Danke für die Antwort.
Eine Frage noch: Sehe ich das richtig dass Contao (3.5.x) das Session Cookie per default immer setzt und man dieses auch nicht deaktivieren kann (außer auf Clientseite natürlich, aber das meine ich nicht)?
Danke für die Antwort.
Eine Frage noch: Sehe ich das richtig dass Contao (3.5.x) das Session Cookie per default immer setzt und man dieses auch nicht deaktivieren kann (außer auf Clientseite natürlich, aber das meine ich nicht)?
Alle Contao Versionen machen das (bis jetzt), ja.
Ein Session-Cookie ist auch kein Problem. Es beinhaltet lediglich einen Hash. Es geht bei der Verordnung um Tracking Cookies u.a.
Das Thema Cookie-Banner war in Deutschland nie rechtlich verbindlich und der Großteil der Cookie-Banner ist auch rechtlich sinnfrei, da es nur eine Info ist. Im Normalfall müsste man eine Seite ohne Cookies haben, dann per Banner über jede Art Cookie informieren und dann erst Cookies setzen. Sollte der Benutzer irgendwelche Cookies ablehnen, darfst du auch keine setzen.
Aber wie gesagt: es geht seitens der GDPR nicht pauschal darum, Cookies zu verbieten ...
Es geht um Datensparsamkeit und darum, nur benötigte Daten zu erfassen. Das Erfassen einer IP-Adresse bei Abgabe eines Kommentars oder Versand eines Formulars ist für mind. 30 Tage interessant, um ggfs. meiner Nachweispflicht nachzukommen. Danach werden die Infos nicht mehr benötigt, da auch das Telekommunikationsunternehmen dann auch keine Infos mehr hat.
Contao ist schon sehr gut gewappnet im Hinblick auf GDPR und wir arbeiten noch an ein paar Sachen, aber meist liegt das Problem nicht an Contao, sondern eher an anderen Sachen! ;-)
fg
nicky
Gesendet von iPhone mit Tapatalk Pro
Hi Leute,
Wie finde ich heraus, welche Cookies mit Contao gesetzt und verwendet werden?
Mir geht es um die DSGVO-Geschichte. Hab da mal in den Datenschutzerklärungen der großen Unternehmen herumgestöbert, wie die das so machen und da ist mir aufgefallen,
daß die Cookies genau aufgelistet werden und was die damit machen.
Beispiel hier: Beispiel Coockies. Quelle: Datenschutz von Mercedes-Benz / Daimler
Contao in Kiel: kikmedia webdevelopment | Contao-Partnerin | Contao Usergroup Kiel | github | Contao-Community-Alliance | MetaModels-Team
Das hier ist vielleicht auch hilfreich. Da bekommt man dann scheinbar die Möglichkeit in seine Datenschutz- oder Cookieerklärung deren Script einzubinden, welches alle verwendeten Cookies automatisch auflistet & die bekannten auch erläutert. Die Ausgabe kann man hier als Beispiel sehen.
Bringt aber bestimmt einen weiteren Cookie mit sich
Danke für die Infos.
Und wie lassen sich die temporäre/permanente Cookies anzeigen?Wie immer: <F12> drücken. Dann kannst Du Dir den Session-Cookie anschauen.
Woher weiß ich, welcher Cookie was macht?
Unbenannt-1.jpg
Wie kann ich in Contao selber steuern, welche Cookies angezeigt / genutzt werden sollen?
Wie ist das beim Einsatz von Google-Analytics?
Was Du da siehst ist ein so genannter CSRF-Cookie, der - grob gesagt - verhindert, dass jemand die Benutzersession des jeweiligen Surfers kapert und fremde Inhalte einbindet (wie beispielsweise hier: http://lucina.weitsicht.org/2008/05/31/secret-service/).
Zu den Hintergründen ganz interessant: https://stackoverflow.com/questions/...ens-in-cookies
Contao in Kiel: kikmedia webdevelopment | Contao-Partnerin | Contao Usergroup Kiel | github | Contao-Community-Alliance | MetaModels-Team
@ jk1
Hab darüber mal eine Analyse gemacht und bekam als Antwort, daß "Cookies sind nicht klassifiziert und erfordern eine manuelle Klassifizierung undDas hier ist vielleicht auch hilfreich. (https://www.cookiebot.com)
eine Zweckbeschreibung."
