PHP Magazin 4.2022 - Von Legacy zu Laravel
Preis: 9,80 €
Erhältlich ab: Mai 2022
Umfang: 100
Autoren / Autorinnen:
Janos Kapuvari ,
Tam Hanna ,
Lena Smart ,
Michael Rohrlich ,
Johannes Endres ,
Stephen Rees-Carter ,
Stefan Wienströer ,
Philippe Lonchampt ,
Joel Lord ,
Mihailo Joksimovic ,
Niko Schmuck ,
Christian Liebel ,
Holger Schwichtenberg ,
Thomas Much ,
Klaus Kurz ,
Tam Hanna ,
„PHP ist wie die Borg aus Star Trek“, meinte einst PHP-Urgestein Kristian Köhntopp. Es assimiliert die Features anderer, um sich selbst zu perfektionieren. Und das seit über 25 Jahren. So kommt es, dass man mit PHP immer noch die modernsten Webanwendungen bauen kann – sofern man sich die Assimilationen in Form regelmäßiger Versionsupdates auch selbst zu eigen gemacht hat. Ja, sofern …!
Doch Hand aufs Herz: Bei der epischen Lebensspanne des PHP-Projekts stoßen wir immer auch auf Anwendungen, bei denen der PHP-Borg noch nicht vorbeikommen ist. Die Rede ist natürlich von Legacy-Code, von Projekten, die ungeachtet jeglicher Innovation in Produktion gehalten werden und immer mehr Staub in Form technischer Schulden anhäufen. Was stellt man damit nun an?
Beispielsweise könnte man darüber nachdenken, auf ein modernes Framework wie Laravel zu migrieren. Unter dem Motto „alter Code in neuem Gewand“ zeigt uns Stefan Wienströer im Titelthema dieser Ausgabe des PHP Magazins, welche Möglichkeiten uns Laravel bietet, um Legacy-Code zu modernisieren. Eine weitere Seite von Laravel präsentiert uns Stephen Rees-Carter: Security. Mit den eingebauten Sicherheitsfeatures nimmt das Framework Entwicklern viel Arbeit ab – was aber auch zu einem Nachteil werden kann, wenn man vergisst, dass man sich immer noch selbst um die Sicherheit seiner Anwendung kümmern muss. Abgerundet wird der Laravel-Fokus von Philippe Lonchampt, der uns das Projekt Sharp vorstellt, ein Content-Management-System auf der Basis von Laravel.
Eine andere spannende Frage stellt Michael Rohrlich in seiner Kolumne zum Thema Onlinerecht. Diesmal geht es um etwas, das uns allen nur allzu bekannt ist: Cookies. Braucht man sie wirklich? Und wenn ja, wie kann man Webseiten so gestalten, dass Cookies weniger invasiv sind? Im Bereich Datenbanken stellt Joel Lord eine Alternative zu MySQL vor: MongoDB, die Allzweckdatenbank, die mit PHP eine perfekte Kombination darstellt. Und wer nach noch mehr Datenbankwissen hungert, dem sei Mihailo Joksimovics Artikel zu den vier Isolationsebenen von Datenbanken empfohlen – ein besonderer Fokus auf das „I“ in ACID.
Viel Spaß beim Lesen!
János Kapuvári | Redakteur Entwickler Magazin
Warum findet sich heutzutage auf fast jeder Website ein Cookie-Banner? Müssen die auf jeder Website vorhanden sein? Und wie sind sie zu gestalten?
Die passenden Antworten auf diese und auf weitere Fragen rund um das Thema Cookies zu finden, ist gar nicht so einfach. Denn das Thema ist durchaus komplex und aktuell im Fokus von Datenschutzaufsichtsbehörden und Verbraucherinstitutionen.
