PS.Content #Portal enthält eine integrierte DSGVO konforme Datenschutzlösung, die ohne Fremdkomponenten auskommt.
Im Auslieferungszustand von PS.Content #Portal werden beim Aufruf der Seite durch einen Webseitenbesucher (im folgenden nur noch Besucher) keine Daten von externen Quellen nachgeladen (also. zB. keine Google-Fonts, kein JQuery, kein Google-Tag manager oä.) - und auch keine Tracking-Daten gesammelt oder geschrieben.
Sollen externe Inhalte (Scripts, Embeds) nachgeladen werden, darf dies idR. erst nach Zustimmung durch den Besucher erfolgen. Einzige Ausnahme sind technische, für den Betrieb der Webseite notwendige Cookies bzw. Datenquellen.
Diese Zustimmung bzw. Information über das etwaige Nachladen von externen Inhalten wird durch das #Portal beim ersten Besuch automatisch eingeholt, sofern in den Stammdaten des #Portal-Admintools mindestens ein Anbieter hinterlegt ist. Die Zustimmung wird automatisch erneut eingeholt, sofern sich etwas am Text oder der Anbieterkonfiguration geändert hat.
Funktionsweise des Consent-Mechanismus
- Beim ersten Aufruf einer beliebigen #Portalseite wird geprüft, ob das "memo-cookie" (entspricht dem exakten, technischen Namen des Cookies) vorhanden ist. Dieses Cookie wird vom Consent-Mechanismus geschrieben.
- Existiert es nicht, geht das #Portal davon aus, dass es sich um einen neuen Besucher handelt, und
- lieferte keine Quellen aus, die nicht technisch notwendig sind, auch keine "essentiellen"
- zeigt das PopUp an
- Ist es vorhanden, wird es ausgelesen und geprüft, ob sich Änderungen an der Consentkonfiguration (im #Portal-Admin) ergeben haben.
- Ist das der Fall, wir das PopUp auch angezeigt. Unveränderte Anbieter sind im "Details"-Dialog grau hinterlegt.
- Existiert es nicht, geht das #Portal davon aus, dass es sich um einen neuen Besucher handelt, und
- Durch Klick auf "Alle Annehmen", "Nur Notwendige" oder "Einstellungen..." muss der Besucher den Essentiellen und optional weiteren Anbietern zustimmen.
- Was angenommen wurde - und wann - wird in nun im "memo-cookie" auf dem Gerät des Besuchers gespeichert.
- Das "memo-cookie" hat eine Gültigkeit von einem Jahr und einem Monat.
- Ruft der Besucher einen Inhalt ab, in dem eine HTML Komponente, oder eine Einbettung (zB. Youtube Video, Facebook Post, ...) enthalten ist, prüft das #Portal vor der Übermittlung des Inhalts, ob der Besucher der Ausspielung der Daten zugestimmt hat. Falls nicht, werden die Daten nicht ausgeliefert - oder ein Platzhalter angezeigt.
- Ob ein Inhalt ausgeliefert wird, oder nicht, wird über das Filter-Attribut gesteuert.
- Enthält die Einbettung im "SRC" Attribut mindestens einen der konfigurierten Filter eines konfigurierten Anbieters, wird der Inhalt nur ausgeliefert, wenn der Besucher diesen Anbieter akzeptiert.
- Soll eine Einbettung ausgespielt werden, zu der kein passender Filter / Anbieter vorhanden ist, wird dies immer (ohne Platzhalter) blockiert.
- Ob ein Inhalt ausgeliefert wird, oder nicht, wird über das Filter-Attribut gesteuert.
Konfiguration Erscheinungsbild
Das Datenschutz PopUp wird immer am unteren Bildschirmrand (responsiv, also auch auf mobilen Endgeräten nutzbar) dargestellt. Es wächst von Unten nach oben entsprechend der in den Stammdaten definierten Textmenge. Auch Scrollbalken sind möglich. Alle im Text enthaltenen Links werden automatisch in anklickbare Hyperlinks umgewandelt.
Konfiguration Anbieter
Als Anbieter werden alle Dienste bezeichnet, die wahlweise Cookies schreiben, oder Informationen von externen Servern nachladen. Da beim Nachladen von externen Server die IP-Adresse des Besuchers offen gelegt wird, ist das Nachladen von Inhalten ebenfalls DSGVO relevant.
Anbieter werden in den Stammdaten jeweils einzeln konfiguriert:
Datenfelder eines Anbieter-Eintrags
Folgende Datenfelder stehen pro Anbieter zur Verfügung:
| Feld | Beschreibung | Anmerkung |
|---|---|---|
| Name | Name des Anbieters | |
| Erklärung | Erklärungstext der dem Besucher erläutert, was dieser Anbieter tut und wofür er nötig ist. | Kann Webadressen und Zeilenumbrüche enthalten |
| URL | Webseite des Anbieters | |
| Filter | eine oder mehrere URLs, die die Dienste des Anbieters erkennen lassen | Stimmt der Besucher der Nutzung eines nicht essentiellen Anbieters nicht zu, wird PS.Content #Portal alle Inhalte, die von Servern deren Adressen zu einem konfigurierenden Filter passen nicht nachladen. |
| Essentiell | Essentielle Anbieter lassen sich nicht ablehnen | Gibt es mindestens einen essentiellen Anbieter wird im Datenschutz PopUp ein weiterer Button "Nur Notwendige" angezeigt. |
| Aktiv | Dieser Anbieter wird genutzt und der Eintrag erscheint im Datenschutz PopUp |
Umsetzung der Filterfunktion
Die Filterung von externen HTML- / Script- / Bild-Inhalten erfolgt weitestgehend automatisch. Konkret werden alle HTML Komponenten und Embeds gefiltert, die ein "SRC" oder "HREF" Attribut enthalten, und zu denen es keine Zustimmung seitens des Besuchers gibt. Um Scripte, die direkt im Quellcode der Seite eingepflegt werden, zu blockieren kann über das pseudo-Tag "HUP_CONSENT_PROVIDER" auch einer der Anbieter über einen Filter angesprochen werden.
Beispiel:
MATOMO ist unter der Domain "analytics.hup.de" installiert und als Anbieter in der Consent-Oberfläche mit genau diesem Filter angelegt.
Folgendes Script-Tag wird entsprechend gefiltert:
<script hup_consent_vendor=“analytics.hup.de”>...</script>