Thomas Görtler antwortet am 01.07.2013 16:51:18 Hallo Herr Becker, soweit mir bekannt ist wird im Cookie (das auf dem PC des Users gespeichert wird) lediglich die PHP Session ID gespeichert. Das Cookie ist nur gültig bis zum Sessionende, was am Ende des Bestellvorgangs der Fall ist oder nach dem Schließen des Browsers. In den Sessiondaten des Besuchers, die über die Session ID des Cookies identfiziert werden, sind weitere Informationen zum Besuch gespeichert. Da dies Session bezogen ist, werden die Daten nach dem Besuch bzw. nach dem Ende der Session zurückgesetzt, da der User dadurch nicht mehr identifizierbar ist. Man könnte jetzt dem User noch den Vorschlag unterbreiten, dass er auf Cookies verzichtet, dann bleibt nur noch die Implementierung der Session ID im URL was meiner Meinung nach ein mittelschweres Sicherheitsrisiko darstellen kann. Cookies mit Laufzeiten über dem Besuch/Einkauf hinaus finde ich auch bedenklich, da hierdurch das Surfverhalten der User nachvollzogen werden kann. Die Frage ist nun, wie könnte man den xaranshop an dieser Stelle noch verbessern? Vielleicht gibt es hierzu noch konstruktive Vorschläge seitens der xaranshop User? Über Quellen oder Links zum Thema würde ich mich freuen. Freundliche Grüße, Thomas Görtler info (ατ) punktsoft.de http://www.punktsoft.de
Martin Becker antwortet am 02.07.2013 11:22:59 Hallo Herr Görtler, das Problem ist, dass die EU-Richtlinie, dt. Fassung hier: http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2009:337:0011:01:de:HTML noch immer nicht in deutsches Recht umgesetzt ist und damit zumindest die Möglichkeit besteht, dass sich Benutzer direkt auf die nach verbreiteter juristischer Ansicht nicht ganz eindeutige Richtlinie selbst berufen können, was bedeutet: Ärger kann nicht ausgeschlossen werden. Einschlägig sind in der Begründung die Randziffer (66) und die zugehörige Änderung des Art. 5 der Datenschutzrichtlinie (Suchtext auf der sehr langen Seite: "5. Artikel 5 Absatz 3 erhält folgende Fassung:"). Er ist aber vermeidbar, erfolgt ein zu bestätigender allgemeiner Hinweis bei Aufruf der Shopseiten mit Link zu den notwendigen Hinweisen über die Verarbeitung der persönlichen Daten im Shop. Bei Google sieht das so aus: --- snip --- Cookies helfen uns bei der Bereitstellung unserer Dienste. Durch die Nutzung unserer Dienste erklären Sie sich damit einverstanden, dass wir Cookies setzen. OK Weitere Informationen --- snip ---- Der Link "Weitere Informationen" führt dann auf die Erläuterungsseite, was warum mit den Cookies gespeichert wird. Ein opt-out, wie ich das im Ursprungspost annahm, ist gar nicht möglich. Ein solcher, nach Bestätigung wieder verschwindender Hinweis zu Beginn der Startseite (ähnlich einem noscript-Bereich für die JavaScript-"Deaktivierer") würde wohl ausreichen und sollte im Gegensatz zu einer vollständigen opt-out Lösung, wie sie Ihnen anscheinend aufgrund meiner Darlegung in den Sinn gekommen ist, auch keinen all zu großen Aufwand bedeuten. Einen schönen Sommertag noch Martin martinbecker (ατ) colorado-shop.de http://www.colorado-shop.de
Thomas Görtler antwortet am 02.07.2013 12:26:57 Hallo Herr Becker, vielen Dank schonmal für die umfangreichen Informationen. Ich werde mich hier einmal durchackern ... Mal sehen ob ein entsprechender Hinweisdialog irgendwie machbar ist. In der aktuellen Cookie Umsetzung des xaranshop müsste diese bei jedem erneuten Besucht bestätigt werden, da das Cookie ja nicht dauerhaft gesetzt ist. Könnte das eventuell den Besuchern auf Dauer lästig sein? Alternativ könnte hier ein zweites Cookie mit längerer Haltbarkeit helfen ... Ich prüfe einmal die Möglichkeiten hier am Testserver und halte Sie auf dem Laufenden ... Freundliche Grüße, Thomas Görtler info (ατ) punktsoft.de http://www.punktsoft.de
Martin Becker antwortet am 02.07.2013 14:13:12 Hallo Herr Görtler, es betrifft nicht mal das für einen Einkauf nötige Session-Cookie bei XARAN, es geht um die zusätzlichen, z.B. das temporäre Speichern der aufgerufenen Artikel im Shop, da das für das Shoppen selbst nicht zwingend notwendig ist. Außerdem um Cookies von Drittanbietern, die bei Aufruf der Seite gesetzt werden - bei uns z.B. von sharethis.com, denn damit muss ein Besucher nicht rechnen. Für xaran-Anwender, die also lediglich das für den Einkauf notwendige Sessioncookie speichern lassen besteht bis dato keine Hinweispflicht in D - mangels Umsetzung der RiLi in dt. Recht. Für Verkäufer, die auch in (Teilen) der übrigen EU tätig sind, kann das schon wieder anders aussehen. Sorry, ich halte es in Zeiten der Echelon-Nachfolger PRISM, Tempora und BND-Absichten auch schon für ein sehr snobistisches Thema Benutzerdaten betreffend, bin aber glücklicherweise nur der Bote. Freundliche Grüße Martin martinbecker (ατ) colorado-shop.de http://www.colorado-shop.de
Thomas Görtler antwortet am 02.07.2013 14:55:05 Hallo Herr Becker, hier noch eine recht interessante Information zu dem ganzen Thema vom Arbeitskreis der europäischen Datenschutzbeauftragten. http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2012/wp194_de.pdf Somit macht es durchaus Sinn eine Cookie Abfrage einzusetzen sobald bestimmte Kriterien erfüllt sind (Third party cookies, Analysecookies usw.). Für den reinen Onlineshopbetrieb (nur das xaranshop Session ID Cookie) ist es meiner Meinung nach nicht notwendig eine solche Abfrage umzusetzen. Sobald externe Tools und Dienste sowie interne Analysetools zum Einsatz kommen aber schon. Das xaranshop Session ID Cookie enthält ja außer der Session ID keine weiteren Informationen und wird am Ende einer Session (Browser wird geschlossen, Einkauf beendet) automatisch gelöscht. Auch die "zuletzt besuchten" Artikel werden nicht im Cookie gespeichert sondern in der Session am Server. Am Ende der Session bzw. sogar schon während des Besuchs des Shops werden diese Informationen nach und nach automatisch "vergessen". Wenn Sie mehrere Seiten besuchen, fallen immer wieder Artikel aus der Liste. Ich setze den Cookie Dialog trotzdem einmal auf die ToDo Liste, für xaranshop Kunden, die externe Tools, Dienste und interne Analysetools usw. verwenden. Freundliche Grüße, Thomas Görtler info (ατ) punktsoft.de http://www.punktsoft.de