Cookies sind kleine Textdateien, welche der Browser auf dem Gerät des Webseitenbesuchers speichert.
In den Einstellungen der gängigen Browser (z.B. Mozilla Firefox, Microsoft Edge/Internet Explorer, Google Chrome) lässt sich diese Funktion (zumeist auch selektiv für eine Internetseite) deaktivieren.
Damit hat der Nutzer selbst die Möglichkeit, sich der Speicherung der Cookies zu widersetzen und sie zu löschen (oder auch zu verändern).
Cookies werden verwendet, um Information über einen Benutzer zu speichern um diese bei einem erneuten Besuch der Internetseite verwenden zu können.
Beispielsweise könnte es auf der Internetseite die Möglichkeit geben, die Schriftgröße nach dem eigenen Geschmack anzupassen. Damit man diese Anpassung nicht jedes Mal wieder neu machen muss, wird die Einstellung als Cookie gespeichert.
Wird nun die besagte Internetseite erneut aufgerufen, wird überprüft, ob dieser Cookie vorhanden ist, die darin gespeicherte Schriftgröße ausgelesen und die Schrift entsprechend angepasst.
Eine andere, noch viel wichtigere Anwendung sind die Sitzungscookies. Diese werden auf dieser Internetseite verwendet. Jeder Nutzer erhält einen geheimen und sich häufig wechselnden Code. Durch diesen Code wird angezeigt, dass die Anmeldung auf der Internetseite erfolgreich war und man den passwortgeschützen Bereich betrachten darf.
Alternativ müsste man nach jedem Klick auf der Seite das Passwort neu eingeben, was viel zu unpraktisch ist und daher nicht programmiert wurde.
Mit dem Klick auf nachfolgenden Knopf werden alle Cookies dieser Seite gelöscht. Dies schließt nicht aus, dass neue Cookies gesetzt werden. Insbesondere die Cookies zum Schutz der Seite vor automatisierten Anfragen mit den Namen _lcp, _lcp2 und _lcp3 werden neu gesetzt. Sie sind jedoch nicht personenbezogen.
Nachfolgender Knopf zeigt alle Cookies mit ihrem Inhalt an:
Daten der öffentlichen Nutzer
Durch den Serverbetreiber werden zu den Internetseitenzugriffen Daten protokolliert. Diese dienen Sicherheitszwecken um Cyber-Angriffe erkennen und unterbinden zu können.
Diese Daten sind die IP-Adresse (die temporäre "Internet-Anschrift" des Besuchers, welche sich gewöhnlich jeden Tag ändert), verbunden mit einer eindeutigen ID des Zugriffs. Zusätzlich wird noch der User-Agent-Header (Das sind die Angaben, welche der Browser über sich selbst und das Betriebssystem macht. Im Gegensatz zur IP-Adresse kann diese Angabe beliebig verändert werden. Für einige Browser gibt es dafür extra eine Erweiterung um die Änderung bequem durchführen zu können. Durch den User-Agent lässt sich beispielsweise feststellen, ob der Internetseitenbesucher ein Mobiltelefon oder PC verwendet und entsprechend das Aussehen der Internetseite für einen großen Bildschirm mit Maus oder kleinen Touchscreen anpassen.) protokolliert.
Soweit es mit der Verwendung zu Sicherheitszwecken vereinbar ist, werden die Daten anonymisiert oder pseudonymisiert. Die Protokolldaten werden derzeit 7 Tage aufbewahrt.
Für eine Bot-Sperre setzt der Serverbetreiber zudem noch drei Cookies ein, welche allerdings nicht personenbezogen sind.
Solange von dem Nutzer keine Daten eingegeben werden, werden keine zusätzlich gespeichert. Wird ein Formular ausgefüllt und abgesendet werden alle eingegebenen Daten gespeichert. Im Detail sind dies im Registrierformular folgende:
Anmeldename: Der Loginname, welcher anderen Besuchern der Internetseite niemals angezeigt wird. Dies erhöht etwas die Sicherheit des Benutzerkontos vor unbefugtem Zugriff.
Passwort: Wie der Anmeldename wird das Passwort für die Zugangskontrolle verwendet. Zur zusätzlichen Sicherheit des Benutzers, wird das Passwort durch ein besonderes "Hash-Verfahren" in eine lange Reihe aus Buchstaben und Zahlen verwandelt, die nur mit sehr großem Aufwand (Ausschließlich durch Ausprobieren aller Zeichenkombinationen) wieder in das eingegebene Passwort zurückgeführt werden kann.
