CMS ascana | Webseiten, Websites | DSGVO | Datenschutz

Datenschutzkonform: Cookies, YouTube, Vimeo, Google Maps, OpenStreetMap

Darstellung des Standorts mit OpenStreepMap als Alternative zu Google Maps


Unter ascana kann auf Webseiten der Kartendienst OpenStreetMap ohne die Weitergabe personenbezogener Daten genutzt werden.

OpenStreetMap wird unter ascana direkt auf dem Webserver betrieben. Der Abruf von benötigten OpenStreetMap-Tiles erfolgt serverseitig. Kartenmaterial wird lokal abgespeichert. Es werden keine personenbezogenen Daten aus dem Browser übergeben.

OpenStreetMap kann auch mehrere Pins unter Einsatz der Leaflet Cluster-Option anzeigen. Sämtliche dafür benötigten Dateien sind lokal gehostet.


Warum die Einbindung von Schriften die DSGVO betrifft


"Web Design ist zu 95% Typographie." Als iA 2006 dieses visionäre Postulat veröffentlichte1, steckten für das Internet heute alltägliche Techniken noch in den Kinderschuhen. Inzwischen ist der Einsatz individueller Schriften in Webseiten nicht mehr wegzudenken. Das Unterfangen birgt allerdings datenschutzrechtliche Risiken. 


2009 setzte die Entwicklung des Web Open Font Format (WOFF) für Schriften erste Maßstäbe, das Verfahren verkürzt durch Komprimierung spürbar die Ladezeiten. 2010 begann die Plattform Google Fonts, lizenzfreie Schriften zu sammeln und als zentrale Downloadquelle anzubieten.

Da beim Download aber die IP-Adresse an die Google-Zentrale in den USA übertragen wird, verstößt die Technik gegen die DSGVO.2 2022 wurde dies für für eine Abmahnwelle instrumen­talisiert, wogegen aber inzwischen rechtlich vorgegangen wird.3 Glücklicherweise erlaubt Google bisher, die Schriften lokal auf dem eigenen Webserver abzulegen.4 ascana bettet diese deshalb lokal ein.

Erweiterte Font-Libraries wie FontAwesome oder IcoFont sollten ebenfalls lokal eingebettet werden, sofern dies die Lizenz­bedingungen erlauben. Auch solche Bibliotheken bettet ascana lokal ein.
Oftmals besteht zusätzlich der Wunsch, unternehmenseigene Hausschriften auch im Internet einzusetzen. Hier sollte ermittelt werden, nach welcher Vorgabe diese Schriften für die Online-Nutzung lizensiert werden können, ob preiswerte Alternativen verfügbar sind und welche Kosten entstehen können.
 
  • Einmaliger Erwerb der Nutzungsrechte (BuyOut)
  • Monatliche / jährliche Lizenzkosten
  • Erwerb eines Kontingents an Seitenaufrufen

Es ist unbedingt darauf zu achten, ob der Aufruf einer Schrift vom Anbieter technisch gemessen5 wird und ob dies gegen die DSGVO verstößt. In solchen Fällen sollte eine adäquate Ersatzschrift angeboten werden.
 
1) https://ia.net/topics/the-web-is-all-about-typography-period
2) https://t3n.de/news/google-fonts-illegal-urteil-dsgvo-1447698/
3) https://t3n.de/news/abmahnung-google-fonts-razzia-anwalt-1522886/
4) https://github.com/google/fonts#self-host-fonts-available-from-google-fonts
5) https://www.e-recht24.de/dsg/12703-myfonts.html
 

Statistik­auswertungen im Fadenkreuz der DSGVO


Die jüngsten Urteile des EuGH (11/19) und BGH (05/20) fordern verpflichtend die aktive Einwilligung des Nutzers vor dem Setzen von Cookies. Viele Surfer sperren sich leider gegen solche Verfahren. Ohne 'Tracking' sind aussagekräftige Analysen zum Surfverhalten fast nicht möglich. Seitenaufrufe können aber trotzdem lokal erfasst und ausgewertet werden.


Google Analytics

  • Google Analytics setzt Technologien wie Device-Fingerprinting ein.
  • IP-Anonymisierung kann aktiviert werden.
  • Google Analytics kann ohne Cookies eingesetzt werden, um nur KLicks zu zählen. Werte wie Besucherzahl oder Verweildauer können dann nicht mehr ermittelt werden.
  • Die erfassten Informationen werden meist in die USA übertragen und dort gespeichert. Dies erfordert die aktive Zustimmung des Surfers.
  • Die IP-Adresse der Website-Besucher:innen wird bei Aufruf des benötigten JavaScripts an Google übermittelt. Dies stellt juristisch einen Verstoß gegen das Persönlichkeitsrecht dar.
IONOS WebAnalytics

