Oveleon/ Cookiebar - Wo finde ich das Einwilligungsprotokoll?

**pipkin** · 07.02.2024, 17:53

Hallo zusammen,
habe die Cookiebar in verschiedenen Installationen laufen (Contao 4.9, Contao 4.13) - und muss nun das erste Mal tatsächlich eine gegebene Zustimmung heraussuchen. Auf der Website steht

Dabei werden die erforderlichen Angaben im Einwilligungsprotokoll aufgezeichnet, welche jederzeit abgerufen und bei Bedarf als Einwilligungsnachweis vorgelegt werden können.

... Aber wo finde ich das Einwilligungsprotokoll überhaupt?
Ich habe direkt in der Datenbank geschaut, aber keine Tabellen zur Cookiebar gefunden... oder wird das auf Textbasis gespeichert?

Und: wie kann ich dann einen Protokolleintrag einem Besucher zuordnen?

Vielen Dank!

Edit:
Habe inzwischen diese Diskussion nochmal genauer gelesen:
https://community.contao.org/de/show...-nicht-geloggt
Ich hielt den darin beschriebenen Status für veraltet, bin nun aber total unsicher, ob das noch immer gilt: dass man das Protokollieren erst irgendwie aktivieren muss?? Warum?

Ist das nicht der eigentliche Sinn und Zweck eines Consent Managers, die Zustimmungen zu steuern und ggf. belegen zu können? Oder wo ist mein Denkfehler...

Es steht ja in der DSGVO, dass man als Websitebetreiber die Einwilligung (in die Verarbeitung ihrer personenbezogenen Daten) nachweisen muss (Art 7, Absatz 1).

Da in der verlinkten Diskussion die Frage aufkam, wie man die Zuordnung hinbekommen soll - das hab ich mich halt auch gefragt - wobei ich dachte, das wird ähnlich laufen wie bei anderen Anbietern. Im bisher von mir verwendeten "CCM19" hat jeder Besucher eine Kennung, eine ID, die er im Consent-Manager-Fenster ablesen kann. Für die Zuordnung gibt er diese Kennung durch, und nach dieser ID kann man im Archiv der User-Daten suchen. Wie sich diese ID bildet - keine Ahnung.

Wobei ich natürlich auch denke, dass der Gesetzgeber über seine eigene Unlogik in Sachen "Datensparsamkeit" stolpern müsste, wenn er diese Protokolle verlangt..... Aber ich will ehrlich gesagt die DSGVO nicht hinterfragen, davon wird man nur wirr....

**Kopfnuss** · 08.02.2024, 09:11

Hey,

unter dem Eintrag "Cookiebar" im Contao Backend findest du im Arbeitsbereich oben in der Menüleiste den Link "Log". Schau dir das mal an, ob es dir weiter hilft.

Gruß
Marco

**Spooky** · 08.02.2024, 09:49

Zitat von Kopfnuss

Hey,

unter dem Eintrag "Cookiebar" im Contao Backend findest du im Arbeitsbereich oben in der Menüleiste den Link "Log". Schau dir das mal an, ob es dir weiter hilft.

Gruß
Marco

Wie schon von pipkin erwähnt muss es aber vorher aktiviert werden.

**Kopfnuss** · 08.02.2024, 09:57

Zitat von Spooky

Wie schon von pipkin erwähnt muss es aber vorher aktiviert werden.

Seit wann muss es denn aktiviert werden? Habe ich nie gemacht und das Log füllt sich.

https://github.com/oveleon/contao-co...docs/BASICS.md
Habe nie etwas zum config file für die Oveleon/Cookiebar hinzugefügt.

**Spooky** · 08.02.2024, 09:58

Zitat von pipkin

Da in der verlinkten Diskussion die Frage aufkam, wie man die Zuordnung hinbekommen soll - das hab ich mich halt auch gefragt - wobei ich dachte, das wird ähnlich laufen wie bei anderen Anbietern. Im bisher von mir verwendeten "CCM19" hat jeder Besucher eine Kennung, eine ID, die er im Consent-Manager-Fenster ablesen kann. Für die Zuordnung gibt er diese Kennung durch, und nach dieser ID kann man im Archiv der User-Daten suchen. Wie sich diese ID bildet - keine Ahnung.

Das müsstest du als Feature Request oder PR einbringen bzw. finanzieren. Aktuell macht das Cookie-Log vermutlich wenig Sinn - entweder weil die IP pseudonymisiert ist (falls nicht anders eingestellt) oder weil die IP alleine sicherlich niemals ausreichen kann.

