Persistente Sitzungen und GDPR-Cookie-Einwilligung

Ich richte ein Discourse-Forum in einer sehr datenschutzbewussten Umgebung ein. Das aktuelle Problem, auf das ich stoße, ist die Einstellung persistent sessions (dauerhafte Sitzungen), d. h. „Angemeldet bleiben“ für die Anmeldung. Soweit ich weiß, verlangt die DSGVO, dass ein Nutzer ausdrücklich der Speicherung von Funktionalitäts-/Präferenz-Cookies zustimmt, wozu auch dauerhafte Sitzungen gehören (da das Cookie, das für eine dauerhafte Sitzung verwendet wird, oder genauer gesagt seine Lebensdauer über die Browsersitzung hinaus, nicht unbedingt erforderlich ist).

Dies führt zu zwei sehr unattraktiven Wahlmöglichkeiten:

1. Deaktivieren Sie persistent sessions. Dadurch wird jeder Benutzer gezwungen, sich jedes Mal anzumelden, wenn er das Forum besucht, oder ihm wird vorgeschlagen/aufgezwungen, die browserbasierte Speicherung von Anmeldeinformationen zu verwenden, wenn er vermeiden möchte, sich jedes Mal manuell anzumelden. Da wir jedoch SSO für den Forenzugang verwenden und es viele verschiedene Dienste gibt, die über diese SSO-Anmeldung zugänglich sind, ist es keine gute Strategie, wenn Benutzer SSO-Anmeldeinformationen nur für den Zugriff auf das Forum speichern. Es könnte mehr schaden als nützen.
2. Aktivieren Sie persistent sessions. Aber hier sehe ich keine praktikable Möglichkeit, ein Cookie-Banner in Discourse zu integrieren, das eine benutzerkonfigurierbare Einstellung für dauerhafte Sitzungen handhabt. Letzteres ist entscheidend, da die Zustimmung vom Benutzer erteilt werden muss, einschließlich der Möglichkeit, diese Zustimmung zu widerrufen, was eine Form von Cookie-Banner-/Managementlösung erfordert.

Ich bin in einer Reihe von Discourse-Foren aktiv, bei denen persistent sessions aktiviert ist, aber keine Cookie-Zustimmungsoption angeboten wird (einschließlich dieses Meta-Forums). Und es scheint mir, dass sie gegen die DSGVO verstoßen?

Liege ich mit der obigen Einschätzung falsch (da ich kein Anwalt bin)? Und gibt es wirklich keine guten Lösungen, die ein Cookie-Zustimmungsbanner in Discourse integrieren, das die Konfiguration einer benutzerbezogenen Einstellung für dauerhafte Cookies ermöglicht?

Bearbeitung: Ich habe Cookie Consent, GDPR, and Discourse und Beiträge wie Session Timeout - #56 by sam gelesen, bevor ich gepostet habe, aber sie gehen nicht wirklich auf den Kern der dauerhaften Sitzungen ein.

Hier sind jetzt zwei verschiedene Dinge.

Rechtlich gesehen benötigen Sie gemäß der DSGVO/dem Datenschutz keine Zustimmung für eine persistente Sitzung. Es handelt sich um einen technischen Cookie für einen Benutzer, der nicht zum Sammeln personenbezogener Daten verwendet wird. Sicher, Sie müssen angeben, dass er vorhanden ist, aber es liegt in der Verantwortung des Benutzers, sich jedes Mal abzumelden, wenn er nicht erinnert werden möchte. Sie können ihn trotzdem anbieten.

Und dann gibt es noch Folgendes:

Das ist ein völlig anderes Spiel und Spielfeld. Hier im Norden melden sich alle Websites, die in irgendeiner Weise im Bankwesen, im Gesundheitswesen, bei Regierungs-/Kommunalbehörden usw. tätig sind, automatisch nach einiger Zeit oder nach einer Inaktivitätsperiode ab (hoffentlich ist das weltweit wahr), und dann sind persistente Sitzungen unmöglich. Und dasselbe gilt für Websites, die aus ihren eigenen Gründen sehr datenschutzbewusst sind.

Ob das in Ihrem Fall zutrifft, weiß ich nicht, aber hier gibt es viele Profis, die es wissen könnten/werden.

Aber im Allgemeinen benötigen Sie keine Zustimmung des Benutzers dafür. Es kann jedoch Sonderfälle geben, in denen Sie ihn nicht einmal anbieten können.

