Contao + DSGVO / Datenschutz / Anforderungen ab Mai 2018

[bird]

Guten Abend zusammen,

hat sich schon mal jemand im Detail mit der ab Mai 2018 gültigen DSGVO im Zusammenhang mit Contao beschäftigt? Künftig wird wohl nach Abwägung der Interessen von Betreiber und Besucher einer Website / eines Shops eher eine Opt-In-Lösung für Cookies und sonstige personenbezogene Datenverarbeitungen verlangt, wobei z.B. auch Session Cookies oder andere pseudonymisierte Daten als personenbezogene Daten im Sinne der eindeutigen Zuordenbarkeit gelten werden. Was heißt das für Contao (Core) sowie für externe Dienste / Erweiterungen wie Google Maps, Google Analytics, YouTube, PIWIK etc? Wie können Best-Practice-Lösungen in den einzelnen Anwendungsfällen aussehen? Es fängt z.T. schon damit an, dass Contao im Log-Ordner oder in den Log-Einträgen (DB) massenhaft personenbezogene Daten sammelt, sofern man dies nicht manuell unterbindet. Das ist im Hinblick auf die künftig geforderte Datensparsamkeit (Privacy by Design) sicherlich suboptimal.

Es gibt mittlerweile zahlreiche Artikel zur technischen Umsetzung der DSGVO im Hinblick auf Websites / Shops, wobei das Thema meist eher theoretisch und nicht aus praktischer Sicht aufgearbeitet wird. Da dieses Thema alle betrifft, die für sich selbst oder für Kunden Websites / Shops erstellen, wäre ich an dieser Stelle an einem Gedankenaustausch interessiert.

[tab]

Ist halt wie immer mit solchen Verordnungen, der Website-Betreiber hängt hinsichtlich der praktischen Bedeutung der Verordnung mal wieder in der Luft. Es gilt der alte Grundsatz, zwei Juristen, drei Meinungen. Oder wie ein mir bekannter Rechtsanwalt immer zu sagen pflegt: "Wenn ich dich frage, was 2+2 ergibt, dann wirst du mir antworten es ergibt 4. Wenn du mich fragst, was 2+2 ergibt, dann werde ich dich fragen, welches Ergebnis du denn gern hättest." Was das Ergebnis der DSGVO letztlich rechtsverbindlich sein wird, das werden wohl erst höchstinstanzliche Gerichte in vier oder fünf Jahren oder gar noch später klären.

[do_while]

... dann musst Du aber bereits bei den Webserver-Logs anfangen, solange eine IP-Adresse als personenbezogen angesehen wird.

[tab]

Ja, ist tatsächlich so. Jedenfalls laut EuGH: Siehe Urteil des EuGH vom 19.10.2016

[lucina]

Heise hat ein umfangreiches Whitepaper dazu erstellt (leider registrierungspflichtig, aber das sollte ja kein Problem sein): https://business-services.heise.de/i...nl&source=wpnl

[Shania]

Wie macht ihr das auf euren Seiten mit der aktiven Zustimmung zur Speicherung der persönlichen Daten? Nur allgemein mit dem Cookiehinweis? Was ist, wenn den jemand ablehnt und dann aber Kontakt per Kontaktformular aufnehmen möchte oder einen Kommentar schreiben will. Spätestens dann müsste er den Datenschutzhinweisen ja zustimmen. Müsste man dann nicht vorsehen, dass man bei jedem Kontakt oder Kommentar die Datenschutzhinweise akzeptiert und sonst kein Absenden möglich wäre?

Mit dem Formulargenerator wäre das ja einfach umsetzbar, aber bei den Kommentaren nicht.