**Spooky** · 08.02.2024, 09:59

Zitat von Kopfnuss

Seit wann muss es denn aktiviert werden?

Seit Version 1.13.0.

Zitat von Kopfnuss

Habe ich nie gemacht und das Log füllt sich.

Das Log wird dir vermutlich nichts bringen …

**Kopfnuss** · 08.02.2024, 10:07

Zitat von Spooky

Seit Version 1.13.0.

Das Log wird dir vermutlich nichts bringen …

Bedeutet das bei einem Update der Erweiterung das Log nicht weiter gefüllt wird?
Also muss ich bei all meinen Kunden jetzt konfigurieren, dass ich den Logeintrag haben will? Das ging vorher ja automatisch.

**Spooky** · 08.02.2024, 10:08

Wie gesagt wird dir das Log nichts bringen.

**Kopfnuss** · 08.02.2024, 10:32

Hmm.. ja, erkenne das Problem.
Trotzdem würde ich wegen Art. 7 Abs. 1 DSGVO weiter die Einwilligung protokollieren, auch wenn die Zuordnung zum User nicht gewährleistet ist. Einfach aus Sicherheitsgründen um Nachzuweisen das etwas gemacht wird. Die Einwilligung kann der User ja selbst wieder Rückgang machen ^^

**Spooky** · 08.02.2024, 10:41

Dann protokollierst du ggf. unnötig die IP eines Besuchers und begehst damit evt. DSGVO Verstöße

. Aber dazu musst du dich an entsprechende Anwälte wenden.

**pipkin** · 08.02.2024, 14:35

Hui, heikle Debatte...

unter dem Eintrag "Cookiebar" im Contao Backend findest du im Arbeitsbereich oben in der Menüleiste den Link "Log". Schau dir das mal an, ob es dir weiter hilft.

Ja, da hab ich in einer Installation die Logs auch einmal gesehen, dort erschien aber nichts. Inzwischen wissen wir ja auch, wieso.

Ich habe mir gerade alle Installationen angeschaut. Dort, wo noch Version 1.12 lief, war auch ein Protokoll zu finden.

Ich habe überall auf die neueste Version (derzeit 1.13.2) geupdatet. Dort, wo vorher 1.12 lief, stoppte damit die Protokollierung. Entsprechend habe ich überall den notwendigen Eintrag in der config.yml gemacht, und nun laufen wieder überall die Protokolle.

So sehr ich das auch nachvollziehen kann, dass ein Log nur eingeschränkt Sinn ergibt, finde ich die Situation ziemlich unglücklich. Wir wissen wohl alle, dass die Vorschriften aus der DSGVO widersinnig sind. Gerade weil man nicht ohne Datenspeicherung einen entsprechenden Beleg liefern kann, aber das WIE war Gesetzgebern schon immer nebensächlich.

Außerdem: der Website-Betreiber hat sich mal für die Nutzung der Cookiebar entschieden, so wie sie beschrieben wird:

Rechtliches & DSGVO: Die Cookiebar wurde mit dem Ziel entwickelt auch zukünftig auf die Gesetze und Beschlüsse zur Datenschutzverordnung reagieren zu können. Alle Services externer Drittanbieter werden so lange blockiert bis der Besucher seine Einwilligung dazu abgibt und bietet darüber hinaus die Möglichkeit diese Einstellungen jederzeit wieder anzupassen. Dabei werden die erforderlichen Angaben im Einwilligungsprotokoll aufgezeichnet, welche jederzeit abgerufen und bei Bedarf als Einwilligungsnachweis vorgelegt werden können.

Das ist es, was das Gesetz verlangt und wozu der Betreiber "ja" sagt. Er geht also davon aus, dass es ein Protokoll gibt und entscheidet sich für einen Consent Manager, der nach seiner Einschätzung (und der seiner juristischen Berater, sofern vorhanden...) den Anforderungen gerecht wird. Hätte die Cookiebar die Protokollierung und den Einwilligungsnachweis nicht versprochen, wäre ihm wahrscheinlich (von seinen juristischen Beratern, sofern vorhanden, oder dem Datenschutzbeauftragten....) abgeraten worden.

Das müsstest du als Feature Request oder PR einbringen bzw. finanzieren. Aktuell macht das Cookie-Log vermutlich wenig Sinn - entweder weil die IP pseudonymisiert ist (falls nicht anders eingestellt) oder weil die IP alleine sicherlich niemals ausreichen kann.