Der Punkt ist nicht, dass er keine persönlichen Daten sammelt, der _t-Cookie identifiziert Sie als Person, da er direkt mit der Sitzung Ihres Benutzerkontos auf dem Discourse-Server verbunden ist. Das Setzen des Authentifizierungs-Cookies in Ihrem Browser bedeutet also, dass Sie für den Server identifizierbar sind, wann immer Sie den Browser verwenden, um die Website zu besuchen, die ihn gesetzt hat (und somit nicht anonym sind). Von der Datenschutz-Arbeitsgruppe der Europäischen Kommission Stellungnahme 04/2012 der Artikel-29-Datenschutzgruppe zu Cookie-Einwilligungsausnahmen – 00879/12/EN WP 194:

Persistente Anmelde-Cookies, die einen Authentifizierungstoken über Browsersitzungen hinweg speichern, sind nicht unter KRITERIUM B ausgenommen. Dies ist ein wichtiger Unterschied, da sich der Benutzer möglicherweise nicht sofort bewusst ist, dass das Schließen des Browsers seine Anmeldeeinstellungen nicht löscht. Er kehrt möglicherweise zur Website zurück in der Annahme, dass er anonym ist, während er tatsächlich noch beim Dienst angemeldet ist. Die üblicherweise verwendete Methode, eine Checkbox und einen einfachen Hinweis wie „Angemeldet bleiben (verwendet Cookies)“ neben dem Formular zu verwenden, wäre eine geeignete Möglichkeit, die Zustimmung zu erhalten und somit die Notwendigkeit einer Ausnahme in diesem Fall zu vermeiden.

Beachten Sie, dass sie eine einfache Lösung vorschlagen, die Websites implementieren können: eine „Angemeldet bleiben“-Checkbox im Anmeldeformular, die heutzutage fast überall verfügbar ist (aber nicht in Discourse). Dies war eine Entscheidung aus dem Jahr 2012, also vor Inkrafttreten der DSGVO, aber ich sehe keine Informationen, dass sie aufgehoben wurde (z. B. Cookie Consent Exemptions: Strictly Necessary Cookies - CookieYes vom August 2023 erwähnt immer noch, dass persistente Authentifizierungs-Cookies eine Zustimmung benötigen). Es kann jedoch rechtliche Nachwirkungen oder Entwicklungen geben, die mir nicht bekannt sind.

Falsch. Es ist der einzige Punkt.

Das ist kein Sammeln und Speichern von persönlichen Daten, die verwendet werden können oder werden, um einen Benutzer zu identifizieren. Ein Forum weiß sowieso, wer Sie sind.

Woher weiß ein Forum, wer Sie sind, wenn Sie es mit einem Browser besuchen, in dem dieser Cookie nicht gesetzt ist? Und Sie sollten ein Forum nutzen können, ohne implizit verfolgt zu werden, es sei denn, Sie haben dem ausdrücklich zugestimmt, in diesem Fall, dass Sie zulassen, dass der _t-Cookie nach dem Ende der Browsersitzung bestehen bleibt.

Zur Klarstellung: Die obige Information ist falsch.

@paulmelis Ich denke, Sie haben Recht und das ist eine gute Beobachtung.

Ein persistenter Cookie benötigt eine ausdrückliche Erlaubnis, auch wenn er dem Benutzer eine bestimmte Funktionalität bietet: Der Benutzer muss die Funktionalität ausdrücklich angefordert haben.

Erschwerend kommt hinzu, dass die verschiedenen bestehenden „Cookie-Zustimmungsbanner“-Lösungen, die derzeit für Discourse verfügbar sind, einschließlich der offiziellen Theme-Komponente, nicht DSGVO-konform sind. Sie informieren den Benutzer lediglich über das Setzen dieser Cookies, aber wenn der Benutzer nicht auf die Schaltfläche „Ich verstehe“ klickt, setzt Discourse diese Cookies trotzdem. Mit anderen Worten, diese Lösungen bitten nicht um Erlaubnis für etwas, das passieren wird, sondern informieren den Benutzer darüber, dass etwas passiert (oder schlimmer: bereits passiert ist).

Selbst wenn Sie ein Cookie-Zustimmungsbanner auf Ihrem Forum hätten, verstoßen Sie bei aktivierten persistenten Sitzungen immer noch gegen die DSGVO.

All dies gesagt, bezweifle ich, dass dies in der Praxis ein großes Problem sein wird, aber für diejenigen unter uns, die 100%ige Compliance anstreben, ist dies in der Tat ein Problem.

Vorerst bleibt Ihnen nur die Möglichkeit, die Einstellung persistent sessions zu deaktivieren.

Auf den ersten Blick scheint dies in einem Plugin sehr gut machbar zu sein, obwohl es viel besser wäre, wenn dies im Kern von Discourse enthalten wäre.

Nein, das ist nicht der Fall. Dies wurde bereits so oft über EU-Anwälte in großen Unternehmen abgewickelt und hat sich nie geändert.

Ich muss mich immer noch daran erinnern, was das Ziel und der Zweck der DSGVO und ihrer Nachfolger sind. Und warum wir technische Cookies ohne Zustimmung haben können.

@paulmelis hat Zitate aus offiziellen EU-Dokumenten bereitgestellt, in denen ausdrücklich angegeben wird, dass sie gemäß DSGVO nicht zulässig sind.

Wenn Sie andere Informationen haben, bin ich ganz Ohr, aber bitte zitieren Sie Ihre Quellen und stellen Sie Links zu den Originaldokumenten bereit.

Das steht dort nicht.

