""" Cookie-Richtlinie checks — §25 TDDDG / ePrivacy. Level 1: Pflichtangabe erwaehnt? Level 2: Pflichtangabe korrekt/vollstaendig? """ COOKIE_CHECKLIST = [ # ── L1: Arten der Cookies ───────────────────────────────────────── { "id": "cookie_types", "label": "Arten der Cookies", "level": 1, "parent": None, "patterns": [ r"(?:notwendig|essentiell|funktional|statistik|marketing|tracking)", r"cookie.*(?:art|typ|kategori)", ], "severity": "HIGH", "hint": "Gemaess §25 TDDDG und DSK-Orientierungshilfe muessen Cookie-Kategorien einzeln aufgeschluesselt werden (essentiell, funktional, Statistik, Marketing). Haeufiger Fehler: 'Wir verwenden Cookies' ohne Differenzierung genuegt nicht.", }, { "id": "cookie_names_listed", "label": "Konkrete Cookie-Namen aufgelistet", "level": 2, "parent": "cookie_types", "patterns": [ r"(?:_ga|_gid|_gat|_fbp|_gcl|phpsessid|php\s+session\s+id|jsessionid|csrf|xsrf|cookieinfo|et_id|bt_\w+|cntcookie|shophk)", r"cookie[\-_]?name\s*[:\|]", r"name\s+des\s+cookie", r"(?:name|bezeichnung)\s+.*(?:funktion|zweck|speicherdauer|laufzeit)", ], "severity": "MEDIUM", "hint": "Die DSK fordert eine Auflistung jedes einzelnen Cookies mit technischem Namen (z.B. _ga, _gid, PHPSESSID). Tipp: Browser-DevTools > Application > Cookies zeigt alle aktiven Cookies — gleichen Sie diese mit Ihrer Liste ab.", }, { "id": "cookie_essential_justified", "label": "Essentiell/Notwendig-Cookies begruendet", "level": 2, "parent": "cookie_types", "patterns": [ r"(?:essentiell|notwendig|technisch\s+(?:erforderlich|notwendig)).*(?:funktion|betrieb|sicherheit|warenkorb|session|anmeldung)", r"(?:unbedingt|zwingend)\s+erforderlich", r"session[\-\s]?(?:id|cookie).*(?:sitzung|zuordnen|identifiz|wiedererkenn)", r"(?:sitzung|session).*(?:zuordnen|identifiz|wiedererkenn|erfordert)", r"(?:betrieb|funktion)\w*\s+(?:der|unserer)\s+(?:internetseite|website|webseite)", ], "severity": "LOW", "hint": "§25 Abs. 2 TDDDG erlaubt einwilligungsfreie Cookies nur wenn 'unbedingt erforderlich'. Jedes essentielle Cookie braucht eine konkrete Begruendung (z.B. 'Session-ID fuer Warenkorb-Zuordnung'). Pauschale Behauptungen ('fuer den Betrieb noetig') reichen nicht.", }, # ── L1: Zwecke der Cookies ──────────────────────────────────────── { "id": "purposes", "label": "Zwecke der Cookies", "level": 1, "parent": None, "patterns": [ r"zweck.*cookie", r"cookie.*zweck", r"(?:wofuer|wozu|warum).*cookie", r"cookies?\s+(?:ein|ver)?\s*,?\s*um\s+", r"(?:setzen|verwenden|nutzen)\s+.*cookies?\s+.*(?:um|fuer|für)", r"(?:analyse|marketing|tracking|funktional)\w*\s*cookies?\s*\.?\s*(?:um|damit|diese|sie)", r"cookies?\s+(?:dienen|helfen|erm(?:oe|ö)glichen)", ], "severity": "HIGH", "hint": "Art. 13 Abs. 1 lit. c DSGVO verlangt die Zweckangabe je Verarbeitung. Jede Cookie-Kategorie braucht einen konkreten Zweck (z.B. 'Reichweitenmessung', 'Conversion-Tracking'), nicht nur 'zur Verbesserung unserer Website'.", }, { "id": "cookie_providers_named", "label": "Konkrete Anbieter/Dienste benannt", "level": 2, "parent": "purposes", "patterns": [ r"(?:google\s+(?:analytics|tag\s+manager|ads)|matomo|piwik|hotjar|hubspot|facebook\s+pixel|meta\s+pixel|linkedin\s+insight|microsoft\s+clarity)", r"(?:anbieter|provider|dienst)\s*[:\|]\s*[A-Z]", ], "severity": "MEDIUM", "hint": "Art. 13 Abs. 1 lit. e DSGVO verlangt die Nennung der Empfaenger. Jeder Dienst, der Cookies setzt, muss mit Firmenname und Sitz benannt werden (z.B. 