Dass das Log wenig Sinn ergibt, mag sein - aber dass die Protokollierung erst als Feature Request eingebracht werden müsste... wie soll ich das ahnen, wenn in der Beschreibung steht, dass dieses Feature enthalten ist? Denn dort steht "welche jederzeit abgerufen und bei Bedarf als Einwilligungsnachweis vorgelegt werden können". Also gehe ich davon aus, dass das Protokoll als Nachweis taugt. Zumindest könnte man im Ernstfall argumentieren, dass man es nunmal auch nicht besser machen konnte aufgrund der gesetzlichen Bestimmungen und eben auch Widersprüchlichkeiten.

Nun gibt es ein Update, das den Default ändert und die Protokollierung deaktiviert. Damit rechnet man nicht wirklich, würde ich sagen, zumal die Funktionsbeschreibung sich ja auch nicht geändert hat. Und das ist der Punkt, den ich ziemlich unglücklich finde: denn dass es gar kein Protokoll mehr gibt, ist im Zweifel (oder im Ernstfall in einer Debatte mit Juristen) schwerer zu verargumentieren als dass das Protokoll kein zwingendes Beweismittel ist.

Man hat einen Timestamp im Protokoll und eine anonymisierte IP-Adresse. Also man steht im Ernstfall nicht total nackt da.

Ich sehe es so: der Betreiber entscheidet sich für einen Consent Manager, um Einwilligungen einzuholen. Eine Einwilligung, die er nicht schriftlich hat, existiert praktisch nicht. Wenn es mit der DSGVO vereinbar ist, das Protokoll mit anonymisierten IP-Adressen oder IDs sonstiger Art anzufertigen, dann muss das Feature in der Basis-Installation enthalten sein - denn genau so ist die Funktionalität auch beschrieben.

Zusammengefasst:
Wenn die Cookiebar so beschrieben wird, dass ein "Einwilligungsnachweis" vorhanden ist, der auch mit aktiviertem Protokoll gar nicht machbar ist, finde ich das schon sehr schwierig, aber für ein lösbares Kommunikationsproblem. Wenn aber der Default durch ein Update geändert wird, so dass selbst dieses (zurecht!!!) unzureichende Protokoll gar nicht mehr geführt wird, verunsichert mich das doppelt. Als Anwenderin hätte ich mir nach dem Update ein dickes Ausrufezeichen bei "Cookiebar" gewünscht oder sonstigen Hinweis.

**Spooky** · 08.02.2024, 14:39

Zitat von pipkin

aber dass die Protokollierung erst als Feature Request eingebracht werden müsste...

Die Protokollierung gibt es schon - ich meinte das was du geschrieben hast (Unique ID).

**pipkin** · 08.02.2024, 14:56

Die Protokollierung gibt es schon - ich meinte das was du geschrieben hast (Unique ID).

Achso, ja ok...
Allerdings meinte ich in dem Zusammenhang auch den Begriff "Einwilligungsnachweis", denn den gibt es ja offiziell ebenfalls.

**zoglo** · 08.02.2024, 17:39

Zitat von pipkin

Außerdem: der Website-Betreiber hat sich mal für die Nutzung der Cookiebar entschieden, so wie sie beschrieben wird:

Ah, vielen Dank, habe ich soeben abgeändert. Die Webseite leidet immer sehr, da viele Leute lieber Features und anderes wollen, da aktualisiert man das nicht so oft.
Das Geschreie war damals sehr groß, warum hier protokolliert wurde - Anwälte haben gesagt, dass.....

Immer schwierig, wenn man etwas umsonst anbietet, um es der Community bereitzustellen, und hierbei dann keine Rückmeldungen oder Feedback kommen <3, man aber auf Kosten sitzen bleiben darf

.

Würde hier immer auf die Lizenz achten, welche auch im GitHub Repo steht - Die Cookiebar wird ja nicht verkauft, sondern ist (FREE) Open Source Software.
Und jede andere Agentur, welche immer sagen würde, dass Oveleon die Cookies speichert

- Nein, tun wir nicht.

Rechtliches

https://github.com/oveleon/contao-co...file#%EF%B8%8F

HTML-Code:

We cannot guarantee complete legal security. Use this extension at your own risk or contact a lawyer if you are not sure about the configuration.
Please understand that we cannot answer any legal questions. For questions of technical nature, feel free to contact us.