Keine Beleidigung, aber das ist genauso schwierig und irgendwie sinnlos, öffentliche Gesetzgebung als Quelle anzubieten, wie es sinnlos ist, mich zu den Geheimnissen des Swap-Angebots man swapon zu führen. Es gibt eine Nachfrage nach Wissen, und ich kann diese Manpages lesen, aber ich verstehe nicht, was ich lese.

Ich arbeite täglich damit und keine dieser Fragen ist neu für mich. Deshalb gebe ich zwei Empfehlungen:

• Kaufen Sie die benötigte Software und fragen Sie, welche Zustimmung für alles gewünscht wird (das hilft nicht, denn letztendlich ist entscheidend, wie die Daten verwendet werden, nicht die Zustimmung an sich).
• Wenn ein Unternehmen groß genug ist (wie z. B. CDCK), dass tatsächlich das Risiko von Geldstrafen besteht, muss es die Rechtsabteilung des Unternehmens oder einen professionellen Drittanbieter nutzen.

Richtig, das ist (leider) das, was ich jetzt tue.

Ich bin wirklich neugierig, wie Sie dieses Dokument dann gelesen haben. Ich meine, 3.2 Authentifizierungs-Cookies legt es ziemlich klar dar:

Authentifizierungs-Cookies werden verwendet, um den Benutzer nach der Anmeldung zu identifizieren (Beispiel: auf einer Online-Banking-Website). Diese Cookies sind erforderlich, damit sich Benutzer bei wiederholten Besuchen der Website authentifizieren und auf autorisierte Inhalte zugreifen können, wie z. B. die Anzeige ihres Kontostands, Transaktionen usw. Authentifizierungs-Cookies sind in der Regel Sitzungs-Cookies. Die Verwendung von persistenten Cookies ist ebenfalls möglich, aber sie dürfen nicht als identisch betrachtet werden, wie unten erläutert.

Erkennt die Notwendigkeit von Authentifizierungs-Cookies (nicht zu verwechseln mit technischen Cookies). Stellt ausdrücklich fest, dass die Lebensdauer dieser Cookies, d. h. Sitzung vs. persistent, impliziert, dass sie unterschiedlich behandelt werden müssen.

Wenn sich ein Benutzer anmeldet, fordert er ausdrücklich den Zugriff auf Inhalte oder Funktionalitäten an, für die er autorisiert ist. Ohne die Verwendung eines in einem Cookie gespeicherten Authentifizierungs-Tokens müsste der Benutzer bei jeder Seitenanforderung einen Benutzernamen/ein Passwort angeben. Daher ist diese Authentifizierungsfunktion ein wesentlicher Bestandteil des Informationsgesellschaftsdienstes, den er ausdrücklich anfordert. Als solche sind diese Cookies gemäß Kriterium B ausgenommen.

Es ist jedoch wichtig zu beachten, dass der Benutzer nur den Zugriff auf die Website und bestimmte Funktionalitäten zur Ausführung der von ihm benötigten Aufgabe angefordert hat. Der Akt der Authentifizierung darf nicht als Gelegenheit genutzt werden, den Cookie für andere sekundäre Zwecke wie Verhaltensüberwachung oder Werbung ohne Zustimmung zu verwenden.

Anmeldung bedeutet, dass der Benutzer der Anmeldung zugestimmt hat, nicht aber der Nutzung von Authentifizierungs-Cookies für andere Arten der Datennutzung.

Persistente Anmelde-Cookies, die ein Authentifizierungs-Token über Browsersitzungen hinweg speichern, sind nicht unter Kriterium B ausgenommen. Dies ist ein wichtiger Unterschied, da der Benutzer sich möglicherweise nicht sofort bewusst ist, dass das Schließen des Browsers seine Anmeldeeinstellungen nicht löscht. Er kehrt möglicherweise zur Website zurück in der Annahme, anonym zu sein, obwohl er tatsächlich noch beim Dienst angemeldet ist. Die übliche Methode, eine Checkbox und einen einfachen Informationshinweis wie „Angemeldet bleiben (verwendet Cookies)“ neben dem Formular zu verwenden, wäre eine geeignete Möglichkeit, die Zustimmung einzuholen und somit die Notwendigkeit einer Ausnahme in diesem Fall zu entkräften.

Kriterium B lautet:

der Cookie ist „zwingend erforderlich, damit der Anbieter eines Informationsgesellschaftsdienstes, der vom Teilnehmer oder Nutzer ausdrücklich angefordert wurde, den Dienst erbringen kann“.

Der Nutzer muss also seine Zustimmung geben, bevor persistente Authentifizierungs-Cookies gesetzt werden dürfen. Grund: Man kann nicht davon ausgehen, dass ein Nutzer standardmäßig die Auswirkungen der persistenten Authentifizierung kennt.

Ja, die Gesetzgebung ist diffus und komplex, mit vielen verschiedenen Aktualisierungen über fast zwei Jahrzehnte. Und selbst die offiziellen EU-Websites, die ich mir angesehen habe, scheinen sehr unübersichtlich zu sein, wenn es darum geht, wie sie mit Cookies umgehen und ihre Richtlinien darlegen.