Datenschutzschlösser mit blauem Hintergrund
#datenschutzwebsiteDSGVOCookies
Autor: Mario Lubenka

Consent Management: Dynamische Auflistung aller Ressourcen und Dienste

Gemäß Artikel 13 der DSGVO sind Webseitenbetreiber dazu verpflichtet, Webseitenbesucher/innen über die Nutzung, Speicherung und Verwendung ihrer personenbezogenen Daten zu informieren. Dies umfasst u.a. neben den Informationen, die der/die Besucher/in auf der Webseite eingibt, auch die IP-Adresse, wie das Urteil des BGH vom 16.05.2017 klarstellt (Az. VI ZR 135/13).

Mit unserem DSGVO Website Audit finden wir datenschutzrechtlich kritische Ressourcen wie Cookies und externe Dateien und können diese anschließend bei der Integration unserer dkd-gdpr-Extension für das Content Management System TYPO3 konfigurieren. Dadurch wird sichergestellt, dass diese Ressourcen nur dann geladen werden, wenn der Nutzer der Verwendung aktiv zugestimmt hat.

In diesem Beitrag demonstrieren wir am Fallbeispiel einer unserer Kunden, wie wir beide Komponenten einsetzen, um den Webseitenbesucher/innen eine transparente Übersicht über die eingesetzten Dienste zur Verfügung zu stellen.

Anforderungen

Bei der Integration einer DSGVO-konformen Consent-Lösung bei einem unserer Kunden sollte eine Übersicht über die auf der Website eingebundenen Dienste erstellt werden. Diese enthält eine Auflistung, welche Cookies und wie viele Ressourcen von welchem Anbieter eingebunden werden. Das Ziel ist es, Transparenz über die Verwendung dieser Dienstleister zu schaffen und den Websitebesuchern/innen zusätzliche Informationen über die Verwendung zu kommunizieren.

Die Besonderheit bei der Umsetzung ist, dass die TYPO3-Redakteure über den Google Tag Manager die Möglichkeit haben, jederzeit zusätzliche Ressourcen einzubinden. Das können beispielsweise JavaScripts, StyleSheets oder Grafiken sein, die dann von einem externen Dienstleister geladen werden und damit zu den datenschutzrechtlich kritische Ressourcen zählen.

Die vollständige Auflistung aller verwendeten Dienste wird erschwert, da wir aus Entwicklungssicht nicht mehr die volle Kontrolle über die eingebundenen Ressourcen und Scripts haben. Eine händische Erstellung und Pflege dieser Liste ist daher kaum sinnvoll. Die Übersicht ist daher dynamisch und muss in regelmäßigen Abständen aktualisiert werden.

Verwendete Ressourcen ermitteln

Mit unserem dkd-DSGVO-Website-Audit-Scanner ist es möglich, in regelmäßigen Intervallen die Website nach datenschutzrechtlich kritischen Ressourcen, wie Cookies und externe Dateien, zu scannen und diese zu dokumentieren. Dieser Scan kann sowohl sämtliche solcher Ressourcen, als auch nur die, die noch nicht durch eine Consent-Management-Lösung abgedeckt sind, auffinden. Hierdurch erhalten wir eine komplette Liste der datenschutzrechtlich kritischen Ressourcen für jede Seite.

So erzeugen wir täglich für über 80 Domains jeweils einen Audit-Report, welcher alle verwendeten Ressourcen auflistet. Die Analyse verwendet dabei die Sitemap als Basis für die Analyse sowie die Links, die auf den Seiten gefunden werden. Während der Audit-Report i.d.R. als PDF-Datei präsentiert wird, liegt dieser technisch auch im JSON-Format vor, was eine einfache Weiterverarbeitung durch TYPO3 oder ein anderes System ermöglicht.

Integration in TYPO3 CMS

Der tagesaktuelle Audit-Report im JSON-Format wird durch das TYPO3-System angefordert und verarbeitet. Dabei werden die verwendeten Cookies und Ressourcen der verschiedenen TYPO3-Webseiten in eine gemeinsame Liste gebündelt.

Das Bild auf der rechten Seite zeigt die Darstellung dieser Liste in TYPO3. Die Einbindung erfolgt in diesem Fall über einen speziellen Seitentyp, wäre aber prinzipiell auch per Inhaltselement möglich.

