rdombach
Avatar rdombach
Themenersteller
Security-Admin
Content Halbgott (608 Beiträge)

EU-Cookie Richtlinie

am 27.05.2012, 19:07 Uhr eröffnete rdombach folgenden Thread
Sonstige    3183 mal gelesen    8 Antwort(en).

Hallo alle miteinander,

ich denke, es hat sich rumgesprochen, da es eine umzusetzende EU-Richtlinie zur Cookie-Behandlung gibt.
Demnach ist der "Webseiten-Besucher vor setzen eines Cookies um Erlaubnis zu fragen". Mal ungeachtet der Realitätsnähe, der Sinnhaftigkeit und der genauen Spielregeln (Was ist, wenn ich schon ein Cookie aus alter Zeit gesetzt habe? Wie lange gilt das OK? etc.) - hat da schon jemand der Cookies setzt, sich mit dem Gedanken beschäftigt, wie er mit dieser Richtlinie umgehen will?

Was er implementieren will bzw. muss, um rechtlichen Konsequenzen vorzubeugen?

Beste Pfingstgrüße!
Ralph

siehe auch ... www.heise.de/newsticker/meldung/Schaar-Cookie-Regeln-der-EU-gelten-unmittelbar-1570745.html




Bitte nicht vergessen, Virenscanner und Co. zu aktualisieren!
SecuTipp: GRATIS Security-Informationen für die eigene Webseite und [url="http://twitter.com/secuteach"][img]http://w

joerg
Avatar joerg
Fachinformatiker Anwendungsentwicklung
Content Gott (1941 Beiträge)
am 28.05.2012, 22:45 Uhr schrieb joerg

Hallo Ralph

Also ich hoffe mal auf entsprechende Updates für die CMS die das bei mir einsetzen. Wenn sie überhaupt das was da verhindert werden soll einsetzen.

Bisher habe ich noch nicht mal herrausfinden können ab wann das Ganze gelten soll und wie eine Vorgehensweise aussehen könnte.

Mir erschliesst sich auch nicht der Sinn des Ganzen. Geht wohl in Richtung Datenschutz aber anständige Informationen habe ich noch nicht dazu gefunden.

Gruß
Jörg


Zufällige Umleitung zu der Startseite einer meiner Domains
Meine ungewöhnlichen Tools

seitenreport
Avatar seitenreport
Inhaber
TYPO3 Senior Developer
Content Gott (1772 Beiträge)
am 29.05.2012, 07:05 Uhr schrieb seitenreport

Wenn ich richtig informiert bin, gilt die Verordnung nur für in die Privatsphäre eingreifende Cookies, bspw. Tracking-Cookies.

Session- und Warenkorb-Cookies fallen wohl nicht darunter (das wäre auch wirklich sehr unsinnig, da dann Session-Daten auf mittelfristige Sicht wohl wieder per URL-Anhängsel übertragen werden würden, was sehr unschön aussieht). Eine Quelle habe aber auch ich momentan nicht parat.

Beste Grüße,
Matthias


SEO Analyse und Website-Check mit Seitenreport

Chance
Programmierer
Guru (173 Beiträge)
am 29.05.2012, 08:33 Uhr schrieb Chance

URL Anhängsel halte ich auch für ein Sicherheitsrisiko.


rdombach
Avatar rdombach
Security-Admin
Content Halbgott (608 Beiträge)
am 29.05.2012, 12:51 Uhr schrieb rdombach

Hallo alle miteinander,

nun vereifacht gesagt, es ist alles kompliziert und unkalr.

Im wesentliche ist Frist der EU, zur Umsetzung der Richtlinie in lokales Recht verstrichen. Deutschlang hinkt also etwas hinterher.
Es gibt einen deutschen Entwurf, der aber auch nicht alles klar definiert bzw. regelt. Beispielsweise sind Cookies nur ein Teilgegenstadnd - denn es geht allgemein gehalten um Daten, die über eine Anwendung lokal gespeichert werden - das kann vielerlei sein.

Primär geht es natürlich um Personenbezogene Daten und hier fängt es auch schon an. Denn ob z.B. eine IP-Adr. personengezogen ist, oder nicht, darüber gibt es unterschiedliche Meinungen.

Generelll meine ich, sollte man als Webseitenbetreiber überlegen, welche Daten man erhebt und was man wirklich braucht! Wenn ich z.B. auf einer Webseite bin und diese begrüßt mich mit meinem Vornamen - ist da zwar nett, kann aber den Betreiber in Teufels Küche bringen.