E-Mail-Adresse: Sollte das Passwort des Benutzers vergessen worden sein, kann ein neues (Einmal-)Passwort per E-Mail verschickt werden. Zudem besteht damit die Möglichkeit einer Kontaktaufnahme in wichtigen Angelegenheiten. Selbstverständlich zählen Rundschreiben, die nicht jeden interessieren nicht dazu. Wenn eine derartige Benachrichtigung, etwa zum Entwicklungsstand eines Projekts, erwünscht ist, müssen dafür an entsprechender Stelle die entsprechenden Rundschreiben abonniert werden.
Sichtbare Name: Dieser wird anderen Benutzern bei einer Interaktion, etwa in einem Forum, angezeigt. Der andere Gesprächsteilnehmer soll schließlich wissen, von wem der entsprechende Text stammt.
Die Angaben unter "Nur für die Registration" werden vom Administrator eingesehen um dem Benutzerkonto entsprechende Zugriffsrechte auf die einzelnen Teile der Internetseite zu gewähren. Diese Angaben werden auch nach dem Einstellen der entsprechenden Rechte weiterhin gespeichert. Sollten neue geschützte Bereiche zu der Internetseite hinzukommen, kann damit die Zugriffsberechtigung für das entsprechende Benutzerkonto angepasst werden. Zudem ermöglicht es die Überprüfung, ob die Zugriffsrechte ordnungsgemäß vergeben wurden.
Selbstverständlicherweise werden diese Daten nicht an andere als oben beschrieben weitergegeben.
Es kann vorkommen, dass ein Sitzungscookie gespeichert wird, obwohl der Seitenbenutzer kein Anmeldeversuch unternommen hat. Da er nur verwendet wird um zu kontrollieren, ob den Benutzer auf der Internetseite angemeldet ist, kann er getrost über die Browsereinstellungen gelöscht werden.
Daten der Nutzer des passwortgeschützten Bereichs
Neben den in den darüber stehenden Absätzen genannten Daten werden zusätzlich alle offensichtlich abgesendete Daten gespeichert. Für den Programmteil BevInv bedeutet dies:
Der eingegebene Projektname, die Ortsbezeichnungen, Gegenstandsnamen, Bezeichnungen, hochgeladene Grafiken,... werden gespeichert. Ein Zugriff für Benutzer, welche nicht an dem Projekt beteiligt sind ist erstmal nicht möglich.
Wird allerdings die App erstellt, so ist diese allen zugänglich. Sollte dies nicht erwünscht sein, muss der Passwortschutz aktiviert sein.
Speicherdauer, Rechte der Seitenbenutzer
Alle eingegebenen und damit mit dem Account verbundene Daten bleiben bestehen, bis diese durch den Benutzer selbst gelöscht werden oder der Benutzeraccount gelöscht wird.
Alle Daten verbleiben nach der eigentlichen Löschung noch für 90 Tage in den täglichen Sicherheitskopien, welche automatisch gelöscht werden.
Falls Daten berichtigt oder gelöscht werden sollen, die Verarbeitung der Daten eingeschränkt, widersprochen oder widerrufen werden sollen, reicht eine E-Mail an die oben aufgeführte Adresse.
Zur Verifikation von registrierten Benutzern muss hierfür die angegebene E-Mail-Adresse verwendet werden oder die Accountzugehörigkeit auf andere geeignete Art dargelegt werden können.
Für die Auskunft über die personenbezogenen Daten, ebenso für deren Übertragung in einem maschinenlesbaren Format, empfehle ich das verfassen einer verschlüsselten E-Mail (Adresse und öffentlicher Schlüssel ist am Anfang dieser Seite), in welcher der eigene öffentliche Schlüssel mit versendet wird.
Ansonsten können diese Daten aber auch in verschlüsselter Form (z.B. in einer ZIP-Datei) oder auf Wunsch auch unverschlüsselt auf der Internetseite zum Download bereitgestellt werden, sodass zumindest die TLS-Verschlüsselung genutzt werden kann.
Allgemein gilt: Einfach eine (gerne auch komplett formlose) E-Mail mit dem Anliegen schreiben.