Datenschutz auf der Webseite.

Datenschutz ist nach dem Hype um die DSVGO in diesen Tagen ein wenig aus der Mode gekommen - zumindest dort, wo es angeblich um Pandemiebekämpfung geht. Mit meinen Meinungsäußerungen zu diesem Thema will ich dich aber gar nicht aufhalten, trotzdem sollten wir uns einmal Gedanken darum machen, wie eine Webseite datenschutzgerecht gestaltet werden kann.

Wenn jemand online geht, hinterlässt er Datenspuren, auch personenbezogene Daten, über die er im Zweifel zu identifizieren ist - je nach Setting klappt das mal mehr oder weniger gut. Das ist auch gar nicht zu vermeiden, denn überall wo ein Internetnutzer auftaucht, werden seine Daten in irgendeiner Weise verarbeitet. Bei der Verarbeitung solcher Daten gilt deshalb der Grundsatz der Datensparsamkeit.

Die Grundidee hinter dem Begriff der Datensparsamkeit ist, dass bei der Verarbeitung von entsprechenden Daten nur so viele personenbezogene Daten gesammelt werden, wie für die jeweilige Anwendung unbedingt notwendig sind. Und das gilt auch für Webseiten.

Schauen wir uns deshalb einmal an, wo Webseiten Nutzerdaten sammeln und was du im Sinne von Datensparsamkeit auch und gerade bei RapidWeaver-Projekten umsetzen lässt.


Daten fallen immer an

Nicht vermeiden kannst du, dass der Hoster, bei dem du deine Webseite speicherst, bestimmte Grunddaten über die Besucher deiner Webseite erhält. Dazu gehört v.a. die IP, eine Internetadresse, über die u.a. der Ort identifiziert werden kann, von dem aus der Seitenbesucher die Seite aufruft, über die aber auch identifiziert werden kann, welche Seite der Seitenbesucher aufruft.

Tatsächlich fallen aber noch weitere Daten an, beispielswiese das verwendete System, der verwendete Browser, die Fenstergröße des Browsers und manches andere.


Datenübertragung im Internet

Grundsätzlich werden beim Aufruf einer Webseite Daten zwischen dem Rechner des Seitenbesuchers und dem Server, von dem die Webseite geladen wird, ausgetauscht - mindestens betrifft das die gerade erwähnte IP-Adresse. Dieser Informationsaustausch kann offen und für jeden zugänglich erfolgen oder aber verschlüsselt durch ein sogenanntes SSL-Zertifikat. Die URL der Webseite beginnt dann mit https://.

Vorteile einer Verschlüsselung sind:

  • Es wird sichergestellt, dass die am Datenaustausch beteiligten Instanzen (als dem clientseitigen Rechner und dem Server, bei dem die Webseite ausgegeben wird) auch wirklich die sind, als die sie sich ausgeben
  • Der Browser behandelt die Seite als sichere Seite. Da die SSL-Verschlüsselung von Webseiten mittlerweile als Quasi-Standard gilt, geben einige Browser sogar eine Fehlermeldung aus, wenn die Seite nicht verschlüsselt ist
  • Die SSL-Verschlüsselung gilt auf positiver Faktor für die Suchmaschinenoptimierung

Conclusio: Deine Webseite sollte grundsätzlich SSL-verschlüsselt angelegt werden. Das musst du beim Hoster entsprechend einrichten - je nach Hoster kostet das eine Extra-Gebühr. Die meisten Hoster bieten jedoch mindestens ein SSL-Zertifikat kostenlos an.


Seitentracking

Die Möglichkeit der Auswertung und Analyse der Seitenbesucher ist wichtig, denn so kannst du erfahren, wer deine Seite in welcher Seite nutzt und deine Webseiteninhalte entsprechend anpassen.

Dazu wird häufig Google Analytics genutzt. Dies ist ein kostenloser Service von Google, der die Daten deiner Nutzer abgreift und sie mit allen anderen Daten, die Google besitzt, verrechnet. Dadurch erfährt Google sehr detaillierte Informationen über die Besucher deiner Webseiten - und verkauft sie an wen auch immer. Google Analytics kannst du zwar mit speziellem Code anonymisieren, aber damit wird nur ein kleiner Teil der erhaltenen Information anonymisiert, Google erfährt also immer noch genug.

