CDNs und der Datenschutz
Seitdem die DSGVO auf die Welt losgelassen wurde, haben sich Webentwickler zwangsläufig mehr Gedanken darüber machen müssen, wie sie mit Ressourcen umgehen, die von Drittplattformen geladen werden.
Typische Szenarien, in denen Inhalte externer Plattformen eine Rolle spielen:
- Widgets von asozialen Medien (Like/Share-Buttons)
- Fremdgehostete Schriftarten (z.B. von Typekit)
- Analytics-Plattformen, z.B. Google Analytics
- Content wie Bilder oder Videos von externen CDNs
- Verteilen des Contents auf Server in der ganzen Welt, um beispielsweise in Asien die Antwortzeiten von Webanwendungen zu verkürzen, die eigentlich aus Europa stammen
- JS- und andere FunktionsBibliotheken, die von extern geladen werden
Viel Technikblabla, das soll hier eigentlich gar nicht der Fokus sein.
Aus Datenschutz-Sicht gilt einfach die Regel: Wenn z.B. Bilder oder Videos, die auf einer Website dargestellt werden, nicht vom gleichen Webserver bzw. der gleichen Domain geladen werden, wie die Website selbst, und der Nutzer wird davon nicht in Kenntnis gesetzt, ist das ein Problem.
Warum? Einfaches Beispiel: Irgendjemand bettet ein Youtube-Video auf seiner Website ein. Ihr schaut diese Website an und auch das darauf befindliche Video. Die Daten des Videos selbst liegen aber nicht auf der Infrastruktur, von der die Website kommt, die ihr gerade anschaut, sondern auf der Infrastruktur von Google. Youtube bzw. der Betreiber Google kann daher sehen, dass ihr das Video angeschaut habt, obwohl ihr eigentlich gar keine Website von Google angesurft habt. Wenn euch nun der Betreiber der Website, die ihr gerade anschaut, nicht in Kenntnis gesetzt hat, dass Google involviert wird, ist das rechtlich nicht zulässig. Ihr wollt ja nicht, dass Google ohne euer Einverständnis Daten über euch erhebt.
Damit ihr informiert werdet - in der Regel mehr schlecht als recht - gibt es die Cookie- bzw. Consent-Banner, wo man Knöpfe drücken soll, um allerlei Zustimmungen zu erteilen.
Worauf ich aber eigentlich hinaus will:
Es ist nicht nur rechtlich ein Problem, wenn man Drittressourcen einbindet, sondern es kann auch sicherheitstechnisch zum Problem werden.
Wenn externe Ressourcen Schadcode enthalten, der euren Computer oder Smartphone karput macht, ist das nicht lustig. Hier gab es so einen Fall mal wieder.
Entwickler, die, ohne ihr Hirn einzuschalten, zum Beispiel Bibliotheken wie JQuery, Bootstrap oder anderen Kram von extern nachladen, weil sie zu faul sind, die Daten auf der eigenen Infrastruktur zu hinterlegen, gehören ihres Amtes enthoben. Früher galt das mal als sinnvoll (war es aber aus meiner Sicht in den meisten Fällen nicht), bestimmte Ressourcen auf verschiedene Infrastrukturen zu verteilen, heutzutage ist es dank des "technischen Fortschritts" nicht mehr nötig (HTTP/2).
Wie könnt ihr euch gegen inkompetentes Ressourcenrumgeschmeiße schützen?
Kommt drauf an, wie willig ihr seid, eventuell leicht kaputt aussehende Websites in Kauf zu nehmen. Denn nach wie vor gibt es etliche Betreiber von Websites, die lieber das Einverständnis von Nutzern für das Laden von Drittressourcen vorab einholen (oder auch nicht), anstatt ihre Webanwendungen sicher und datenschutzkonform zu bauen und die Daten auf ihrer eigenen oder zumindest von ihnen kontrollierten Infrastruktur abzulegen.
Grundsätzlich wäre das pauschale Blocken von Drittressourcen eine sichere Variante, die aber etliche Webangebote kaputt machen. uMatrix kann dieses Totalblocken zum Beispiel.
Kompromiss: Adblocker nutzen, der nicht ganz so restriktiv ist, z.B. uBlock Origin. Hier werden nicht alle Drittressourcen geblockt, sondern nur solche, von denen man schon weiß oder annimmt, dass sie aus unerwünschten Quellen stammen.
Man kann beides gleichzeitig nutzen, und schaltet uMatrix bei Bedarf ab. Dann sind die schlecht konzipierten Websites nicht ganz so kaputt, aber vor Tracking und Werbung ist man immer noch einigermaßen geschützt.
Ich glaube, ich muss das Thema noch etwas ausführlicher und einsteigertauglicher formulieren und evtl. bebildern. Kommt demnächst.