WBCE Home | WBCE Hilfe | WBCE Addon Repository | Impressum | Datenschutz

WBCE CMS Forum

WBCE CMS – Way Better Content Editing.

You are not logged in.

Announcement

Domainumzug erfolgreich - Forum wieder zur Benutzung freigegeben! | Domain transfer successful - feel free to post again!

#1 07.01.2018 17:52:15

florian
Projektmanagement und Support WBCE CMS

EU-Datenschutzgrundverordnung ab 25.05.2018

Es stehen wieder einmal umfangreiche gesetzliche Änderungen ins Haus - diesmal übrigens europaweit, also auch für Nutzer z.B. in Österreich relevant -, die alle betreffen, die selbst Webseite(n) betreiben und/oder welche erstellen. Die Rede ist von der neuen EU-Datenschutzgrundverordnung, kurz DSGVO.

"Die Datenschutzänderungen zum Mai 2018 betreffen jedes Unternehmen."
(Zitat von e-recht24.de)

Eine Einführung in die Thematik gibt es z.B. hier:
https://www.e-recht24.de/datenschutzgru … dnung.html
https://www.exali.de/Info-Base/dsgvo-regelungen-eins

Auch CMS- bzw. Modulentwickler sind gefragt bzw. betroffen, d.h. zu überlegen ist, inwieweit Anpassungen z.B. hinsichtlich Datensparsamkeit, -portierbarkeit und Rechenschaftspflichten erforderlich/sinnvoll/machbar sind.
Konkret bedeutet das beispielsweise,
- dass die Formularmodule (möglicherweise) dahin gehend geändert werden müssten, dass eingegebene Daten grundsätzlich nicht mehr gespeichert werden, sondern wirklich nur noch die Formular-Mails versendet werden,
- Formularmodule ohne https nicht mehr zuzulassen oder zumindest ausdrücklich vor deren Verwendung ohne Verschlüsselung zu warnen,
- den Umbau des Cookie Consent-Moduls dahin gehend, dass nicht nur ein Hinweis erscheint, sondern auch die Möglichkeit besteht, das Setzen von Cookies vollständig zu unterbinden,
- eventuell sogar grundsätzlich auf das Setzen von Besuchercookies zu verzichten,
- die Unterstützung von https im Installer zu gewährleisten,
- ein Tool für die einfache Umstellung von bisher ohne SSL betriebenen Seiten auf https bereitzustellen (Stichwort URL-Anpassung in der config.php und in der Datenbank),
und ganz bestimmt noch einiges mehr.

Hat sich jemand bereits intensiver mit der Problematik sowohl aus Anweder-/Websiteanbieter-, als auch aus Entwicklersicht auseinander gesetzt?

Ich fände es toll, wenn wir einen konstruktiven Austausch über die DSGVO initiieren könnten, und freue mich über Umsetzungsvorschläge, Best-Practise-Ideen, Links zu Tutorials/Informationsangeboten usw.

Offline

#2 08.01.2018 18:04:53

viktor321j
Member

Re: EU-Datenschutzgrundverordnung ab 25.05.2018

Vor längerer Zeit gab es einmal einen Beitrag irgendwo in diesem Forum, dessen Inhalt ich so in Erinnerung habe: WBCE setze nur ein Cookie. Was dieses genau mache, wisse man aber nicht (mehr).

Ich benötige kein Cookie. Habe ich eine Möglichkeit, das Setzen dieses einen Cookies zu unterbinden (wenn es denn wirklich nur das eine ist)?

Bzw.: Für den Fall, dass dieses Cookie möglicherweise auch technisch nicht notwendig ist: Wäre es nicht entwicklerseitig möglich, das Setzen des Cookies aus dem Code herauszunehmen?

Dann könnten wir guten Gewissens Websites ohne Cookie-Hinweis erstellen, den ich sowieso oft als mehr oder minder nervig empfinde, und könnten in diesem Punkt der EU-Datenschutzgrundverordnung (was für ein Wort!) schon einmal in diesem Punkt gelassen entgegen sehen.

Last edited by viktor321j (08.01.2018 18:05:43)

Offline

#3 08.01.2018 19:25:38

tomno399
Member

Re: EU-Datenschutzgrundverordnung ab 25.05.2018

Ich habe für unseren gemeinnützigen Verein bereits eine Datenschutzerklärung eingestellt und im Mitgliedsbereich rechtliche Hinweise dazu gegeben, die ich hier gern zur Verfügung stelle. Wer darüber diskutieren möchte, ist herzlich willkommen. Wer meine Datenschutzerklärung lesen möchte, kann hier ebenfalls drum bitten.

Rechtshinweise
Die Betreiber einer Homepage haben einige Gesetze zu beachten. Ich möchte hier die Vorschriften nennen, damit zukünftige Webmaster nicht im Dunkeln tappen müssen und eine Abmahnwelle auf den Verein zurollt. Zum besseren Verständnis muss ich dazu weiter ausholen. Und um es vorweg zu nehmen: Warum dürfen wir nicht, was die Presse darf, sollte § 41 des Bundesdatenschutzgesetzes lesen.