[quintacom]

Hallo Shania,

diesselben Überlegungen habe ich auch gehabt. Denn es wurde vor ein paar Tagen eine Lösung bei mir angefragt, ob man bei Bedarf dann eine Checkbox als Pflichtfeld in das Kommentarformular einbauen könnte, um eben diese Zustimmung durch den Nutzer zu erhalten. Diese Änderung habe ich kürzlich für Contao 3.5.33 soweit in den entsprechenden Dateien durchgeführt. Es klappt alles lokal ganz gut, inkl. Vermerk der entsprechenden Zustimmung im Backend. Ist ja auch ein wichtiger Punkt, denn dann kann man das auch sozusagen nachweisen.

Das Dumme daran ist nur, dass es nicht Update sicher ist. Aber Contao 3.5 wird ja eh nicht mehr groß aktualisiert. An Contao 4 traue ich mich leider noch nicht ran ...

Wie gehen andere mit dieser Anforderung um?

[Shania]

Es klappt alles lokal ganz gut, inkl. Vermerk der entsprechenden Zustimmung im Backend. Ist ja auch ein wichtiger Punkt, denn dann kann man das auch sozusagen nachweisen.

Stimmt und das geht beim Formular dann wieder nicht mit Standardmitteln.

Das Dumme daran ist nur, dass es nicht Update sicher ist. Aber Contao 3.5 wird ja eh nicht mehr groß aktualisiert.

Richtig, aber sicherlich auch kein großes Drama, da ohnehin nicht mehr viel kommt.

Wirst du das denn als allgemeine Erweiterung anbieten?

[quintacom]

Da ich kein Programmierer bin und nur dann und wann bestimmte Anpassungen bei eigenen Probleme durchführe, wird das sicher keine offizielle Erweiterung. Man fuchst sich eben schlicht in bestimmte Probleme rein und versucht das dann zu lösen.
Von daher weiß ich auch nicht, ob ich hier die entsprechenden Änderungen an den verschiedenen Dateien posten sollte. Ist eben alles vielleicht ziemlich rudimentär und vielleicht auch nicht dem Standard entsprechend.

Wer Interesse hat, dem kann ich das Paket mit den Dateien des Kommentarbereiches sowie das angepasste Template gerne ohne weitere Beschreibung senden. Man sollte natürlich dann schon selbst ungefähr wissen, wo man bei Bedarf noch eigene Anpassungen machen kann.

Schreibt mir in diesem Fall dann eine PM.

[Shania]

Nutzt hier sonst niemand die Kommentarfunktion oder haltet ihr das für nicht nötig?

[Anke]

Nutzt hier sonst niemand die Kommentarfunktion oder haltet ihr das für nicht nötig?

Meines Erachtens sollte die Kommentarfunktion komplett auf die Speicherung der IP-Adresse und Abfrage der Website verzichten. Name sollte kein Pflichtfeld sein, sondern ausschließlich die E-Mail-Adresse. Optional könnte im Backend angeboten werden, ob und welche Felder Pflichfelder sein sollen. Ich persönlich habe hier noch nie eine IP-Adresse gecheckt, und Daten wie Name und vor allem die Website können Besucher, wenn sie für sich selbst werben wollen, auch freiwillig im Text veröffentlichen.

Die Datenssammlung soll lt. DSGVO schließlich minimiert werden. Außerdem hat man immer noch die Möglichkeit, die Kommentarfunktion nur für registrierte User freizugeben. Hier hat man dann bessere Möglichkeiten, Pflichtfelder zu bestimmen.

Und wer sich eine individuelle Kommentarfunktion bauen will, wie man heutzutage ja einiges in Contao besser selbst baut, kann den Catalgon-Manager oder Metamodels verwenden.

[monaco]

Ich habe mich persönlich auch etwas über die DSGVO informiert. Unter anderem wird ja das Telemediengsetz so nicht existieren.
Weiß den jemand wie man generell seine Datenschutzverordnung entsprechend auf seiner Website anzupassen hat.?
Auf meiner Website kommt ein Kontaktformular und Google Analytics zum Einsatz.
Hänge da etwas in der Luft

[Claudia.Rathert]

Der Händlerbund hat eine - wie ich finde - recht gute und vor allem praxisbezogene Übersicht erstellt: https://www.haendlerbund.de/de/leist...rundverordnung - auch für Nicht-Mitglieder.

