DSGVO und CDNs wie jquery.com?

[Xantiva]

Hallo zusammen,

wie geht Ihr bzgl. der DSGVO mit Content Delivery Networks (CDN) wie z. B. jquery.com, bootstrapcdn.com (u. a. Font Awesome), gstatic.com (ReCaptcha), ... um? Die werden in sehr vielen Templates verwendet.

Google hat sich dem EU-U.S. Privacy Shield unterworfen und somit müsste ein Hinweis in der Datenschutzerklärung ausreichen. Aber jQuery (JS bzw. The Linux Foundation) oder Bootstrap?

Müssen wir jetzt alle noch die Templates anpassen und die Daten auf dem eigenen Server hosten?

Ciao,
Mike

[fonprofi]

It-Recht fragt Re-Capcha und Google Webfonts ab für die Datenschutzerklärung.

[Xantiva]

Hm, und selber nutzen sie WebFonts aber haben keinen Hinweis in deren Datenschutzerklärung?

[wolle]

Hm, und selber nutzen sie WebFonts aber haben keinen Hinweis in deren Datenschutzerklärung?

Kann mir kurz einer für Doofe erklären, warum man bei WebFonts jetzt datenschutzbelehren muss? Weil es auf ausländischen Servern liegt?

[Templer]

Hm, und selber nutzen sie WebFonts aber haben keinen Hinweis in deren Datenschutzerklärung?

Kann mir kurz einer für Doofe erklären, warum man bei WebFonts jetzt datenschutzbelehren muss? Weil es auf ausländischen Servern liegt?

Grundsätzlich besteht die Gefahr beim Einbinden von externen Ressourcen auf einer Webseite, dass der dahinterliegende Dienstleister die erhaltenen Daten von einem Webseitenbesucher eben auch zu Statistik- und Werbezwecken nutzt bzw. verarbeitet. Wenn man also Bibliotheken wie jquery oder Schriftarten über den "Service" von Google einbindet (über eine Google-URL), dann bekommt Google von jedem deiner Nutzer Freihaus geliefert, wer alles so deine Webseiten aufruft. Darüberhinaus musst du davon ausgehen, dass diese Daten auch nicht innerhalb der EU verarbeitet werden, sondern auf einem Server in den USA.

[qds1]

Um ehrlich zu sein, verstehe ich nicht, wie das technisch umsetzbar sein soll, dass die cdns direkt wissen, wer die Seite aufruft. Vorausgesetzt die eingebundenen Dateien enthalten keinen Schadcode (dürfte bei namhaften cdns der Fall sein), bindest du die Datei per http(s) ein ohne irgendwelche Parameter an den Link zu hängen. (Bei google jedoch NICHT der Fall, da gibt es Parameter!)

Es ist zwar möglich zu zählen, wie oft der Link aufgerufen wurde, bei Schriftarten und css-Dateien sollte es eher unmöglich sein alle Daten des Besuchers abzugreifen, da weder Schriftarten noch css per Definition ausführbaren Code beinhalten, der auf das DOM oder Referrer/Header zugreifen kann.

Bei js wäre es theoretisch möglich Schadcode zu verstecken, damit würden sich aber die cdns ins eigene Bein schießen. Namhafte Frameworks haben nichts eingebaut, was schaden oder spionieren würde. Wenn dem so wäre, dann würde es aber auch keine Rolle spielen, ob der Code per cdn oder selbstgehostet eingebunden würde.

Somit wäre, meiner Meinung nach, eine Erwähnung in der Datenschutzerklärung nicht notwendig, wenn keine Nutzerdaten abgegriffen werden.

Es kommt ganz drauf an, wie die Dateien eingebunden werden. Wir keine direkte Datei verlinkt und enthält der Link Parameter, kann es durchaus sein, das spioniert wird. Dann wäre eine DS notwendig.

[koshop]

Müssen wir jetzt alle noch die Templates anpassen und die Daten auf dem eigenen Server hosten?

Meiner Meinung hat ein Webseitenbetreiber der sich darauf verlässt wichtige Daten die die Nutzbarkeit seiner Webseite bestimmen von fremden Webserver zu laden eh nicht mehr alle Nadeln an der Tanne.
Eine Webseite so zu gestalten, daß sie nur einwandfrei angezeigt wird wenn google, jquery, bootstrap und womöglich noch ein halbes Dutzend anderer Seiten auch erreichbar sind? Da ist die DSGVO ein guter Grund das mal zu überdenken.

Von daher lautet die Antwort auf deine Frage. Das sollte man unabhängig von der DSGVO so oder so machen.

Viele Leute - mich eingeschlossen haben ihre Browser sowieso inzwischen so aufgerüstet das Daten von externen Seiten gar nicht mehr geladen werden. Kommt oft vor, dass ich in Shops nicht mehr einkaufen kann, weil externer Code von meinem Browser oder Addons blockiert werden. Oder Seiten nicht mehr ganz korrekt dargestellt werden.