Bei der Gesetzesanwendung gilt unter anderem der Grundsatz: Eine lex specialis ist ein spezielles Gesetz, das dem allgemeinen Gesetz (lex generalis) vorgeht. Aufgrund dessen ist z. B. das Bundesdatenschutzgesetz gegenüber dem Telemediengesetz nachrangig.

Allgemeines Persönlichkeitsrecht
Im Hinblick auf das sich aus Artikel 1 Absatz 1 und 2 Absatz 1 des Grundgesetzes ergebende (BVerfGE 65,1 ff.) informationelle Selbstbestimmungsrecht erklärt das BDSG in § 4 die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten grundsätzlich für unzulässig, soweit sie nicht durch Rechtsvorschrift oder Einwilligung des Betroffenen zugelassen werden. Das dem Betroffenen in § 34 BDSG eingeräumte Auskunftsrecht dient der Verwirklichung des informationellen Selbstbestimmungsrechts.

Die Auskunftsansprüche nach § 34 BDSG setzen aber keine Rechtsverletzung voraus oder eine tatsächliche Verarbeitung personenbezogener Daten, denn sie sollen dem Betroffenen hinsichtlich seiner personenbezogenen Daten die Möglichkeit geben, sich im Sinne der Ausführungen des BVerfG zu informieren.

Dass die IP-Adresse ein persönliches Datum darstellt, hat der BGH am 16.05.2017 entschieden!

Impressumspflicht
Hierfür kommen zwei Gesetze in Betracht, § 55 des Staatsvertrags für Rundfunk und Telemedien (Rundfunkstaatsvertrag - RStV) allgemein sowie § 13 Telemediengesetz (TMG) speziell. Der § 13 TMG ist jedoch auf unsere Homepage nicht anwendbar, weil wir ein nicht "geschäftsmäßig" handelnder Idealverein sind! Die gesetzliche Begründung, warum das (gesamte) TMG nicht von uns anzuwenden ist, findet sich auf der Seite 14 in der Gesetzesbegründung zu § 5 TMG. Deshalb beruht unser Impressum allein auf § 55 RStV.

Das Impressum muss unmittelbar erreichbar (Zwei-Klick-Regel) und als normale Textdatei lesbar (nicht als PDF) sein (Urteil BGH vom 20.07.2006, Az.: I ZR 228/03).

Geschäftsmäßig ist nicht gewerbsmäßig. Aber der Begriff "geschäftsmäßig" ist eng auszulegen, eine wirtschaftliche Betätigung des Vereins würde zur Anwendung des TMG führen. Idealvereine können so zur Angabe eines Impressums nach dem TMG verpflichtet sein, wenn sie über Werbebanner oder -anzeigen oder durch sonstige Links und Verweisungen einen Verdienst erzielen oder offensichtlich wirtschaftliche Interessen eines fremden Unternehmens fördern. Die Höhe etwaig gezahlter Prämien ist unbeachtlich, so dass jedes Setzen eines Links gegen Entgelt die Geschäftsmäßigkeit bedingt und somit die Internetpräsenz impressumspflichtig nach § 13 TMG macht. So löst z. B. eine Buchempfehlung die Impressumspflicht aus (LG Essen, Urteil vom 26.04.2012 – Az. 4 O 256/11). Somit wäre dann wiederum das ganze TMG anzuwenden!

Siehe dazu auch unsere Nichtverlinkung unserer Sponsoren und die dazugehörige Begründung.

Warum ist das wichtig, ob das RStV, das BDSG oder TMG gilt? Die Rechtsverfolgungs- und Sanktionsmöglichkeiten unterscheiden sich erheblich und die Abmahnindustrie freut sich!

Datenschutzerklärung
§ 13 TMG enthält auch die Pflicht zur Datenschutzerklärung. Da für uns diese Gesetzesanwendung entfällt, tritt das allgemeine Bundesdatenschutzgesetz subsidiär dafür ein. Nach den §§ 1 Absätze 1 und 2 Nr. 3, 2 Absatz 4, 3 und 4a sowie 33 BDSG "müssen" (strittig) wir Seitenbesucher über die Datenerhebung und Datennutzung informieren.

Das BDSG wurde in der Vergangenheit eher stiefmütterlich als streng behandelt (es diente hauptsächlich der "schlechten Umsetzung" der EU-Richtlinie 95/46/EG und führte wegen der IP-Adresse zu einem bis zum EUGH getragener Rechtsstreit). Infolgedessen wurde es mit der Datenschutzerklärung vor allem von privaten Seitenbetreibern nie ernst genommen. Sanktionen wurden, wenn überhaupt, nur auf Antrag verfolgt und unterlagen nicht der Abmahnindustrie.

Nun kommt aber Ungemach von der EU auf die europäischen Mitgliedsstaaten zu. Irland als "datenschutzloses Land", Deutschland als zaghafter EU-Datenschutz-Umsetzer werden an die Hand genommen. Das BDSG wird zum 25.05.2018 aufgehoben, weil es ab dann europaweit durch die in allen EU-Ländern unmittelbar geltende EU-Datenschutz-Grundverordnung (DS-GVO vom 06.04.2016 - erster Entwurf ~2012) abgelöst wird. Seitdem arbeitet die Bundesregierung an einem neuen BDSG, kommt aber nicht richtig zu Potte.

