https und ähnliches: Auch hier jetzt DSGVO
Vermutlich dürfte inzwischen kaum noch jemand in Deutschland nicht mitbekommen haben, dass vom kommenden Freitag an die neue EU-Datenschutzgrundverordnung (DSGVO) gilt und damit jeder im Internet Publizierende, also auch das Ein-Mann-Unternehmen Augen geradeaus!, sich damit auseinandersetzen muss. Das vergangene lange Pfingstwochenende habe ich nicht nur – auch wenn das so scheinen mag – zur Erholung genutzt, sondern zeitweise auch dafür, die letzten Arbeiten an diesem Blog im Hinblick auf die neuen Datenschutzregeln zu erledigen.
Bereits in der vergangenen Woche wurde augengeradeaus.net komplett auf https umgestellt (und ich hoffe, dass inzwischen alle Leserinnen und Leser nach eventuellem Löschen von Cache und Browserverlauf die Seite wieder komplett zu sehen bekommen). Jetzt gibt es hier auch eine neu gefasste Datenschutzerklärung nach den Vorgaben der EU-Verordnung.
Dazu über den doch arg juristischen Text dieser Erklärung hinaus ein paar Worte in allgemeinverständlicher Sprache: augengeradeaus.net ist eine auf Datensparsamkeit angelegte Webseite. Hier gibt es kein Tracking, keine Analysetools des Nutzerverhaltens und ähnliches; Werkzeuge wie Google Analytics sind nicht installiert. Die einzige Statistik-Erhebung erfolgt mit dem Plugin Statify, das nur die Zugrifsszahlen insgesamt misst – ich kann also jeweils sehen, wie viele Zugriffe es am Tag auf die Webseite gab; ich kann nicht verfolgen, wie viele Leserinnen und Leser usw.
Die IP-Adressen der Zugriffe und der Kommentatoren werden zwar zeitweise gespeichert, aber nur beim meinem Webhoster, und so bald wie möglich unter Berücksichtigung gesetzlicher Vorgaben gelöscht.
Die einzigen Datenerhebungen von Nutzern ohne Kontrollmöglichkeit von meiner Seite kommen von vier externen Diensten, die bei augengeradeaus.net sinnvollerweise eingebunden werden.
Das betrifft für alle Leserinnen und Leser Twitter und YouTube: Ich binde bisweilen Tweets oder YouTube-Videos ein, und deren Nutzungsdaten werden dann von den betreffenden Unternehmen erhoben, gespeichert und verarbeitet. Ich halte das derzeit bei einer Abwägung zwischen Nutzung dieser Inhalte und möglichen Datenschutzbedenken für vertretbar.
Zwei weitere Dienste erheben nur dann Daten, wenn sie auch aktiv genutzt werden: Das sind die Bezahldienste PayPal und Steady, die dann Nutzerdaten bekommen, wenn jemand über diesen Dienst zur Unterstützung von Augen geradeaus! beiträgt. In diesen Fällen ist es recht einfach: Wer diese Dienste nicht nutzt, liefert auch keine Daten.
Ein Nachtrag, weil ich was vergessen hatte: Wie in der Datenschutzerklärung erwähnt, verwende ich Zählpixel der VG Wort, die anonymisiert ermitteln, wie oft ein Eintrag aufgerufen wird. Wesentliche Aussage: Es werden keine personenbezogenen Daten erhoben.
Ansonsten: Wer die Befürchtung hat, da würden böse Cookies gesetzt, löscht einfach regelmäßig den Verlauf seines Browsers.
Die Datensparsamkeit (versucht mal, eine Spiegel-Online-Seite noch nicht mal mit Adblocker, sondern nur mit eingeschalteter Do-not-track-Funktion eines Webbrowsers anzusehen) ist natürlich nur deswegen möglich, weil Augen geradeaus! sich nicht durch Anzeigen finanziert und es damit auch keine Agenturen oder Auftraggeber gibt, die dazu Nutzungswerte oder Nutzerprofile wissen wollen. Das ist die positive Seite.
Die andere, mitunter schwierige Seite: Der bewusste Verzicht auf Werbung und die Finanzierung dieser Webseite allein aus freiwilligen Zuwendungen der Leserinnen und Leser ist eine, nun ja, schwankende Basis. Die versprochene jährliche Rechenschaft über diese Einnahmen bin ich für das Vorjahr noch schuldig (und hoffe, ich kriege das demnächst hin), aber als grober Richtwert: Was auf diesem Wege an Einnahmen für dieses Blog im Monat hereinkommt, entspricht ungefähr dem Grundgehalt eines Obergefreiten, mal ein bisschen mehr, oft auch ein bisschen weniger. Mit dem signifikanten Unterschied, dass ein Obergefreiter auf seinen Sold keine Mehrwertsteuer abführen muss und auch keine Krankenkassen- und Rentenbeiträge zahlt.
