Extra-Klick-Lösung für DSGVO-kompatible externe Bilder und Medien

  • App
    WoltLab Suite Core

    Nach der DSGVO wird ja das Einbinden von Bildern oder Medien von externen Quellen problematisch. Grund ist, dass ohne explizite Einwilligung der User nur durch Aufrufen der Threads Verbindungen zu fremden Servern, z.B. zu youtube oder Bildhostern, hergestellt werden.


    Ein ähnliches Problem gab es ja schon vor Jahren beim Tracking durch Social-Media-Buttons, und hier wurden dann Lösungen wie der "c't Shariff" erfunden -- die Website wird zuerst einmal ohne von extern eingebundene Buttons dargestellt, sondern diese werden durch Buttons direkt auf der eigenen Seite ersetzt, und erst wenn der User durch einen ersten Klick auf so einen internen Button sein Einverständnis gibt, wird der eigentliche Button per Javascript nachgeladen und kann dann gedrückt werden.


    So eine Lösung wäre doch auch für eingebundene Bilder und Medien möglich.


    Ich stelle mir das so vor, dass das Bild oder die eingebettete Videovorschau nicht sofort eingebunden wird, aber auch nicht bei der jetzigen Lösung einfach durch einen Link ersetzt wird, sondern dass der einzelne User per Klick ("Ja, ich will die Grafik von [abload.com] nachladen") den Inhalt in den Forumsthread nachladen kann. Die Benutzerin drückt durch den Extraklick ihr Einverständnis mit der Verbindung zu der externen Webseite aus. Und sie verlässt mein Forum nicht, nur um ein Bild anzusehen.


    Dieses Einverständnis könnte eventuell sogar alternativ einmalig für die Zukunft abgegeben werden ("Medien von [youtube.com] immer nachladen") und in Cookies oder in die Datenbank gespeichert werden, Dann stellt sich allerdings auch die Frage, wie man eine Widerrufsmöglichkeit umsetzen könnte. :/

  • Ich mache das bereits so mit Google-Maps. Ist allerdings weißgott nicht die schönste Lösung und kann vor allem bei Bildern recht schnell recht nervig werden.

  • Hallo,


    mein fachspezifisches Forum lebt von eingebundenen externen Grafiken. Hierbei werden immer wieder Grafiken von den gleichen externen Anbietern eingebunden. Ich suche deshalb auch nach einer DSGVO-konformen Lösung die die Einbindung externer Grafiken über IMG weiterhin zulässt.


    Brainstorming: Könnte man externe Bilder nicht über den folgenden Weg DSGVO-konform einbinden?


    1) Ich schreibe einen Post mit einem Link zu einem IMG-Bild (siehe Anhang Bild_NachKlick.jpg)


    2) alle User sehen zunächst nur einen Bildplatzhalter oder Link mit dem Hinweis ("Bilder von dieser Domain immer anzeigen - Übertragung personenbezogener Daten möglich"), dass bei einem Klick ggf. Daten an die Domain des Bildes übertragen werden.


    3) Ein Klick aufs Bild bestätigt das Einverständnis des User, d.h. für den User wird dann das ursprüngliche Bild angezeigt (verlinkt, nicht lokal auf Server gespeichert)


    4) Forum speichert alle Domains für die der jeweilige User eine Zustimmung gegeben hat, so dass User nicht jedes einzelne Bild anklicken muss


    Wenn regelmäßig Bilder von der gleichen externen Domain eingebunden werden, sehen alle Nutzer die keine Datenschutzbedenken haben nach wenigen Bestätigungsklicks die meisten Bilder wie zuvor. Diejenigen die Bedenken haben, müssen Link nicht anklicken (deren Anzahl wäre aber zumindest bei mir verschwindend gering).


    Beispiel:


    Wenn ich ein IMG-Bild einbinde, sehen User zunächst dies:


    Quote


    Ein Klick auf den Zustimmungslink könnte dann das entsprechende Bild anzeigen. Hatte dies unter https://support.softcreatr.de/…g/?postID=13112#post13112 bereits vorgeschlagen.




    ------------------------------



    Eine alternative Lösung mit einem PHP-Script ist ggf. unter https://www.kritzelblog.de/tec…te-apis-bilder-einbinden/ aufgeführt (Punkt 3):


    Statt:

    1 <img src="https://amazon_link_zum_bild.jpg">

    zu verwenden, wird das Skript mit Parameter aufgerufen. Das PHP-Skript holt die Grafikdatei und übermittelt so nur die IP der Subdomain an den Server des Bildes:

    1 <img src="https://sub.domain.de/img.php?url=linkzumbild">

    Das PHP-Skript könnte dann so aussehen:

    PHP

    1 <?php $url = $_GET['url']; if(strpos($url,".jpg")) { header("Content-Type: image/jpg"); } if(strpos($url,".gif")) { header("Content-Type: image/gif"); } if(strpos($url,".png")) { header("Content-Type: image/png"); } readfile($url); ?>



    Es wäre toll eine bessere Lösung zu haben, als eine pauschale Sperrung des IMG-Tags

    Seewie Signatur

  • Die Lösung mit dem PHP-Skript wäre an sich super, ich fürchte nur, dass ich mir damit fast die gleichen Urheberrechtsprobleme hole wie wenn ich die Bilder auf meinem Server zwischenspeichere. Denn aus Sicht des Users/Browsers/HTML-Codes wird die Grafik ja genauso von meinem Server ausgeliefert und nicht mehr von der ursprünglichen Seite. Auch die Vorstellung, dass ein böswilliger User das nutzen könnte, um, ausgeliefert von meinem Server, Malware auszuspielen, ist ein ziemlicher Horror.


