"Es tut mir leid, Dave,
aber die DSGVO verlangt das."
Die besten Cookies sind die, die nicht direkt zum Einsatz kommen.
aber die DSGVO verlangt das."
Die besten Cookies sind die, die nicht direkt zum Einsatz kommen.
Seit dem 25. Mai 2018 bildet die EU-Datenschutz-Grundverordnung (DSGVO) den gemeinsamen Datenschutzrahmen in der Europäischen Union. In diesem Zug wurden auf unzähligen Webseiten in Datenschutzhinweisen notwendige Aktualisierungen vorgenommen.
Zusätzlich gilt jedoch auch die sogenannte Cookie-Richtlinie, die vor dem Setzen von technisch nicht relevanten Cookies eine ausdrückliche Einwilligung der Nutzer verlangt.
Um das Einholen dieser Einwilligungen für die Surfer möglichst einfach zu gestalten, hat ascana ab Version 18.5.14 den Einsatz von Cookies drastisch reduziert.
Zusätzlich gilt jedoch auch die sogenannte Cookie-Richtlinie, die vor dem Setzen von technisch nicht relevanten Cookies eine ausdrückliche Einwilligung der Nutzer verlangt.
Um das Einholen dieser Einwilligungen für die Surfer möglichst einfach zu gestalten, hat ascana ab Version 18.5.14 den Einsatz von Cookies drastisch reduziert.
ascana-DSGVO-Features:
- ascana setzt im Frontend keine Cookies mehr ein
- Kartendienste fordern vor erstmaliger Einbettung eine Einwilligung
- Google-Analytics kann ohne Cookies genutzt werden und durch ein Cookie-Banner autorisiert werden
- Matomo kann ohne Cookies eingesetzt werden
- Videos sind nicht mehr eingebettet, sondern visuell verlinkt
- Der Datenschutzhinweis ermöglicht die Deaktivierung und Aktivierung dieser Dienste
Darstellung des Standorts mit Google Maps oder OpenStreepMap
Unter ascana kann auf Webseiten die Einbindung von Kartendiensten von Webseitenbesucher selbst gesteuert werden. Standardmäßig ist diese Einbindung unter ascana deaktiviert, wodurch im Vorfeld keine Cookies gesetzt und keine Daten an die Anbieter übertragen werden. Eine zugehörige Cookie-Abfrage beim Betreten der Webseite ist somit nicht notwendig. Die Einbindung muss per Mausklick bewusst aktiviert werden.
GoogleMaps bietet bei Aktivierung Dienste wie Routenplaner oder die Einblendung von Google-Bewertungen zum Standort.
GoogleMaps bietet bei Aktivierung auch die Möglichkeit, 360°-Fotos einzubinden.
OpenStreetMap zeigt bei Aktivierung Karteninhalte an. Potentielle Marktbegleiter können nicht angeklickt werden.
OSM Navigator
OSM Navigator
Warum die Einbindung von Schriften die DSGVO betrifft
"Web Design ist zu 95% Typographie." Als iA 2006 dieses visionäre Postulat veröffentlichte1, steckten für das Internet heute alltägliche Techniken noch in den Kinderschuhen. Inzwischen ist der Einsatz individueller Schriften in Webseiten nicht mehr wegzudenken. Das Unterfangen birgt allerdings datenschutzrechtliche Risiken.
2009 setzte die Entwicklung des Web Open Font Format (WOFF) für Schriften erste Maßstäbe, das Verfahren verkürzt durch Komprimierung spürbar die Ladezeiten. 2010 begann die Plattform Google Fonts, lizenzfreie Schriften zu sammeln und als zentrale Downloadquelle anzubieten.
Da beim Download aber die IP-Adresse an die Google-Zentrale in den USA übertragen wird, verstößt die Technik gegen die DSGVO.2 Google erlaubt aber bisher glücklicherweise, die Schriften lokal auf dem eigenen Webserver abzulegen.3
Erweiterte Font-Libraries wie FontAwesome oder IcoFont sollten ebenfalls lokal eingebettet werden, sofern dies die Lizenzbedingungen erlauben.
Da beim Download aber die IP-Adresse an die Google-Zentrale in den USA übertragen wird, verstößt die Technik gegen die DSGVO.2 Google erlaubt aber bisher glücklicherweise, die Schriften lokal auf dem eigenen Webserver abzulegen.3
Erweiterte Font-Libraries wie FontAwesome oder IcoFont sollten ebenfalls lokal eingebettet werden, sofern dies die Lizenzbedingungen erlauben.
Oftmals besteht zusätzlich der Wunsch, unternehmenseigene Hausschriften auch im Internet einzusetzen. Hier sollte ermittelt werden, nach welcher Vorgabe diese Schriften für die Online-Nutzung lizensiert werden können, ob preiswerte Alternativen verfügbar sind und welche Kosten entstehen können.
Es ist unbedingt darauf zu achten, ob der Aufruf einer Schrift vom Anbieter technisch gemessen4 wird und ob dies gegen die DSGVO verstößt.
- Einmaliger Erwerb der Nutzungsrechte (BuyOut)
- Monatliche / jährliche Lizenzkosten
- Erwerb eines Kontingents an Seitenaufrufen
Es ist unbedingt darauf zu achten, ob der Aufruf einer Schrift vom Anbieter technisch gemessen4 wird und ob dies gegen die DSGVO verstößt.
Statistikauswertungen im Fadenkreuz der DSGVO
Die jüngsten Urteile des EuGH (11/19) und BGH (05/20) fordern verpflichtend die aktive Einwilligung des Nutzers vor dem Setzen von Cookies. Viele Surfer sperren sich leider gegen solche Verfahren. Ohne 'Tracking' sind aussagekräftige Analysen zum Surfverhalten fast nicht möglich. Seitenaufrufe können aber trotzdem lokal erfasst und ausgewertet werden.