'Google Ireland Limited, Dublin'). Anonyme Angaben wie 'Drittanbieter' genuegen nicht.", }, { "id": "cookie_analytics_named", "label": "Analytics-/Statistik-Tools konkret benannt", "level": 2, "parent": "purposes", "patterns": [ r"google\s+analytics|matomo|piwik|plausible|fathom|adobe\s+analytics|microsoft\s+clarity|hotjar|etracker", ], "severity": "LOW", "hint": "Statistik-Cookies erfordern gemaess §25 Abs. 1 TDDDG eine Einwilligung — auch bei 'anonymisierter' Nutzung (vgl. CNIL-Leitlinie zu Google Analytics, 2022). Ausnahme: Serverseitige Tools ohne Endgeraetezugriff (z.B. Matomo ohne Cookies).", }, { "id": "cookie_marketing_named", "label": "Marketing-/Tracking-Tools konkret benannt", "level": 2, "parent": "purposes", "patterns": [ r"(?:facebook|meta)\s+pixel|google\s+ads|linkedin\s+insight|tiktok\s+pixel|pinterest\s+tag|criteo|adroll|taboola", ], "severity": "LOW", "hint": "Marketing-Cookies (Meta Pixel, Google Ads etc.) erfordern immer eine Einwilligung vor dem Setzen (§25 Abs. 1 TDDDG). Haeufiger Fehler: Pixel wird beim Seitenaufruf geladen bevor der Nutzer im Banner zustimmt — das ist ein Verstoss.", }, # ── L1: Speicherdauer ───────────────────────────────────────────── { "id": "retention", "label": "Speicherdauer der Cookies", "level": 1, "parent": None, "patterns": [ r"(?:speicherdauer|laufzeit|g(?:ue|ü)ltigk|ablauf).*cookie", r"cookie.*(?:\d+\s+(?:tag|monat|jahr)|session)", ], "severity": "MEDIUM", "hint": "Art. 13 Abs. 2 lit. a DSGVO verlangt die Speicherdauer oder Kriterien fuer deren Festlegung. Hinweis: Auch Session-Cookies muessen als solche gekennzeichnet werden ('wird beim Schliessen des Browsers geloescht').", }, { "id": "cookie_duration_values", "label": "Konkrete Speicherdauern pro Cookie", "level": 2, "parent": "retention", "patterns": [ r"\d+\s+(?:tag|monat|jahr|minute|stunde|day|month|year)", r"session[\-\s]?cookie", r"(?:ablauf|expiry|laufzeit)\s*[:\|]\s*\d+", ], "severity": "LOW", "hint": "Die DSK-Orientierungshilfe verlangt die Speicherdauer pro Cookie (z.B. '_ga: 2 Jahre', '_gid: 24 Stunden'). Pruefen Sie die tatsaechlichen Werte in den Browser-DevTools — Anbieter-Dokumentation ist oft veraltet.", }, # ── L1: Drittanbieter ───────────────────────────────────────────── { "id": "third_party", "label": "Drittanbieter-Cookies", "level": 1, "parent": None, "patterns": [ r"drittanbieter", r"third.?party", r"(?:google|facebook|meta|microsoft).*cookie", ], "severity": "MEDIUM", "hint": "Bei Drittanbieter-Cookies liegt eine Datenuebermittlung an Dritte vor (Art. 13 Abs. 1 lit. e DSGVO). Bei US-Anbietern pruefen Sie zusaetzlich den Drittlandtransfer: EU-US Data Privacy Framework (DPF) oder Standardvertragsklauseln (Art. 46(2)(c) DSGVO) noetig.", }, { "id": "cookie_legal_basis", "label": "Rechtsgrundlage fuer Cookies (§25 TDDDG / Art. 6(1)(a))", "level": 2, "parent": "third_party", "patterns": [ r"§\s*25\s*(?:abs\.)?\s*(?:1|2)?\s*tdddg", r"art\.\s*6\s*(?:abs\.