Technischer Background von Consent-Tools & serverseitigen Funktionen
Übersicht
Consent-Tools
Consent-Tools sind Tools, die verwendet werden, um die Einwilligung der Benutzer in Bezug auf die Verwendung von Cookies oder anderen Tracking-Technologien auf Websites einzuholen und zu verwalten. Häufig wird eine Consent-Management-Plattform (CMP) auch als Cookie-Banner / -Tool bezeichnet. Diese Tools können also in Form von Pop-up-Fenstern, Banner oder ähnlichen Benachrichtigungen auf der Website erscheinen und dem Benutzer die Möglichkeit geben, seine Zustimmung zu geben oder zu verweigern. Sobald es geladen ist, fragt es nach einer Einwilligung für Dienste, die die Website optional nutzen möchte. Das sind beispielsweise Analysewerkzeuge oder interaktive Karten. Die Einbindung erfolgt über eine JavaScript-Anweisung. Der Browser des Nutzers wird hier aus technischer Sicht auch als Client bezeichnet.
Serverseitige Funktionen
Serverseitige Funktionen arbeiten technisch anders, da sie nicht auf dem Client, sondern auf dem Webserver existieren, d.h. der Server, der durch die Website technisch bereitgestellt wird. Serverseitige Funktionen können zum Beispiel verwendet werden, um Daten zu verarbeiten oder eine Verbindung zu einer Datenbank herzustellen. Sie kommen v.a. zur Auswertung von Besuchern zum Einsatz. Beim aktuell populären Server Side Tracking wird ein Nutzeraktivitäts-Protokoll an den eigenen Webserver geschickt und von dort aus dann – und somit dann doch indirekt – an beispielsweise Google Analytics weitergeschickt. Sobald hier Daten verändert oder angereichert werden ist die Rede von „Tagging“ statt „Tracking“.
Vorteilhaft ist zum einen die Kontrolle über die Daten, da diese vor Verschicken an das eigentliche Ziel geändert werden können. Zum anderen können die Daten auch an zusätzliche Datenbanken als die von Google geschickt werden.
Nachteilig ist, dass Cookie-Tools die serverseitigen Funktionen nicht direkt kontrollieren können, sondern nur auf dem Client eingegriffen werden kann.
Hybride Funktionen (Client & Server)
Hybride Funktionen auf Client und Server beziehen sich auf Funktionen, die sowohl auf der Clientseite (im Browser des Benutzers) als auch auf der Serverseite ausgeführt werden. Diese Funktionen kombinieren die Vorteile von serverseitiger und clientseitiger Verarbeitung, um eine optimale Leistung und Benutzererfahrung zu erzielen.
Ein Beispiel für eine hybride Funktion ist die Validierung von Benutzereingaben auf einer Website. Wenn ein Benutzer ein Formular ausfüllt und absendet, kann die Validierung sowohl auf dem Client (im Browser des Benutzers) als auch auf dem Server durchgeführt werden. Die Validierung auf dem Client kann dazu beitragen, eine schnellere Antwortzeit und eine bessere Benutzererfahrung zu erzielen, indem der Benutzer sofort auf Fehler hingewiesen wird. Die Validierung auf dem Server kann jedoch dazu beitragen, die Integrität der Daten zu gewährleisten und sicherzustellen, dass nur gültige Daten in die Datenbank eingefügt werden.
Hybride Funktionen auf Client und Server können auch dazu beitragen, die Last auf dem Server zu reduzieren, indem sie bestimmte Aufgaben auf den Client verlagern, wodurch die Ressourcen des Servers entlastet werden. Sie können auch dazu beitragen, die Gesamtleistung der Website zu verbessern, indem sie die Vorteile von serverseitiger und clientseitiger Verarbeitung kombinieren.
Insgesamt bieten hybride Funktionen auf Client und Server eine flexible und effektive Möglichkeit, um eine optimale Benutzererfahrung und Leistung auf einer Website zu erzielen.
Funktionen nur auf dem Server
Funktionen, die nur auf dem Server ausgeführt werden, werden nicht auf dem Client (im Browser des Benutzers) ausgeführt. Diese Funktionen werden normalerweise von der Server-Software bereitgestellt, um bestimmte Aufgaben auszuführen, die nicht vom Client ausgeführt werden können.
Technisch sieht das folgendermaßen aus (siehe Abbildung):
- Die Installation des Consent-Tools erfolgte lokal auf der Website.
- Das Consent-Tool (im Cookie namens Consent) speichert, ob eine Einwilligung erteilt wurde und wofür.
- Es erfolgt aus technischen Gründen beim Aufruf der Website automatisch eine Übermittlung des Cookies aus Schritt 2.
- Der Zugriff auf das Cookie wird für die serverseitige Funktion ermöglicht und kann ausgelesen werden.
- Bei Einwilligung: es wird ein Cookie verwendet, das den Nutzer von anderen Nutzern unterscheidet.
Ohne Einwilligung: es wird kein weiteres Cookie verwendet.
Wichtig dabei ist, dass das Consent-Tool von der Website selbst verwaltet wird und nicht von einem Drittanbieter geladen wird. Falls doch, muss hier die Schnittstelle verwendet werden, um den Einwilligungsstatus über JavaScript im Browser abzufragen und dann an den eigenen Server weiterzuleiten.
Fazit
Über eine CMP lassen sich serverseitige Funktionen steuern. Programm-Beispiele können Sie hier finden: https://dr-dsgvo.de/sst-consent/. Serverseitige Funktionen bieten aus Datenschutzsicht eher untergeordnete Vorteile für Betroffene und lassen sich oft vermeiden. Zwar können Teile der Daten bearbeitet und anonymisiert werden, ob die Anonymisierung aber tatsächlich stattfindet, kann von außen nicht geprüft werden.
Cookie-Tools sollten grundsätzlich mit Bedacht eingesetzt und einwilligungspflichtige Datenverarbeitungen möglichst vermieden werden. Und natürlich: Der Nutzer muss in der Datenschutzerklärung ausreichend gut über die Verarbeitung seiner Daten informiert werden.
Sollten Sie Fragen haben, melden Sie sich gerne bei uns.
Quelle: Viele der Gedanken hier und die Basis der Grafik oben haben wir aus der Zeitschrift „Datenschutz-Praxis“, Ausgabe 12/2022