Nach Artikel 6 Absatz 1 lit. a der dann geltenden EU-DSVGO haben wir eine Datenschutzerklärung vorzuhalten! Dieses kann sich nur ändern, wenn das neue BDSG etwas anderes regelt und Deutschland sich (wieder bis zum nächsten EUGH-Verfahren) somit gegen die EU stellt.

Disclaimer
Der englische Begriff „Disclaimer“ (zu deutsch etwa: „pauschaler Haftungsausschluss“/ „Freizeichnungsklausel“) deutet bereits darauf hin, dass es sich um ein Institut aus dem angloamerikanischen Recht handelt. Allein aufgrund der unterschiedlichen Rechtssystematik passen solche Klauseln nur bedingt auf Sachverhalte, die dem deutschen Recht unterfallen. Noch heute findet sich in vielen Impressen von Webseiten dennoch der folgende Hinweis:

„Mit dem Urteil vom 12. September 1998 - 312 O 58/98 – hat das Landgericht Hamburg entschieden, dass man durch die Anbringung eines Links die Inhalte der gelinkten Seiten ggf. mit zu verantworten hat. Dieses kann – so das Landgericht – nur dadurch verhindert werden, indem man sich ausdrücklich von diesen Inhalten distanziert. Hiermit distanziere ich mich ausdrücklich von allen Inhalten der von mir verlinkten Seiten.“

Die Distanzierungs-Disclaimer beruhen jedoch auf einer Fehlinterpretation des Urteils. Das LG führt in den Entscheidungsgründen aus, dass, sofern der Verbreitende sich von einer, von einem Dritten aufgestellten Behauptung, ausreichend distanziert, die Verbreitung einer von einem Dritten aufgestellten Tatsachenbehauptung keine Persönlichkeitsrechtsverletzung darstelle. Viele Internetnutzer interpretierten dieses Urteil jetzt so, dass der schlichte Satz „... hiermit distanziere ich mich ausdrücklich von ...“ für einen Haftungsausschluss ausreiche. Dabei stellte das LG in dem Urteil auf eine Gesamtschau ab.

Auch wenn in Literatur und Rechtsprechung die Haftung für Links auf fremde, rechtswidrige Inhalte noch heute hochumstritten ist, gilt grundsätzlich Folgendes: Eine Haftung tritt jedenfalls dann ein, wenn der Nutzer sich die fremden Inhalte zu eigen macht. Hierbei kommt es auf eine Gesamtschau aus der Perspektive eines objektiven, unbefangenen Betrachters an: Entscheidend ist etwa, ob eine (gestalterische oder verbale) Zustimmung zum Link erkennbar ist, der Link sich in einem entsprechenden wertend-kommentierenden Kontext befindet, ein besonderes (ggf. wirtschaftliches) Interesse des Linksetzenden erkennbar ist oder der verlinkte Inhalt eigene Inhalte ersetzen soll.

Selbst wenn ein solches „Zueigenmachen“ nicht vorliegt, kommt dem BGH zufolge gegebenenfalls eine verschuldensunabhängige Störerhaftung auf Unterlassung und Beseitigung in Betracht: Den Linksetzenden trifft demnach eine Prüfpflicht und kann sich nicht durch einen Disclaimer entschulden! Der Disclaimer hat rechtlich keine Wirkung, deshalb haben wir so etwas nicht!

Bildrechte
Oft vergessen, aber rechtlich ein ganz heißes Eisen ist das so genannte Recht am eigenen Bild! Umstritten ist auch, dass der Begriff "Veröffentlichung" zwischen (begrenzten) Printmedien und dem weltweiten Internet unterscheiden kann. Einen ersten Einstieg in die Bildrechte gibt die Datenschutz-Wiki.

Das Urheberrecht an einem Bild steht immer dem Fotografen zu - bis zu 70 Jahre über den Tod hinaus. Entstehen Bilder aber im Rahmen eines Arbeitsverhältnisses, werden dem Arbeitgeber automatisch umfangreiche Nutzungsrechte eingeräumt. In diesem Fall darf künftig nur der Arbeitgeber die Fotografien nutzen.

Jeder Mensch hat ein Recht am eigenen Bild. Nehmen Personen jedoch an öffentlichen Veranstaltungen teil oder sind sie nur Beiwerk einer Fotografie, müssen sich Fotografen keine explizite Zustimmung der Abgebildeten einholen. Auch Personen, die sich regelrecht in Pose setzen, können durch ihre schlüssige Handlung eine sogenannte konkludente Einwilligung zur Aufnahme geben.

Voraussetzung für einen Menschen als Beiwerk wäre, dass nach dem Gesamteindruck der Veröffentlichung die Landschaft der den Gesamtcharakter des Bildes prägende Abbildungsgegenstand ist und die auf dem Bild erkennbaren Personen derart untergeordnetes vorheriger Beiwerk darstellen, dass sie auch entfallen könnten, ohne dass Inhalt und Charakter des Bildes sich veränderten. Das ist eine Definition des OLG Oldenburg (13 U 72/88). Kurz gesagt, wenn das Beiwerk auf dem Bild gedanklich weg retuschiert wird und die Kernaussage des Bildes dennoch erhalten bleibt, handelt es sich tatsächlich um ein Beiwerk.

