Schlagwortarchiv: privacy

Was sind eigentlich diese Cookies?

Artikelbild Cookies

In letzter Zeit sieht man dank der neuen Datenschutzverordnung (kurz DSGVO) immer wieder Hinweise, welche auf „Cookies” hinweisen. Doch was sind Cookies überhaupt?

Was ist ein Cookie?

Wer hier an die leckeren Backwaren denkt, ist leider falsch. Wir sind ja hier keine Bäckerei (Schade eigentlich). Wir sprechen von Cookies, welche uns im Web immer wieder begegnen: Kleine Textdateien, welche bestimmte Informationen lokal im Browser abspeichern. Damit ist es möglich, verschiedene Informationen, z.B. über den Besucher, im Browser – also direkt beim Besucher einer Webseite – zu speichern.
Ein relativ einfaches Beispiel sind z.B. Bestell-Plattformen auf denen man Essen bestellen kann. Denkt hier an euren Lieblingspizza-Lieferservice. Hier müsst ihr eure komplette Adresse angeben, damit die Pizza euch auch findet. Damit ihr das nicht jedes Mal tun müsst, habt ihr meistens die Möglichkeit eure Eingaben zu speichern und das geschieht in der Regel über einen Cookie. Das nächste Mal, wenn ihr wieder eine Pizza bestellt, lädt die Bestellseite den Cookie aus eurem Browser, liest die Werte aus und füllt euch das Bestellformular vor.
Das ist natürlich nur ein Usecase, es gibt noch viele andere nützliche Verwendungen von Cookies.

Woher kommt der schlechte Ruf?

Leider sind Cookies nicht immer besonders gut geschützt. Es gibt Cookies, die nur durch eine Webseite auslesen werden können, aber es gibt auch globale Cookies. Diese wurden und werden gerne missbraucht, um das Surfverhalten eines Nutzers zu überwachen, um dann z.B. personalisierte Werbung schalten zu können. Stellt euch vor, ihr besucht eine Webseite und diese liest all eure Cookies aus und stellt fest, dass ihr Cookies bei Amazon, Ebay und Facebook gesetzt habt. Nun weiß die Webseite also auf welchen Plattformen ihr unterwegs seid. Man sieht, es ist möglich durch das Auslesen von Cookies viel herauszufinden, was der einzelne Nutzer aber vielleicht lieber privat halten möchte. Die Browser-Hersteller haben aber den Schutz von Daten in den letzten Jahren immer weiter verbessert und werden dies auch in Zukunft tun.

Was sind die Vorteile?

Wie bereits beschrieben, können Cookies einem das Leben erleichtern, wenn man z.B. eine Pizza bestellt. Aber es gibt weitere Vorteile. Wenn ihr euch auf einer Webseite registriert und anmeldet, wollt ihr euch nicht jedes Mal neu anmelden oder? Auch hier spielen sie eine wichtige Rolle. Innerhalb von einem Cookie kann so eure Login-Information (verschlüsselt) angelegt sein, welche dafür sorgt, dass ihr bei eurem nächsten Besuch wieder angemeldet werdet. Letztlich erleichtern Cookies einem Webseitenbesucher also die Bedienung von Webseiten. Es können natürlich viele weitere Informationen hier zwischengespeichert werden, z.B. der Stand auf einer Webseite, wo man aufgehört hat zu lesen oder die letzten Sucheingaben in einer Suchmaschine zu speichern. Das alles lokal im eigenen Browser statt auf einem externen Server.  Übrigens können sie auch mit einem Ablaufdatum versehen werden oder sich direkt nach Ablauf einer Session zerstören.

Was sind die Nachteile?

Cookies haben leider auch Nachteile. Wir haben bereits erfahren, dass sie missbraucht werden können, um das Surfverhalten eines Nutzers aufzuzeichnen. Ein weiterer Nachteil von ihnen besteht in ihrer Technologie. Cookies haben eine Maximalgröße, je nach Browser liegt diese bei 4.096 Bytes, das entspricht 4KB. Das ist nicht besonders viel, für kleine Informationen reicht das aus, aber wenn man z.B. umfangreiche Formulareingaben speichern bzw. zwischenspeichern möchte, wird das sehr knapp. Ein weiterer Nachteil ist der fehlende Schutz der Daten. Sie sind standardmäßig nicht verschlüsselt. Speichert man sensible Daten in einem Cookie, sollten diese vorher verschlüsselt werden.

