Am ist die EU-Datenschutz-Grundverordnung in Kraft getreten.
Diese Verordnung ist handwerklich schlecht gemacht, so wie es bei der EU normal ist:
- sie bevorteilt große Unternehmen, die "mal eben" einen Anwalt bezahlen oder einstellen können;
- sie erzeugt Rechtsunsicherheit gerade bei kleinen Unternehmen, Vereinen und Privatpersonen;
- sie bereitet das Feld für Abmahn-Abzocker;
- sie erzeugt Kosten und Zeitaufwand und Stress ohne ein greifbares Ergebnis und schädigt so
die Wettbewerbsfähigkeit europäischer Unternehmen;
(ein Einzeilerkeine Abmahnungen wegen DSGVO
hätte die Einführung stressfrei gemacht) - sie führt zur Verunstaltung von Webseiten;
- und natürlich wird das angestrebte Ziel nicht erreicht, denn Anbieter wie Facebook, Google oder Twitter lassen sich ihren Umgang mit Daten einfach durch einen alternativlosen Bestätigungsbutton erlauben: wer nicht mitmacht, wird ausgesperrt.
Obwohl sie grober Unfug ist, mussten bis gestern alle europäischen Webseiten an die DSGVO angepasst werden.
Wir schauen uns jetzt einige datenschutzrelevante Einstellungen einer Handvoll Webseiten an.
Dazu nutzen wir den Webdienst Webbkoll. Webbkoll ruft eine angegebene Seite wie ein normaler Browser ohne irgendein Addon auf, und überprüft folgende Eigenschaften, die ich dann in den Tabellen aufliste:
- Nutzung von TLS (Transport-Layer-Security,
früher
SSL
): -
Mit TLS wird die Verbindung zwischen Browser und Server verschlüsselt. Diese Verschlüsselung ist, wenn richtig implementiert, so leistungsfähig, dass staatliche Stellen und Geheimdienste nicht versuchen, die Verbindung zu belauschem, sondern lieber ein Endgerät kompromitieren (mit Keyloggern oder Trojanern).
Man erkennt die aktivierte Verschlüsselung an der Protokoll-Kennzeichnung
und/oder einem Schloss-Symbol in der Adresszeile des Browsers. Früher war das für TLS nötigehttps://Zertifikat
relativ teuer, heute bekommt man es kostenlos. Deshalb sollte TLS heute Standard sein, auch für kleine Hobby-Seiten.Fast alle der geprüften Seiten unterstützen TLS; die unrühmlichen Ausnahmen sind mit einem
×
in der ersten Spalte (TLS/on) markiert. Die Betreiber dieser Seiten sollten sich schämen, deren IT-Dienstleister ihr Unternehmen schließen. - Weiterleitung von unverschlüsselter Übertragung auf verschlüsselte Übertragung:
-
Wenn ich eine Webadresse ohne Protokoll in die Adresszeile des Browsers eingebe, ergänzt der Browser das Protokoll
(ohne dashttp://
). Damit wird eine unverschlüsselte Verbindung aufgebaut, obwohl Browser und Server Verschlüsselung unterstützen.sMit trivialem Aufwand lassen sich die meisten Server so konfigurieren, dass sie bei einem Aufruf mit
automatisch aufhttp://…
weiterleiten.https://…Webseiten ohne diese Weiterleitung sind in der zweiten Spalte (TLS/redir) mit einem
×
markiert. Ich habe gelb gewählt, weil der Nutzer mitverantwortlich ist für die unverschlüsselte Übertragung, er hätte ja das
eingeben können.https:// - Weiterleitung von unverschlüsselter Übertragung auf verschlüsselte Übertragung:
-
Ein gruseliger Sonderfall sind Server, die verschlüssele Übertragung zwar anbieten, dann aber nicht die gewünschte Seite verschlüsselt ausliefern, sondern den Browser auf unverschlüsselte Übertragung weiterleiten.
