Alle sind genervt von Cookie-Consent-Screens, wir auch. Nach vielen Diskussionen mit unseren Kunden und deren Datenschutzbeauftragten, Rechtsanwälten, Agenturen, … ist es nun soweit: FlypSite wird per Default keine Cookies mehr setzen. Fertig. Schluss. Aus. Die Social-Wall für Websites gibt es ab sofort ganz ohne Cookie!
Was verlieren wir?
Eingeführt wurden Cookies mit dem Start von FlypSite für zwei Funktionen: Erstens, um ein Abrechnungsmodell zu ermöglichen, das „Unique Users“ als Metrik nutzt (definiert als Besucher, die nur einmal in 7-Tages-Frist gezählt werden), und zweitens, um eine Report-Funktion anzubieten, mit der die FlypSite-Kunden sehr detaillierte (anonyme) Nutzungsstatistiken erstellen können, vor allem das beliebte Quotenchart mit dem Besuchsverlauf über einen Event.
Mit neuen Defaults in den Browsern und einem zunehmenden Bewusstsein bei den Besuchern, dass Cookies (vor allem Third-Party-Cookies) ein Problem sind, waren unsere Cookies für beide Zwecke zunehmend nutzlos.
Die Reportfunktion wird bestehen bleiben, wird in Zukunft aber Visits nicht mehr in der alten Form zusammenfassen können. Das ist in den meisten Anwendungsfällen verschmerzbar.
Die Preismetrik auf Basis der Visits wird wegfallen – wir werden pro Buchungstyp definieren, was der jeweilige „fair use“ ist.
Was gewinnen wir? Welche Vorteile bietet eine DSGVO-konforme Social-Wall ohne Cookies?
In erster Linie machen wir es unseren Kunden einfacher, eine FlypSite als Social-Wall in ihre Website zu integrieren. Ein Cookie-Consent für FlypSite ist nicht mehr nötig, die Privatsphäre der Nutzer*innen zu schützen erfordert keine zusätzlichen Anstrengungen des Kunden mehr.
Ist es wirklich so einfach?
Solange wir nur FlypSite betrachten: ja.
Mit externen Medien – dem Youtube- oder Vimeo-Player, oder Videos von Facebook, twitter und Instagram – eine DSGVO-konforme Lösung (GDPR comliance) zu erreichen, ist komplizierter: u.U. können diese Player und andere iFrame-Inhalte auch wieder Cookies setzen und andere Storage-Mechanismen (Local Storage, Session Storage) nutzen.
Beispiel Youtube: Wir nutzen zwar bereits den offiziellen Youtube-„NoCookie“-Player (https://www.youtube-nocookie.com/embed/05d7tMfMWZM), was Youtube aber nicht davon abhält, Dutzende Cookies und Localstorage-Informationen im Browser des Users zu setzen. Unsere Lösung ist, für diese Player die Zustimmung des Users explizit einzuholen – innerhalb von FlypSite und mit einer „Consent-Pappe“, die anstelle beispielsweise des Youtube-Videos angezeigt wird, bis der User bestätigt.
Wer bereits vorgeschaltet einen Consent für „External Media“ abgefragt hat, kann dies beim Aufruf oder der iFrame-Einbindung an die FlypSite übergeben.
Die Consent-Pappe für ExternalMedia
Anstelle des jeweiligen Mediums bzw. Players wird eine „Consent-Pappe“ angezeigt. Der Inhalt wird nur geladen, wenn der User eine der Zustimmungsoptionen wählt.
Nur dieses Video: Lädt dieses Video und spielt es ab
Alle: Lädt Alle Videos in der Seite (ohne Speicherung der Zustimmung)
Zustimmung speichern: Lädt Alle Videos in der Seite (Speicherung der Zustimmung im SessionStorage = überdauert einen Seitenreload)
Direkt aufrufen: öffnet ein neues Fenster mit der URL des Videos/Videoplayers außerhalb von FlypSite.
Nicht benötigte/gewünschte Buttons können kundenspezifisch ausgeschaltet werden.
Datenschutz bei FlypSite, Stand Januar 2022
FlypSite ruft immer schon SocialMedia-Posts der Services serverseitig ab und liefert sie selbst an die Clients aus; im (Browser-)Client werden keine Libraries / Skripte / Widgets der SocialMedia-Services verwendet; der Endnutzer kontaktiert somit nicht die SocialMedia-Services direkt.
Aus Datenschutzsicht das wichtigste Kriterium.
Von den Services selbst oder von Drittanbietern als WordPress-Modul o.ä. angebotene Widgets, die clientseitig Posts direkt von den SocialMedia-Services abrufen, sind Datenschleudern. Für eine DSGVO-konforme Social-Wall auf Ihrer Website müssten Sie in diesem Fall alle Datenabflüsse für alle verwendeten Services dokumentieren.
FlypSite nutzt selbst keine clientseitige Speicherung von Daten. Die bis Ende 2021 für Abrechnungs- und Reportzwecke genutzten Cookies werden abgeschafft.
Keine Cookies. Kein LocalStorage. Keine andere, neuere Technologie. Kein Tracking.
FlypSite nutzt einen in Deutschland gehosteten Origin-Server und speichert in Logdateien nur das absolute technische Minimum. Die vorgeschalteten Content Delivery Networks sind so eingerichtet, dass sie nicht loggen (Cloudfront) oder nur das technische Minimum loggen (Pusher).
4=1 als Betreiber von FlypSite hat mit Provider IONOS und den genannten CDNs Verträge zur Auftragsdatenverarbeitung abgeschlossen.
Der Dienstleister Pusher (https://pusher.com) schreibt eine technische Laufzeitinformation, bestehend aus timestamp, verwendetem Transportmechanismus (Websocket oder HTTP) und der Latenz des letzten Aufrufs in Millisekunden, in den LocalStorage für die Domain live.flyp.tv: pusherTransportEncrypted: {"timestamp":1643722232629,"transport":"ws","latency":500}
Die Nutzung von Pusher ist optional; sie kann vom Kunden deaktiviert werden.
Die FlypSite-Chatfunktion nutzt ein Cookie, um den Chat-Avatarnamen des Users zu speichern.
Die Chatfunktion ist nur auf Kundenwunsch eingebunden und muss explizit im Client aktiviert werden.
GDPR-Compliance der FlypSite-Nutzung vertraglich geregelt
- Die FlypSite-Infrastruktur wird in Deutschland gehostet; mit dem Provider besteht ein DSGVO-konformer Auftragsverarbeitungsvertrag.
- Technisch-organisatorische Maßnahmen bei uns und beim Provider stellen die Funktion der FlypSite-Infrastruktur und die Sicherheit Ihrer Daten sicher.
- Content Delivery Networks ermöglichen die Auslieferung der Social Walls; mit den Dienstleistern bestehen DSGVO-konforme Auftragsverarbeitungsverträge als Unterauftragsverarbeiter.
- Wir bieten Ihnen die Möglichkeit, einen Auftragsverarbeitungsvertrag (AVV) abzuschließen und dokumentieren in diesem Rahmen detailliert unsere Verarbeitungstätigkeiten, Technisch-Organisatorischen Maßnahmen und Unterauftragsverarbeiter.
