Sicherheit & Compliance

Best Practices fuer sichere Implementierung und DSGVO-konforme Nutzung des Consent SDK.

Sicherheits-Features

Datenverschluesselung

Alle Daten werden verschluesselt uebertragen und gespeichert.

  • TLS 1.3 fuer alle API-Kommunikation
  • HMAC-Signatur fuer lokale Storage-Integritaet
  • Keine Klartextspeicherung sensibler Daten

Datenschutzkonformes Fingerprinting

Anonymisiertes Fingerprinting ohne invasive Techniken.

  • Kein Canvas/WebGL/Audio Fingerprinting
  • Nur anonymisierte Browser-Eigenschaften
  • SHA-256 Hash der Komponenten
  • Nicht eindeutig identifizierend

Sichere Speicherung

Lokale Speicherung mit Manipulationsschutz.

  • Signierte localStorage-Eintraege
  • Automatische Signaturverifikation
  • HttpOnly Cookies fuer SSR
  • SameSite=Lax gegen CSRF

API-Sicherheit

Sichere Backend-Kommunikation.

  • Request-Signierung mit Timestamp
  • Credentials-Include fuer Session-Cookies
  • CORS-Konfiguration erforderlich
  • Rate-Limiting auf Server-Seite

DSGVO Compliance

DSGVO ArtikelAnforderungSDK-Unterstuetzung
Art. 6Rechtmaessigkeit der VerarbeitungVollstaendig
Art. 7Bedingungen fuer EinwilligungVollstaendig
Art. 13/14InformationspflichtenVollstaendig
Art. 17Recht auf LoeschungVollstaendig
Art. 20DatenportabilitaetVollstaendig

TTDSG Compliance

§ 25 TTDSG - Schutz der Privatsphaere

Das SDK erfuellt alle Anforderungen des § 25 TTDSG (Telemediengesetz):

  • Einwilligung vor Speicherung: Cookies und localStorage werden erst nach Einwilligung gesetzt (ausser technisch notwendige).
  • Informierte Einwilligung: Klare Kategorisierung und Beschreibung aller Cookies und Tracker.
  • Widerrufsrecht: Jederzeit widerrufbare Einwilligung mit einem Klick.

Best Practices

Empfohlen

  • • HTTPS fuer alle API-Aufrufe verwenden
  • • Consent-Banner vor dem Laden von Third-Party Scripts anzeigen
  • • Alle Kategorien klar und verstaendlich beschreiben
  • • Ablehnen-Button gleichwertig zum Akzeptieren-Button darstellen
  • • Consent-Aenderungen serverseitig protokollieren
  • • Regelmaessige Ueberpruefung der Consent-Gultigkeit (recheckAfterDays)

Vermeiden

  • • Dark Patterns (versteckte Ablehnen-Buttons)
  • • Pre-checked Consent-Optionen
  • • Tracking vor Einwilligung
  • • Cookie-Walls ohne echte Alternative
  • • Unklare oder irrefuehrende Kategoriebezeichnungen

Audit Trail

Das SDK speichert fuer jeden Consent-Vorgang revisionssichere Daten:

{
  "consentId": "consent_abc123...",
  "timestamp": "2024-01-15T10:30:00.000Z",
  "categories": {
    "essential": true,
    "analytics": true,
    "marketing": false
  },
  "metadata": {
    "userAgent": "Mozilla/5.0...",
    "language": "de-DE",
    "platform": "web",
    "screenResolution": "1920x1080"
  },
  "signature": "sha256=...",
  "version": "1.0.0"
}

Diese Daten werden sowohl lokal als auch auf dem Server gespeichert und koennen jederzeit fuer Audits exportiert werden.