  • IONOS setzt generell beim Hosting das Statistik­tool WebAnalytics ein, das unseres Wissens nach nicht deaktiviert werden kann. Sämtliche Online-Zugriffe (auch die innerhalb des CMS) werden erfasst. 
  • Laut IONOS erfolgt die Datenerfassung anonymisiert, sodass sie nicht zu einzelnen Personen zurückverfolgt werden kann. Daten werden nicht an Dritte weitergegeben.
  • Cookies werden nicht gespeichert.
  • E-Recht 24 bietet im Datenschutz-Generator einen Passus zum Verfahren.
Matomo / Piwik

  • Durch Matomo erfasste Informa­tionen werden lokal gespeichert und nicht an Dritte weitergegeben. Die IP-Adresse wird vor dem Speichern anonymisiert.
  • Manche Hoster wie IONOS bieten Matomo als zubuchbare App an
  • Matomo kann ohne Cookies und ohne Javascript 'unsichtbar' eingesetzt werden. Bei höherer Frequenz kann das Tool aber an seine Grenzen stoßen.
  • E-Recht 24 bietet im Datenschutz-Generator einen Passus zum Verfahren.


Videoclips auf
YouTube und Vimeo


Das Aktivieren von YouTube-​Videos unter ascana öffnet den Film über einen externen Link. Dies muss nicht im Datenschutzhinweis aufgeführt werden. Das Screenshot Bild ist zudem lokal gespeichert.


Das Aktivieren dieses YouTube-Videos öffnet den Film über einen externen Link. Dies muss nicht im Datenschutzhinweis aufgeführt werden.

Cookiefreie CAPTCHA-Abfrage in Formularen


CAPTCHA: completely automated public Turing test to tell computers and humans apart



Nebenstehende Grafik zeigt eine klassische Prüfsituation am Ende von Online-Formularen. In der Regel erfordert dies den Einsatz eines technischen Cookies, in dem der Vergleichswert für die Prüfeingabe gespeichert ist.

Das CAPTCHA-Verfahren von ascana verzichtet auf Cookies und setzt auf eine andere, pragmatische Lösung. Unser Verfahren trainiert auch keine KI für autonomes Fahren.1



1) https://www.sueddeutsche.de/digital/serie-kuenstliche-intelligenz-wir-unfreiwilligen-helfer-1.2847212
 

"Wie man sich bettet, so liegt man"
Eingebettete Dienste (Embedding)


Viele Webseiten nutzen externe Dienste, um den Zugriff auf ihr eigenes Leistungsangebot benutzerfreundlich anbieten zu können. Hierzu zählen z.B. Belegungspläne, Buchungshilfen, Ticketing, Wetterdaten, aber auch Werbung.
Dies birgt datenschutzrechtliche Risiken...


Das Einbinden fremden Contents wird oft über sogenannte Inlineframes (iFrame) realisiert: kleine Fenster in der eigenen Webseite, in denen Inhalte ganz anderer Websites angezeigt werden.

Ein Vorteil dieses Verfahrens ist, dass sich der Surfer weiter in der ursprünglichen Webseite wähnt, während er fremde, eingebettete Dienste nutzt und dort vielleicht sogar personenbezogene Daten übermittelt. Allerdings werden vom Browser stets die IP-Adresse und weitere Browser­informa­tionen übergeben, meist externe Dateien wie z.B. JavaScripts geladen und nicht selten auch Cookies abgelegt.

Deshalb darf eine Einbettung über iFrame ohne vorherige Zustimmung nicht erfolgen.
Werden Daten aber mittels einer API-Schnittstelle an die eigene Webseite übertragen, so erfolgt dies meist serverseitig. In diesem Fall wird in der Regel keine browserbezogene IP-Adresse und keine browserspezifische Information an den fremden Dienstanbieter weitergeleitet.

Diese API-Schnittstellen können zudem meist so konfiguriert werden, dass keine Datenschutzkonflikte entstehen.

Wird die API-Schnittstelle genutzt, um personenbezogene Daten an Drittanbieter zu übermitteln, so muss darüber im Vorfeld einer potenziellen Übergabe informiert und zugestimmt werden.

In beiden Fällen muss zudem im Datenschutzhinweis genau erläutert werden, inwiefern die fremde Seite personenbezogene Daten speichert und verarbeitet.

Gerne prüft ascana, inwiefern gewünschte Dienste datenschutzkonform sind und welche Strategie bei der Integration sinnvoll ist.



Lust auf Cookies?

Laut repräsentativen Studien aus dem Jahr 2020 fühlen sich über 40 % der Deutschen durch die vielen Cookie-Hinweise auf Websites genervt oder beim Online-Surfen eingeschränkt. Webseitenbetreiber aufgepasst: Es geht auch ohne Cookies!