Soweit keine gesetzliche Ausnahme nach § 23 KunstUrhG vorliegt, dürfen Fotos von Personen nur mit deren Einwilligung verbreitet werden. Prinzipiell gilt damit auch bei Gruppenfotos, dass eine Einwilligung jeder einzelnen Person einzuholen ist, wenn diese Gruppe als Bildzweck/Hauptmotiv erfasst werden soll. Bei Aufnahmen von Minderjährigen bedarf es neben der Einwilligung des Minderjährigen zudem der Zustimmung der gesetzlichen Vertreter.

Nur weil eine Person mit mehreren anderen Personen abgelichtet wird, bedeutet dies nicht, dass sie auf ihr „Recht am eigenen Bild“ verzichtet. Daher kann auch jeder aus der Gruppe Herausgabe des Bildmaterials (§§ 1004 Abs. 1 S. 2 BGB analog i. V. m. §§ 823 Abs. 1, 249 S. 1 BGB), Vernichtung der Fotos nach §§ 37, 38 KUG oder gar Schadensersatz verlangen.

Für eigene Bilder des Vereins empfiehlt sich deshalb, auf jede Einladung zu einer Veranstaltung, auf der Fotos gemacht werden sollen, auf der Rückseite oder im Kleingedruckten nachstehende DATENSCHUTZERKLÄRUNG anzubringen:

Der Teilnehmer ist damit einverstanden, dass die in der Anmeldung genannten personenbezogenen Daten maschinell gespeichert, verarbeitet und genutzt werden dürfen und sie in der Teilnehmer- und Ergebnisliste im Internet und in Zeitungen veröffentlicht werden dürfen. Eine Weitergabe der im Rahmen dieser Veranstaltung angegebenen personenbezogenen Daten an Dritte findet nicht statt (außer an Wertungsturnieren zur Erstellung der ELO- bzw. DWZ-Rangliste der Schachverbände). Wir weisen in diesem Zusammenhang darauf hin, dass die hier erteilte Einwilligung mit Wirkung für die Zukunft widerrufen werden kann. Ferner erklärt sich der Teilnehmer damit einverstanden, dass die von ihm im Zusammenhang mit der Veranstaltung gemachten Fotos, Filmaufnahmen und Interviews ohne Vergütungsansprüche seitens des Teilnehmers genutzt werden dürfen.
Rechtsquelle: §§ 22 ff. Kunsturheberrechtsgesetz (KunstUrhG)

Offline

Liked by:

florian, petero, pfreud01

#4 08.01.2018 20:41:08

colinax
Developer

Re: EU-Datenschutzgrundverordnung ab 25.05.2018

Habe zur Zeit nur Internet am Handy,  daher halte ich mich kurz.

Soweit ich weiß wird das genannte WBCE Cookie nur in WBCE 1.2 und älter verwendet.

In WBCE 1.3 wurde ja das Session Management ersetzt und somit sollte auch das Cookie nicht mehr da sein.

Last edited by colinax (10.01.2018 09:41:35)


Die aktuellsten Versionen vom CKEditor und FCKeditor gibt’s im AOR und/oder auf meiner GitHub Seite.

Hinweis: Bin nur Montag bis Freitag im Forum aktiv.

Offline

#5 09.01.2018 08:28:31

florian
Projektmanagement und Support WBCE CMS

Re: EU-Datenschutzgrundverordnung ab 25.05.2018

@tomno399
Großen Dank für die ausführlichen Informationen, das ist sehr hilfreich.

Offline

#6 09.01.2018 11:18:40

tomno399
Member

Re: EU-Datenschutzgrundverordnung ab 25.05.2018

@colinax

Hmm, ich habe Online und Lokal geschaut - beides WBCE 1.3. Anbei ein Bild des von WBCE lokal erzeugten Cookies.

Offline

#7 09.01.2018 13:22:52

axelga
Member

Re: EU-Datenschutzgrundverordnung ab 25.05.2018

Guten Tag allerseits,
die EU-Datenschutzgrundverordnung sollte nicht unterschätzt werden. Zumal es sicherlich mit den entsprechenden Gesetzen in Deutschland zu Verwirrungen führen könnte (Was ist anwendbar; was ist nicht anwendbar?). Die Diskussionen um die Sicherheit im digitalen Alltag verschärft sich ja
allenthalben. Skandale um Datendiebstahl und datamining sind fast schon normal.
Und die Impressums- und Datenschutzhinweispflicht ist ja mittlerweile auch schon sehr umfangreich, sperrig und spezifisch (wie das Beispiel von tomno399 eindrücklich zeigt).
Ein neues Cookie-Modul für WBCE wäre eine gute Sache. Das müsste dann für den/die Websiteersteller*in folgende anklickbare/auswählbare Voreinstellungen haben: Opt-in, opt-out, reset cookie, Auswahl der 'Cookie-Adressen' (Google, Facebook, Adsense etc.), wählbare Hinweistexte auf Datenschutz, grafische Anpassungen ... (Denn nicht jede*r Webseiteersteller*in hat die Kenntnisse in js, php, html, um den Hinweis auf Cookies korrekt einzubauen.).
Auch Unterstützung von https im Installer wäre nicht schlecht; und ein Tool für die Umstellung auf https auch (wie von Florian erwähnt).
Also das ganze Programm.
Es würde dem/der Websitenutzer*in auch eine klare Entscheidungshilfe geben. Denn die Verwirrungen sind ja jetzt schon sehr gross.
Für das feine CMS WBCE wäre ein modernes EU-Cookie Modul ein Gewinn und eine große, weitere Qualitätsaufwertung.
Natürlich ist das viel Programmierarbeit. Und nur die hier in diesem CMS WBCE engagiert beteiligten Fachleute können beurteilen - ob dies machbar und lohnenswert ist.