Hintergründe
Immer dann, wenn personenbezogene Daten verarbeitet werden, muss dafür eine Rechtsgrundlage bestehen; so verlangt es die Datenschutz-Grundverordnung (DSGVO). Zu dieser Art von Daten zählen beispielsweise Name, Kontaktdaten, Augenfarbe, Kontoverbindung, Fingerabdruck oder auch IP-Adresse. Insgesamt ist der Personenbezug sehr weit zu verstehen, sodass das Datenschutzrecht im Grunde auf alle Vorgänge im Internet anwendbar ist. Als Rechtsgrundlage für die Datenverarbeitung kommen gemäß Art. 6 Abs. 1 DSGVO u. a. folgende Punkte in Betracht:
Einwilligung
Durchführung eines Vertrages bzw. einer vorvertraglichen Maßnahme
Erfüllung einer rechtlichen Verpflichtung
berechtigte Interessen
Neben der DSGVO ist im Onlinebereich regelmäßig auch das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) anzuwenden. Im Unterschied zur DSGVO zielt es auf solche Fälle ab, in denen Informationen auf dem Endgerät (Computer, Tablet, Smartphone …) eines Nutzers gespeichert bzw. wenn die dort bereits gespeicherten Informationen ausgelesen werden sollen. Dafür muss gemäß § 25 Abs. 1 TTDSG grundsätzlich eine Einwilligung eingeholt werden. Eine Ausnahme hiervon kommt insbesondere nur dann in Betracht, wenn der Lese- bzw. Schreibzugriff auf das Endgerät des Nutzers unbedingt erforderlich ist, damit der Anbieter des Telemediendienstes (Website, Onlineshop, Blog, App …) ein vom Nutzer ausdrücklich gewünschtes Angebot bereitstellen kann (§ 25 Abs. 2 Nr. 2 TTDSG). Das Abspeichern von IP-Adressen in einem Cookie oder einer vergleichbaren Technologie (localStorage …) stellt beispielsweise einen solchen (Schreib-)Zugriff auf ein Nutzerendgerät dar. Während die DSGVO lediglich die Daten mit Personenbezug im Blick hat, enthält das TTDSG insoweit einen weiteren Anwendungsbereich und regelt den Schreib- bzw. Lesezugriff auf alle Daten im Endgerät des Nutzers.
Für das Setzen von Cookies müssen also regelmäßig zwei Voraussetzungen erfüllt werden:
die Einwilligung oder die Ausnahme („unbedingt erforderlich“) gemäß TTDSG
die Einwilligung oder eine andere Rechtsgrundlage (Vertragserfüllung? Berechtigte Interessen?) gemäß DSGVO
Im Hinblick auf solche Cookies, die auch ohne Nutzereinwilligung gesetzt werden dürfen, spricht § 25 TTDSG von „unbedingt erforderlich zur Bereitstellung des vom Nutzer gewünschten Dienstes“. Der Europäische Gerichtshof hatte bereits in seinem sogenannten „Planet 49“-Urteil vom 1. Oktober 2019 (Aktenzeichen: C-673/17) entschieden, dass a) eine Einwilligung nur für technisch nicht notwendige Cookies eingeholt werden muss, und dass b) die Einwilligung über ein Cookie-Banner ausdrücklich zu erfolgen hat und daher vorausgefüllte Checkboxen rechtswidrig sind. Sowohl der EuGH als auch das jetzige TTDSG zielen folglich argumentativ in die gleiche Richtung. Immer dann, wenn ein Websitebetreiber technisch bzw. für den von ihm angebotenen Dienst nicht erforderliche Cookies setzen will, muss er hierfür jeweils eine Einwilligung der Nutzer einholen. Zu den technisch notwendigen Cookies zählen beispielsweise solche für den virtuellen Warenkorb im Onlineshop, für die Einbindung von Zahlungsdienstleistern, für Spracheinstellungen oder zur Speicherung der Cookie-Auswahleinstellungen. Hingegen werden Cookies von eingebetteten Fremdinhalten (Google Maps, YouTube, Vimeo, Social-Plug-ins …), von Analyse- oder Trackingtools in aller Regel als (technisch) nicht erforderlich anzusehen sein. Bei der Entscheidung über die Erforderlichkeit sollen wirtschaftliche Erwägungen, wenn überhaupt, nur eine untergeordnete Rolle spielen.
Im Vordergrund
In der Praxis erfolgt die Einholung der Einwilligungen mit Hilfe sogenannter Consent-Management-Plattformen (CMP), oder auch Cookie-Bannern bzw. -Layern. Diese mehr oder minder kleinen Kästen erscheinen inzwischen auf fast jeder Internetpräsenz sowie in vielen Apps und verlangen eine Entscheidung des Nutzers. Klickt dieser auf den Akzeptieren-, Einwilligen- oder ähnlich beschrifteten Button, erteilt er seine Einwilligung für die Aktivierung der im Banner beschriebenen Cookies. Erfolgt hingegen ein Klick auf Ablehnen o. Ä., dürfen die entsprechenden Cookies nicht gesetzt werden. Damit auf diese Weise auch rechtskonforme Einwilligungen eingeholt werden können, müssen die Cookie-Banner die Voraussetzungen des TTDSG und insbesondere der DSGVO erfüllen.