Es gibt aber auch Lösungen, die tatsächlich datensparsam sind und die beispielsweise auf deinem eigenen Server laufen. Ein Beispiel ist Mamoto). Eine vergleichbare Lösung ist Open Web Analytics, es basiert ebenfalls auf PHP und speichert die Datensätze in einer MySQL-Datenbank. Eine andere, jedoch kommerzielle Lösung ist Stetic, das die Daten sehr verständlich aufbereitet und das zumindest über Server im EU-Bereich läuft.

Du kannst auch die Logfiles deines Hosters nutzen, die erstellt dieser ohnehin. Für die Analyse dieser Logfiles kannst du GoAccess oder AWStats nutzen.


Schriften

Fast jede Webseite benutzt Schriften. Diese Schriften liegen entweder auf deinem Server oder sie werden von einem externen Server geladen. Viele RapidWeaver-Themes laden Schriften als Google Webfonts von einem Google Server. Google stellt die Schriftren dann zwar vordergründig kostenlos zur Verfügung, aber Google bekommt dadurch auch Informationen über die Seitennutzung bzw. den Seitennutzer.

Auch andere externe Schriftbibliotheken (TypeKit, Adobe etc.) greifen über bestimmten Code, den du bei Nutzung von deren Schriften einfügen musst Nutzerdaten ab, sie machen es allein schon deshalb, weil sie darüber ihre Gebühren für die Nutzung ihrer Schriften abrechnen.

Du kannst die Schriften aber auch deinem eigenen Server hosten, das geht auch dann, wenn du abseits der Vorgaben bestimmter Themevorgaben individuelle Schriften verwenden möchtest. Dafür gibt es bestimmt Stacks, die das lokale Fonthosting erlauben.

In RapidWeavergeht das lokal mit Hilfe der FontPro Suite von weaver.space oder mit Hilfe des Custom Font Stack von instacks nutzen. Das ist auch mit den kostenlosen Google Fonts möglich, die du herunterladen und mit FontPlop in das gewünschte Schriftformat konvertieren und dann in deine Seite einbetten kannst.


Cookies

Bei fast jeder Website werden kleine Datensätze im Browser des Seitenbesuchers gespeichert auf Ihrem Gerät gespeichert - die sogenannten "Cookies". Besucht der Seitenbesucher die Seite ein zweites Mal, kann der Browser den Seitenbesucher wiedererkennen.

Es gibt hier technisch notwendige Cookies, aber es gibt auch Cookies, die eine ganze Menge Daten abgreifen. Cookies haben eine bestimmte Lebensdauer und je länger Cookies überleben, desto mehr Daten können sie sammeln. Sogenannte Session Cookies sind hierbei nicht das Problem, sie sind technisch notwendig und werden nach dem Beenden des Browsers wieder gelöscht. Problematisch sind Cookies, die teilweise Jahre überdauern und auch solche, die von Drittanbietern (z.B. über eingebundene Inhalte) gesetzt werden.

Manche Seiten legen überhaupt keine Cookies an, das hängt von den genutzten Themes und Stacks ab und auch von den eingebundenen Inhalten. Andere Seiten legen jedoch Cookies an. Legt deine Seite Cookies an, musst du den Seitenbesucher darüber informieren und um Erlaubnis bitten. Das geht mit einer kurzen Meldung, die beim ersten Seitenaufruf im Browser erscheint (der sogenannte "Cookie Consent"), der der Seitenbesucher explizit dem Setzen von Cookies zustimmt. Lehnt er ab, darf kein Cookie gesetzt werden, er muss die Seite aber trotzdem besuchen dürfen.

Für das Anlegen eines solchen Cookie Consent gibt es mehrere Stack-Lösungen, eine von mir gerne verwendete Lösung ist CookieJar von weaver.space.

Ob deine Seite überhaupt Cookies setzt, kannst du z.B. in Google Chrome überprüfen (Einstellungen > Security) oder du nutzt das Tool, das ich weiter unten beschrieben habe.