Kann ich Cookies blockieren?

Wie wir sehen sind Cookies etwas sehr hilfreiches und gar nicht so gefährlich. Schaden können Sie eigentlich nicht anrichten, unangenehm wird es nur beim Thema Tracking. Wer Cookies nun trotzdem blockieren möchte, kann dies in seinem Browser tun. Jeder Browser hat in der Regel eine Option, diese zu deaktivieren (Google Chrome, Mozilla Firefox, Microsoft Edge). Empfehlen können wir das aber eigentlich nicht, das Surferlebnis wird auf vielen Webseiten deutlich Spaß-freier.
Noch ein Tipp: Wenn ihr eine Webseite (z.B. euer Online-Banking) nicht in der Chronik haben möchtet oder andersherum vermeiden möchtet, das andere hier zugreifen, verwendet den Privat-Modus eures Browsers.

Was sind Alternativen?

Ein großer Nachteil von Cookies besteht in der Maximalgröße. Für moderne Webapplikationen, welche mehr lokalen Speicher im Browser benötigen, z.B. mehrseitige Formulare, gibt es mittlerweile den sogenannten Local Storage und Session Storage (allgemein auch bezeichnet als Web Storage). Hier können deutlich mehr Informationen abgelegt werden, welche außerdem besser geschützt sind und performanter wieder abgerufen werden können. Der Session Storage leert die Informationen nach der Beendigung einer Session, der Local Storage behält die Daten solange, bis sie wieder manuell oder per Skript gelöscht werden. Inzwischen unterstützen dies alle modernen Webbrowser:

Canisuse.com: Web Storage - Alternative zu Cookies

Quelle: caniuse.com

Fun Fact: Es gibt mittlerweile viele Regeln, um auf Cookies hinzuweisen. Bei Local und Session Storage scheint man da in der Gesetzgebung noch hinterherzuhinken.

Neue Datenschutzverordnung – Was Webseitenbetreiber jetzt tun müssen

Artikelbild Datenschutz

Die Spatzen pfeifen es inzwischen von den Dächern, die neue EU-weite Datenschutzverordnung (DSGVO) ist im Anmarsch, sie tritt am 25. Mai 2018 in Kraft. Zum Schutz der persönlichen Daten muss man nun auch als Webseitenbetreiber einiges beachten und ggf. Änderungen vornehmen. Das gilt auch für Content Management Systeme, wie z.B. WordPress oder Joomla. Welche Punkte ihr euch genau auf euren Webseite anschauen solltet, versuchen wir mit diesem Artikel aufzuschlüsseln.


Dazu noch ein Hinweis: Dieser Artikel ist keine Rechtsberatung. Wir versuchen hier lediglich euch auf bestimmte Punkte hinzuweisen. Im Zweifel solltet ihr bei einem Rechtsexperten nachfragen.


Datenschutzerklärung

Eine Datenschutzerklärung ist – zumindest in Deutschland – bereits seit einigen Jahren Pflicht. Hier soll der Besucher darauf hingewiesen werden, welche Daten von ihm erhoben werden und ggf. auch warum und wie diese weiterverarbeitet werden. Mit der DSVGO müssen diese Datenschutzerklärerungen aber angepasst werden.  Spätestens am 25. Mai solltet ihr also eure Datenschutzerkläerung(en) auf den neuesten Stand bringen. Eine interessante Quelle dafür ist z.B. der eRecht24-Generator.

Cookies

Viele moderne Webseiten sammeln Cookies. Solche Cookies speichern Daten im Browser zwischen. Diese Daten können temporär oder auch länger dort gespeichert werden. Leider können solche Cookies auch missbraucht werden, daher haben sie häufig einen schlechten Ruf. Nichtsdestotrotz werden diese häufig schlichtweg benötigt. In der DSGVO gibt es keine direkte Regelung zu dem Thema, aber es gibt bereits andere Richtlinien der EU zum Thema Cookies. Daher empfehlen wir hier das Anzeigen eines Cookie-Hinweises beim ersten Besuch der Webseite. Welche Varianten für Cookie-Hinweise es gibt, findet ihr ebenfalls bei eRecht24. Wer WordPress einsetzt, kann dabei z.B. auf dieses Plugin setzen.