Herzliche Grüsse aus der Nordeifel

Offline

Liked by:

florian, mk70, bastie

#8 10.01.2018 08:14:19

tomno399
Member

Re: EU-Datenschutzgrundverordnung ab 25.05.2018

@axelga
Wenn das "neue Cookie-Modul" so einfach wäre, würden wir hier nicht diskutieren. Meine Rechtshinweise oben beziehen sich auf eine nicht-geschäftmäßige Vereinsseite ohne Statistik-Erfassung, ohne Newsletter, ohne sonstige Datenverarbeitung. Das wäre bei einer geschäftsmäßigen oder gar gewerbsmäßigen Webseite schon ganz anders. Ein Beispiel zur Rechtsunsicherheit: Die Einwilligung zum Cookie-Setzen erfordert die Einwilligung; sie kann grundsätzlich formlos erteilt werden. Wie aber weist der Webseitenbetreiber die gegebene Einwilligung nach? Also geht nur Opt-In. Reicht eine "alles erklärende" und stets abrufbare Datenschutzerklärung oder muss bei jedem Kontaktformular, Kommentarfeld, Gästebuch usw. erneut eine spezifische Einwilligung eingeholt werden und wie wird dann die Einwilligung nachweisbar gespeichert?

Man sollte keine Pferde scheu machen, es gibt bei zwei Juristen auch drei Meinungen. Die DSGVO (beachte auch deren Erwägungsgründe zu den einzelnen Regelungen) gilt schon zwei Jahre lang, nur läuft jetzt im Mai die Übergangsfrist ab. Und selbst unsere Regierung hat bisher nichts zustandegebracht. Wenn man deshalb vorerst auf der sicheren Seite sein möchte, sollten unsere bestehenden Cookie-Module als Opt-In-Lösung (Seite abdunkeln, Menü lahmlegen und nur die Datenschutzerklärung zugängig machen oder Tschüss (wohin? Schleichwerbung für Google oder vielleicht unverfänglicher "MetaGer"?)) programmiert werden.

Offline

#9 10.01.2018 09:43:56

colinax
Developer

Re: EU-Datenschutzgrundverordnung ab 25.05.2018

tomno399 wrote:

@colinax

Hmm, ich habe Online und Lokal geschaut - beides WBCE 1.3. Anbei ein Bild des von WBCE lokal erzeugten Cookies.

Das Cookie gehört zur SessionID, damit ist meine Aussage in #4 falsch.

Was es genau macht und für was man es benötigt weis ich aber nicht.

LG


Die aktuellsten Versionen vom CKEditor und FCKeditor gibt’s im AOR und/oder auf meiner GitHub Seite.

Hinweis: Bin nur Montag bis Freitag im Forum aktiv.

Offline

#10 10.01.2018 09:58:09

colinax
Developer

Re: EU-Datenschutzgrundverordnung ab 25.05.2018

Was das Cookie Modul angeht, kann es aufgrund des 0815 Aufbaus nur informieren.

Die Programmierer schreiben ja selbst auf der Webseite hin, dass für opt-in oder opt-out die Seite angepasst werden muss.

Laut der Doku kann dass nur ein Programmierer.

Siehe: https://cookieconsent.insites.com/


Die aktuellsten Versionen vom CKEditor und FCKeditor gibt’s im AOR und/oder auf meiner GitHub Seite.

Hinweis: Bin nur Montag bis Freitag im Forum aktiv.

Offline

#11 10.01.2018 15:30:21

axelga
Member

Re: EU-Datenschutzgrundverordnung ab 25.05.2018

@ tomno399

@ tomno399 wrote:

Wenn man deshalb vorerst auf der sicheren Seite sein möchte, sollten unsere bestehenden Cookie-Module als Opt-In-Lösung (Seite abdunkeln, Menü lahmlegen und nur die Datenschutzerklärung zugängig machen oder Tschüss (wohin? Schleichwerbung für Google oder vielleicht unverfänglicher "MetaGer"?)) programmiert werden.

Mit dem nötigen Respekt Ihnen gegenüber: Das kann von Ihnen unmöglich ernsthaft vorgeschlagen sein.
Denn es bedeute ja, dass Websitenutzer*innen daran gehindert würden, unter Umständen dringend benötigte Informationen einsehen zu können, wenn sie den ‚Cookie-Hinweis‘ nicht akzeptierten. Die freie Entscheidungsmöglichkeit und der frei wählbare Zugriff auf Informationen sind dann nicht mehr gegeben. Und die freie Meinungsbildung über die Sinnhaftigkeit einer Information ist ebenfalls eingeschränkt, denn die Information ist ja nicht zugänglich und verwertbar.
Das kann auch nicht im Interesse der Websiteanbieter*innen sein. Ihre Webpräsenzen sind – so zu sagen – verbrannt, nutzlos. Und nicht zuletzt träfe das auch das CMS WBCE.