Es existieren unzählige verschiedene Arten und Gestaltungsformen von Cookie-Bannern. Die Datenschutzkonferenz (DSK), ein Zusammenschluss der deutschen Aufsichtsbehörden, hat am 20. Dezember 2021 zu dieser Thematik eine „Orientierungshilfe Telemedien“ veröffentlicht [1]. Darin werden neben den rechtlichen Grundlagen u. a. auch die nachfolgenden Kriterien für die Bestimmung der unbedingten Erforderlichkeit im Sinne von § 25 TTDSG veröffentlicht:
Zeitpunkt der Speicherung – Wann darf der Auslese- und Speichervorgang stattfinden? Der Speicher- und Auslesevorgang von Informationen auf dem Endgerät darf erst dann beginnen, wenn die konkrete Funktion des Telemediendienstes vom Nutzenden tatsächlich in Anspruch genommen wird.
Inhalt der Informationen – Welche Informationen werden gespeichert und ausgelesen? Die gespeicherten und ausgelesenen Informationen müssen bezogen auf die granular festgelegte Funktion des Telemediendienstes unbedingt erforderlich sein. Insbesondere beim Einsatz von Cookies ist nicht allgemein darauf abzustellen, dass ein Cookie gesetzt oder ausgelesen wird, sondern die im Cookie gespeicherte Informationen ist maßgeblich.
Dauer der Speicherung der Informationen – Wie lange werden Informationen auf den Endgeräten gespeichert und für welchen Zeitraum können sie ausgelesen werden? Der Zeitraum der Speicherung darf nur so lang gewählt werden, wie es für die Umsetzung der granularen Funktion des Telemediendienstes erforderlich ist. In Bezug auf den Einsatz von Cookies ist dieser Zeitraum durch ihre Laufzeit von vornherein festzulegen. Grundsätzlich sind Session-Cookies eher erforderlich als langlebige Cookies.
Auslesbarkeit der Informationen – Für wen sind Informationen vom Endgerät auslesbar und verwertbar? Werden Informationen auf dem Endgerät der Nutzenden bei der Inanspruchnahme eines Telemediums gespeichert, muss technisch sichergestellt werden, dass diese nachfolgend grundsätzlich nur von den Betreibern der jeweiligen Webseite ausgelesen werden können. Bei Third-Party-Cookies ist gerade das nicht der Fall, sodass sichergestellt sein muss, dass Drittdienstleister die ausgelesenen Informationen grundsätzlich ausschließlich für die von Nutzenden aufgerufenen Webseite verwenden.
Der Landesbeauftragte für Datenschutz und Informationsfreiheit in Baden-Württemberg hat im März 2022 zudem eine FAQ-Liste „Cookies und Tracking“ veröffentlicht [2]. Darin sind u. a. ganz konkrete Negativbeispiele samt detaillierter Erläuterung der jeweiligen Fehler enthalten. Max Schrems, ein Jurist und Datenschutzaktivist aus Österreich, hat mit der von ihm gegründeten Organisation „None of your business (noyb)“ im Mai 2021 viele hundert Unternehmen angeschrieben und über deren rechtswidrige Cookie-Banner informiert. Im Rahmen dieser Aktion wurden die jeweiligen Fehler aufgezeigt und zugleich die Möglichkeit eingeräumt, diese zu beseitigen. In Fällen, in denen keine solche Reaktion erfolgte, wurden formelle Beschwerden bei der jeweils zuständigen Datenschutzaufsichtsbehörde eingereicht. Auf den noyb-Webseiten findet sich nicht nur ein Beitrag zu den Hintergründen dieser Aktion [3], sondern auch eine FAQ-Liste [4] sowie eine Schritt-für-Schritt-Anleitung [5] für die rechtskonforme Konfiguration einiger großer CMP-Anbieter (z. B. OneTrust).
