← wupper.io

Cookies und lokale Speicherung

Cookies sind ein Werkzeug. Sie lassen sich für sinnvolle Dinge einsetzen, etwa für Anmeldung, persönliche Einstellungen und Schutz vor Angriffen. Genauso lassen sich damit auch Klicks seitenübergreifend protokollieren und an Werbenetzwerke verkaufen. Wir setzen ausschließlich die erste Sorte ein.

Eine Webseite soll funktionieren. Sie sollte nicht beim Aufruf zuerst aushandeln, ob der Besucher überwacht werden möchte. Banner mit „Wir & ein paar hundert Partner verwenden Cookies", versteckte „Ablehnen"-Schaltflächen und „berechtigtes Interesse" als Notausgang um die Einwilligungspflicht herum sind kein technischer Standard, sondern eine bewusste Entscheidung für Werbe-Tracking. Wir haben uns dagegen entschieden, weil eine ehrliche Webseite ihren Besuchern nichts unterjubelt, was sie nicht ausdrücklich bestellt haben.

Worauf wir bewusst verzichten

  • Kein Tracking über Sitzungen, Geräte oder Webseiten hinweg. Keine Werbe-Pixel, keine Conversion-Pings, keine Re-Targeting-Listen.
  • Keine Drittanbieter-Cookies. Es laden keine Skripte von Werbenetzwerken, Analyse-Anbietern oder Social-Media-Plattformen. Damit auch keine Cookies, die nicht von uns kommen.
  • Kein Profil über Sie. Wir bauen keine Werbe-IDs, keine Interessen-Cluster, keine Lookalike-Zielgruppen. Wir verkaufen keine Daten, weil wir keine sammeln, die wir verkaufen könnten.
  • Kein Cookie-Banner. Wenn ohnehin nichts Einwilligungspflichtiges gesetzt wird, gibt es nichts zu „akzeptieren". Ein Banner als Pflichtgeste wäre Augenwischerei.

Was tatsächlich gespeichert wird

Solange Sie auf unserer Webseite nichts umstellen, werden keine Cookies gesetzt. Speicher entsteht nur dort, wo es einer von Ihnen ausgelösten Aktion dient: Theme-Auswahl, Anmeldung. Konkret:

  • wio_color_scheme (Cookie, Domain .wupper.io): speichert Ihre Auswahl für das Farbschema, sobald Sie es manuell auf Hell oder Dunkel umstellen. Domain-weit gesetzt, damit auch Anmeldebereich, Webmail und Ticket-System den gewählten Modus übernehmen, ohne dass Sie ihn auf jeder Seite einzeln nochmal einstellen müssen. Der Name folgt der CSS-Media-Query prefers-color-scheme; das Präfix wio_ kennzeichnet das Cookie als unseres. Lebensdauer: 12 Monate; Sie können das Cookie jederzeit löschen, dann fällt die Anzeige auf das Standard-Schema Ihres Systems zurück.

  • csrftoken (Cookie): wird gesetzt, sobald Sie sich anmelden, und schützt Anmelde-, Logout- und Konto-Aktionen vor Cross-Site-Request-Forgery. Kein Inhalt mit Personenbezug. Session-Cookie: verschwindet beim Schließen des Browsers automatisch.
  • sessionid (Cookie, HttpOnly): wird beim Klick auf „Anmelden" gesetzt, sichert den Login-Vorgang ab und identifiziert anschließend Ihre angemeldete Sitzung gegenüber unserem Server. Session-Cookie: verschwindet beim Schließen des Browsers; manuelles Abmelden entfernt es sofort.

Single Sign-On (sso.wupper.io)

Damit Sie sich einmal anmelden und mehrere unserer Anwendungen ohne erneute Eingabe nutzen können, setzt unser zentraler Anmeldedienst eigene Cookies. Diese liegen ausschließlich auf der SSO-Domain, nicht auf wupper.io selbst.

  • AUTH_SESSION_ID (HttpOnly): wird gesetzt, sobald Sie die Anmeldeseite aufrufen, auch ohne anschließenden Login. Erlaubt es, einen laufenden Anmelde-Vorgang einer Browser-Sitzung zuzuordnen, etwa wenn Sie im Login-Formular zwischen Schritten navigieren. Wird nach Abschluss oder Abbruch verworfen.
  • KEYCLOAK_IDENTITY und KEYCLOAK_SESSION (HttpOnly): werden erst nach erfolgreichem Login gesetzt. Ermöglichen die zentrale Anmeldung über mehrere unserer Anwendungen hinweg, ohne dass Sie sich erneut authentifizieren müssen. Lebensdauer richtet sich nach der Konfiguration des Anmeldedienstes; spätestens beim Logout entfernt.

Webmail (mail.wupper.io)

Wenn Sie unser Webmail aufrufen, setzt das System Session-Cookies zur Anmeldung am Postfach und zum CSRF-Schutz. Diese entstehen ausschließlich bei direkter Nutzung von mail.wupper.io, nicht durch den Besuch unserer Hauptseite.

  • 0PublicSession, XSRF-TOKEN, SOGoUser (HttpOnly soweit möglich): Sitzungs- und CSRF-Schutz-Cookies des Webmail-Frontends. Werden mit dem Logout oder beim Schließen der Webmail-Sitzung entfernt.

Ticket-System (service.wupper.io)

Beim Aufruf unseres Ticket-Systems werden Cookies für die angemeldete Sitzung und den CSRF-Schutz gesetzt, ebenfalls nur bei direkter Nutzung dieses Dienstes.

  • _zammad_session_* (HttpOnly): Sitzungs-Cookie zur Identifikation Ihrer angemeldeten Session.
  • _csrf_token: Schutz vor Cross-Site-Request-Forgery beim Erstellen oder Bearbeiten von Tickets. Wird mit dem Logout oder spätestens am Sitzungs-Timeout entfernt.

Webanalyse

Wenn wir wissen wollen, ob unsere Inhalte ankommen, brauchen wir dafür keine externen Tracker. Wir betreiben unsere Webanalyse mit Matomo auf eigenen Servern in Deutschland, anonymisieren IP-Adressen vor dem Speichern und kommen dabei komplett ohne Cookies aus. Es gibt nichts, das Sie auf der nächsten Seite wiedererkennt, und nichts, das an Dritte fließt. Details dazu in unserer Datenschutzerklärung.

Rechtsgrundlage

§ 25 Abs. 2 Nr. 2 TTDSG (technisch unbedingt erforderlich) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse, namentlich die Bereitstellung der Website-Funktionen). Weil wir keine nicht-essenziellen Cookies einsetzen, ist keine Einwilligung erforderlich. Anders formuliert: Es gibt hier nichts, das ohne Einwilligung nicht funktionieren würde, und damit auch nichts, was eine Einwilligung sinnvoll absichern könnte.

Fragen zum Cookie-Einsatz

Sie wollen wissen, warum ein bestimmter Wert gespeichert ist, vermissen eine Angabe oder haben den Eindruck, dass irgendetwas hier doch nach Tracking riecht? Schreiben Sie uns. Wir ergänzen die Übersicht oder erklären den Hintergrund: