"Es tut mir leid, Dave,
aber die DSGVO verlangt das."
Die besten Cookies sind die, die nicht direkt zum Einsatz kommen.
aber die DSGVO verlangt das."
Die besten Cookies sind die, die nicht direkt zum Einsatz kommen.
Seit dem 25. Mai 2018 bildet die EU-Datenschutz-Grundverordnung (DSGVO) den gemeinsamen Datenschutzrahmen in der Europäischen Union. In diesem Zug wurden auf unzähligen Webseiten in Datenschutzhinweisen notwendige Aktualisierungen vorgenommen.
Zusätzlich gilt jedoch auch die sogenannte Cookie-Richtlinie, die vor dem Setzen von technisch nicht relevanten Cookies eine ausdrückliche Einwilligung der Nutzer verlangt.
Um das Einholen dieser Einwilligungen für die Surfer möglichst einfach zu gestalten, hat ascana ab Version 18.5.14 den Einsatz von Cookies drastisch reduziert.
Zusätzlich gilt jedoch auch die sogenannte Cookie-Richtlinie, die vor dem Setzen von technisch nicht relevanten Cookies eine ausdrückliche Einwilligung der Nutzer verlangt.
Um das Einholen dieser Einwilligungen für die Surfer möglichst einfach zu gestalten, hat ascana ab Version 18.5.14 den Einsatz von Cookies drastisch reduziert.
ascana-DSGVO-Features:
- ascana setzt im Frontend keine Cookies ein
- Google-Fonts werden lokal gehostet
Font-Awesome Schriften werden lokal gehostet - Der Kartendienst OpenStreetMap wird samt Kartenmaterial lokal betrieben
- Videos sind nicht eingebettet, sondern visuell verlinkt
- Der Datenschutzhinweis informiert über den korrekten Einsatz dieser Dienste
Darstellung des Standorts mit OpenStreepMap als Alternative zu Google Maps
Unter ascana kann auf Webseiten der Kartendienst OpenStreetMap ohne die Weitergabe personenbezogener Daten genutzt werden.
OpenStreetMap wird unter ascana direkt auf dem Webserver betrieben. Der Abruf von benötigten OpenStreetMap-Tiles erfolgt serverseitig. Kartenmaterial wird lokal abgespeichert. Es werden keine personenbezogenen Daten aus dem Browser übergeben.
Warum die Einbindung von Schriften die DSGVO betrifft
"Web Design ist zu 95% Typographie." Als iA 2006 dieses visionäre Postulat veröffentlichte1, steckten für das Internet heute alltägliche Techniken noch in den Kinderschuhen. Inzwischen ist der Einsatz individueller Schriften in Webseiten nicht mehr wegzudenken. Das Unterfangen birgt allerdings datenschutzrechtliche Risiken.
2009 setzte die Entwicklung des Web Open Font Format (WOFF) für Schriften erste Maßstäbe, das Verfahren verkürzt durch Komprimierung spürbar die Ladezeiten. 2010 begann die Plattform Google Fonts, lizenzfreie Schriften zu sammeln und als zentrale Downloadquelle anzubieten.
Da beim Download aber die IP-Adresse an die Google-Zentrale in den USA übertragen wird, verstößt die Technik gegen die DSGVO.2 2022 wurde dies für für eine Abmahnwelle instrumentalisiert, wogegen aber inzwischen rechtlich vorgegangen wird.3 Glücklicherweise erlaubt Google bisher, die Schriften lokal auf dem eigenen Webserver abzulegen.4 ascana bettet diese deshalb lokal ein.
Erweiterte Font-Libraries wie FontAwesome oder IcoFont sollten ebenfalls lokal eingebettet werden, sofern dies die Lizenzbedingungen erlauben. Auch solche Bibliotheken bettet ascana lokal ein.
Da beim Download aber die IP-Adresse an die Google-Zentrale in den USA übertragen wird, verstößt die Technik gegen die DSGVO.2 2022 wurde dies für für eine Abmahnwelle instrumentalisiert, wogegen aber inzwischen rechtlich vorgegangen wird.3 Glücklicherweise erlaubt Google bisher, die Schriften lokal auf dem eigenen Webserver abzulegen.4 ascana bettet diese deshalb lokal ein.