Als Entwickler können wir die ermittelten Ressourcen einem Anbieter wie beispielsweise YouTube zuordnen, um die Informationen für den Webseiten-Nutzer verständlicher zu gestalten und ggfs. auch eine kurze Beschreibung zum jeweiligen Anbieter hinzuzufügen. Außerdem sieht der Webseiten-Nutzer direkt, über welche Option in den Consent-Einstellungen er den Dienst verwalten kann und kommt mit dem Klick auf "Datenschutz-Einstellung" direkt dorthin. Ressourcen, die keinem Anbieter zugeordnet wurden, werden unter dem Abschnitt "Weitere" komplett aufgelistet.
 

Fazit

Das obere Schaubild zeigt das Gesamtkonstrukt bestehend aus unserem GDPR-Scanner sowie die Extension im TYPO3, welche auf unserer dkd-GDPR-Extension basiert. Durch den täglichen Scan aller Ressourcen sowie der anschließenden Verarbeitung des Reports im TYPO3 ist es uns möglich, auf Änderungen der eingebundenen externen Ressourcen zu reagieren und die Liste der eingebundenen Ressourcen aktuell zu halten, um den Benutzer akkurat informieren zu können.

Zusätzlich zum oben dargestellten Ablauf könnten die verantwortlichen Personen auch per E-Mail oder über einen Messenger benachrichtigt werden, wenn externe Ressourcen verwendet werden, die noch kategorisiert werden müssen.

 

Unsere Empfehlung

Wir empfehlen den regelmäßigen, automatisierten Einsatz eines GDPR Audit Tools grundsätzlich allen Unternehmen, die häufig neue Inhalte in ihre Website einstellen. Insbesondere bei Unternehmen, bei denen viele Abteilungen und Personen an der Website arbeiten, kommt es häufig vor, dass neue Inhalte nicht in der Consent-Lösung berücksichtigt werden. Durch den regelmäßigen Scan können diese Ressourcen identifiziert und anschließend in die Consent-Lösung integriert werden.

Zeigen Sie Ihren Websitenbesuchern/innen, dass der Datenschutz Ihnen wichtig ist. Machen Sie transparent, welche Dienste Sie aus welchen Gründen auf Ihrer Website einbinden und holen Sie Ihre/n Websitenbesucher/in ab.

Unsere TYPO3-Extension dkd-gdpr ermöglicht das und bietet noch weitere Vorteile:

  • Flexibilität: Durch die Konfiguration per TypoScript können je Domain bzw. Zielland andere Einstellungen vorgenommen werden, um die Consent-Lösung beispielsweise für Länder, wo die GDPR keine Anwendung findet, zu deaktivieren.
  • Integration mit Dritt-Extensions: Auch Extensions von Drittanbietern lassen sich problemlos an unsere Consent-Lösung anbinden.
  • Consentgerechte Darstellung: Wenn Elemente aufgrund fehlendem Consent nicht dargestellt werden können, gibt es die Möglichkeit stattdessen Fallback-Elemente anzuzeigen. Hierdurch kann darüber informiert werden, dass Inhalte aufgrund der gewählten Consent-Einstellungen nicht anzeigt werden können. Über einen Button kann der benötigten Berechtigung zugestimmt oder die Consent-Einstellungen geöffnet werden.

Gerne helfen wir Ihnen bei der Integration einer individuellen Consent-Lösung in Ihre Website.
Bitte kontaktieren Sie uns dafür über unser Kontaktformular – wir melden uns zeitnah bei Ihnen!

Pushbenachrichtigungen aktivieren

Dank der Push-Notifications von dkd sind Sie immer up to date und erhalten Pushs zu neuen Blogbeiträgen. Wir versorgen Sie mit News, ausgewählten Themen und Sachbeiträgen, die die unsere Branche bewegen.
Benachrichtigungen deaktivieren
Indem Sie unsere Benachrichtigungen zulassen, erklären Sie sich damit einverstanden, dass wird Ihre Browser ID nutzen, um Ihnen Push-Benachrichtiungen über neue dkd Blogartikel zukommen zu lassen. Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen. Weitere Informationen zur Verarbeitung Ihrer Daten können Sie unseren Datenschutzhinweisen entnehmen.

Über den Autor

Mario Lubenka

Mario ist seit 2015 PHP-Entwickler bei der dkd und zertifizierter TYPO3-Integrator.

Mehr Beiträge von diesem Autor

Kommentar schreiben

Kommentarfunktion deaktiviert