Verschlüsselung

Sobald man persönliche Daten auf der eigenen Webseite abfragt – z.B. über ein Kontaktformular – muss man diese Daten verschlüsselt übertragen. Im Web funktioniert diese Verschlüsselung mit Hilfe von HTTPS. Im Idealfall sollte jede Webseite ab dem 25. Mai mit HTTPS verschlüsselt sein, insbesondere, wenn ihr persönliche Daten abfragt. Was HTTPS ist und wie man es einrichtet, haben wir bereits hier beschrieben. Besonders wichtig ist das übrigens für Shops, denn gerade Zahlungsinformationen können sehr heikel sein und sollten nicht abgreifbar sein.

Besucher-Statistiken

Sehr beliebt unter Webseitenbetreibern ist die Analyse der Besucher-Statistiken. Ein sehr beliebtes Tool ist z.B. Google Analytics. Das Problem in diesen Tools besteht allerdings darin, dass persönliche Daten vom Besucher gesammelt und analysiert werden. Besonders problematisch sind hier die IP-Adressen. Diese sollten übrigens bereits jetzt nicht mehr getrackt werden, dazu kann man diese in der Regel anonymisieren. Wie man die IPs mit Google Analytics anonymisiert, erfahrt ihr in der Google Hilfe. Wenn ihr andere Statistik- und Analyse-Tools einsetzt, dann solltet ihr das in der jeweiligen Dokumentation prüfen. Ebenfalls wichtig: Der Besucher muss darauf hingewiesen werden, dass er getrackt wird, bei externen Tools wie Google muss er auch die Möglichkeit haben zu widersprechen. Der bessere Weg wäre übrigens eine lokales Statistiktool, wie z.B. Count Per Day für WordPress oder Piwik. Diese Tools übertragen nämlich keine Daten an externe Server (z.B. Google). Aber auch hier muss man die IPs und weitere persönliche Daten anonymisieren und sollte die Datenschutzbestimmungen noch einmal genau anschauen.

Formulare

Wer Formulare einsetzt, welche persönliche Daten (z.B. Namen, E-Mail-Adresse o.ä.) abfragen, der muss – wie bereits oben beschrieben – eine verschlüsselte Übertragung anbieten. Wer die Daten dann zwischenspeichert, muss in seinen Formularen auch darauf hinweisen. Das kann man z.B. durch eine Akzeptieren-Box tun. Etwas unsicher ist aktuell die Situation bei reinen E-Mail-Formularen. Diese verlassen sich in der Regal auf den lokalen E-Mail-Server und dieser muss dann natürlich auch entsprechend abgesichert sein. Da E-Mails in der Regel nicht verschlüsselt sind, muss man ggf. auch darauf hinweisen.

Kommentar-Funktion

Beliebt bei Blogs sind auch Kommentare. Auch hier muss man gespeicherte Informationen – vor allem die IP-Adresse – anonymisieren. Wenn man hier Abos von weiteren Kommentaren anbietet, muss man dies bereits jetzt per Double-Opt-In-Verfahren prüfen. Dabei wird zunächst ein Bestätigungs-Link an die jeweilige E-Mail-Adresse geschickt, welche dann über den Link bestätigt werden muss. Häufig kommen für Kommentare auch Cookies zum Einsatz, darauf sollte man wie bereits oben erwähnt hinweisen. Auf externe Kommentar-Dienste, z.B. von Disqus oder Facebook, sollte man am besten verzichten. Diese schicken nämlich Daten an externe Server und das zum Teil auch ins Ausland. Und diese Server sind nicht immer DSVGO/GDRP-konform.

Newsletter

Wenn ihr einen Newsletter anbietet, solltet ihr auch hier ganz genau prüfen welche Daten abgefragt werden und wie dieses gespeichert werden. Auch der Nutzer sollte beim Abonnement eines Newsletters darauf hingewiesen werden. Der Newsletter selbst sollte generell nur via Double-Opt-In-Verfahren abonniert werden können. Besondere Vorsicht ist geboten, wenn ihr auf externe Newsletter-Tools setzt, z.B. MailChimp.

Sicherheits- und Spam-Tools

Wer seine eigene Webseite vor Spambots oder Hackern schützt bzw. schützen möchte, setzt gerne auf Tools, um IPs zu blocken oder bekannte IPs in externen Datenbanken zu prüfen. Ein beliebtes WordPress-Plugin ist hier z.B. Wordfence. Wordfence ist aktuell noch nicht DSVGO-konform, müsste also Stand jetzt ab dem 25. Mai deaktiviert werden. Die Entwickler sind aber angeblich dran, Optionen für die Konformität anzubieten. Generell sollte bei solchen Tools darauf geachtet werden, dass persönliche Daten (wie z.B. die IP) anonymisiert werden und nicht an externe Server geschickt werden.