Erweiterte Font-Libraries wie FontAwesome oder IcoFont sollten ebenfalls lokal eingebettet werden, sofern dies die Lizenzbedingungen erlauben. Auch solche Bibliotheken bettet ascana lokal ein.
Oftmals besteht zusätzlich der Wunsch, unternehmenseigene Hausschriften auch im Internet einzusetzen. Hier sollte ermittelt werden, nach welcher Vorgabe diese Schriften für die Online-Nutzung lizensiert werden können, ob preiswerte Alternativen verfügbar sind und welche Kosten entstehen können.
Es ist unbedingt darauf zu achten, ob der Aufruf einer Schrift vom Anbieter technisch gemessen5 wird und ob dies gegen die DSGVO verstößt. In solchen Fällen sollte eine adäquate Ersatzschrift angeboten werden.
- Einmaliger Erwerb der Nutzungsrechte (BuyOut)
- Monatliche / jährliche Lizenzkosten
- Erwerb eines Kontingents an Seitenaufrufen
Es ist unbedingt darauf zu achten, ob der Aufruf einer Schrift vom Anbieter technisch gemessen5 wird und ob dies gegen die DSGVO verstößt. In solchen Fällen sollte eine adäquate Ersatzschrift angeboten werden.
1) https://ia.net/topics/the-web-is-all-about-typography-period
2) https://t3n.de/news/google-fonts-illegal-urteil-dsgvo-1447698/
3) https://t3n.de/news/abmahnung-google-fonts-razzia-anwalt-1522886/
4) https://github.com/google/fonts#self-host-fonts-available-from-google-fonts
5) https://www.e-recht24.de/dsg/12703-myfonts.html
2) https://t3n.de/news/google-fonts-illegal-urteil-dsgvo-1447698/
3) https://t3n.de/news/abmahnung-google-fonts-razzia-anwalt-1522886/
4) https://github.com/google/fonts#self-host-fonts-available-from-google-fonts
5) https://www.e-recht24.de/dsg/12703-myfonts.html
Statistikauswertungen im Fadenkreuz der DSGVO
Die jüngsten Urteile des EuGH (11/19) und BGH (05/20) fordern verpflichtend die aktive Einwilligung des Nutzers vor dem Setzen von Cookies. Viele Surfer sperren sich leider gegen solche Verfahren. Ohne 'Tracking' sind aussagekräftige Analysen zum Surfverhalten fast nicht möglich. Seitenaufrufe können aber trotzdem lokal erfasst und ausgewertet werden.
Google Analytics
- Google Analytics setzt Technologien wie Device-Fingerprinting ein.
- IP-Anonymisierung kann aktiviert werden.
- Google Analytics kann ohne Cookies eingesetzt werden, um nur KLicks zu zählen. Werte wie Besucherzahl oder Verweildauer können dann nicht mehr ermittelt werden.
- Die erfassten Informationen werden meist in die USA übertragen und dort gespeichert. Dies erfordert die aktive Zustimmung des Surfers.
- Die IP-Adresse der Website-Besucher:innen wird bei Aufruf des benötigten JavaScripts an Google übermittelt. Dies stellt juristisch einen Verstoß gegen das Persönlichkeitsrecht dar.
IONOS WebAnalytics
- IONOS setzt generell beim Hosting das Statistiktool WebAnalytics ein, das unseres Wissens nach nicht deaktiviert werden kann. Sämtliche Online-Zugriffe (auch die innerhalb des CMS) werden erfasst.
- Laut IONOS erfolgt die Datenerfassung anonymisiert, sodass sie nicht zu einzelnen Personen zurückverfolgt werden kann. Daten werden nicht an Dritte weitergegeben.
- Cookies werden nicht gespeichert.
- E-Recht 24 bietet im Datenschutz-Generator einen Passus zum Verfahren.
Matomo / Piwik
- Durch Matomo erfasste Informationen werden lokal gespeichert und nicht an Dritte weitergegeben. Die IP-Adresse wird vor dem Speichern anonymisiert.