\s*)?1\s*(?:lit\.\s*)?[af].*(?:cookie|einwilligung|notwendig)", r"einwilligung.*(?:cookie|tracking|marketing)", r"ttdsg|tdddg|§\s*25", r"rechtsgrundlage.*(?:art\.\s*6|cookie|nutzung\s+von\s+cookie)", r"(?:cookie|nutzung\s+von\s+cookie).*rechtsgrundlage", ], "severity": "MEDIUM", "hint": "Zweistufige Rechtsgrundlage beachten: §25 Abs. 1 TDDDG (Einwilligung fuer Endgeraetezugriff) + Art. 6(1)(a) DSGVO (Datenverarbeitung). Fuer technisch notwendige Cookies: §25 Abs. 2 TDDDG + Art. 6(1)(f) DSGVO. Haeufiger Fehler: Nur DSGVO ohne TDDDG angeben.", }, # ── L1: Widerspruch ─────────────────────────────────────────────── { "id": "opt_out", "label": "Widerspruchsmoeglichkeit", "level": 1, "parent": None, "patterns": [ r"(?:widerspruch|opt.?out|ablehnen|deaktivieren).*cookie", r"cookie.*(?:ablehnen|deaktivieren|l(?:oe|ö)schen)", ], "severity": "MEDIUM", "hint": "Art. 7 Abs. 3 DSGVO: Die Einwilligung muss jederzeit widerrufbar sein, und der Widerruf muss so einfach sein wie die Erteilung. Konkret: Ein 'Cookies verwalten'-Link im Footer genuegt; ein versteckter Link in der Datenschutzerklaerung reicht nicht.", }, { "id": "cookie_consent_mechanism", "label": "Consent-Tool/Banner beschrieben", "level": 2, "parent": "opt_out", "patterns": [ r"(?:cookie|consent)\s*[\-\s]?(?:banner|hinweis|tool|management|einstellung)", r"(?:cookiebot|usercentrics|onetrust|borlabs|complianz|klaro|tarteaucitron)", r"einwilligung\s+(?:jederzeit|widerrufen|zurueckziehen|zur(?:ue|ü)ckziehen)", ], "severity": "LOW", "hint": "Das Consent-Tool muss namentlich erwaehnt werden (z.B. Cookiebot, Usercentrics, Borlabs). Die DSK verlangt: Ablehnen muss auf derselben Ebene wie Akzeptieren moeglich sein — kein 'Ablehnen' erst auf Unterseite (sog. Dark Patterns).", }, { "id": "cookie_browser_settings", "label": "Browser-Einstellungen zum Cookie-Management", "level": 2, "parent": "opt_out", "patterns": [ r"browser[\-\s]?einstellung", r"(?:in\s+ihrem|im)\s+browser.*(?:cookie|deaktivieren|l(?:oe|ö)schen|blockieren)", r"(?:chrome|firefox|safari|edge).*(?:cookie|einstellung)", ], "severity": "LOW", "hint": "Ergaenzen Sie einen Hinweis auf Browser-Einstellungen mit konkreten Links zu den Hilfeseiten (Chrome, Firefox, Safari, Edge). Achtung: Browser-Einstellungen allein ersetzen nicht das Consent-Banner — §25 TDDDG verlangt aktive Einwilligung.", }, # ── Neue L1: Cookie-Tabelle ─────────────────────────────────────── { "id": "cookie_table", "label": "Strukturierte Cookie-Tabelle/Liste", "level": 1, "parent": None, "patterns": [ r"(?:cookie[\-\s])?(?:tabelle|uebersicht|übersicht|liste|aufstellung)", r"(?:name|bezeichnung)\s*[\|\t]\s*(?:anbieter|zweck|dauer|laufzeit|funktion)", r"(?:first[\-\s]?party|third[\-\s]?party)\s*[\|\t]", r"(?:typ(?:en)?|name|funktion|speicherdauer)\s+(?:typ(?:en)?|name|funktion|speicherdauer)", r"folgende\s+cookies", r"(?:funktionale|session|analyse|tracking)\s+cookies?\s+\w+", ], "severity": "LOW", "hint": "Die DSK-Orientierungshilfe empfiehlt eine Tabelle mit 5 Spalten: Name, Anbieter, Zweck, Speicherdauer, Typ (First-/Third-Party). Viele Consent-Tools (Cookiebot, Usercentrics) generieren diese Tabelle automatisch — binden Sie sie ein.", }, ]