Ich vermute mal, daß man das so wie hier in einer Datenschutzerklärung von Daimler aufführen muß, oder?
Unbenannt-2.jpg
Quelle: https://www.mercedes-benz.de/content...owcplayer.html
Für mich stellt sich jetzt die Frage, wie kann ich Cookies klassifiszieren und deren Zweck beschreiben?
Woher bekomme ich die entsprechende Informationen, wie
- was ist das für ein Cookie?
- was macht dieser Cookie?
- wie lange ist dieser Cookie auf dem Endgerät des Users, bzw. wie bekomme ich das Ablaufdatum heraus, sodaß es in die Datenschuterklärung aufgeführt werden kann?
Welche Cookies setzt Contao und evtl. Erweiterungen, Kontaktfromular, Logins etc. automatisch?
Wie muß man das machen, wenn man Google-Analytic einsetzt? Da gibt es ja die UAxxx-Nummer..
Den Contao-Cookie kennst Du ja jetzt. Die PHP-Session darin gilt nur für den aktuellen Besuch der Seite und wird beim Schliessen des Browsers gelöscht, da das Ablaufdatum in der Vergangenheit liegt.
Für alle anderen denke ich, dass Du ja bestimmst was Du einbindest, und dann auch wissen solltest was es macht.
Zur rechtlichen Frage: Suche Dir fachjuristischen Rat.
Nachbemerkung: Eine Seite wie Cookiebot ist ja ganz nett, allerdings versucht Sie etwas zu verkaufen. Für mich klingt das in der Aufmachung so als möchte man mögliche Panikgefühle nutzen und damit Geld verdienen. Und das für Dinge, die man normalerweise auch selbst weiss (oder zumindest wissen sollte). Mir persönlich ist auch nicht bekannt, dass man Cookies 'klassifizieren' muss. Mir ist bekannt, dass man 'informieren' muss, welchen Cookie man zu welchem Zweck setzt oder setzen lässt. Konsens ist wohl: Unproblematisch sollte alles sein, was technisch bedingt ist (wie ein Session-Cookie oder ein technischer Schutz gegen Missbrauch). Was Fremdcookies wie beispielsweise Google Analytics angeht, so sehe ich das - wie bisher auch - einigermassen kritisch. Möglicherweise wirst Du da zu Beginn die Zustimmung des Nutzers einholen müssen, mithin auch einen Mechanismus benötigen, der externe Cookies eben nicht setzt, wenn keine Zustimmung vorliegt. Für mich persönlich ist das ein weiterer Grund, so ein Tool eher nicht einzusetzen sondern auf weiterhin selbstgehostete Analysetools, bei denen ich die Anonymisierung von Benutzerdaten selbst in der Hand habe, zu setzen. Da weisst Du auch, was zu welchem Zweck gemacht wird und kannst Enduser entsprechend informieren und um Einwilligung bitten.
Contao in Kiel: kikmedia webdevelopment | Contao-Partnerin | Contao Usergroup Kiel | github | Contao-Community-Alliance | MetaModels-Team
Verstehe ich das richtig, daß solche Dinge wie die vom Google-Tag-Manager erzeugten Tracking-ID`s und so berücksichtig werden müssen?Für alle anderen denke ich, dass Du ja bestimmst weisst, was Du einbindest..
Dies hat doch auch was mit Cookies zu tun, oder?
Welche Tools für die Webanalyse sind empfehlenswert?...sondern auf weiterhin selbstgehostete Analysetools, bei denen ich die Anonymisierung von Benutzerdaten selbst in der Hand habe, zu setzen. Da weisst Du auch, was zu welchem Zweck gemacht wird und kannst Enduser entsprechend informieren und um Einwilligung bitten
Gibt es Tools, die auch als Erweiterung für Contao vorhanden sind, die z.B. automatisch eine Zusammenfassung liefern, welche Cookies aktiv sind?