[Templer]

Das Zauberwort heißt "Referrer". In der Regel sendet dein Browser mit einer Anfrage gleich mit, woher du kommst. Das kombiniert mit deiner IP, welche der antwortende Webserver ja auch kennt, bzw. dem Fingerprint deines Browsers und schon kann der Dienstleister ein Profil von dir erstellen.

Die Verwendung von apis.google.com für jQuery & Co. ist also ähnlich (fragwürdig), als würdest du den Facebook-Like-Button auf deiner Webseite einbauen. Nur das man den Like-Button auf der Webseite sehen kann. Welche Fremdquellen du eingebunden hast, sieht der Nutzer ja erst, wenn er sich den Quellcode deiner Webseite anschaut.

[qds1]

Das ist sehr vernünftig, stimme dir völlig zu, koshop!

Nur kann das nicht jeder machen, da nicht jeder die Kenntnisse hat.
Wenn jemand ein Template kauft, kann er auch nicht sicher sein, was da alles eingebunden wird. Dazu muss man sich schon etwas auskennen. Und da wird es für den ein oder anderen auch schwierig, da cdns grundsätzlich eine feine Sache sind. Die Server sind schnell, was die Ladezeiten verkürzen kann etc.

Ich bin sicherlich kein Fan von großartigem Gebrauch von irgendwelchen Frameworks, aber mit denen geht vieles einfacher und schneller, deswegen sind sie auch so populär...

Um sowas wie jquery kommst du nur schwer herum. Bootstrap ist auch sehr verbreitet, sollte aber von css grid abgelöst werden. Natürlich kann man die Sachen auch selbst hosten, aber wie will ein Standardtemplate aus dem Netz das umsetzen? Keiner kann dich dazu zwingen, besonders wenn du dich nicht auskennst. Etliche Plugins setzen auch auf Frameworks. Wenn du die kaufst und nicht gerade selber codest, hast du das selbe Problem, wie bei den Templates...

So, jetzt gehe ich meine Seiten überarbeiten

[wolle]

Ich hab keine Ahnung, von was ihr sprecht, aber ich finde, das sind sehr interessante Aspekte

[xMerchant]

@wolle:
es geht darum, dass Daten (Bilder, Produktdaten, ...) oder Funktionen auf Websites (Onlineshop, Blog-Hosting, ...) nicht auf dem eigentlich gemieteten Webspace liegen, sondern auf speziellen Content-Delivery-Netzwerken (CDN) und beim Aufruf einer eigentlich unverfänglichen Website die IP-Adresse des Kunden dem Betreiber des CDN übermittelt wird und man damit eigentlich mit diesem einen Vertrag über Auftragsdatenverarbeitung abschließen muss, in dem dieser bestätigt sich an die neuen Datenschutzregeln zu halten und in die eigene Datenschutzerklärung sollte die Übermittlung der IP an das CDN natürlich auch.

Das hätte man zwar schon immer machen müssen, aber bisher hat sich niemand die Funktionalitäten genauer angesehen und dass hier Daten außerhalb des eigenen Einflussbereichs liegen, wird eh nur den Programmierern bewusst sein und kaum einem Website-Betreiber.

Wobei das auch Programmierern auf die Füße fallen wird. Wer für einen Shop etwas programmiert, ein Tool ("Framework") verwendet, das Daten wo anders speichert und den Auftraggeber darüber nicht schriftlich informiert, wird bei Datenschutzverletzungen mit drin hängen.

Vermutlich wird so langsam manchem klar, wieso die Datenschutzerklärung von PayPal gedruckt und gebunden zur Selbstverteidigung geeignet ist.

[roemerhaardesign]

Vermutlich wird so langsam manchem klar, wieso die Datenschutzerklärung von PayPal gedruckt und gebunden zur Selbstverteidigung geeignet ist.

....denn CDN sind ja wohl nur ein Teil des Problems. Ich habe am WE mal ein wenig versucht mich einzulesen. Noch bin ich guter Hoffnung, das alles einfach nur falsch- und über interpretiert zu haben. Ansonsten reden wir ja von abschließbaren Türen, über Monitore, auf die nur der Anwender blicken kann, bis hin zu vorauseilenden Datenschutzformularen für MA, selbst wenn man aktuell noch keine hat. Und das sind nur die Kleinigkeiten.

https://www.temt.at/wp-content/uploads/ ... ept-CT.pdf .... ist ein Datenschutzkonzept von Jemandem, der sich scheinbar/anscheinend damit auskennt. Ohne Gewähr!

[Xantiva]

@koshop:
Bevor die Google und jQuery CDNs down sind, habe ich vermutlich ganz andere Probleme mit meinem Server Die Grundidee, das von sehr vielen verwendete "Frameworks" zentral gehostet werden soll(te) zur Beschleunigung des Internets beitragen. Wenn jemand meinen Shop das erste Mal besucht, ist die Wahrscheinlichkeit relativ hoch, das sich bereits das jQuery von jQuery.com in seinem Browser-Cache befinden. Somit muss er das nicht mehr herunter laden. Für zu Hause mit 'ner dicken Leitung ist das kaum mehr ein Thema, aber wer mobil unterwegs ist, freut sich evtl. drüber. Das gleiche gilt für die Webfonts.
Zusätzlich hat das die Anzahl der Dateien erhöht, die der Browser beim HTTP1(.1)-Protokoll herunterladen konnte. Das Thema hat sich allerdings mit HTTP/2 weitest gehend erledigt.