Embeds und Social Media

Sehr beliebt und immer wieder zu sehen sind Einbindungen (sog. Embeds) von externen Plattformen. Sehr häufig zu sehen z.B. bei YouTube & Co. Man kann YouTube Videos in die eigene Seite einbetten. Das Problem hierbei liegt darin, dass YouTube dann wiederum den Besucher trackt und das auf eurer eigenen Webseite. Das Gleiche gilt übrigens auch für Social-Media Buttons wie den Facebook-Like Button. Diese sind in Deutschland allerdings schon lange umstritten bzw. nicht einsetzbar. Eine mögliche Lösung sind z.B. sog. 2-Klick-Lösungen. Bei Embeds von YouTube (oder auch Twitter, Instagram etc.) gibt es aber wohl noch keine befriedigende Lösung, am besten man verzichtet auf solche Einbettungen.

Performance- und Bildoptimierung

Wer für die Performance-Optimierung der eigenen Webseite Dienste einsetzt, welche z.B. Bilder zum Optimieren an externe Server übertragen (z.B. Shortpixel), sollte ebenfalls vorsichtig sein. Sobald persönliche Daten übertragen werden, gibt es ein Problem mit der DSGVO. Das gilt z.B. auch für Bilder von Personen! Auch bei externen Caches etc. ist Vorsicht geboten.

Externe Ressourcen

Wer auf der eigenen Seite externe Ressourcen zugreift, sollte sicher gehen, dass hier keine Daten vom Besucher via Tracking abgegriffen werden. Solche externen Ressourcen können z.B Schriften von Google Fonts oder Libraries von Content Delivery Networks sein. Vor allem Google Fonts ist aktuell umstritten, da bisher nicht ganz klar ist, ob und welche Daten Google darüber sammelt. Im Zweifel und wenn möglich, sollte man auf dessen Einsatz also verzichten. Auch bei anderen Webfont-Anbietern sollte man die Datenpraxis überprüfen. Ein weiteres Problem könnten Avatar-Bilder sein, z.B. das bei WordPress im Einsatz befindliche Gravatar. Dorthin wird nämlich eure E-Mail-Adresse übertragen.

Backups

Ihr legt Sicherheitskopien eurer Webseite an? Sehr gut! Doch auch hier ist Vorsicht geboten, denn das Backup enthält alle wichtigen persönlichen Informationen, welche ihr auf der Webseite erhebt. Wo legt ihr die Backups an und sind diese verschlüsselt? Wenn ihr eure Backups extern ablegt, achtet unbedingt darauf, dass der jeweilige Dienst sich dabei an den geltenden Datenschutz hält. Von Tools wie Dropbox & Co würden wir hier eher abraten. Wenn ihr eure Backups extern ablegen wollt, dann greift lieber zu einem FTP-Server oder einer ähnlichen Lösung beim Hoster eures Vertrauens. Bei der Übertragung sollte das Backup dann unbedingt verschlüsselt sein.

Hosting

Wo liegt eure Webseite eigentlich? Bereits nach heutigem Stand dürfen persönliche Daten – und damit auch Informationen von euren Webseitenbesuchern – nur in Deutschland bzw. in machen Fällen in der EU liegen. Euer Hoster sollte also im Idealfall in Deutschland sitzen inkl. der Hosting-Server. Auch die Backups des Hosters sollten nicht im Ausland landen. Prüft daher am besten die Datenschutzbestimmungen eures Hosters. Seid vor allem Vorsichtig bei Anbietern wie Amazon, Google & Co. Achtet darauf, dass der Server-Standort in Deutschland (oder einem anderen EU-Land) liegt.


Es gibt ggf. noch weitere Bereiche, auf die ihr achten solltet. Unsere Übersicht garantiert keine Vollständigkeit! Auch spielt nicht jeder Punkt unbedingt direkt eine Rolle in Bezug auf die DSGVO, sollte aber dennoch unter Datenschutzgesichtspunkten berücksichtigt werden.


Habt ihr noch weitere Hinweise oder Fragen zum Thema Datenschutzverordnung bei Webseiten? Oder braucht ihr technische Unterstützung eure Webseite DSGVO-konform zu machen. Dann nehmt Kontakt mit uns auf oder schreibt einen Kommentar.