Du wirst für alles, was analysiert oder Cookies speichert, eine Einwilligung Deiner Benutzer benötigen. Auch für Google Analytics. Du wirst dazu auch eine Vereinbarung zur Auftragsdatenverarbeitung mit Google schliessen wollen. Das bietet Google ja auch an. Möglicherweise wirst Du Dir ein paar Gedanken machen müssen, wie Du mit einer Löschanfrage bei teilanonymisierten Daten umgehen kannst. Finde ich persönlich spannend, genauso wie die Frage, ob ein Tool wie Salesforce nach dem 25. Mai noch legal zu betreiben ist. Datensparsamkeit ist das Gebot der Stunde.
Frage 2: Matomo. Open Source, Selfhosting. Die wirklich interessanten Plugins sind inzwischen kostenpflichtig, aber das sollte Dich nicht abhalten.
Contao in Kiel: kikmedia webdevelopment | Contao-Partnerin | Contao Usergroup Kiel | github | Contao-Community-Alliance | MetaModels-Team
[QUOTE=jk1;466498]Man muss ja auch nochmal unterscheiden zwischen einem "normalen" Browser-Cookie und einem Session-Cookie.
Die Inhalte des Session-Cookies werden auf dem Server in einer Textdatei gespeichert & die Inhalte der Browser-Cookies in einer Textdatei (Chrome nutzt hier SQLite) auf dem Rechner.
Browser-Cookie:
Session-Cookie:
Den Session-Cookie kann man in der app/config/config.yml deaktivieren:
gibt es noch andere Möglichkeit ,um das setzen von coockies zu verhindern?Code:framework: session: use_cookies: false
Es wird doch gar nicht nötig sein, Session Cookies bzw. "Strictly necessary cookies" zu unterbinden oder Einverständniserklärungen dafür einzuholen. Lies mal diesen Blog über die Cookie-Arten und die aktuelle sowie die zu erwartende Rechtslage: https://rickert.net/blog/cookies-aktuelle-rechtslage/
Den letzten Absatz find ich ja echt lustig :-)sowie die zu erwartende Rechtslage: https://rickert.net/blog/cookies-aktuelle-rechtslage/
"Lehnt der Nutzer das Setzen von Cookies ab, darf er nicht für die Website gesperrt sein oder andere Nachteile dadurch erhalten"
Für mich stellt sich die Frage, wie kann ich als normaler Contao-CMS-Nutzer all diese Dinge noch überblicken und praktisch handeln..
Wird es dazu eine Erweiterung geben, die einem das Leben vereinfacht?
Wie lässt sich das alles steuern
a) welche Cookies werden automatisch gesetzt
b) welche Cookies setze ich gezielt ein (z.B. durch Google-Analytic mit dem UA_xxx ??)
c) welche Cookies landen durch Fremdes zutun auf meine Seite, für die ich zur Verantwortung gezogen werde?
d) welche Technik, Tools etc. kann ich verwenden um den Anforderungen der Deaktivierung gerecht zu werden?
Bei mir türmt sich nen rießiger Berg auf, deren Spitze ganz im Nebel hängt.
Wahrscheinlich läuft es dann doch erstmal auf nen Notfall-Plan hinaus:
Am 24.05. Seite vom Netz nehmen und die nächsten Tage abwarten, was da so passiert, wenn die Horden der Abmahnvereine übers Internet herfallen. :-)
a) nur das Session-Cookie von Contao
b) das solltest Du wissen -- Du hast es ja selbst eingebaut -- und damit leicht zu klären sein.
c) keine. Du musst dazu schon selbst etwas einbauen (z.B. JS-Code einer anderen Domain oder ein Youtube-Video o.Ä.).
d) das kann man wohl nicht pauschal sagen. Die "Anbieter" der Cookies, die betroffen sind sollten auch eine Lösung dafür bieten. Bei Piwik/Matomo z.B. hier https://matomo.org/faq/general/faq_20000/).
Alle Angaben "natürlich" ohne Gewähr.
Geändert von fiedsch (18.04.2018 um 16:37 Uhr)
Contao-Community-Treff Bayern: http://www.contao-bayern.de
Schau mal hier: https://github.com/ToX82/cookie-bar
Hmmmmm. Und wie verhindert Cookie-Bar, dass ein Cookie gesetzt wird?