Also einfach mal darüber nachdenken, was man speichert und ob es nicht auch Wert wäre, im Ipressum/Datenschutzbestimmungen darüber ein Wort zu verlieren.


Beste Grüße
Ralph


Bitte nicht vergessen, Virenscanner und Co. zu aktualisieren!
SecuTipp: GRATIS Security-Informationen für die eigene Webseite und [url="http://twitter.com/secuteach"][img]http://w

seitenreport
Avatar seitenreport
Inhaber
TYPO3 Senior Developer
Content Gott (1772 Beiträge)
am 29.05.2012, 15:46 Uhr schrieb seitenreport

Hallo Ralph,

rdombach schrieb:

Generelll meine ich, sollte man als Webseitenbetreiber überlegen, welche Daten man erhebt und was man wirklich braucht!


Ja, nicht umsonst gibt es ja auch die Vorschrift der Datensparsamkeit. So dürfen bspw. Angaben zum Beruf keine Pflichtangaben sein, sofern diese Angabe nicht unbedingt für ein Portal benötigt wird.

rdombach schrieb:

Wenn ich z.B. auf einer Webseite bin und diese begrüßt mich mit meinem Vornamen - ist da zwar nett, kann aber den Betreiber in Teufels Küche bringen.


m.E. ist es eher anders herum: Wenn Du z.B. ein Forum anbietest, bist Du u.U. sogar in der Pflicht, Name und Adresse eines "Störers" herauszugeben, wenn Du nicht selbst haftbar gemacht werden möchtest. Ich kenne auch kein größeres deutsches Portal, in dem Vor- und Nachname nicht abgefragt werden würden.

Eine personelle Anrede z.B. in Newslettern oder wie hier auf Seitenreport in der Loginzeile (Guten Morgen Matthias), die die bereits vorhandenen Daten nutzt, finde ich da im Datenschutzsinne weniger schlimm. Mir persönlich gefällt es sogar besser, wenn ich persönlich angesprochen werde, als wenn ich ein "Sehr geehrte Dame, sehr geehrter Herr" o.ä. erhalte .

Auch darf ja (rein rechtlich) in Registrierungsformularen ein falscher Name angegeben werden, sofern es sich um keine Bestellung o.ä. handelt und man keinen Schindluder unter fremden Namen betreibt. Daher sehe ich das nicht als Problem an. Eine zu starke Anonymität im Netz oder in Foren halte ich da für weitaus bedenklicher.

@jörg: da braucht es kein CMS Update. Eine Umstellung in der php.ini sollte reichen: mrfoo.de/archiv/251-Session-ID-nicht-in-der-URL-sondern-nur-im-Cookie-speichern.html



(keine Rechtsberatung, persönliche Meinung).

Sonnige Grüße,
Matthias


SEO Analyse und Website-Check mit Seitenreport

joerg
Avatar joerg
Fachinformatiker Anwendungsentwicklung
Content Gott (1941 Beiträge)
am 29.05.2012, 16:17 Uhr schrieb joerg

Hallo Matthias

Das ist aber bereits der Fall das in der Url nichts übernommen wird.
Würde das bedeuten das wenn ich in meiner Url durch Parameter was stehen habe was wie so ein angesprochender Cookie aussieht ich dann schon Ärger bekommen könnte? Obwohl da nichts weiter dahinter steckt?

Ich hatte da gerade noch so einen Fall der mir gar nicht behagt.

Nachtigal ich höre dich trapsen wenn es so ist, denn dann wäre eine kleine URL-Manipulation durch Setzen von Parameter echt der Scherz schlechthin.

Momentan nach einem etwas grösseren Rundblick denke ich eher das meine CMS gar nicht davon betroffen sind in der jetzigen Form.

Nur wenn die Ersteller von dem CMS das im Grunde noch eifrig diskutieren ob oder ob nicht ist das ganze zu schwammig formuliert.

Ich weiss nur soviel egal wie ob mit Update von dem CMS oder durch eigenes Anpassen. Wenn ich in der Hinsicht von Datenschutz noch was anpassen müsste werde ich das dann auch gegebenenfalls erfüllen.

