Data security is annoying - how do we proceed?

Themenbild Labyrinth

Wir erhalten gelegentlich Anfragen von Kundinnen und Kunden zum Thema Datenschutz und Cookie-Banner. Obwohl die Reglemente schon länger auf europäischer wie auch schweizerischer Ebene deutlich definiert sind, beschäftigen sich Betroffene manchmal erneut mit dem Thema und möchte sich wieder informieren.

Die Themen sind definitiv komplex, können oft überraschend einfach gelöst werden. Zum Beispiel ist es den meisten Webseitenbetreiber in der Schweiz gar nicht bewusst, dass ein Cookie-Banner in vielen Fälle gar nicht nötig ist. Die Frage, ob man eine Einwilligung für die Sammlung von Besucherdaten holen muss, ist aber nicht allgemein mit «ja» oder «nein» beantwortbar. Vor allem, wenn die eigene Website Kunden aus den EU-Raum einlocken soll.

Der durchschnittliche Webseitenbetreiber beschäftigt sich nur bedingt mit der Online-Welt. Dies ist ja selten die Hauptaufgabe eines Teammitglieds: Die meisten Personen haben auch andere Aufgaben und können sich nicht um eine ganz breite Palette an Web-Know-How kümmern. Darum suchen sie unsere Unterstützung und unseren Rat.

«Wir unterstützen diverse Kunden mit massgeschneiderten Wartungsaufträgen, einige davon sogar mit einem breiteren Service Level Agreement (SLA)»

Niemand kann alles gleich gut beherrschen. Deshalb arbeiten wir gelegentlich mit Kolleginnen und Kollegen aus der Branche zusammen, wenn eine Anforderung nicht zu unseren Kernkompetenzen gehört. Dieses Vorgehen ermöglicht es uns, Experten an Bord zu holen und die beste Ergebnisse zu erzielen.

Zu diesen Themen gehören Datenschutz und die rechtlichen Aspekte des Betriebs einer Website. Wir haben uns 2023 anlässlich dem neuem Datenschutzgesetz (revDSG) für den eigenen Auftritt wieder informiert und eine neue Datenschutzerklärung anhand unseres Geschäftsvorgehens formuliert. Hierbei ist es wichtig anzumerken, dass die Datenschutzerklärung nicht nur die Website betrifft, sondern der Umgang der Firma.

Unsere Datenschutzerklärung haben wir mithilfe eines Angebots der Firma Datenschutzpartner zusammengestellt, damit wir aus rechtlicher Sicht gut gedeckt sind. Aufgrund der Einfachheit der Anwendung ihres Tools, der Genauigkeit der Ergebnisse und der realistischen Kosten des Angebots für eine kleine Firma können wir das Tool nur empfehlen.

Wir unterstützen diverse Kunden mit massgeschneiderten Wartungsaufträgen, einige davon sogar mit einem breiteren Service Level Agreement (SLA). Wir fokussieren uns vorwiegend auf technische Aufgaben: die effiziente Umsetzung und die Pflege von Websites. Mit mehr als 20 Jahren Erfahrung in WordPress können wir Websites sehr gut verwalten, sei es im Bereich Überwachung, Sicherheit und Unterhalt, oder bei der Aufbereitung von Medien sowie redaktionellen Dienstleistungen.

Themen wie Sicherheit oder technische Zuverlässigkeit gehören zu unserem Tagesgeschäft, aber Themen wie Datenschutz und Gesetze eher weniger. Wir möchten, dass unsere Kunden auf höchstem Niveau korrekt unterstützt werden, deshalb verweisen wir sie an Experten. Vor allem im Bereich Rechtsschutz ist es besonders wichtig, informierte Expertise einzuholen.

«Die meisten klicken…Cookie-Banner einfach weg, ohne den Inhalt zu lesen»

Jeder kennt die Aussage «Wir nehmen Ihren Datenschutz ernst!» und wundert sich: Wenn dies wahr ist, warum muss ich dann bei einer Ablehnung durch eine Liste mit hunderten «Geschäftspartnern» gehen? Hat sich der Webseitenbetreiber tatsächlich mit all diesen «Partnern» einmal in Verbindung gesetzt? Ganz sicher nicht. Deshalb machen diese Aussage und diese Alternative kaum Sinn: Man bräuchte eher eine einfache Option «nicht einverstanden». Was geschäftshindernd ist für die vielen Unternehmen, die um die Daten deiner Kunden konkurrieren.