Steht alles da - einfach mal lesen, bitte.How it works?
cookieBAR is a drop-in and forget, pure vanilla javascript plugin, with no jQuery nor any other dependency needed. It shows up when needed and stay silent when not: if a website has a cookie or some localStorage data set then the bar is shown, otherwhise nothing happens.
Once user clicks Allow Cookies cookieBAR will set a cookie for that domain with a name cookiebar that will expire in 30 days. What this means is that the plugin will only show up once month (this duration is configurable).
If a user decides to click Disallow Cookies, cookieBAR will simply remove all cookies and localStorage data (and will show up again the first time a cookie is detected).
Having a cookiebar cookie makes it simple to developers to check the user decision before activating external scripts (such as Google Analytics, or anything else). See http://cookie-bar.eu for more informations.
Die Abfrage müsste eigentlich kommen, BEVOR irgendein Cookie gesetzt wird. Ok, wenigstens wird es bei Ablehnung hinterher wieder gelöscht. Man kann also immerhin hoffen, dass man damit durchkommt, wenn der zuständige Richter den Geist der Verordnung im Hinterkopf hat und nicht den Buchstaben. Aber streng genommen ... auch wenns Blödsinn ist.
Ja, es setzt dann zusätzlich zum unproblematischen Sitzungscookie halt noch einen eigenen, aufgrund dessen Du dann reagieren kannst. Im Grunde genommen müsstest Du für alles, was dann selbst gesetzt wird, nochmal kapseln (wenn Zustimmung da, dann darfst Du die anderen setzen und Dienste nutzen). Das hängt dann aber auch vollkommen davon ab was Du da an Diensten nutzt.
Ach wie schön, wenn man für alles und jedes die Open Source-Alternativen nutzt die man selbst unter Kontrolle hat ... ;-)
Contao in Kiel: kikmedia webdevelopment | Contao-Partnerin | Contao Usergroup Kiel | github | Contao-Community-Alliance | MetaModels-Team
Hi Leute,
hab mal mit dem Chrome die Coockies anzeigen lassen:
Unbenannt-1.jpg
Jetzt meine Anfängerfrage:
- PHPSESSID ist das Cookie, welches das System setzt, oder?
Die Ablaufzeit wäre dann wann? Da steht was von 1969-12-31...
- Wie finde ich heraus, was die anderen Cookies sind, wo die genau eingebunden sind /sich verstecken und was die machen?
Das Ganze ist für mich noch wie ein Buch mit sieben Siegeln...
Die Ablaufzeit ist so gesetzt, dass das Cookie in jedem Fall bereits abgelaufen ist. Vor dieser Zeit gibt es unter Unix nicht. Damit wird es beim Schliessen des Browsers gelöscht.
Die anderen Cookies stammen von Google Analytics, siehe z.B. https://developers.google.com/analyt...kie-usage#gajs
Hallo,
ich bin hier auch etwas überfragt bzgl. dem ganzen Handling. Es gibt einfach zu viele schwammige Erläuterungen etc.
Schön wäre es, wenn es einfach eine Art "Contao DSVGO-Checkliste" geben würde, in welcher einfach Infos gesammelt werden.
Jetzt habe ich auch noch mitbekommen, dass scheinbar letzte Woche eine Opt-In Pflicht beschloßen wurde:
https://www.wbs-law.de/internetrecht...quenzen-77046/
Ich habe die Cookie-Bar im Einsatz, aber das wird ja nicht mehr genügen, oder?
Außerdem habe ich viele YouTube-Videos über das CE eingefügt. Gibt es da eine Möglichkeit in Contao 3.5 einfach auf die YouTube NoCookie-Version zu verlinken?
Vielen Dank im voraus für Hilfe!
Gruß,
Michael
Hat nicht auch Youtube einen Punkt zum Aktivieren ?
Sollten da nicht die Cookies deaktiviert sein?
Unbenannt-2.jpg
Ja, genau diese Option ist damit gemeint.
Mein Reden . Vorbildlich dokumentiert hat Glen seine Erweiterungen (zB Visitors) - da weiß man genau, was in welcher Form gespeichert wird: https://contao.ninja/visitors.html.
Edit:
Ich analysiere gerade eine meiner Sites, auf der ein Youtube-Video eingebunden ist.