- Manche Hoster wie IONOS bieten Matomo als zubuchbare App an
- Matomo kann ohne Cookies und ohne Javascript 'unsichtbar' eingesetzt werden. Bei höherer Frequenz kann das Tool aber an seine Grenzen stoßen.
- E-Recht 24 bietet im Datenschutz-Generator einen Passus zum Verfahren.
Videoclips auf
YouTube und Vimeo
Das Aktivieren von YouTube-Videos unter ascana öffnet den Film über einen externen Link. Dies muss nicht im Datenschutzhinweis aufgeführt werden. Das Screenshot Bild ist zudem lokal gespeichert.
Cookiefreie CAPTCHA-Abfrage in Formularen
CAPTCHA: completely automated public Turing test to tell computers and humans apart
Nebenstehende Grafik zeigt eine klassische Prüfsituation am Ende von Online-Formularen. In der Regel erfordert dies den Einsatz eines technischen Cookies, in dem der Vergleichswert für die Prüfeingabe gespeichert ist.
Das CAPTCHA-Verfahren von ascana verzichtet auf Cookies und setzt auf eine andere, pragmatische Lösung. Unser Verfahren trainiert auch keine KI für autonomes Fahren.1
"Wie man sich bettet, so liegt man"
Eingebettete Dienste (Embedding)
Viele Webseiten nutzen externe Dienste, um den Zugriff auf ihr eigenes Leistungsangebot benutzerfreundlich anbieten zu können. Hierzu zählen z.B. Belegungspläne, Buchungshilfen, Ticketing, Wetterdaten, aber auch Werbung.
Dies birgt datenschutzrechtliche Risiken...
Das Einbinden fremden Contents wird oft über sogenannte Inlineframes (iFrame) realisiert: kleine Fenster in der eigenen Webseite, in denen Inhalte ganz anderer Websites angezeigt werden.
Ein Vorteil dieses Verfahrens ist, dass sich der Surfer weiter in der ursprünglichen Webseite wähnt, während er fremde, eingebettete Dienste nutzt und dort vielleicht sogar personenbezogene Daten übermittelt. Allerdings werden vom Browser stets die IP-Adresse und weitere Browserinformationen übergeben, meist externe Dateien wie z.B. JavaScripts geladen und nicht selten auch Cookies abgelegt.
Deshalb darf eine Einbettung über iFrame ohne vorherige Zustimmung nicht erfolgen.
Ein Vorteil dieses Verfahrens ist, dass sich der Surfer weiter in der ursprünglichen Webseite wähnt, während er fremde, eingebettete Dienste nutzt und dort vielleicht sogar personenbezogene Daten übermittelt. Allerdings werden vom Browser stets die IP-Adresse und weitere Browserinformationen übergeben, meist externe Dateien wie z.B. JavaScripts geladen und nicht selten auch Cookies abgelegt.
Deshalb darf eine Einbettung über iFrame ohne vorherige Zustimmung nicht erfolgen.
Werden Daten aber mittels einer API-Schnittstelle an die eigene Webseite übertragen, so erfolgt dies meist serverseitig. In diesem Fall wird in der Regel keine browserbezogene IP-Adresse und keine browserspezifische Information an den fremden Dienstanbieter weitergeleitet.
Diese API-Schnittstellen können zudem meist so konfiguriert werden, dass keine Datenschutzkonflikte entstehen.
Wird die API-Schnittstelle genutzt, um personenbezogene Daten an Drittanbieter zu übermitteln, so muss darüber im Vorfeld einer potenziellen Übergabe informiert und zugestimmt werden.
In beiden Fällen muss zudem im Datenschutzhinweis genau erläutert werden, inwiefern die fremde Seite personenbezogene Daten speichert und verarbeitet.
Diese API-Schnittstellen können zudem meist so konfiguriert werden, dass keine Datenschutzkonflikte entstehen.
Wird die API-Schnittstelle genutzt, um personenbezogene Daten an Drittanbieter zu übermitteln, so muss darüber im Vorfeld einer potenziellen Übergabe informiert und zugestimmt werden.
In beiden Fällen muss zudem im Datenschutzhinweis genau erläutert werden, inwiefern die fremde Seite personenbezogene Daten speichert und verarbeitet.