Website DSGVO konform machen und Cookies richtig handlen

Ah, Firebase ist ein Produkt von Google. Da wĂŒrde ich im abmahnfreudigen Deutschland vorsichtshalber immer ein Cookie-Banner machen! 😅

---
Wenn man eine Webseite in Deutschland hat, steht man quasi schon mit einem Bein im Knast... 🙃

Z. B. wurden einige Zeit Webseiten abgemahnt, da Google-Fonts von Googles CDNs nachgeladen worden sind:
 
Ich glaube du wirfst hier Dinge durcheinander/zusammen.
Es gibt sowohl die DSGVO und in Bezug auf Cookies wichtiger die ePrivacy-Richtlinie bzw. in der Überarbeiteten Version von 2009 auch gerne Cookie-Richtlinie genannt (https://de.wikipedia.org/wiki/Datenschutzrichtlinie_fĂŒr_elektronische_Kommunikation).
Es ist dringend anzuraten sowohl die DSGVO als auch die Cookie-Richtlinie einfach mal selbst zu lesen. Als Grundlage fĂŒr die Interpretation gilt fĂŒr die meisten EU-Regularien meist, dass die Rechte der BĂŒrger (wohlwollend) zu schĂŒtzen sind, ohne wirtschaftlich all zu sehr einzuschrĂ€nken.

Grundlegender DGVO Crashkurs. Wenn du in irgend einer Form Daten verarbeitest, brauchts dazu einen berechtigten Anlass (wie, was unter welchen Bedingungen, steht recht eindeutig in der DSGVO). Wenn du Daten durch Dritte verarbeiten lĂ€sst, brauchst du als Anbieter einen Vertrag ĂŒber eben jene Datenverarbeitung, also mindestens der Hoster den du verwendest und Google mit der Anbindung von FireBase. Wahrscheinlich hast du so einen Vertrag vielleicht bereits abgeschlossen. Du solltest da aber dringend(!) anfangen den Kram wirklich zu lesen. Denn VertrĂ€ge zur Datenverarbeitung im Auftrag sind kein Blankocheck fĂŒr dich und auch nicht fĂŒr beauftragte Dritte, Letztere versuchen es ĂŒber die VertrĂ€ge immer wieder..

Und zum Setzen fĂŒr Cookies, wenn du als Anbieter das Setzen von Cookies nicht unter Kontrolle hast, kannst du Cookiebanner, DatenschutzerklĂ€rungen noch und nöcher formulieren und es wird dennoch nicht rechtskonform.
ErgÀnzung ()

NPC schrieb:
Wenn man eine Webseite in Deutschland hat, steht man quasi schon mit einem Bein im Knast... 🙃

Z. B. wurden einige Zeit Webseiten abgemahnt, da Google-Fonts von Googles CDNs nachgeladen worden sind:
Um mit VerstĂ¶ĂŸen gegen Datenschutzgesetze und PrivacyRichtlinien in den Knast zu kommen, muss man sich sehr anstrengen. Also mit voller (nachweisbarer) Absicht wiederholt Recht brechen.

Und die Abmahnungen wegen Google-Fonts waren großteils Rechtsmissbrauch. Die Abmahnenden haben die Staatsanwaltschaft an der Backe. Zudem gerade Google-Fonts anstatt sie von Google Servern einzubinden auch einfach direkt vom eigenem Server ausgespielt werden können. Die Lizenzen sollten das erlauben (bitte Lizenzen selber lesen!).
Der Absicht der Regulierung ist ja gerade, die Anbieter dazu zu zwingen Lösungen zu nutzen, die möglichst wenig Invasiv mit privaten Daten umgehen. Bei den Fonts ist es ja gerade simpelst, dass anstatt Daten unkontrolliert an Dritte abfließen zu lassen, die Fonts von eigenen Servern kommen können und keine (zusĂ€tzlicher) Abfluss von Daten oder gar Tracking erfolgt. Wer als Anbieter an der Stelle rumheult, zeigt halt keinerlei VerstĂ€ndnis fĂŒr die PrivatsphĂ€re Dritter und ist genau der Grund, wieso es diese Regularien gibt.
 
Zuletzt bearbeitet:
Piktogramm schrieb:
Ist die ganze Sache echt so komplex? Ich dachte das wÀre einfacher. Man hört immer von SelbststÀndigen Websiten Entwicklern. Das ist ja furchtbar.
 
Zuletzt bearbeitet von einem Moderator:
webby555 schrieb:
Cookies werden nur von Firebase gesetzt und die Seite funktioniert nicht ohne. Also brauche ich theoretisch keinen ?
Das kommt nicht darauf an, ob du Firebird verwenden willst, sondern wofĂŒr die Cookies genutzt werden. Das solltest du als Entwickler wissen bzw. dein Dienstleister sollte diese Informationen bereitstellen. WĂŒrde Firebase z.B. Tracking-Cookies setzen, wĂ€re eine Einwilligung unvermeidlich.
 