Captcha

Captchas sind kleine Hilfsmittel um Spammer oder Bots z.B. von Formularen fernhalten zu können. Es wird darüber geprüft, ob der Seitenbesucher wirklich ein Mensch ist oder eine Maschine. Google bietet hier mit reCaptcha einen kostenlosen Dienst an - und greift so Nutzerdaten ab.

Eine Alternative zu Captchas sind spezielle Formularfelder in denen der Seitenbesucher vor dem Absenden des Formulars eine kleine "Rechenaufgabe" lösen muss um zu beweisen, das er ein Mensch und kein Roboter ist.


Kartenlösungen

Wenn du Karten in eine Seite einbinden möchtest, bieten sich Lösungen wie Google Maps - auch hier wieder: Google greift Daten ab.

Als Alternative bietet sich OpenStreetMap, eine Open Source Lösung, aber auch diese Lösung ist nicht komplett datensparsam, greift aber wirklich nur technisch notwendige Daten ab - zudem sind deren Karten detaillierter als z.B. Google Maps. Für die Einbindung von Open Street Map-Karten bietet instacks den OpenStreetMap Stack an.


Social Media u.a. Buttons

Es ist praktisch, wenn der Seitenbesucher die Inhalte einer Webseite über einen Button direkt an Social-Media-Dienste übergeben und dort posten kann. Das Problem dabei: Dabei erhalten Facebook, Twitter und Co. detaillierte Informationen über jene, die diesen Post erstellen. Entschärfen lässt sich das über die Einbindung von Shariff.

Besonders dreist ist der Datenabgriff durch die Buttons eines großen Zahlungsdienstleister, die über den von Paypal gelieferten Code eingebundenen Buttons greifen sogar über die in den Cookies gespeicherten Email-Adressen Information über die Seitenbesucher ab.

Die Einbindung von Shariff erfolgt über einige Skripte, die du auf deinen Server legen musst. Diese Skripte werden dann über speziellen Code mit deiner Seite verknüpft. Wie das erfolgen muss, wird in einem ct-Artikel beschrieben:

Shariff: Social-Media-Buttons mit Datenschutz


Kommentarfunktionen

Kommentarfunktionen, die du in dein RapidWeaver-Projekt einbindest kommen von externen Dienstleistern, allen voran Disqus. Der Service ist kostenlos, weil er sich über die Daten deiner Seitenbesucher finanziert. Wenn du aber eine datensparsame Webseite erstellen willst, solltest du auf diese Möglichkeit verzichten. Leider gibt es für RapidWeaver keine Lösung, die auf dem eigenen Server läuft - das wäre einfach zu komplex.


Externe Ressourcen

Bilder

Bilder kannst du direkt in dein RapidWeaver-Projekt einbinden, entweder ziehst du sie direkt in den Stack oder du bindest sie per Warehousing ein (in der Regel werden sie dann in den Ressourcen-Ordner gelegt und vom jeweiligen Image-Stack aus verlinkt.

Manchen RapidWeaver-Nutzern erscheint das zu kompliziert und sie binden Bildmaterial über die Unsplash-Funktion von RapidWeaver ein. Unsplash ist ein kostenloser Bilderdienst, der Bildmaterial zur Verfügung stellt. Bezahlt wird mit Nutzerdaten - auf diese Art der Einbindung solltest du daher verzichten.


Videos

Videos kannst du natürlich auch in deine Webseite einbinden. Das geht über bestimmte Stacks, über die lokal abgelegte Videos in eine Seite eingebunden werden, das geht aber auch direkt über bestimmten Code, der von Video-Dienstleistern geliefert wird. Die beiden bekanntesten Dienste sind hier Vimeo und YouTube und jetzt rate mal, was die mit den Daten deiner Seitenbesucher machen. Die Anonymisierungsfunktion von YouTube verhindert diesen Datenabgriff übrigens so gut wie nicht.

Es bleibt hier nur, die Videos auf deinen eigenen Server zu legen (oder in RapidWeaver in den Ordner Ressourcen) und dann einen der zahlreichen Video-Stacks zu nutzen, aus dem heraus du auf dieses Video verlinkst.