@ tomno399 wrote:

Man sollte keine Pferde scheu machen, es gibt bei zwei Juristen auch drei Meinungen.

Selbstredend. Aber im Falle einer rechtlichen Auseinandersetzung ist der Ärger und die Belastung groß. Materiell und sicherlich auch seelisch für diejenigen Websiteanbieter*innen, die einen Fehler gemacht haben, weil sie beim Einsatz von WBCE keine Möglichkeit hatten, einen zeitgemäßen EU-Cookie-Hinweis von WBCE anzuwenden (sei es aus Nachlässigkeit, Unwissen oder …). Das trifft ohne Frage auch auf die vielen anderen CM-Systeme zu!
Denn: Nicht alle Websiteanbieter*innen (gleichgültig ob aus dem privaten, non-profit oder gewerblichen Bereich) nutzen eine entsprechende Agentur, die die Webpräsenz aufsetzt.
Das ist ja auch die Stärke von WBCE: Ein schlankes, schön gestaltetes, übersichtliches und verstehbares CMS mit vorbildlichem Forum nicht nur für Profis.

Die bestehenden WBCE - Cookie-Module sind selbstverständlich der status quo und im Feld der sicheren Seite! Aber das Thema wirft doch Fragen auf – wie Sie ja zurecht im Punkt ‚Ein Beispiel zur Rechtsunsicherheit‘ beschrieben haben. Da geht es sicherlich um Modul-Lösungen, die – wie von Ihnen erwähnt - ‚nicht so einfach sind‘.

In Zuneigung für Sie, für das Team von WBCE und für WBCE selbst -
herzliche Grüße aus der Nordeifel.

Offline

#12 10.01.2018 17:21:06

tomno399
Member

Re: EU-Datenschutzgrundverordnung ab 25.05.2018

@axelga
Danke für den Respekt und für die durchaus begrüßenswert kritische Meinungsäußerung! Dafür sollte ein Forum dasein! Und auch wenn ich bald 70 werde, können wir gern das im Netz übliche Du verwenden. 

Zudem schlage ich eine Option wie oben beschrieben für diejenigen vor, die absolut sicher gehen wollen. Dass es daneben noch andere Wege für Nervenstarke geben könnte, sollte jedem belassen bleiben. In diesem Sinne verweise ich auf das Modul "Cookie Permisson" von Ruud, das diese beiden Optionen anscheinend bereits enthält (so verstehe ich die Google-Übersetzung).

Und wenn wir ehrlich sind, wir klicken viel im Netz, vermutlich dann auch auf solch eine Einwilligung, wenn es nicht gerade Por**-Seiten sind.

Ich mache die Vorschriften nicht und muss auch damit leben - immer in Abwägung, wo fängt das Risiko einer Abmahnung an. Warum ich so denke, wie ich oben schrieb, ist in den 173 offiziellen Erwägungsgründen zu den Artikeln der DSGVO nachzulesen, insbesondere in den Gründen 32, 42 und 43.

Offline

Liked by:

florian, axelga

#13 10.01.2018 18:16:14

axelga
Member

Re: EU-Datenschutzgrundverordnung ab 25.05.2018

@ tomno399

Herzlichen Dank für diesen ehrlichen und offenherzigen Meinungsaustausch!
- d’accord! -
Herzliche Grüße aus der Nordeifel.

Offline

#14 19.01.2018 12:10:40

florian
Projektmanagement und Support WBCE CMS

Re: EU-Datenschutzgrundverordnung ab 25.05.2018

Hier noch ein paar Fachartikel
http://www.studio1.de/blog.html
https://t3n.de/news/dsgvo-datenschutzgr … en-837794/
https://www.datenschutzbeauftragter-inf … ufgepasst/
https://www.datenschutzbeauftragter-inf … erordnung/

Für / in Österreich
https://www.wko.at/service/wirtschaftsr … erung.html

Generatoren für die Datenschutzerklärung (bitte unbedingt Nutzungshinweise beachten - ich mache mir die unten genannten Angebote nicht zu eigen - ich übernehme keine Gewähr für die Qualität der Angebote)
https://www.datenschutzexperte.de/daten … figurator/
https://dg-datenschutz.de/muster-datens … ng/#loaded
https://www.activemind.de/datenschutz/d … generator/

Zum Thema Cookies:

Die Verordnung stellt klar, dass Cookies, die keine Auswirkungen auf die Privatsphäre haben, ohne Einwilligung oder Information des Nutzers gesetzt werden dürfen. Das betrifft beispielsweise solche, die eine Website ausschließlich dafür nutzt, ihre Besucheranzahl zu erfassen.

Quelle:
http://www.lto.de/recht/hintergruende/h … htlinie/2/

Das bedeutet meines Erachtens, dass der Sessioncookie für Besucher unbedenklich ist - und wenn das der einzige Cookie ist, der gesetzt wird, also nicht noch Drittanbietercookies (Facebook, Google, Piwik(heißt jetzt anders), Affiliate, Werbenetzwerke o.ä.) gesetzt werden, ist auch der Cookiehinweis zukünftig verzichtbar.