Grüßle
Claudia

[Y-Nell]

Hier noch ein Tipp von mir, den wahrscheinlich sehr viele von euch übersehen könnten.

Mir ist heute erst bewusst aufgefallen, dass in den fe_page Templates noch die Conditional Comments insbesondere für die älteren IEs enthalten sind, bzw. auch euren eigens angelegten Comments.
Zum Beispiel Verbindungen für html5shiv oder was ich z.T. genutzt habe wie respond.js oder browser-update.org.

Beim überprüfen der ausgehenden Verbindungen mit aktuellen Browsern werden diese natürlich nicht immer geladen aber ggf. mit einer älteren Version.

Ich hoffe der Beitrag passt hierhin, ansonsten bitte verschieben.

[jk1]

Die html5shiv bzw. html5shiv-printshiv wird aber lokal geladen - ist also kein Problem.
Grundsätzlich ist das aber ein wichtiger Hinweis. Ich prüfe über den Browser oder die Dev-Tools, welche Cookies oder auch externen Scripte gesetzt werden. Einen IE7 hab ich allerdings nicht
Wäre btw. auch zu lustig, wenn sich jetzt die Abmahner die alten Krücken beschaffen und damit die Statistiken dieser Browser wieder beleben

[Y-Nell]

Die Vermutung mit den Abmahn-Geiern hege ich auch. Wenn bei einer ansonsten korrekten Datenschutzerklärung so eine Verbindung eine Abmahnung rechtfertigen würde, wäre das natürlich übel.

Ob es gesetzlich eine unterschiedliche Gewichtung der verwendeten Verbindungen gibt, wäre mal gut zu wissen. Eine nicht dokumentierte Verbindung z.B. zu Analytics wäre für mich ganz klar abmahnfähig.

[tab]

Ob es gesetzlich eine unterschiedliche Gewichtung der verwendeten Verbindungen gibt, wäre mal gut zu wissen. Eine nicht dokumentierte Verbindung z.B. zu Analytics wäre für mich ganz klar abmahnfähig.

Eine dokumentierte eventuell auch, zumindest wenn die Verbindung bereits hergestellt wird, bevor der Besucher gefragt wird.

[Y-Nell]

@tab

Zu diesem Thema habe ich heute einen Hinweis von einem Datenschutzbeauftragten bekommen:

https://www.ldi.nrw.de/mainmenu_Date...immung-TMG.pdf

Seite 3, Nummer 9:

Es bedarf jedenfalls einer vorherigen Einwilligung beim Einsatz von TrackingMechanismen, die das Verhalten von betroffenen Personen im Internet nachvollziehbar machen und bei der Erstellung von Nutzerprofilen. Das bedeutet, dass eine informierte Einwilligung i. S. d. DSGVO8, in Form einer Erklärung oder sonstigen eindeutig bestätigenden Handlung vor der Datenverarbeitung eingeholt werden muss, d. h. z. B. bevor Cookies platziert werden bzw. auf dem Endgerät des Nutzers gespeicherte Informationen gesammelt werden.

[MarcusC]

Contao legt ja keinen Tracking Cookie an oder? Sondern nur einen Session-Cookie.

