Cookie Consent Manager

Auf einer neu zu programmierenden Website soll Matomo eingebunden werden, außerdem Kartenmaterial von openstreetmap. Die Website hält Informationen über den Betreiber der Website bereit sowie zwei Kontaktformulare: eins für allgemeine Anfragen, eins für Bewerber.

Der Entwickler sagt, es würden insgesamt zwei Cookies benötigt. Hierfür werde ein Cookie Consent Manager benötigt.

Ist ein CCM bei den vorgesehenen Funktionalitäten wirklich nötig oder zumindest sinnvoll?

Falls ja:

Welche Anbieter von Cookie Consent Managern haltet Ihr aus welchen Gründen für hinreichend vertrauenswürdig und welche nicht nicht?

Matomo braucht m.W. eines das nicht erforderlich ist. Wofür ist das andere?
Am allerbesten ist, die Cookies (und auch Matomo) entbehrlich zu machen, denn ich halte keinen CCM für vertrauenswürdig.

2 „Gefällt mir“

Das ist eine Widerspruch in sich. Wenn Matomo ein Cookie braucht, dann kann dieses Cookie nicht nicht erforderlich sein.

Eine andere Frage ist freilich, ob Matomo „erforderlich“ ist. Das wird man - jedenfalls mit Blick auf die rein technische Fuktionalität der Website - nicht sagen können. Wenn Matomo eingesetzt werden soll, dann braucht der Betreiber der Website die Zustimmung des Nutzers, um das für Matomo erforderliche Cookie auf dem Gerät des Nutzers speichern zu dürfen.

Vermutlich, damit der Browser sich merkt, dass der Nutzer dem Matomo-Cookie zugestimmt hat.

Das sehe ich anders. Wer eine Website betreibt, sollte sich dafür interessieren, wie die Website auf welche Art von Nutzern wirkt.

Matomo braucht es, aber Matomo ist nicht erforderlich im Sinne des TTDSG.

meine Meinung: wer viel misst, misst Mist. Kaum jemand macht bei Umbauten via Messungen eine ernsthafte vorher/nachher-Analyse. Interviews helfen deutlich besser.

Ein Consent-Manager wird grundsätzlich nicht benötigt. Ebenso kann Matomo ohne derartiges betrieben werden. Der Entwickler sollte sich entsprechend erklären bzw. sollte erläutern können, wieso er wegen zwei Cookies einen Drittanbieter braucht.

Matomo sollte ohne Cookies eingesetzt werden können, Openstreetmap ebenfalls.

Wozu sind also die erwähnten Cookies da? Evtl. ein erforderliches „Session“-Cookie - dann braucht man keinen Consent Manager…

1 „Gefällt mir“

Matomo kann einwilligungsfrei betrieben werden: https://www.kuketz-blog.de/matomo-einwilligungsfreies-tracking-mit-der-logfile-analyse/

1 „Gefällt mir“

Der Entwickler sagt, folgende Cookies müssen in der vorgesehenen Konfiguration gesetzt werde. Angegeben sind jeweils Name des Cookies, Zweck, Speicherdauer, Art:

cookieBanner
Bestätigung Cookie-Verwendung
1 Jahr
Protokoll-Cookie

matomo_sessid
Vermeidung CSRF-Sicherheitsproblemen
14 Tage
Protokoll-Cookie

fe_typo_user
Frontend - Login
Ende der Sitzung
Sitzungs-Cookie

_pk_id
Web-Statistik (Matomo)
1 Jahr
Protokoll-Cookie

_pk_ses
Web-Statistik (Matomo)
30 Minuten
Protokoll-Cookie

Meine Erfahrung: glaube Webdesignern nur die Hälfte. Die Darstellung im Link von Kuketz ist gut genug, um sie einzufordern.

1 „Gefällt mir“

völlig richtig. Leider gilt das auch für viele involvierte Datenschutzbeauftragte.

Dafür braucht es garantiert kein Cookie.

das könnte ein wirklich notwendiges Cookie sein und braucht dann kein Consent-Banner (und ich schreibe das nicht bei jedem Cookie das angeblich der Sicherheit dient). Allerdings sollte man dann auch informieren können, wozu es dient und warum es nötig ist.
Es empfiehlt sich eigentlich immer die Anwenderdoku - hier die Datenschutzerklärung aka Informationen nach Artikel 13 - zuerst zu schreiben. Wenn das nicht gut lesbar ist, ist das Konzept nicht gut.

3 „Gefällt mir“

Ich würde hier wirklich bezüglich Matomo auf die cookiefreie Variante setzen.

Sitzungscookies für „angemeldete Nutzer“ würde ich als technisch notwendig ansehen, und vielleicht auch das CSRF-Sicherheitscookie (da kenne ich mich jetzt nicht so im Detail aus, wo das jetzt speziell in Verbindung mit Matomo eine Rolle spielt?).
Dann braucht man kein Cookie-Banner :slight_smile:

1 „Gefällt mir“

besser ist, darauf zu verzichten:

Daher ist es wohl im Endergebnis nahezu egal, ob der Akt des Canvas Fingerprintings durch das TDDDG verboten oder durch die DSGVO, und aus beiden Verbotsgründen jeweils einer Einwilligung bedürfte.
https://dr-dsgvo.de/browser-fingerprinting-und-das-ttdsg/

und die Logfile-Analyse-Variante?

da diese Daten nach Dr. Dsgvo implizit erhoben werden ist das kein Auslesen. Das heißt aber nicht, dass die Verarbeitung zu jedem Zweck zulässig ist. Dazu mehr in https://dr-dsgvo.de/webseiten-logfiles-welche-speicherdauer-ist-zulaessig-eine-datenschutzfrage/?z=503176009&msh=3096&ct=0.
Ich kann eigentlich nur jedem Verantwortlichen empfehlen, so wenig wie möglich Daten zu sammeln, und für das was er sammelt fachkundigen Rat einzuholen.