django cookie consent

[k.marco.1970]

Hallo Forum,

auf der django-cms Seite möchte ich eine aktuelle Zustimmung zu cookies einbauen. Bei der Suche bin ich über https://django-cookie-consent.readthedo ... index.html gestolpert.
Hat jemand Erfahrung damit?

Bei der Installation bin ich soweit, dass mir im backend die Rubrik zu "Cookie_Consten" angezeit wird mit den Möglichkeiten cookie groups und cookies anzulegen. Und hier hänge ich nun. Was mache ich damit?

1. Muss ich cookies selbst eintragen? Falls ja: wie?
2. Wie finde ich heraus, welche Cookies ich verwende (z. B. analytics von google)?
3. Wie binde ich ein, dass ein Banner gezeigt wird, der dann vom Nutzer bestätigt, abgelehnt werden kann?
4. Habt ihr eine Empfehlung für eine Doku mit Beispielen, wo ich mir das anschauen kann? Das readthedocs vom Plugin hilft mir nicht in der Form weiter, dass ich etwas damit anfangen kann...

Viele Grüße und vielen Dank
Marco

[__blackjack__]

@k.marco.1970: Ad 2: Du musst Dir jede Quelle von Drittanbietern von denen Deine Seiten Daten per HTTP abfragen anschauen ob die Cookies verwenden und zu welchem Zweck. Und Du musst Deinen Code dann auch so schreiben, dass diese Quellen, sofern sie nicht zwingend notwendig sind um den Inhalt der Site bereitzustellen, auch nicht abgefragt werden. Google Analytics muss der Benutzer beispielsweise abwählen können und dann darf Deine Site das für diesen Benutzer auch nicht mehr verwenden.

[k.marco.1970]

Hi blackjack,

das hört sich nach etwas Arbeit an - aber vielmehr danach, dass ich keinen Plan habe, wie ich das mit dem Plugin umsetzen soll.
Hast Du eine Empfehlung, die das ganze etwas einfacher gestaltet abmahnsicher cookie-banner auf der Seite zu haben?

[__blackjack__]

Abmahnsicher ist keine technische sondern eine rechtliche Sache. Am einfachsten ist es wenn man überhaupt gar keine Cookies verwendet und sämtliche Ressourcen selbst ausliefert statt Drittanbieter einzubinden. Falls man selbst Cookies verwendet, sicherstellen, dass die für den Betrieb notwendig sind und in der Dokumentation für die DSGVO entsprechend beschrieben sind, und sich vom Benutzer dafür das okay holen.

[k.marco.1970]

Puh, aber, wenn ich google analytics einbinde, habe ich da überhaupt eine andere chance als optionen anzubieten? Oder google maps? Die verwenden doch alle cookies - und da habe ich doch keinen einfluss drauf, oder? Sorry, bin froh, dass ich einigermaßen mit der website (nur hobbyproject) vorankomme, aber das mit den cookies überfordert mich technisch und rechtlich - da nie damit beschäftigt. Und da kommt jetzt halt einiges neues zusammen für mich... kann also sein, dass die fragen für cracks ziemlich seltsam klingen mögen - für mich aber äußerst hilfreich...

[__blackjack__]

@k.marco.1970: Nein, da hast Du keinen Einfluss drauf ausser das Du sie halt nicht verwenden musst. Und wie gesagt, musst Du nicht nur abfragen, sondern auch Google-Analytics nicht verwenden wenn der Benutzer das abwählt, beziehungsweise darfst Du das nur verwenden/einbinden wenn der Benutzer zugestimmt hat. Ob Google Maps für den Betrieb der Website notwendig ist, musst Du selbst wissen, aber Analytics muss optional sein. Da müsstest Du dann anhand der Antwort vom Nutzer den entsprechenden Code in die Webseite(n) dynamisch einbinden oder auch nicht.

[k.marco.1970]

Heisst das, ich könnte ein einfaches skript nehmen, das einfach nur die box "zustimmen" anzeigt und in den datenschutzerklärungen reinschreiben, dass das alles verwendet wird und mit drücken auf "zustimmen" in der einfachen box, z. b. soetwas:

Code: Alles auswählen

		<link rel="stylesheet" type="text/css" href="//cdnjs.cloudflare.com/ajax/libs/cookieconsent2/3.0.3/cookieconsent.min.css" />
		<script src="//cdnjs.cloudflare.com/ajax/libs/cookieconsent2/3.0.3/cookieconsent.min.js"></script>
		<script>
		window.addEventListener("load", function(){
		window.cookieconsent.initialise({
		  "palette": {
			"popup": {
			  "background": "#237afc"
			},
			"button": {
			  "background": "#fff",
			  "text": "#237afc"
			}
		  },
		  "position": "bottom-right"
		})});
		</script>   

wäre das für die nutzung der homepage ok?