- Google Analytics setzt Technologien wie Device-Fingerprinting ein.
- IP-Anonymisierung kann aktiviert werden.
- Google Analytics kann ohne Cookies eingesetzt werden, um nur KLicks zu zählen. Werte wie Besucherzahl oder Verweildauer können dann nicht mehr ermittelt werden.
- Die erfassten Informationen werden meist in die USA übertragen und dort gespeichert. Dies erfordert die aktive Zustimmung des Surfers.
- Die IP-Adresse der Website-Besucher:innen wird bei Aufruf des benötigten JavaScripts an Google übermittelt. Dies stellt juristisch einen Verstoß gegen das Persönlichkeitsrecht dar.

- IONOS setzt generell beim Hosting das Statistiktool WebAnalytics ein, das unseres Wissens nach nicht deaktiviert werden kann. Sämtliche Online-Zugriffe (auch die innerhalb des CMS) werden erfasst.
- Laut IONOS erfolgt die Datenerfassung anonymisiert, sodass sie nicht zu einzelnen Personen zurückverfolgt werden kann. Daten werden nicht an Dritte weitergegeben.
- Cookies werden nicht gespeichert.
- E-Recht 24 bietet im Datenschutz-Generator einen Passus zum Verfahren.

- Durch Matomo erfasste Informationen werden lokal gespeichert und nicht an Dritte weitergegeben. Die IP-Adresse wird vor dem Speichern anonymisiert.
- Manche Hoster wie IONOS bieten Matomo als zubuchbare App an
- Matomo kann ohne Cookies und ohne Javascript 'unsichtbar' eingesetzt werden. Bei höherer Frequenz kann das Tool aber an seine Grenzen stoßen.
- E-Recht 24 bietet im Datenschutz-Generator einen Passus zum Verfahren.
Videoclips auf
YouTube und Vimeo
Trotz Einhalten von No-Cookie-Richtlinien werden über eingebettete Plugins von Videoanbietern wie YouTube oder Vimeo automatisch die IP-Adresse des Besuchers und die URL der besuchten Webseite übertragen. Unter ascana kann die Einbindung von Videos durch eine Screenshot-Verlinkung erbeten oder sogar ersetzt werden.
Cookiefreie CAPTCHA-Abfrage in Formularen
CAPTCHA: completely automated public Turing test to tell computers and humans apart
Nebenstehende Grafik zeigt eine klassische Prüfsituation am Ende von Online-Formularen. In der Regel erfordert dies den Einsatz eines technischen Cookies, in dem der Vergleichswert für die Prüfeingabe gespeichert ist.
Das CAPTCHA-Verfahren von ascana verzichtet auf Cookies und setzt auf eine andere, pragmatische Lösung.
