I totally like the QoL oneboxes bring to the Discourse users. However, i stumbled upon the following ‘issue’:
While Youtube for example is embedded via LazyYT and therefore doesn’t load the iframe and attached cookies until the users presses play, this functionally seems to be absent for every other player onebox.
Vimeo for example loads the entire iframe, player and cookies on page load
Therefore my question: Is it planned to replicate the LazyYT functionality on other oneboxes like Vimeo or how would be the best way to go about it on my own. I am aware that i am able to simply blacklist Vimeo and the like which only should be my last resort, though.
I know it is debatable if this is necessary to comply with GDPR, but nonetheless I think better control over embedded 3rd party content would be worthwhile as the LazyYT example shows to some extent.
As I see it every of those iframes transfers IP, and load third-party non-essential cookies for every user (also not registered ones) before they are able to agree with that.
Apart from that especially topics with multiple embeds could run into performance issues when for example 10 players are loading at the same time.
LazyYT does it pretty fine I think, and Preview in post creation. (Option for a 3rd party hint on top of the preview image could be helpful, too)
I’ve noticed a few European websites now let the user decide whether they want to see embedded content. This is especially useful for sites that are known to follow you around the web and build a profile even if you haven’t signed up with them. I’d like to give community members that kind of control over their privacy.
show content from Facebook
Something like this near every embed or in the user preferences might be too much for some, though. A more seamless alternative could be Embetty: https://github.com/heiseonline/embetty
Maybe a first simple step would be to implement a general option in the user settings to enable/disable 3rd party content, activating/deactivating the onebox feature on a per user base?
We are also craving for an option like this, but are not really able to implement it.
Ich habe dieses Thema gefunden, nachdem unsere Nutzer Bedenken geäußert hatten. Discourse lädt Inhalte von Youtube (das Bild des Videos) ohne Zustimmung der Nutzer… Außerdem können wir dem Nutzer keine Informationen anzeigen, was es bedeutet, wenn er auf das Video klickt. Daher bezweifle ich, dass dies eine gültige Zustimmung zur Übermittlung von Informationen an Youtube ist, da Discourse weitere Skripte usw. von Youtube laden wird.
Gibt es eine Lösung, um Discourse DSGVO-konform zu machen, außer OneBoxing zu deaktivieren?
Streng genommen ist auch das Einbetten von Bildern von URLs Dritter problematisch. Kann dies überhaupt deaktiviert werden?
Bei YouTube gibt es an sich keine Probleme mit der DSGVO. Sagen Sie den Nutzern einfach, dass Dritte für die Einhaltung der DSGVO verantwortlich sind – was sie tatsächlich tun müssen, und YouTube/Google tun es auch. Dasselbe, was Sie zum Beispiel mit Analytics tun müssen. TikTok ist eine viel größere Frage.
Bei Bildern geben Sie meines Wissens keine personenbezogenen Daten preis.
Entschuldigung, aber nein. So einfach ist das nicht.
Wenn eine Website vom Browser aus Ressourcen von Dritten anfordert, wird die IP-Adresse (aus unumgänglichen Gründen) an diesen Dritten übertragen. Und der Betreiber dieser Website wird für diese Datenübertragung verantwortlich gemacht. Da die IP-Adresse zur Identifizierung von Personen verwendet werden kann, ist sie durch die DSGVO geschützt.
Ja, so einfach ist das. Und die IP-Adresse ist nicht geschützt, da sie nutzlos ist, um eine Person zu identifizieren. Sie ist Teil technischer Daten, die immer verwendet und gespeichert werden dürfen, solange dies erforderlich ist.
Ich bin mir nicht sicher, in welcher Gerichtsbarkeit Sie leben, aber in meiner haben Gerichte bereits entschieden, dass die Verwendung von Google Fonts ohne Zustimmung des Nutzers nicht DSGVO-konform ist.
In dem von mir oben geposteten Link finden Sie einige Details zur alternativen Domain youtube-nocookie.com. Es wäre möglich, dass Discourse Youtube Oneboxen eine Option zum Einbetten von Videos von dieser Domain anbieten. Die Antwort des Discourse-Teams in diesem Thema gibt an, warum dies noch nicht implementiert wurde.
Es ist erwähnenswert, dass YouTube auch mit der Domain youtube-nocookie.com Tracking-Cookies im Browser setzt, nur eben keine Marketing-Cookies.
Bei der Suche im Web nach Beispielen für Websites, die eingebettete YouTube-Videos DSGVO-konform implementiert haben, ist das Beste, was ich gefunden habe: YouTube and Vimeo without Cookies | CookieTractor. Es stammt von einem Unternehmen, das einen Cookie-Management-Service betreibt, daher ist der Artikel möglicherweise voreingenommen. Interessant daran ist die YouTube-Video-Demo. Um es auszuprobieren, klicken Sie auf den Link „Ihre Cookie-Einstellungen“ auf der Seite und laden Sie die Seite neu. Es lohnt sich, die drei möglichen Cookie-Optionen auszuprobieren, um zu sehen, wie die Dinge gehandhabt werden.
Etwas Ähnliches könnte von Discourse implementiert werden. Der Versuch, Discourse in Drittanbieter-Cookie-Management-Systeme zu integrieren, ist mühsam.
Beachten Sie, dass ich keine starken Meinungen dazu habe und nicht in der EU lebe. Ich antworte hier, weil ich weiß, dass es sich um etwas handelt, das Website-Betreiber besorgt und das sie bei der Verwendung externer Dienste nur schwer implementieren konnten.
show content from Facebook