Lizenz

https://github.com/oveleon/contao-co...-3.0-1-ov-file

HTML-Code:

 15. Disclaimer of Warranty.
... AND/OR OTHER PARTIES PROVIDE THE PROGRAM "AS IS" WITHOUT WARRANTY
OF ANY KIND ...

@pipkin
Falls du einen Anwalt zur Seite hast, gerne alles mal erwähnen und uns zukommen lassen, sodass wir hier mehr wissen

Kostenübernahme aber durch euch/dich - das ist (Free) Open source <3

**pipkin** · 08.02.2024, 19:36

Das Geschreie war damals sehr groß, warum hier protokolliert wurde - Anwälte haben gesagt, dass.....

Geschrei ist ja nie wirklich hilfreich :-)
Aber ich verstehe auch nicht ganz, warum überhaupt Geschrei... oder waren die IP-Adressen damals noch nicht anonymisiert? Vom Geschrei habe ich jedenfalls nichts mitbekommen.

Immer schwierig, wenn man etwas umsonst anbietet, um es der Community bereitzustellen, und hierbei dann keine Rückmeldungen oder Feedback kommen <3, man aber auf Kosten sitzen bleiben darf . Würde hier immer auf die Lizenz achten, welche auch im GitHub Repo steht - Die Cookiebar wird ja nicht verkauft, sondern ist (FREE) Open Source Software.

Ich hoffe, es fühlt sich niemand persönlich angegriffen! Ich verstehe den Frust, gerade wenn es schon "Geschrei" gab..

Ihr habt ein gutes Stück Software geschaffen - warum nehmt Ihr nicht eine kleine Lizenz?
Und wenn es nur einer Zehner pro Domain pro Jahr ist... Inhaltlich ist der Betreiber eh verantwortlich. Also die gesamte Konfiguration.

Allerdings ist "kostenlos" leider nicht das Kriterium bei sowas. Wenn "war ja auch kostenlos" das Argument ist, müsste ich den Website-Betreibern jedes Mal sagen "Sie können dies und jenes aber nicht benutzen, weil es ist ja kostenlos". Das kann auch nicht die Haltung sein - das würde ja bedeuten, dass Open Source weniger professionell ist, einen weniger hohen Anspruch hat und weniger gut ist als nicht kostenlose Software. Und das stimmt ja nicht.

Es ist im Fall eines Rechtsstreits auch irrelevant - wenn ich jemandem eine Website "schenke" und nicht freie Bilder darin verwende, wird der Betreiber mich trotzdem in Regress nehmen.

Contao will als Software mit sämtlichen Erweiterungen ja ernst genommen werden, auch wenn (bis auf Ausnahmen) vieles kostenfrei angeboten wird. Von vornherein zu sagen "naja, aber es ist free und Open Source, deswegen kann man das alles nicht professionell verwenden" passt meiner Ansicht nach nicht zur Haltung vieler Entwickler.

Eure Cookiebar wurde (laut Counter auf Eurer Website) 62.820 Mal heruntergeladen. Ich bin sicher, sie ist auf vielen größeren, professionellen Websites im Einsatz, und, nochmal, ich halte sie für eine sehr schöne und gut wartebare Lösung. Ich finde, Du machst sie kleiner, als sie ist, wenn Du auf der Website die Beschreibung reduzierst und als "es ist ja bloß kostenlos" degradierst. Mein Rat wäre, auf der Website etwas präziser zu beschreiben, wie die Lösung arbeitet und warum (Stichworte Protokoll optional, keine Speicherung von IP-Adressen, etc.). Denn nach wie vor ist doch der Anspruch "einen DSGVO-konformen Webauftritt" zu ermöglichen, wie es oben im Introtext der Seite steht. Und den jetzt - bei allem Frust - nicht auch noch runternehmen bitte.

@pipkin
Falls du einen Anwalt zur Seite hast, gerne alles mal erwähnen und uns zukommen lassen, sodass wir hier mehr wissen
Kostenübernahme aber durch euch/dich - das ist (Free) Open source <3

Das klingt jetzt ehrlich gesagt etwas agressiv... und ich habe das Gefühl, ich kriege gerade ganz viel Frust ab, weil es früher schon viel Geschrei gab.

Und jede andere Agentur, welche immer sagen würde, dass Oveleon die Cookies speichert - Nein, tun wir nicht.

Mit dem Satz kann ich leider absolut nichts anfangen.

**Spooky** · 08.02.2024, 19:41

Aufwand muss finanziert werden. Mit frei verfügbarer Software hast du keine Garantien oder Ansprüche. Wenn du spezifische Features brauchst, dann kannst du diese ja programmieren oder programmieren lassen.

Moderation: Ich denke hier in diesem Thread wurde alles gesagt.