[christian]

Gegen mehr echten Schutz sensibler Daten und Trackingvermeidung ist ja wenig einzuwenden. Aber ich denke, das Ding hier wird ganz allgemein viel zu hoch gekocht. Man kann es auch übertreiben. Es ist ja auch eine Frage dessen, wie es die Rechtsprechung interpretieren wird:

Es bedarf jedenfalls einer vorherigen Einwilligung beim Einsatz von TrackingMechanismen, die das Verhalten von betroffenen Personen im Internet nachvollziehbar machen

Es muss wohl erst mal definiert werden, was ein "Tracking-Mechanismus" ist. Ein Warenkorb ggf. auch schon oder noch nicht? Oder erst dann, wenn auch ausserhalb des setzenden Webservers ausgelesen werden kann? Ein Session-Cookie ggf. auch? Machen wir doch lieber direkt mal eine tolle Vorschalt-Seite

Ehrlich gesagt, setze ich im Fall "DSGVO-Auswüchsen" auf die Kraft der Wirtschaft.

Was meint Ihr denn, wieviele Leute alleine durch die ellenlangen Hinweise in den Kontakt-/Anfrageformularen so stark verunsichert werden, dass sie auf eine Anfrage verzichten? Spätestens dann, wenn wir eine Wüste von Vorschaltseiten vor allen Websites haben, werden die Anfragen und damit auch die Umsätze massiv zurückgehen. Und zwar nicht wegen verbessertem Datenschutz, sondern wegen Überregulierung. Passiert das, werden (hoffentlich) viele Europa- und/oder Bundestagsabgeordnete Besuch von den Unternehmen in ihrem Wahlkreis bekommen, die sie mal fragen, ob sie noch ganz dicht sind.

[tab]

Aber bis dahin werden viele Rechtsanwälte nochmal ein gutes Stück reicher geworden sein...

[jk1]

Die Tracking-Cookies dürfen aber wiederum ohne Opt-In angelegt werden, wenn es sich um ein berechtigtes Interesse handelt. Wann dies genau der Fall ist, steht aber nirgends dokumentiert. Man muss eine Interessensabwägung erstellen & alles dokumentieren. So müssen die personenbezogenen Daten (auch IP) z.B. pseudonymisiert oder anonymisiert werden, dass Opt-Out muss klar erkennbar sein, die Datenschutzerklärung einfach zu lesen & korrekt sein, AVV müssen vorhanden sein, Rechte der Betroffenen, und so weiter. Dazu steht hier einiges: https://drschwenke.de/datenschutz-ep..._Privatsphaere


Ich finde es ehrlich gesagt gut, dass künftig nicht überall jede Art von Script und Tracking Code eingefügt werden kann. Durch meine Analysen habe ich gemerkt, was da alles zum Einsatz kommt. Das ist echt heftig. Dies wird die Unternehmen hoffentlich etwas sensibilisieren. Und da es nur eine Übergangslösung ist, kann man das auch positiv sehen. Die ePrivacy Verordnung ist nicht ohne Grund noch nicht im Gesetz verankert. Durch diese Zwischenlösung wird das hoffentlich wieder etwas entschärft, so dass nicht jeder einen Opt-In Layer auf jeder Seite sehen muss. Es soll dann scheinbar auch eher auf eine Browser-Einstellung hinauslaufen. Man hat dann also einen globalen Opt-Out Cookie (Pflicht für Browserhersteller) für alle Webseiten & die Webseiten-Betreiber müssen dann alle diesen globalen Cookie checken, bevor der eigene Tracking-Cookie gesetzt wird. Dadurch sind m.M. nach auch keine Opt-In Layer mehr notwendig.

[Y-Nell]

Hat jemand von euch schon Erfahrung, wie man mit dem Google Routenplaner verfahren muss?

Beispiel-Code:

HTML-Code:

<form class="form form-inline" name="search_route" method="get" action="https://maps.google.de/" target="_blank">
  <div class="form-group">
    <label class="sr-only" for="saddr">Startadresse (mit Ort)</label>
    <div class="wrapper_input">
      <input id="saddr" class="input white inputbox form-control" type="text" name="saddr" placeholder="Startadresse (mit Ort)">
      <input id="daddr" type="hidden" name="daddr" value="Musterstraße, 12345 Musterhausen">
      <button class="btn white submit" type="submit">Berechnen</button>
    </div>
  </div>
</form>

Eine aktive und direkte Verbindung findet ja erst statt, nachdem man auf den Button klickt. Damit bestehende Layouts nicht komplett durch einen mehrzeiligen Text verunstaltet werden, müsste es doch genügen wenn man über oder unten dem Eingabefeld z.B. den Hinweis "Öffnet eine Seite in https://maps.google.de/" hinzufügt.