@wolle:
Ich habe (noch) das JavaScript-Framework "jQuery" von jQuery.com in meinem Template eingebunden (das Standard-Template "Evo" von JTL). Das Template baut komplett auf "jQuery" auf.

Code: Alles auswählen

<script src="//code.jquery.com/jquery-1.12.4.min.js"></script>

Wenn Du jetzt irgend eine Seite aus meinem Shop aufrufst - z. B. https://www.basteln-selbermachen.de/Sch ... en/Bloecke
dann sieht der Browser, dass er die jQuery-Datei von anfordern soll. Wenn er die Datei nicht schon im lokalen Cache hat, dann fordert er die Datei an und zwar u. a. mit diesen Daten:

Request Header:
accept-encoding: gzip, deflate, br
referer: https://www.basteln-selbermachen.de/Sch ... en/Bloecke
user-agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/65.0.3325.181 Safari/537.36

Die Angaben bei accept-encoding bedeuten z. B. dass der Server die Datei gerne gezippt senden kann und der user-agent verrät, welchen Browser ich verwende. Aus DSGVO-Sicht ist die referer Zeile interessant, jquery weiß somit, welche URL die IP aufgerufen hat. Surft die IP munter weiter andere Webseiten an, die Daten von jQuery einbinden, dann könnten sie theoretisch ein Profil darüber erstellen. Es ist nicht ganz so kritisch, wie z. B. Facebook, denn wenn der Browser einmal die Datei geladen hat, dann holt er die bei den nächsten Seitenaufrufen in meinem Shop halt aus seinem Cache.

[Andre (KM)]

"Spannender" Punkt.

Ich werde die jquery + fonts auf meinem Server hosten und dann so einbinden. Scheint auch der allgemeine Tenor als Lösungsvorschlag zu sein.

Wirklich ideal ist es aber auch nicht.

[Xantiva]

@roemerhaardesign Oh Mann, ich habe gerade einen Blick in das Konzept geworfen - der "Selbstschutz" ist schon interessant ...

[fonprofi]

Visitenkarten...

[Xantiva]

@koshop:
Bevor die Google und jQuery CDNs down sind, habe ich vermutlich ganz andere Probleme mit meinem Server

@koshop: Ich hätte nicht gedacht, dass ich Dir so schnell Recht geben und meine Aussage zurückziehen muss.
html-php-css-co--f2/jquery-cdn-funktion ... 51370.html

[mwp]

Ja, genau diese Punkte haben ich auf den zwei "DSGVO Schulungen" angesprochen, und keiner der Dozenten konnte mir folgen.

Schaut euch doch mal, zu welchen anderen Quellen der Webbrowser eine Verbindung aufbaut, wenn man spiegel.de aufruft:


40+ externe Bilder/Scripte was auch immer. Die Betreiber bekommen alle meine IP, was bekanntlich zu den personenbezogenen Daten gehört. Und natürlich noch mehr.

Nach Erklärungen und Diskussionen ging es dann in die Richtung: Nicht EU-Unternehmen müssen EU-US Privacy Shield zertifiziert sein oder es muss ein Vertrag aufgesetzt werden, der den Datenschutz regelt und alle Anforderungen der DSGVO erfüllt. In die eigene Datenschutzerklärung gehört natürlich ein Hinweis.

Ja, mir war das eh schon klar. Aber viele Wissen das einfach nicht, weil es zu technisch ist und in den Medien nicht vorkommt. Und eines ist auch klar: Die meisten Dienste, die Webmaster einbinden, sind kostenlos. Warum sind die wohl kostenlos? Weil der Datenschatz, der dadurch gewonnen wird, viel mehr wert ist. Facebook & Co kauft nicht umsonst noch von externen Quellen Daten ein, obwohl sie ohnehin schon jede Menge Big Data haben.

[Templer]

Und dann gibt es Verleger wie Axel Springer die für ein Grundrecht kämpfen, dass man sich gefälligst Werbung anzusehen hat und ziehen vor das Verfassungsgericht um das Blocken von Werbung und Trackern verbieten zu lassen.
Ich fange derzeit damit an, bekannte Domains von Trackern und Datenschleudern direkt am Router zu blocken oder über die hosts auf 127.0.0.1 zu routen. Facebook ist da z.B. so ein Kandidat.

[wolle]

Und dann gibt es Verleger wie Axel Springer die für ein Grundrecht kämpfen, dass man sich gefälligst Werbung anzusehen hat und ziehen

Nein, das tun sie nicht. Aber du bezahlst halt nunmal das Lesen von bild.de mit dem Einblenden-lassen von Werbung. Ich hab ehrlich gesagt nie verstanden, warum einen das stört, oder warum man das unterbinden möchte. Offlinezeitungen zahlt man sogar und hat trotzdem Werbung drin. Und wenn du die ausschneidest, ist die interessante Rückseite auch weg.