  • GefĂ€llt mir
Reaktionen: kim88 und Piktogramm
Ich werde morgen oder ĂŒbermorgen in Kontakt treten mit jemanden. Ich werde euch auf dem laufenden halten. Wenn jemand Lust hat kann man ja sich diesen Post ma irgendwie merken. Wenn nichts dabei rauskommt, wĂ€re ich sogar bereit dafĂŒr evtl mal fĂŒr jemanden hier die Seite ĂŒber DC zu zeigen fĂŒr eine Professionellere Meinung, da ich dann etwas PrĂ€sentieren könnte. Ich habe nochnie als Webentwickler geschafft und fĂŒr mich war es eine mĂ€chtige Herausforderung das alles neben dem Beruf zu lernen. Ich fĂŒhle mich ehrlich gesagt etwas ĂŒberwĂ€ltigt gerade.
 
Piktogramm schrieb:
Wenn du in irgend einer Form Daten verarbeitest, brauchts dazu einen berechtigten Anlass (wie, was unter welchen Bedingungen, steht recht eindeutig in der DSGVO).
Es geht um die Verarbeitung personenbezogener Daten, nicht um generelle Datenvearbeitung.
 
Dragon0001 schrieb:
Das kommt nicht darauf an, ob du Firebird verwenden willst, sondern wofĂŒr die Cookies genutzt werden. Das solltest du als Entwickler wissen bzw. dein Dienstleister sollte diese Informationen bereitstellen. WĂŒrde Firebase z.B. Tracking-Cookies setzen, wĂ€re eine Einwilligung unvermeidlich.
Ich werde morgen oder ĂŒbermorgen in Kontakt treten mit jemanden. Ich werde euch auf dem laufenden halten. Wenn jemand Lust hat kann man ja sich diesen Post ma irgendwie merken. Wenn nichts dabei rauskommt, wĂ€re ich sogar bereit dafĂŒr evtl mal fĂŒr jemanden hier die Seite ĂŒber DC zu zeigen fĂŒr eine Professionellere Meinung, da ich dann etwas PrĂ€sentieren könnte. Ich habe nochnie als Webentwickler geschafft und fĂŒr mich war es eine mĂ€chtige Herausforderung das alles neben dem Beruf zu lernen. Ich fĂŒhle mich ehrlich gesagt etwas ĂŒberwĂ€ltigt gerade.
 
webby555 schrieb:
Ist die ganze Sache echt so komplex? Ich dachte das wÀre einfacher. Man hört immer von SelbststÀndigen Websiten Entwicklern. Das ist ja furchtbar.
Nachdem jeder und sein Bruder Daten von allem und jedem erhoben hat, sie nicht gesichert, dafĂŒr aber unktrolliert mit Dritten geteilt hat, gibt es halt jetzt entsprechende Regulierung. Theoretisch wĂŒrde man von einem Entwickler, der mehr als StackOverflow zusammenkopieren kann auch erwarten, dass kontrollierte Datenverarbeitung auch genau das ist, was in die Kompetenz von Entwicklern fĂ€llt. Bei entsprechend bewusster, und kontrollierter Datenverarbeitung ist es dann auch gar nicht so kompliziert.

Wer 20 Frameworks und SaaS-Plattformen ohne Sinn und Verstand einbinden eskaliert sich entsprechend die KomplexitÀt der Datenverarbeitung mit entsprechenden Implikationen beim Aufwand das Ganze mit den geltenden Regularien in Einklang zu bringen.

Theoretisch ist es gar recht simpel. Wenn man seine Webseite anbietet, einfach keine Daten erheben[1]. Cookies erst setzen, wenn du sicher davon ausgehen kannst, dass das im Sinne der Nutzenden ist.

[1] Bereits das Log vom Server sollte man an der Stelle unter Kontrolle haben. Böse Zungen behauptet aber, dass man das sowieso tun sollte und nur Vollhonks die Config ihres Servers nicht unter Kontrolle haben..
ErgÀnzung ()

KitKat::new() schrieb:
Es geht um die Verarbeitung personenbezogener Daten, nicht um generelle Datenvearbeitung.
Danke Captain Obvious.
 
  • GefĂ€llt mir
Reaktionen: ni-sc und Dragon0001
Jo sorry aber ich habe Websiten entickeln selbst gelernt. Das man manche Dinge nicht beim erstversuch richtig macht, is gegeben. Kritik ist gut, aber Kritik zum Kritisieren ist es nicht.

Also Personenbezogene Daten erhebe ich nicht. Man kann aber sagen es macht vermutlich Firebase. Das ist jetzt angekommen.
ErgÀnzung ()

Piktogramm schrieb:
Jo sorry aber ich habe Websiten entickeln selbst gelernt. Das man manche Dinge nicht beim erstversuch richtig macht, is gegeben. Kritik ist gut, aber Kritik zum Kritisieren ist es nicht.
Also Personenbezogene Daten erhebe ich nicht. Man kann aber sagen es macht vermutlich Firebase. Das ist jetzt angekommen.
 