Wie schätzt ihr das Problem ein?

[monaco]

Mich würde in besonderem Maße interessieren, inwieweit die Datenschutzerklärung angepasst bzw. geändert werden muss, wenn man ein Kontaktformular und Google Analytics auf seiner Seite nutzt.

[fusch]

Hallo Monaco,
such mal im Forum nach DSGVO. Da gibt es mittlerweile so viele Informationen, Links, Diskussionen zum Thema. Da findest Du sicherlich auch die richtige Information für Dich.
Gruß
Hella

[Sascha]

Hat jemand von euch schon Erfahrung, wie man mit dem Google Routenplaner verfahren muss?

Beispiel-Code:

HTML-Code:

<form class="form form-inline" name="search_route" method="get" action="https://maps.google.de/" target="_blank">
  <div class="form-group">
    <label class="sr-only" for="saddr">Startadresse (mit Ort)</label>
    <div class="wrapper_input">
      <input id="saddr" class="input white inputbox form-control" type="text" name="saddr" placeholder="Startadresse (mit Ort)">
      <input id="daddr" type="hidden" name="daddr" value="Musterstraße, 12345 Musterhausen">
      <button class="btn white submit" type="submit">Berechnen</button>
    </div>
  </div>
</form>

Eine aktive und direkte Verbindung findet ja erst statt, nachdem man auf den Button klickt. Damit bestehende Layouts nicht komplett durch einen mehrzeiligen Text verunstaltet werden, müsste es doch genügen wenn man über oder unten dem Eingabefeld z.B. den Hinweis "Öffnet eine Seite in https://maps.google.de/" hinzufügt.

Wie schätzt ihr das Problem ein?

Warum muss ich überhaupt einen Hinweis setzen wie ""Öffnet eine Seite in https://maps.google.de/"?

[xkoy]

Hey,

wie schaut das mit schon vorhandenen Mailchimp Email Adressen aus. Muss ich jetzt eine Email verfassen wo ich auf die geänderten/neuen Datenschutz DSGVO hinweise und meine Abonnementen müssen sich neu registrieren?! Double opt-in nutzen wir ja schon die ganze Zeit. Habe irgendwo gelesen ich müßte trotzdem eine Email verfassen wo Sie erneut Ihr Abo bestätigen müssen?!

Danke
Dani

[Spooky]

Ja, dazu gibt es auch einen eigenen Artikel von MailChimp: https://kb.mailchimp.com/accounts/ma...ith-gdpr-forms

Der Podcast von Stephan Hansen-Oest dazu ist auch sehr interessant: https://www.datenschutz-guru.de/hilf...gvo-compliant/

[folkfreund]

Andererseits finde ich auch die hier genannten Argumente sehr interessant, v.a. den ersten Link.
Mit einem Re-Opt-In gibt man ja das Statement ab, dass man bisher (möglicherweise) keine (ausreichende) Genehmigung zur Zustellung eines Newsletters hatte...

[Y-Nell]

Warum muss ich überhaupt einen Hinweis setzen wie ""Öffnet eine Seite in https://maps.google.de/"?

Beim dem Routenplaner geht es mir um Transparenz, dass der Besucher über die Weitergabe der Adresse an Google informiert wird. Denn schließlich handelt es sich ja auch bei der PLZ, Ort, Straße um eine personenbezogene Angabe.