Man erkennt es daran, dass man
eingibt und der Browser dies gegenhttps://…
austauscht. Ich habe solche Server mit einemhttp://…× ←
in den ersten beiden Spalten markiert.Wer seinen Server so konfiguriert, gehört geteert und gefedert.
- Referrer-Policy:
-
Wenn man einem Link von einer Webseite zu einer anderen folgt, oder wenn die Webseite Objekte, z.B. Bilder, Fonts oder JavaScript, von einer anderen einbindet, überträgt der Browser die URL der aufrufenden Seite im
-Header an die fremde Seite. Die fremde Seite sieht also, was in der Adress-Zeile des Browsers steht, und das ist besonders gefährlich, wenn dort z.B. Login-Daten stehen.Referer:Ein Webserver kann diese Übertragung im Browser deaktivieren, indem er einen
-Header mit jeder Seite ausliefert. Obwohl dies trivial zu konfigurieren ist, wird es nur von wenigen Webseiten genutzt. Webseiten, die diesen Header nicht ausliefern, sind mit einemReferrer-Policy: "same-origin"×
in der dritten Spalte (Referer/policy) markiert. Ich habe gelb gewählt, weil der Nutzer die gleiche Wirkung auch mit einem Browser-Addon erzielen kann. - Cookies:
-
Cookies sind vergleichsweise harmlos, solange sie für eine Webseite gesetzt werden und nicht von eingebunden Objekten anderer Server, und solange es sogenannte
Session-Cookies
sind, die der Browser beim Schließen verwirft.Fast alle Webseiten werfen heute Cookies, und wegen irgendeiner dämlichen EU-Verordnung müssen diese Seiten ein grausliches und sinnfreies Cookie-Informations-Overlay anzeigen mit einem Button, der die Nutzung von Cookies erlaubt; zum Glück kann man die meisten dieser störenden Overlays mit einem Adblocker unterdrücken.
In der vierten Spalte werden First-Party-Cookies angezeigt. Die wenigen Cookie-freien Webseiten sind mit grün markiert, die übrigen mit gelb, weil ich First-Party-Cookies für recht harmlos halte.
In der fünften Spalte werden Third-Party-Cookies angezeigt, die von Fremd-Servern geworfen werden. Diese sind gefährlich, sie dienen praktisch immer zur Beobachtung und Überwachung der Nutzer, und zwar auch über verschiedene Angebote hinweg. Deshalb markiere ich rot, wenn auch nur ein einziges Third-Party-Cookie geworfen wird.
- Einbindung externer Resourcen:
-
Grundsetzlich ist die Einbindung externer Resourcen gefährlich. Nehmen wir als Beispiel eine Seite
, die einen Schrift-Font vonhttps://example.org/
einbindet: bei einem Zugriff aufhttps://fonts.googleapis.com/example.orgverbindet sich der Browser auch mitfonts.googleapis.com, ohne dass der Nutzer davon erfährt. Dafür erfährt der fremde Server
, welche Seite ich gerade besuche, solange nicht eine der im AbsatzgoogleapisReferrer-Policy
beschriebenen Abwehr-Maßnahmen aktiv ist.Besonders gefährlich ist das Einbinden von JavaScript-Dateien fremder Server, denn die enthaltenen Skripte werden mit der Berechtigung der aufrufenden Seite ausgeführt, sie können also alle Inhalte der Seite lesen, verändern und an andere Server übertragen. Wenn ich externe Skripte einbinde, muss ich dem externen Server zu 100% vertrauen.
In der sechsten Spalte (third party/requests) wird die Zahl der von Fremdservern abgerufenen Objekte angezeigt, dabei wird nicht nach Bildern, Fonts, Skripten usw. unterschieden; in der siebten Spalte (third party/hosts) wird angezeigt, von wieviel verschiedenen Servern die Objekte abgerufen werden. Der zweite Wert kann natürlich nie kleiner sein als der erste. Die Spalten 6 und 7 sind bei einem Wert 0 grün markiert, Werte bis zu 10 (willkürliche Grenze) mit gelb, und Werte von mehr als 10 Cookies mit rot.