Last edited by florian (19.01.2018 12:17:06)

Offline

Liked by:

petero

#15 22.01.2018 13:23:43

florian
Projektmanagement und Support WBCE CMS

Re: EU-Datenschutzgrundverordnung ab 25.05.2018

Es gibt eine neue Version von Miniform, in der mit Blick auf die DSGVO das Speichern der eingegebenen Besucherdaten deaktiviert werden kann.
https://forum.wbce.org/viewtopic.php?pid=15979#p15979

Offline

#16 22.02.2018 11:15:16

florian
Projektmanagement und Support WBCE CMS

Re: EU-Datenschutzgrundverordnung ab 25.05.2018

Neues:
1.) mpForm kann jetzt auch so eingerichtet werden, dass keine Daten mehr gespeichert werden.
https://forum.wbce.org/viewtopic.php?pid=16517#p16517

2.) In der aktuellen c't (5/2018) ist eine Artikelserie zu dem Thema DSGVO, die einen ganz guten Überblick vermittelt, allerdings keine Erkenntnisse bringt, die nicht aus o.g. Quellen schon hervorgehen.
https://heise.de/-3965485

Offline

#17 22.02.2018 13:17:32

webbird
Developer

Re: EU-Datenschutzgrundverordnung ab 25.05.2018

Interessanterweise las ich gerade letzte Tage einen Artikel darüber, wie aggressiv Datenschnüffler mittlerweile sind. Da sind Cookies eigentlich ein Witz.

Als Programmierer kann ich zum WBCE-Cookie folgendes sagen: Wenn sich nicht etwas gravierendes geändert hat, was ich nicht glaube, dient dieses Cookie lediglich dazu, die Benutzersession zuzuordnen. Das heißt im Cookie selbst sind keinerlei Daten enthalten. Allenfalls wäre es möglich, über das Namensschema zu erkennen, dass es sich um ein WBCE-Cookie handelt. Die Daten der Session sind auf dem Server gespeichert. Wenn man hier etwas absichern will, muss das auf Seiten der Sessionverwaltung passieren und ist ja auch schon passiert. Über die Lebensdauer des Cookies wurde an anderer Stelle schon mal diskutiert, ich weiß leider nicht den aktuellen Stand; normalerweise dürfte die Lebenszeit nicht länger sein als die der Session bzw. bis zum Ende der Browser-Sitzung.

Kleiner Exkurs: Da HTTP ein statusloses Protokoll ist, muss eine Authentifizierung, wie sie z.B. bei Verwendung des Backends bei jedem Aufruf notwendig ist, mit jedem Zugriff erneut erfolgen. Da man einen Benutzer ja schlecht bei jedem Zugriff erneut nach seinen Benutzerdaten fragen kann, muss man ihn anhand irgendwelcher Informationen wiedererkennen können. Standardweg ist dabei das Setzen eines Session-Cookies. Auf der Serverseite sind dann diverse Mechanismen zu implementieren, um sowas wie Session Hijacking zu unterbinden. Das heißt, es muss einem Angreifer erschwert werden, durch einfaches Übernehmen des Cookies - z.B. per Man-in-the-middle-Attacke - Zugang zu schutzbedürftigen Daten zu erhalten. Schützenswert und vom Gesetz her im Hauptfokus sind natürlich in erster Linie personenbezogene Daten, aber ganz banal gesehen will man ja auch schon nicht, dass irgendein Hacker Zugang zum CMS-Backend bekommt und die Seite mit Werbung vollmüllt. Im Session-Cookie ist in der Regel nichts weiter gespeichert als die Session-ID, der Server erhält beim Zugriff durch den Browser zusätzlich weitere Informationen, wie die IP-Adresse des Besuchers, Informationen über den Browser, das Betriebssystem usw. Diese Informationen können zur Absicherung der Session mit einbezogen werden, sind aber ebenso manipulierbar und damit unsicher wie der Cookie selbst.

Im Verhältnis gesehen ist der Cookie, den das CMS setzt, also eigentlich die uninteressanteste Information.


Some people just need a high-five. In the face. With a chair.

Offline

#18 23.03.2018 17:54:02

florian
Projektmanagement und Support WBCE CMS

Re: EU-Datenschutzgrundverordnung ab 25.05.2018

Also, ich muss schon sagen, dieses neue Datenschutzrecht - einfach toll.
So sieht dann also ab sofort eine typische DSE aus:
http://www.romance4you.com/pages/datenschutzhinweis.php

Alter Falter. WER zum Henker soll sich das bitte durchlesen?!

Offline

#19 23.03.2018 19:54:34

bernd
Developer

Re: EU-Datenschutzgrundverordnung ab 25.05.2018

Joo ... das hat was ...
also ich kenne Werke der Weltliteratur, die sind bedeutend kürzer (und spannender zu lesen)  roll


2 x ROT13 hält besser ...

Offline

Liked by:

florian, colinax

#20 23.03.2018 21:09:51

ice
Member

Re: EU-Datenschutzgrundverordnung ab 25.05.2018

Nur zum Denkanstoß. Punkt 4 beschreibt ausführlich welche Daten vom Server erhoben und gespeichert werden. Damit ist es aber nicht ganz getan. Oberstes Gebot ist die Datensparsamkeit. Man muss sich als Seitenbetreiber die Frage gefallen lassen, warum über mich z.b. der Referrer und die volle IP gespeichert wird, bloss weil ich die Seite aufrufe?

