungspflichtigen zu blocken?

Das kann man nicht automatisieren. Und nicht nur externe Ressourcen können Cookies setzen, auch die Website selbst kann das.

**pipkin** · 16.07.2021, 15:42

Das kann man nicht automatisieren. Und nicht nur externe Ressourcen können Cookies setzen, auch die Website selbst kann das.

Ja, ok. Aber hier werden konkret Scripte unterbunden, die keine Cookies setzen.

Zudem:
Es klingt ja so, als würden diese ausgeführt werden, wenn man seine Einwilligung gibt. Damit könnte ich ja noch leben. Das ist aber nicht der Fall.
Egal ob ich nur "notwendige" akzeptiere oder "alle akzeptiere" - jQuery wird einfach nicht geladen.

Oder anders gesagt: die geblockten Scripte von Contao (jQuery etc.) werden überhaupt nicht im Consent Manager aufgeführt.

Wenn der Manager die Script-Ausführung managt und erstmal alles blockt, müsste der Websitebesucher doch auch durch Zustimmung entblocken können...?

**Spooky** · 16.07.2021, 15:45

Zitat von pipkin

Ja, ok. Aber hier werden konkret Scripte unterbunden, die keine Cookies setzen.

Das Script weiß das halt nicht

Zitat von pipkin

Zudem:
Es klingt ja so, als würden diese ausgeführt werden, wenn man seine Einwilligung gibt. Damit könnte ich ja noch leben. Das ist aber nicht der Fall.
Egal ob ich nur "notwendige" akzeptiere oder "alle akzeptiere" - jQuery wird einfach nicht geladen.

Vermutlich wird jQuery schon geladen - nur halt dann zu spät.

Ganz allgemein: von diesen fertigen Lösungen halte ich nichts, ich kann mir nicht vorstellen dass diese Lösungen überall einerseits technisch korrekt und andererseits auch rechtlich korrekt funktionieren.

**pipkin** · 16.07.2021, 15:52

Hm.

Vielleicht bin ich da stur, aber das will mir nicht ganz in den Kopf.

Der Consent Manager blockiert also erstmal alles, ok. Gehe ich mit.

Ich bekomme als Benutzer dann die Auswahl. Dass darin die Contao-Scripte gar nicht aufgeführt werden, lasse ich jetzt mal unter den Tisch fallen. Ich akzeptiere meine Auswahl. Ich akzeptiere meinetwegen alles.

Aber kein einziges Javascript wird geladen. Egal, wo es in der Seite sitzt. Auch kein dusseliges Hello-World-Script.

Ist so ein Manager nicht dazu da, um geblocktes auch wieder entblocken zu können? Oder worauf bezieht sich das Wort "managen"?

Kann es wirklich sein, dass ich MANUELL diese Scripte erlauben muss über das Hinzufügen von Attributen im Script?
Ist das Usus?

**Spooky** · 16.07.2021, 15:59

Zitat von pipkin

Kann es wirklich sein, dass ich MANUELL diese Scripte erlauben muss über das Hinzufügen von Attributen im Script?
Ist das Usus?

Ja, das ist normal. Bei eigenen Lösungen musst du ja auch entsprechend handeln.

**pipkin** · 16.07.2021, 16:03

Ja, das ist normal. Bei eigenen Lösungen musst du ja auch entsprechend handeln.

Wow....

D.h. das Script für Google Analytics wird bequem über "akzeptieren" ausgeführt, jedes Contao-Script muss aber erst umgeschrieben werden?

Ok, wie bekomme ich dann in

updatesicher das so zusammengebaut?

**pipkin** · 16.07.2021, 17:03

Ich hab jetzt in der fe-page das jQuery-Script manuell eingesetzt (dann wird es eben zwei Mal geladen) und an alle anderen Stellen, wo ich manuell ran komme, diesen Zusatz zum Umgehen des Consent Managers dazu gefügt.

Bei den Stellen, die erst generiert werden, bin ich etwas ratlos. Da blickt dann irgendwann niemand mehr durch, der eines Tages mal ein Update machen soll.
(die ganzen Scripte für colorbox, mediaplayer etc.).

Ich komm noch nicht darüber weg, dass ich bei den Contao Scripten den Consent Manager "umgehen" MUSS.
Fühlt sich alles falsch an, was ich hier mache. Das habe ich so in noch keinem Consent Manager gehabt. Da klickt man auf "notwendige akzeptieren" und gut ist.