Gruß
Jörg


Zufällige Umleitung zu der Startseite einer meiner Domains
Meine ungewöhnlichen Tools

rdombach
Avatar rdombach
Security-Admin
Content Halbgott (608 Beiträge)
am 29.05.2012, 18:29 Uhr schrieb rdombach

Hallo Matthias,

prinzipiell hast Du völlig recht und ich schätze eine persönliche Begrüßung auch.

seitenreport schrieb:

rdombach schrieb:

Wenn ich z.B. auf einer Webseite bin und diese begrüßt mich mit meinem Vornamen - ist da zwar nett, kann aber den Betreiber in Teufels Küche bringen.


m.E. ist es eher anders herum: Wenn Du z.B. ein Forum anbietest, bist Du u.U. sogar in der Pflicht, Name und Adresse eines "Störers" herauszugeben, wenn Du nicht selbst haftbar gemacht werden möchtest. Ich kenne auch kein größeres deutsches Portal, in dem Vor- und Nachname nicht abgefragt werden würden.



Aber es kommt wieder auf das Umfeld an. Seitenreport ist ja bzgl. ABGs gut aufgestellt - aber viele andere haben da Defizite. Wer sich keine Einverständniserklärung des Users holt und auch seine AGB-Änderungen etc. nicht nachvollziehbar darlegen kann bekommt ggf. Probleme.
Das ganze Thema Datenschutz & Rechte wird zunehmend komplexer. Wer Daten "sammelt", sei es aus Bequemlichkeit, aus Service-Gründen oder um diese zu vermarkten geht Risiken ein, wenn er dies nicht korrekt macht.

Mir geht es eigentlich nur darum, darauf hinzuweisen und die Webseiten-Betreiber vor möglichen Gefahren zu warnen. Wie Du schon sagst Datensparsamkeit bzw. Datenvermeidung ist hier ein effektives Verfahren.

Beste Grüße
Ralph


Bitte nicht vergessen, Virenscanner und Co. zu aktualisieren!
SecuTipp: GRATIS Security-Informationen für die eigene Webseite und [url="http://twitter.com/secuteach"][img]http://w

seitenreport
Avatar seitenreport
Inhaber
TYPO3 Senior Developer
Content Gott (1772 Beiträge)
am 30.05.2012, 09:11 Uhr schrieb seitenreport

rdombach schrieb:

Wer sich keine Einverständniserklärung des Users holt und auch seine AGB-Änderungen etc. nicht nachvollziehbar darlegen kann bekommt ggf. Probleme.


Ja, was mich persönlich bei der neuen Cookie-Richtlinie kratzt, ist, dass die Einverständniserklärung vor Besuch der eigentlichen Website eingeholt werden muss (bswp. via Popup). Das erinnert mich etwas an "die guten alten" Popup Werbebanner, die einfach nur lästig waren.

Aber vielleicht entwickelt ja jemand ein passendes Firefox-Addon, das einer Whitelist von Websites automatisch eine Einverständniserklärung gibt .

Wie handhaben es derzeit die anderen europäischen Länder? Kennt jemand Websites, die diese Cookie Richtlinie bereits umgesetzt haben? Dies wäre sicher interessant, um sich das einmal "live" anzusehen.

rdombach schrieb:

Das ganze Thema Datenschutz & Rechte wird zunehmend komplexer. Wer Daten "sammelt", sei es aus Bequemlichkeit, aus Service-Gründen oder um diese zu vermarkten geht Risiken ein, wenn er dies nicht korrekt macht.


Ja, damit sind wir beim guten alten Gegensatz der kleinen und großen Betriebe. Kleine Betriebe haben ja oft nicht die (finanziellen) Möglichkeiten, die vielen rechtlichen Fallstricke wasserdicht zu gestalten und liefern sich dadurch oft einem permanenten Abmahnrisiko aus.

Obwohl den Schindluder mit den privaten Daten (Zusammenführung, Persönlichkeitsprofile etc.) doch oft gerade von den großen Betrieben betrieben wird, da diese die finanziellen Möglichkeiten für entsprechende Automatismen und Serverstruktur haben (Facebook, Google?, Werbenetzwerke etc.).

rdombach schrieb:

Mir geht es eigentlich nur darum, darauf hinzuweisen und die Webseiten-Betreiber vor möglichen Gefahren zu warnen. Wie Du schon sagst Datensparsamkeit bzw. Datenvermeidung ist hier ein effektives Verfahren.


Ja, ich stimme Dir im Großen und Ganzen vollends zu. Letzten Endes müssen Gesetze ja auch umgesetzt werden. Selbst wenn sie (m.E.) unsinnig sind.

Beste Grüße,
Matthias


SEO Analyse und Website-Check mit Seitenreport

  • 1


« zurück zu: Sonstige

Das Seitenreport Forum hat aktuell 5276 Themen und 36111 Beiträge.
Insgesamt sind 48364 Mitglieder registriert.