Meine Logs sind mittlerweile so eingestellt, dass der letzte Block der ipv4 adressen abgeschnitten wird. Ipv6 logs hab ich noch nicht gesehen bei all-inkl.

Last edited by ice (23.03.2018 21:11:14)

Online

Liked by:

florian

#21 26.03.2018 10:31:07

webbird
Developer

Re: EU-Datenschutzgrundverordnung ab 25.05.2018

Ist wie die EULA, die liest auch keiner durch...


Some people just need a high-five. In the face. With a chair.

Offline

#22 26.03.2018 11:05:15

florian
Projektmanagement und Support WBCE CMS

Re: EU-Datenschutzgrundverordnung ab 25.05.2018

Was mich gerade etwas verunsichert ist: der lange Sermon ist aus dem Generator der "Deutschen Gesellschaft für Datenschutz" gefallen (klingt amtlich, ist aber ein ganz normales privatwirtschaftliches Unternehmen). Auch die anderen oben verlinkten Generatoren erheben den Anspruch, DSGVO-konform zu sein (wenngleioch natürlich keine Garantie dafür gegeben wird), jedoch kommen da deutlich kürzere Texte heraus.

Stellt sich also die Frage: Machen es sich ActiveMind & Co. zu einfach, oder schießt die DG-Datenschutz übers Ziel hinaus?

Beunruhigend ist auch, dass bei den Generatoren üblicherweise Kontaktdaten abgefragt und wohl auch an die jeweiligen Anbieter übertragen werden. D.h. die haben jetzt sozusagen schon eine lange Liste, die sie dann theoretisch nach dem 26.05. abklappern könnten, um ... äh... zu überprüfen, ob das so alles seine Richtigkeit hat... sad

Offline

#23 26.03.2018 11:42:02

colinax
Developer

Re: EU-Datenschutzgrundverordnung ab 25.05.2018

florian wrote:

Beunruhigend ist auch, dass bei den Generatoren üblicherweise Kontaktdaten abgefragt und wohl auch an die jeweiligen Anbieter übertragen werden. D.h. die haben jetzt sozusagen schon eine lange Liste, die sie dann theoretisch nach dem 26.05. abklappern könnten, um ... äh... zu überprüfen, ob das so alles seine Richtigkeit hat... sad

Die DGD macht dass auch steht bei "Ihre Einwilligung" drinnen.


Die aktuellsten Versionen vom CKEditor und FCKeditor gibt’s im AOR und/oder auf meiner GitHub Seite.

Hinweis: Bin nur Montag bis Freitag im Forum aktiv.

Offline

#24 27.03.2018 23:44:58

jean
Member

Re: EU-Datenschutzgrundverordnung ab 25.05.2018

>Also, ich muss schon sagen, dieses neue Datenschutzrecht - einfach toll.

ja, das sieht nicht so toll aus (das geht den meisten Gesetzen und Verordnungen so). Und vermutlich wird es auch keiner vollständig lesen. Aber das ändert nichts daran, daß diese Grundsätze sinnvoll und notwendig sind, auch in einer Zeit, in der mensch nicht mehr dagegen kämpft, ob jemand an der Wohnungstür nach der Größe der Küche fragen darf. Und ja, wenn der Schutz personenbezogener und sensibler Daten dazu führt, daß es ein paar hässliche, schwurbelige Seiten mehr im Netz gibt - geschenkt.

>So sieht dann also ab sofort eine typische DSE aus:

... was dann ja schon vermutlich wieder gegen die Vorgaben verstösst: "... leicht wahrnehmbar, verständlich und klar nachvollziehbar ...". Das Teil ist vermutlich die copy-paste-Maximal-Forderung paranoider Anwälte ... Aber wem es um die zusätzlich durch die Leitung gequetschen Bits und Bytes leid tut - es geht ja durchaus übersichtlicher, z.B. die onpager der Telekom. Ob die öfter gelesen werden, kann ich nicht sagen. Hauptsache, es gibt diese Vorgaben und man kann sie ggf. irgendwo nachlesen und einfordern.

http://www.bmjv.de/DE/Themen/FokusTheme … _node.html
https://www.telekom.de/datenschutz-ganz-einfach

Offline

#25 28.03.2018 07:44:12

florian
Projektmanagement und Support WBCE CMS

Re: EU-Datenschutzgrundverordnung ab 25.05.2018

Ja schon, Danke für den Link - kannte ich natürlich noch nicht, wer hätte das gedacht, dass die Regierung zu mehr in der Lage ist, als nur Schilder am Rand der Datenautobahn aufzustellen. Anyway, die DSE-Empfehlungen sind aus 2015 und daher möglicherweise noch nicht EU-DSGVO-konform.

Wo kämen wir auch hin, wenn die Detailinformationen erst durch Anklicken eines Aufklappfelds oder gar einer Extra-Seite abrufbar sind!11!1 Da wird es doch sicherlich findige Juristen geben, die das ganz schnell beim einschlägigen Landgericht als unzulässig und wettbewerbsverzerrend erklären lassen!

Last edited by florian (28.03.2018 07:54:10)

Offline

Liked by:

byteworker

Board footer

Powered by FluxBB

up