[nezzcarth]

Puh, aber, wenn ich google analytics einbinde, habe ich da überhaupt eine andere chance als optionen anzubieten? Oder google maps?

Eine generelle Frage wäre halt auch, ob man Google Analytics und Google Maps wirklich braucht, oder ob man nicht datenschutzfreundlichere Lösungen verwenden möchte. Zum Beispiel eine lokale Matomo-Installation statt Google-Analytics (Matomo bietet auch ein einbettbares Opt-Out an). Und Karten (bevorzugt von Openstreetmap kann man so einbinden, dass sie erst geladen werden, wenn von die Benutzenden das wünschen.

[__blackjack__]

@k.marco.1970: Nein das geht so nicht, denn Google Analytics *braucht* Deine Website ja nicht. Und Du darfst dem Benutzer auch nicht sagen: Entweder Du akzeptierst das oder Du kommst hier nicht rein. Denn dann würden das ja einfach alle machen und die Benutzer damit dann doch wieder dazu zwingen sich ausspionieren zu lassen. Und das gleiche gilt für Google Maps. Wenn Deine Website für den Benutzer nicht komplett unbrauchbar wird wenn Maps nicht eingebunden ist, dann darfst Du ihn dazu auch nicht zwingen das zu akzeptieren.

Gilt natürlich auch wenn man Matomo oder einen anderen Kartenanbieter verwendet. Auch dazu darf man den Benutzer nicht zwingen.

[k.marco.1970]

ok, danke euch für die erläuterungen. das ist ja ... nun eine neue herausforderung. mit der anleitung komme ich alleine nicht weiter, die readthedocs bietet. hat jemand ein beispiel dafür wie ich das backend konfiguriere und wie ich die cookies abhängig von der auswahl des nutzers einschränke? das ist jetzt ein komplett neues feld. und wie ich das dann in den views berücksichtige?

[__deets__]

@k.marco.1970: Nein das geht so nicht, denn Google Analytics *braucht* Deine Website ja nicht. Und Du darfst dem Benutzer auch nicht sagen: Entweder Du akzeptierst das oder Du kommst hier nicht rein. Denn dann würden das ja einfach alle machen und die Benutzer damit dann doch wieder dazu zwingen sich ausspionieren zu lassen.

Ist das wirklich so? Ich habe das neulich mal versucht zu klären - aus reinem Interesse. Aber nichts dazu gefunden. Letztlich geht es IMHO um den opt-in. Und die Transparenz. Es gab ja auch Seiten, die einem zb komplett den Zutritt verwehrt haben. Ein Anrecht auf Besuch gibt’s nicht.

Das es im Interesse des Anbieters liegt, hier feingranular vorzugehen, ist davon ja unberührt.

[__blackjack__]

@__deets__: Also ich hatte das so verstanden. Sonst würden die Anbieter das ja auch einfach so machen, denn das es in deren Interesse liegt feingranular vorzugehen sehe ich gar nicht. Wenn man beispielsweise Online-Angebote von Zeitungen nicht dazu zwingen würde das feingranular anzubieten, würden die das sicher nicht machen, sondern einfach friss alles oder geh halt weg anbieten. Die versuchen einem ja auch das Opt-In für alles aufzudrücken in dem sie es oft viel einfacher machen alles zu akzeptieren und die Abwahlmöglichkeiten möglichst zu verschleiern. Habe neulich sogar mal einen Dialog bei den ”Details” gehabt wo mehrere Schalter waren wo alles bis auf die notwendigen Cookies deaktiviert war und ein fetter roter Akzeptieren-Button dazu sich gar nicht auf diese Auswahl bezog. Der Button dafür war hellgrau und viel kleiner. Ich möchte nicht wissen wie viele da schon gedacht haben sie haben die unnötigen Cookies abgewählt, aber in Wahrheit alle akzeptiert.

Das geht ja letztlich auf die DSGVO zurück, die Datensparsamkeit doch vorschreibt. Was ja keine Neuerung war (in DE), nur hat's halt vorher keiner durchgesetzt.

[k.marco.1970]

Hallo zusammen und frohes Neues,

also das Beispiel tests von django-cookie-consent habe ich zum Laufen bekommen. Und unter localhost/cookies finde ich nun eine leer Seite mit Button. Was muss denn im Backend nun eingetragen werden, um cookie-group und cookie mit Leben zu füllen? Und wie kommt man denn an cookie Informationen ran? Habt ihr da ein Beispiel?

vG
Marco