Mit anderen Worten: Ich bin allen Lesern sehr dankbar, die mit ihrer Unterstützung einen Beitrag zur journalistischen Arbeit hier leisten. Ich würde mich aber sehr freuen, wenn es noch ein wenig mehr Leserinnen und Leser wären, die dazu beitrügen, dass diese Arbeit eine noch etwas stabilere Basis bekommt.
VG Wort…
Ah, stimmt, steht in der Datenschutzerklärung natürlich auch drin, hatte ich bei der menschengerechten Fassung schlicht vergessen.
Hi,
wg. https – Ihr müsstest noch eine Umleitung einbauen – quasi http>https.
man kann immer noch http://augengeradeaus.net anzeigen lassen….
[Das stimmt zwar für die Startseite; sobald ein Eintrag aufgerufen wird – und das Kommentarfeld erscheint – ist es allerdings https und damit ist die Transportverschlüsselung für die Kommentierung gewährleistet. Aber wir schauen uns das noch mal an. T.W.]
Hier und auf den anderen Unterseiten mit HTTPs ist CSS jetzt ok.
Aber wenn man die Hauptseite mit https aufruft (z.B. hier oben auf den header Klicken)
dann besteht das Mixed content Problem weiterhin.
Die Startseite wird unter https immer noch nicht richtig dargestellt; mit http funktioniert der Zugriff auf das Template/Design. Einzelbeiträge werden mit https korrekt dargestellt.
Diese Feststellung mache ich auch auf Geräten, mit denen ich zuvor noch nie bei AG! war. Es kann insoweit nicht am Cache liegen.
[Auch hier gucken wir mal, obwohl ich auf etlichen verschiedenen Geräten, Computer, Tablets, Smartphone mit verschiedenen Browsern immer eine korrekte Anzeige bekomme… T.W.]
Gut, dass man sich mit diesem Thema in der Öffentlichkeit befasst. Leider hat man im Allgemeinen, insbesondere die großen Unternehmen, in den letzten fünf Jahren, in denen klar war, was inhaltlich gelten würde, nichts unternommen.
Google Ads sind nunmal googleads.g.doubleclick[.]net/pagead/id und static.doubleclick[.]net/instream/ad_status.js
D.h. bei Einbinden eines Youtube-Videos (auch auf der Hauptseite) werden diese geladen, auch wenn man das Video gar nicht abspielt. Eine Zweiklick-Lösung könnte da in Betracht kommen wie das WordPress-Addon „Video Embed Privacy“ bereitstellt.
Anmerkung: jQuery v1.12.4 ist ziemlich alt und wird auch nicht mehr mit Sicherheitspatches versorgt.
peter.n | 23. Mai 2018 – 13:33″Hi,
wg. https – Ihr müsstest noch eine Umleitung einbauen – quasi http>https.
man kann immer noch http://augengeradeaus.net anzeigen lassen….
[Das stimmt zwar für die Startseite; sobald ein Eintrag aufgerufen wird – und das Kommentarfeld erscheint – ist es allerdings https und damit ist die Transportverschlüsselung für die Kommentierung gewährleistet. Aber wir schauen uns das noch mal an. T.W.]“
Wenn Ich seit einiger Zeit von einem Beitrag oben auf „Augen geradeaus!“ klicke um wieder auf die erste Seite zu kommen, wird das layout zerfetzt und firefox zeigt mir einen Fehler an, daß teilweise Inhalte nicht angezeigt werden weil unsicher. Ich vermute der link ist immer noch auf http ohne s gesetzt und der verwurschtelt das dann. Mit dem Zutückbutton it das kein Problem wieder nach vorne auf die erste Seite zu kommen.
Ich vermute eine unverträglichkeit mit dem Browsercache. Wenn man die Startseite zunächst ohne Verschlüsselung aufruft und später mit, passt die gespeicherte CSS-Datei nicht mehr dazu, weil die URL jetzt anders ist. Also doch besser gleich die Startseite als https ausgeben. Weiß nicht was da die beste Methode ist, vielleicht eine 301-Weiterleitung in die .htacces von http://augengeradeaus.net/ nach https://augengeradeaus.net/.
@ peter.n
Oder statt Umleitung direkt auf HSTS setzen. SSL-Labs ergibt für augengeradeaus.net ein B als Wertung. Das liegt daran, dass noch zuviele schwache Ciphersuite erlaubt sind. Ansonsten sieht es ja ganz gut aus.