Zuletzt bearbeitet von einem Moderator:
webby555 schrieb:
Jo sorry aber ich habe Websiten entickeln selbst gelernt. Das man manche Dinge nicht beim erstversuch richtig macht, is gegeben.

Ich will hier keinesfalls kritisieren.

Gerade weil ich damals auch jemand war der mir das damals selber beigebracht hat. Fairerweise war damals (Anfang der 0er Jahre) das Internet noch ein einfacherer Ort.

Es gab weniger Gesetze und es haben sich am Ende einfach auch weniger Leute dafĂŒr interessiert. Am Ende musste aber auch ich meine Lektion lernen - da auch Anfang der 0er Jahre sich lizenzinhaber sich dafĂŒr interessierten, wenn man jeden Donnerstag Abend ein Internet-Radio betreibt und dort neben RedebeitrĂ€gen auch Musik (die man ĂŒber irgendwelche Torrent-Tauschbörsen organisisert hat) in die weite Welt sendet.

Ich hatte hier insgesamt viel GlĂŒck, die Busse war weitgehend harmlos weil die Verwertungsgesellschaft (Suisa) hier ziemlich fair war und angerechnet hat das ich auch noch MinderjĂ€hrig war, etc

Dennoch gibt es schönere Erfahrungen - die du die hier halt ersparen kannst - in dem du dich wirklich gut damit auseinandersetzt.
 
  • GefĂ€llt mir
Reaktionen: Piktogramm
webby555 schrieb:
Also Personenbezogene Daten erhebe ich nicht.
Wenn du die Aussage so tĂ€tigst, dann tust du es doch und hast tendenziell "nur" kein Bewusstsein noch Kontrolle darĂŒber.

Gegen selbst lernen gibt es nichts einzuwenden. Die meisten Kurse bzw. Lehre in Studium/Ausbildung sind da oftmals auch nicht besser. Der Kontrollierte Umgang mit Daten und persönlichen bzw. personalisierbaren wird meist nicht ausreichend sensibilisiert.

Dein Eröffnungspost deutet darauf hin, dass du ĂŒber das Handling von Daten und Cookies keine Kontrolle hast, vielleicht auch weil schlicht Wissen fehlt. Ohne diese Kontrolle lĂ€ufst du immer Gefahr ungerechtfertigt persönliche Daten zu verarbeiten, genauso wie ohne genaue Kontrolle ĂŒber DatenflĂŒsse auch immer die Gefahr zum ungewollten Datenabfluss besteht (Stichwort Sicherheit). Da fehlt also technisch wie organisatorisch die Grundlage fĂŒr einen fachgerechten Betrieb und ohne ist ein rechtlich einwandfreier Betrieb auch kaum möglich.

Sieh es als Lehrgeld ;)
Grundlegend nochmal die Architektur angehen, da genau definieren wo, wann, wie welche Daten fließen. Dabei JEDE genutzte Komponente betrachten (also u.a. auch den Webserver und alle verwendeten Protokolle) und in die Betrachtung auch alle Dienstleistungen Dritter ebenfalls beachten. Das ist gar nicht so komplex, zumindest nicht komplexer als es vernĂŒnftige Softwarearchitektur eh braucht. Allenfalls will man als EinzelkĂ€mpfer die Nutzung von Dienstleistungen Dritter begrenzen, da das Nachvollziehen von DatenflĂŒssen an der Stelle umfangreich und vor allem eine Daueraufgabe ist, da sich Dienste der Großen sehr schnell Ă€ndern.
 
webby555 schrieb:
Also Personenbezogene Daten erhebe ich nicht.
Wenn ich mir die Beschreibung deiner Seite weiter oben anschaue, verarbeitest du sehr wahrscheinlich personenbezogene Daten, wie z.B. Namen oder E-Mail-Adressen. IP-Adressen werden zumindest bei Firebase auch geloggt. Und diese werden dann unter UmstĂ€nden auch noch außerhalb der EU gespeichert.
 
FĂŒr 150€ ne Briefkastenadressen im nicht EU Land holen und Webseite darauf registrieren. Keine Probleme mit dem hiesigen Quatsch ;-)
 
Piktogramm schrieb:
Ich werde mich die nĂ€chsten Tage damit mal nĂ€her beschĂ€ftigen, da es alles sehr individuell ist und es keine Feste lösung gibt. Ich werde hier danach wieder Posten. Außerdem werde ich die Seite mal genauer Beschreiben. Falls das einer sehen will, am besten einfach mal den Post irgendwie saven.
 
Zuletzt bearbeitet von einem Moderator:
ZurĂŒck
Oben