Checkliste/Praxistipps
Für die Gestaltung eines rechtskonformen Cookie-Banners sind die folgenden Aspekte zu berücksichtigen:
echte Opt-in-Lösung, also keine vorausgefüllten Checkboxen
Einholung von Einwilligung(en) für Datenerhebung, -weiterverarbeitung und -übermittlung ins Ausland (ggf. in einer Erklärung oder in separaten Texten)
echte Wahlmöglichkeit schon auf der 1. Ebene, z. B. durch zusätzliche Option (Nein, Abbrechen o. Ä.)
kein übermäßiges „Nudging“ (z. B. durch grünen Zustimmen- und grauen Konfigurieren-Button)
Ausreichende Informationen über Cookies (ideal: Differenzierung nach Cookie-Arten)
sprechender Link zur Datenschutzerklärung
Beschreibung aller Details in der Datenschutzerklärung
kein Verdecken von Menüpunkten zu Rechtstexten (Impressum, Datenschutzerklärung …)
Möglichkeit zum Aufruf der Cookie-Auswahleinstellungen und ggf. zur Korrektur der Entscheidung (Zulassen oder Ablehnen)
Sonderproblem: Einsatz von US-Tools (Einwilligung? Ausreichende Transparenz? SCCs abgeschlossen?)
Also: Wer keine oder nur technisch erforderliche Cookies einsetzt, benötigt natürlich auch keinen Cookie-Banner.
Praxistipp
In Bezug auf den Einsatz von US-Tools bzw. der damit einhergehenden Übermittlung von personenbezogenen Daten (z. B. IP-Adressen) in die USA und/oder auf US-Server sind weitere Gesichtspunkte zu bedenken. Werden Tools von Fremdanbietern auf der eigenen Website eingebunden, kommt es primär darauf an, ob dieser Fremdanbieter in einem Mitgliedstaat der Europäischen Union bzw. des Europäischen Wirtschaftsraums sitzt oder nicht (Kasten: „Praxistipp“). Es sollten auf jeden Fall die folgenden Fragen geklärt werden:
In welchem Land hat der Anbieter/Dienstleister seinen Sitz bzw. seinen Serverstandort? (Deutschland? EU/EWR? Drittstaat?)
Bei Sitz/Serverstandort in Deutschland bzw. innerhalb EU/EWR: Ist ein Auftragsverarbeitungsvertrag abgeschlossen?
Bei Sitz in einem Drittstaat mit Angemessenheitsbeschluss (z. B. Japan, Argentinien, Großbritannien, Südkorea, Schweiz): Sind die EU-Standardvertragsklauseln abgeschlossen?
Bei Sitz in einem unsicheren Drittstaat (z. B. China, Russland, Indien und derzeit auch noch USA): Sind die EU-Standardvertragsklauseln abgeschlossen und ergänzende Sicherheitsmaßnahmen getroffen?
Die EU-Standardvertragsklauseln (engl.: Standard Contractual Clauses, kurz: SCC) können im Internet auf der Website der Europäischen Kommission heruntergeladen werden [7]. Alternativ kann auch ein SCC-Generator genutzt werden, z. B. von Taylor Wessing [8], vom ECO-Verband [9] oder von den Rechtsanwälten Oppenhoff & Partner [10].
Michael Rohrlich hat als Rechtsanwalt und Fachautor seinen Kanzleisitz in Würselen, Nähe Aachen. Seine beruflichen Schwerpunkte liegen auf dem Gebiet des Onlinerechts sowie des gewerblichen Rechtsschutzes. Weitere Infos zu den Themen aus den Rechtsbeiträgen sowie Gesetze und Gerichtsentscheidungen bietet er unter http://www.rechtssicher.info an.
Links & Literatur
[1] https://datenschutzkonferenz-online.de/media/oh/20211220_oh_telemedien.pdf
[2] https://www.baden-wuerttemberg.datenschutz.de/faq-zu-cookies-und-tracking-2/
[3] https://noyb.eu/de/noyb-setzt-dem-cookie-banner-wahnsinn-ein-ende
[4] https://wecomply.noyb.eu/de/app/faq
[5] https://wecomply.noyb.eu/static/app/pdf/OneTrustGuide.766f4ff956c0.pdf
[6] https://ec.europa.eu/commission/presscorner/detail/de/ip_22_2087
[8] https://www.taylorwessing.com/de/online-services/scc-generator
[9] https://www.eco.de/services/scc-generator/
[10] https://www.oppenhoff.eu/de/legaltech/scc-generator
[11] Video-Trainings des Autors: https://www.linkedin.com/learning/instructors/michael-rohrlich