Mittlerweile ist man nicht nur für Werbung, sondern auch für Cookie-Banner blind geworden: Die Besucher klicken diese einfach weg. Trotzdem muss sich der Webseitenbetreiber informieren können und eine fundierte Entscheidung treffen. Im Bereich der Statistiken oder bei der Einbindung von Inhalten aus anderen Webseiten muss überlegt werden: Muss ich die Einwilligung des Besuchers einholen, bevor ich diese Dienste anbiete?

Das Thema ist überraschend komplex aber im Gründe genommen muss man nicht unbedingt eine Einwilligung einholen. Wir empfehlen, möglichst wenig oder gar keine persönliche Daten zu sammeln. Einige Dienste von Google – darunter Schriftarten von Google Fonts, Statistiken von Google Analytics oder Inhalte von YouTube – senden Besucherdaten in die USA, und dort können die Daten mehr oder weniger frei an Dritte weitergegeben werden. Aufgrund der strengeren Regeln in Europa ist dies für Webpräsenzen in Europa nicht immer zulässig.

Behaltet die Daten auf eurem eigenen Server. Nur so werden die Statistiken nicht verfälscht.

Aufgrund der zunehmenden Probleme mit der Datensicherheit haben einige Webbrowser mittlerweile eigene Techniken integriert, die Tracking-Skripte und Werbung unterbinden. Auf meinem Arbeitsgerät sehe ich, dass mehr als 1 Million solcher Skripte im letzten Jahr blockiert wurden. Durch die Nutzung eines solchen Webbrowsers wie Firefox oder Brave muss ich mir keine Sorgen mehr um das Thema machen. Meine Daten werden weder an Google Analytics noch an andere Parteien gesendet, ohne meine explizite Einwilligung. Einige Cookie-Banner werden mir überhaupt nicht angezeigt, weil meine Privatsphäre standardmässig geschützt wird.

Als Webseitenbetreiber ist die Unterbindung von Statistiken sehr nachteilig. Wenn ich für meine Website auf Google Analytics setze und meine Auswertungen für den Erfolg der Website auf diesen Daten basiere, was passiert dann, wenn so viele Besuche keine Statistiken erzeugen? Die Statistiken können schlecht als Grundlage für strategische Änderungen in der Kommunikation dienen.

Die meisten unserer Kunden haben eigentlich nur Bedarf an Statistiken und nicht an einer bestimmten Technik. Deshalb empfehlen wir eine Lösung, die ganz ohne Tracking und Cookies konfiguriert wird. Die Daten sollen auf dem eigenen Webserver gespeichert werden, aber ähnlich wie bei Google Analytics ausgewertet werden können.

In den meisten Fällen setzen wir auf Matomo Analytics: ein Open-Source-Plugin, das alles auf dem eigenen Server behält. Da keine Tracking-Skripte zum Einsatz kommen, keine Cookies gesetzt werden und die Statistiken unter der gleichen Domain gesammelt werden, werden die Anfragen nicht von den genannten Webbrowsern unterbunden. Dies ergibt eine genauere Abbildung der tatsächlichen Besuche auf der Website.

Wenn es um Cookies von Drittanbietern geht, führen wir eine Analyse in Zusammenarbeit mit dem Kunden durch und ermitteln, ob die eingesetzte Technik irgendwelche Cookies setzt, die genannt werden müssen. (Ausgeschlossen sind technisch notwendige Cookies und Cookies, die eine anonyme Funktion ermöglichen, wie zum Beispiel das Speichern einer Präferenz für eine Website-Sprache oder ein Cookie, das den Login-Status des Besuchers ermöglicht.) Falls ja, fassen wir die nötige Abklärungen zusammen und wir setzen die notwendigen Anpassungen ein.

Conclusion

Es zeigt sich, dass sowohl Webseitenbetreiber als auch Nutzer sich ständig anpassen müssen. Während Webseitenbetreiber mit der Herausforderung konfrontiert sind, die Balance zwischen Nutzerfreundlichkeit und Datenschutzvorschriften zu finden, kämpfen Nutzer mit der Flut an Cookie-Bannern und Datenschutzerklärungen.

Unsere Rolle als Dienstleister ist es, massgeschneiderte Lösungen anzubieten, die sowohl den Anforderungen der Kunden als auch den gesetzlichen Bestimmungen gerecht werden. Wir setzen auf Technologien und Grundlagen, die eine Datenschutz-freundliche Alternative bieten. Unsere Hauptaufgabe ist es nicht immer, technisch zu agieren, sondern unsere langjährige Expertise einzubringen und schlussendlich vereinfachte und bessere Ergebnisse für euch und eure Kunden zu erzielen.

Gedanken zur WordPress-Interaktivitäts-API Nächster Post