In Firefox it dort kein Cookie gesetzt, sondern lt. Webdeveloper nur eine "Session Storage" mit drei Einträgen wie "yt-remote-session-name/app".
In Chrome ist es für mich etwas undurchsichtiger. Dort wird mir unter Network etwas gezeigt wie "https://www.youtube.com/youtubei/v1/log_interaction?alt=json&key=AIzaSyAO_FJ2Slq" in Verbindung mit GoogleAds/Doubleclick.net sowie mein User-Agent und Referer, aber keine IP-Adresse.
Edit2: Ich sehe gerade für Wordpress gibt's da was - wäre super, wenn es sowas auch für Contao gäbe: https://www.blogmojo.de/youtube-vide...orm-einbetten/
Geändert von Anke (02.05.2018 um 11:41 Uhr)
Ah, super! Vielen Dank für die Info mit der Erweiterung! Ich hatte schon einmal danach gesucht, aber damals nur die Version für Contao 4 gefunden!
Noch eine andere Frage: wie handhabt Ihr das mit den Formularen? Extra Pflichtfeld mit "Einverständnis Daten" vor dem absenden? Gott, diese Bürokratie macht einen wahnsinnig!
Gruß,
Michael
Verstehe die Diskussion nicht ganz.
Bei mir setzt Youtube/GoogleVideo nur (erlaubte, "unbedingt erforderliche") Sitzungscookies, die beim Klick auf die nächste Video-freie Seite derselben Website schon gelöscht werden. Dennoch bestehen Netzwerkverbindungen zu Google/Youtube/Doubleclick, die man dann auch sicher durch "Deaktivieren" von Cookies, die eh nicht gesetzt werden, nicht unterbinden kann.
YouTube setzt unter Anderem das VISITOR_INFO1_LIVE Cookie, welches 8 Monate lang gültig ist. In diesem Cookie ist eine ID gespeichert, wodurch dich Google über mehrere Seiten und Seitenaufrufe hinweg nachvollziehen kann. Laut Google wird es für die Ermittlung deiner Bandbreite verwendet, damit die voreingestellte Auflösung eines Videos die für dich möglichst passendste ist.
Wenn du auf deiner Seite ein oder mehrere YouTub Videos per iframe eingebunden hast, wird ein Besucher schon durch das bloße Aufrufen deiner Seite durch Google getracked. Über die youtube-nocookie.com für iframe embedding kannst du das verhindern.
Geändert von Spooky (02.05.2018 um 14:14 Uhr)
Danke, das wird mir tatsächlich nur in Chrome angezeigt. Aber kann man sich auf Youtubes eigene No-Cookie-Option verlassen? Einer Lösung wie der o.g. CookieBar, die Cokkies sofort nach dem Setzen wieder löscht, würde ich da eher vertrauen, kann aber nicht abschätzen, ob schon das ganz kurze Setzen des Cookies schon ein Tracking bedienen kann ...
Danke für den Link. Das ist sehr interessant und sollte Beachtung geschenkt werden. Auch dem dort verlinkten PDF.
Wahrscheinlich kommt man dann um so Einwilligungs-Geschichten nicht mehr drum herum (zumindest bis die ePrivacy Verordnung da ist).
Dafür könnte man sowas benutzen:
https://www.trustarc.com/products/consent-manager/
https://onetrust.com/products/cookies/
https://www.civicuk.com/cookie-control
https://privacypolicies.com/cookie-consent/
Und wer es lieber selber machen will, könnte z.B. dies benutzen (Demo weiter unten):
https://github.com/Jyxon/GDPR-Cookie-Compliance
Mir erscheint diese Lösung (https://privacypolicies.com/cookie-consent/) bis jetzt die sinnvollste zu sein. Hat jemand von euch das schon mal mit Contao zum Laufen gebracht? Ich habs mit meinen Laien-Scriptkenntnissen bis jetzt nicht hinbekommen. Habe entsprechend zB im "Google-Analytics Template" den Script Tag erweitert- wie im Beisipiel, etc aber es passiert nix. .
Ich sehe das doch richtig, dass diese Lösung im Prinzip das wäre, was aktuell (Stand 11.05.18) gefordert wird?
wie wär es hiermit?
https://cookieconsent.insites.com/download/#
Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
Lesezeichen