@ Off-Topic
Ich finde es amüsant, dass Herr Wiegold sich vorbildlich Gedanken um Sicherheit und Datenschutz macht, ich aber die direkte Adresse des CIR unter der bundeswehr.de Domain nicht per https erreichen kann (cir.bundeswehr.de). Nicht mal der SSL-Checker funktioniert dort … oder liegt das nur an mir? Wenn das ein allgemeiner Fehler ist, Hut ab Herr Wiegold, vielleicht ist beim CIR/BWI noch eine Stelle frei ;)
Noch mal an alle: Danke für alle Hinweise.
Wie ich bestimmt schon mal erwähnt habe… habe ich neben meinen Aufgaben als Redakteur, Korrespondent, Lektor, Marketingchef, Fotograf… und was weiß ich noch alles nicht auch noch die Aufgabe des Softwarebetreuers übernehmen können. Weil mir sowohl die Detailkenntnisse als auch die Zeit dafür fehlen und ich sinnvollerweise lieber recherchiere, schreibe und nicht zuletzt – sehr zeitaufwändig – Kommentare moderiere.
Deshalb ist die ganze Technik outgesourced, und alle Hinweise sind weitergegeben. Die Fehler werden vielleicht nicht sofort beseitigt, aber rechtzeitig.
Die oben mit dem Text „allein aus freiwilligen Zuwendungen “ verlinkte FAQ-Seite geht noch als HTTP raus. Die FAQ-Link im Header dagegen geht garnicht. Zumindest bei mir hier.
Die FAQ-Seite lädt Content von paypal. Man übermittelt da an diese also schon Daten, wenn man nur die Seite aufruft, u.a. wird auch ein Cookie gesetzt.
(Nur als Hinweis, kein Vorwurf.)
Bzgl. Einbindung von CSS/JS:
Wenn die URLs von den zusätzlichen Dateien sowohl mit als auch ohne ssl verfügbar sind, sollten sie im Haupt-Quelltext ohne http: oder https: eingebunden werden. Dann ruft der Browser den zusätzlichen Inhalt mit dem gleichen Protokoll wie die Hauptseite ab. Daher gibt es dann keine Mixedcontent Probleme.
Darf ich kurz offtopic bemerken dass die DSGVO entsetzlich nervig für kleine Site-Betreiber ist? Niemand bestreitet dass man Facebook und Google zügeln muß aber hochkomplexe Juristereien auch auf kleine Blog-Betreiber mit ein bis dreistelligen Userzahlen anzuwenden führt eher zu einer Stärkung der grossen Datenkraken weil die kleinen Betreiber lieber dicht machen als sich angreifbar zu machen und dann endgültig jeder zu den Grossen abwandert.
(in einem anderem Onlineforum schlug ein Jurist sogar ernsthaft vor dass JEDER aktive Facebook-User oder Forumsteilnehmer ebenfalls für eine juristische Belehrung haftbar sei… also nicht die Seitenbetreiber sondern jeder der Inhalte verbreitet die sich an zuordnungsfähige Personen richten)
[Es wird zwar arg offtopic… aber die kleinen, definitiv nicht mit wirtschaftlichem Interesse antretenden „kleinen Blog-Betreiber mit ein- bis dreistelligen Userzahlen“ sind von den meisten Bestimmungen nicht betroffen. Da war und ist auch viel Panikmache im Spiel…T.W.]
Der Panikmache hätte man aber vorbeugen können indem man das mal klar und deutlich so in der Öffentlichkeit auch klarstellt. Ich kenne auch einige Projekte, die aufgrund der Unsicherheit erstmal dicht gemacht haben. Das ist ein echter Bärendienst für den Datenschutz, da es schlussendlich alle zu den großen Playern treibt. :/
Hallo, melde mich erstmals nach langem passivem Konsum.
Bei mir auch noch Darstellungsprobleme der https-Hauptseite auch nach Löschen sämlicher Chronik (Verlauf, Cookies, Cache, Logins, Offline-Daten, Website-Einstellungen) außer Formulardaten.
Browser: Firefox 60.0.1 (Windows 10 PC)
Bitte nicht als Kritik, sondern als freundlichen Hinweis von jemandem verstehen, der ebenfalls als Nicht-IT-Spezialist ausführlich mit einer outgesourceten https-Umstellung befasst war… :)
Ansonsten an dieser Stelle ein mal großes Dankeschön für Ihre hervorragende Arbeit!
Beim Einbinden von Youtube-Videos gibt es eine Option „Erweiterten Datenschutzmodus aktivieren.“, die standardmäßig nicht ausgewählt ist.
@Alex
Danke für den berechtigten Hinweis. Ich habe das jetzt für die letzten beiden verwendeten Videos geändert und werde das künftig beachten.