    Trotzdem - es wäre wirklich schön, wenn die Rechtsprechung so ein Skript ohne Caching auf dem Server als rechtskonform ansehen würde im Sinne einer automatisierten Lösung, mit der sich der Forenbetreiber die Inhalte trotzdem nicht zu eigen macht, aber irgendwie glaube ich daran nicht so ohne weiteres.


    Die Zweiklicklösung hat in der Tat nicht die Usability, die man sich als Forenbetreiber wünschen würde, aber besser als ein einfacher Link ist sie allemal.

  • Da dies wohl für 5.3 umgesetzt wird, hier der Vollständigkeit halber noch einmal die verfügbaren Lösungen für die WoltLab Suite 3.0, 3.1 & 5.2:



  • Marcel Werk

    Set the Label from Planned to Implemented
  • Nachdem es nun umgesetzt ist eine Frage zu der Funktionsweise:

    Muss man jedesmal aufs Neue einen Button klicken oder wird die Einstellung global gespeichert? Kann man wählen zwischen einmalig erlauben (also für den aktuellen externen Inhalt) oder unbegrenzt bis auf Widerruf? Wie funktioniert der Widerruf?

    Alle sagten: "Das geht nicht." Dann kam einer, der wusste das nicht, und hat es gemacht.

  • Widerruf gibt es nicht. Die Entscheidung wird im Session-Storage gespeichert, d.h. für die Dauer, in der der Browser geöffnet ist.

  • Dann möchte ich als Vorschlag noch eine permanente Konfigurationsmöglichkeit einbringen.

    Ideen: Cookie oder localStorage (Gast), Setzen einer Benutzeroption (angemeldeter Benutzer).

    Das alles sollte bei dem ersten Kontakt mit einem externen Inhalt konfigurierbar sein, z.B. über eine Checkbox.

    Alle sagten: "Das geht nicht." Dann kam einer, der wusste das nicht, und hat es gemacht.

    • Official Post

    Widerruf gibt es nicht. Die Entscheidung wird im Session-Storage gespeichert, d.h. für die Dauer, in der der Browser geöffnet ist.

    Das ist nur für Gäste zutreffend. Bei Benutzern wird dies über eine Einstellung im Benutzerprofil gesteuert, über die dies jederzeit wieder abgeschaltet werden kann.

    Alexander Ebert
    Senior Developer WoltLab® GmbH

  • Dann hat sich mein Vorschlag erledigt. :)

    Alle sagten: "Das geht nicht." Dann kam einer, der wusste das nicht, und hat es gemacht.

  • Dann hat sich mein Vorschlag erledigt. :)

    Naja, es ist nur die untere eine Option scheinbar:


    Heißt, lässt du einmal ein Medium zu, werden vermutlich alle Medien von egal welcher Quelle zugelassen.

    „If you can only do one thing, hone it to perfection. Hone it to the utmost limit!“ – Zenitsu Agatsuma

  • Heißt, lässt du einmal ein Medium zu, werden vermutlich alle Medien von egal welcher Quelle zugelassen.

    Und dies ist eigentlich insuffizient gelöst. Wenn man dem Benutzer schon eine Wahl lässt, dann soll er wenigstens pro Domain entscheiden können. Nur weil ich YouTube erlaube, will ich noch lange nicht "sonstwas" erlauben.

    Gruß aus Südhessen

  • Und dies ist eigentlich insuffizient gelöst. Wenn man dem Benutzer schon eine Wahl lässt, dann soll er wenigstens pro Domain entscheiden können. Nur weil ich YouTube erlaube, will ich noch lange nicht "sonstwas" erlauben.

    Sehe ich auch so, ist eine ziemlich halbherzige Umsetzung.

  • Muss ich mich anschließen. Die Umsetzung von Sascha, die es ja schon eine weile gibt, ist hier wesentlich angenehmer!

  • Oh, das wäre wirklich sehr unglücklich gelöst. Ich möchte mich meinen Vorrednern anschließen.

    Viele Grüße,

    smers

  • Die Lösung wird es so oder so geben. Wenn nicht von WoltLab, dann halt weiterhin von uns. Dadurch, dass sich das Feature per Option abschalten lässt, können wir hier problemlos eingreifen, sollte es notwendig sein.

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!