Externe Bibliotheken

CDN

Ein CDN oder Content Delivery Network, besteht aus einem zentralen Server oder meist einem dezentralen Server-Netz, über die v.a. große und ressourcenhungrige Dateien verteilt werden können. Das macht zwar den Ladevorgang einer Seite schneller, aber auch hier werden Nutzerdaten von den jeweiligen Dienstleistern abgegriffen. Einige Stacks bzw. Stack Suites nutzen dazu Cloudflare und das Stack-Plugin selbst kann auf diese Dienste zurückgreifen. Ob oder ob es nicht macht, stellst du in den Voreinstellungen des Stacks-Plugins ein.

Wenn du datensparsam arbeiten willst, hilft es nur, auf diese Dienste zu verzichten.


Skripte

jQuery ist die meistbenutzte Script-Bibliothek, die bestimmte Funktionen für eine Webseite zur Verfügung stellt. jQuery kann lokal in eine Webseite eingebunden werden, lässt sich aber auch (und das ist bei vielen, v.a. den älteren RapidWeaver-Themes der Fall) „kostenlos“ von externen Google-Servern laden. Und nun rate mal, warum Google das macht...

Die Nutzung von jQuery und einiger anderer externer Bibliotheken durch das Stacks-Plugin lässt sich in den Voreinstellungen des Stacks-Plugins deaktivieren. Sollten Themes auf externe jQuery-Bibliotheken zurückgreifen, lässt sich das nur durch Umbau der Themes lösen. Das ist grundsätzlich möglich, aber eine nicht unkomplizierte Angelegenheit. Besser ist es, den Entwickler zu fragen, ob er nicht ein datenschutzkonformes Update des jeweiligen Themes liefern kann.

Auch andere Skriptbibliotheken können ggfs. von extern geladen werde, ein Beispiel ist das von Microsoft angebotene Ajax Content Delivery Network - auch hier bleibt dir nicht viel anderes übrig, als das Theme zu wechseln.


Datenschutzprüfung

Ob deine Webseite wirklich datensparsam arbeiten, kannst du mit diversen Tools überprüfen:

  • Webkoll prüft, welche Ressourcen wie JavaScript, Cookies und/oder Schriftarten von externen Dienstleistern in deine Webseite eingebunden werden. Außerdem prüft Webbkoll den Webserver unter anderem auf funktionierende Security-Header wie HSTS, Content Security Policy(CSP) und Referrer-Policy.
  • PrivacyScore prüft verschiedene sicherheitsrelevante Faktoren und die Datenschutzfreundlichkeit deiner Webseite indem es Analyse- und Werbedienste, eingebettete Ressourcen von Drittseiten und die Verwendung von Content Distribution Networks (CDN) erkennt
  • CookieMetrix prüft, ob deine Webseite datenschutzrelevante Cookies setzt.


Auftragsverarbeitungsverträge

Solltest du externe Dienste wie beispielsweise Google Analytics nutzen, musst du zwingend einen Vertrag über die Auftragsverarbeitung mit diesem Dienst abschließen, auch dann, wenn dieser Dienstleister sich im EU-Ausland befindet. Das ist bei Google noch halbwegs unkompliziert, du findest den Vertrag in Google Analytics, bei anderen Dienstleistern kann das Problem unlösbar sein, weil diese das ggfs. gar nicht vorsehen.

Bei Google geht das über dein Google Analytics-Konto. Hier gehts du auf die jeweilige "Property", für die der Vertrag abgeschlossen werden soll und unter den Kontoeinstellungen findest du dann unter "Zusatz anzeigen" den Vertrag. Der Vertrag muss für jede Website geschlossen werden, bei der Google Analytics installiert ist.


Datenschutzerklärung

Nichts geht ohne Datenschutzerklärung. Letztlich ist ein Haufen Blabla, den außer Abhmahnanwälten wahrscheinlich niemand liest, aber was muss, das muss.

Wie eine Datenschutzerklärung erstellt bzw. formuliert werden muss und was sie alles enthalten muss, darauf gehe ich hier nicht ein. Dazu gibt es diverse "Datenschutzerklärungsgeneratoren". Einer der bekanntesten ist der von eRecht24.

---

Bildquelle: Pexels