Bei einem anderen Projekt war die Vorgabe seitens des Datenschutzbeauftragten, dass bei allen externen Verlinkungen ein Hinweistext stehen muss "Sie verlassen den Internetauftritt der XYZ". Das habe ich im CSS per ::after Selektor und der content Eigenschaft gelöst:

externer-link-beispiel.png

Sieht z.T. etwas klobig aus aber ich habe den Segen des Datenschutzbeauftragten.

[mlweb]

Bei einem anderen Projekt war die Vorgabe seitens des Datenschutzbeauftragten, dass bei allen externen Verlinkungen ein Hinweistext stehen muss "Sie verlassen den Internetauftritt der XYZ".
Sieht z.T. etwas klobig aus aber ich habe den Segen des Datenschutzbeauftragten.

Ja so etwas schlagen sich wohl zur Zeit einige von uns herum. Wir glauben zu wissen, dass das was Rechtsanwalt/Datenschutzbeauftragter verlangt zwar nicht so im Datenschutzgesetz steht bzw. nicht in dieser Form ernst gemeint sein kann, aber wir müssen auch den größten Blödsinn bauen wenn es verlangt wird.

[BugBuster]

Hi,
wenn die Website nur ein Session Cookie verwendet und dieses auch in der Datenschutzerklärung beschrieben ist, muss dann trotzdem eine Cookie Bar rein?
Oder ist das nur bei Verwendung von (Tracking-) Cookies nötig wo womöglich personenbezogene Daten drinstehen?


Ihr merkt schon, ich habe keine Lust so ein Quatsch einzubauen.

[Y-Nell]

Da gebe ich dir vollkommen Recht. Eine Diskussion mit den Datenschutzbeauftragten und Kunde hatte nicht viel gebracht. Wenn's so beauftragt wird, soll er mir erstmal egal sein.

Der Datenexperte hat dann noch eine Lösung per Pop-Up in den Raum geworfen. Dazu werde ich frühstens nach dem Wochenende recherchieren. Brauche erstmal eine Auszeit von dem Thema

[Y-Nell]

Ich habe vorsorglich bei allen Projekten die Cookiebar installiert. Wenn da einer meint es wurde ein Cookie ohne Zustimmung gesetzt, dann wurde er vorher zumindest drauf hingewiesen.

Außerdem habe ich den Button in "Schließen" umbenannt, ebenfalls nach Absprache mit dem Datenhansel. So kann der Besucher nicht fehlinterpretieren, ohne Klick auf "Ok" oder "Zustimmmen" wird kein Cookie gesetzt.

[tab]

Der Datenexperte hat dann noch eine Lösung per Pop-Up in den Raum geworfen. Dazu werde ich frühstens nach dem Wochenende recherchieren. Brauche erstmal eine Auszeit von dem Thema

LOL, bis dahin ist es zu spät, der Kunde zahlt seine 20 Millionen und geht in Insolvenz. Lass dir wenigstens dein Geld noch vor dem Wochenende auszahlen, solange noch welches vorhanden ist.

[Y-Nell]

Aktuell reicht meine Lösung bei dem Projekt aus. Zumal ich diese Vorgabe sowieso erst seit gestern bekommen habe. Aber die Rechnung landet schneller beim Kunden als die Abmahnung durch ist

[Spooky]

LOL, bis dahin ist es zu spät, der Kunde zahlt seine 20 Millionen und geht in Insolvenz. Lass dir wenigstens dein Geld noch vor dem Wochenende auszahlen, solange noch welches vorhanden ist.

Bis zu 20 Mio. oder 4% des Jahresumsatzes, je nach dem was höher ist. Nicht mindestens

[tab]

Och nee, die sollen den Strafrahmen schon ordentlich ausreizen. Wir sind doch hier nicht beim Internet-Provider. Weiss eigentlich jemand, wer die gezahlten Strafen bekommt? Die Frage kam gestern beim Dokumentarfilm über die Entstehung der DSGVO auf, wusste aber wohl keiner der Beteiligten so genau.