Wichtig zu wissen: diese Abrufe erfolgen ohne Zustimmung des Nutzers bereits beim ersten Zugriff auf eine Seite, denn das Webtool kann nicht auf irgendwelche Freigabe-Buttons klicken. Deshalb nehme ich an, dass alle Seiten abmahnfähig sind, die in einer der drei
Third-Party
-Spalten rot markiert sind. - Server-Standort:
-
In der siebten Spalte wird der Standort des jeweiligen Servers angezeigt, Deutschland in grün, die übrigen EU-Länder in gelb, und die Datenschutz-Wüste USA in rot.
Diese Angabe (besonders das
NL
) ist mit Vorsicht zu genießen, denn viele Angebote nutzen ein Content Delivery Network wie Akamai, das die Anfragen des Browser automatisch von einem geographisch nahen Server beantwortet; damit können zwei verschiedene Nutzer die gleiche Webseite aus zwei verschiedenen Servern in unterschiedlichen Ländern ausgeliefert bekommen. Das Ergebnis für einen Nutzer in Deutschland kann vom Ergebnis von Webbkoll (in Frankreich gehostet) abweichen.
Die Werte der folgenden Tabellen wurden zwischen dem 25. und dem 27. Mai 2018 ermittelt. Wer danach seine Seite verändert hat, möge mir Bescheid sagen, damit ich seinen Eintrag anpassen kann.
1. Webdienste:
| Name | SSL/TLS | Referer policy |
1st party Cookies |
Third party | Server- standort |
|||
|---|---|---|---|---|---|---|---|---|
| on | redir | Cookies | requests | hosts | ||||
| facebook.com | ✓ | ✓ | ~ | 2 | 0 | 19 | 5 | USA |
| www.google.de | ✓ | ✓ | ~ | 3 | 0 | 4 | 4 | USA |
| instagram.com | ✓ | ✓ | × | 0 | 0 | 0 | 0 | USA |
| twitter.com | ✓ | ✓ | × | 8 | 0 | 8 | 2 | USA |
| www.youtube.com | ✓ | ✓ | ~ | 5 | 1 | 35 | 5 | USA |
Die großen US-amerikanischen Webdienste haben ihre Hausaufgaben gemacht.
2. Zeitschriften und zeitschriftenähnliche Blogs:
| Name | SSL/TLS | Referer policy |
1st party Cookies |
Third party | Server- standort |
|||
|---|---|---|---|---|---|---|---|---|
| on | redir | Cookies | requests | hosts | ||||
| Achse des Guten | ✓ | × | × | 8 | 36 | 95 | 28 | DE |
| Bayernkurier | ✓ | ✓ | × | 3 | 0 | 6 | 4 | DE |
| bento | × | × | × | 12 | 21 | 103 | 42 | DE |
| Badische Zeitung | × | ← | × | 8 | 53 | 191 | 64 | DE |
| Berliner Zeitung | ✓ | ✓ | × | 5 | 20 | 37 | 39 | NL |
| Express | ✓ | ✓ | × | 18 | 67 | 297 | 106 | NL |
| Focus Online | ✓ | ✓ | ~ | 24 | 28 | 142 | 57 | NL |
| Frankfurter Allgemeine Zeitung | × | ← | × | 24 | 28 | 142 | 57 | NL |
| Huffington Post | ✓ | ✓ | × | 16 | 39 | 261 | 77 | USA |
| Kölner Stadtanzeiger | ✓ | ✓ | × | 20 | 73 | 271 | 105 | NL |
| Merkur | ✓ | ✓ | × | 10 | 90 | 344 | 119 | DE |
| Neues Deutschland | ✓ | ✓ | × | 3 | 1 | 7 | 4 | DE |
| Rheinische Post | ✓ | ✓ | × | 8 | 45 | 129 | 57 | DE |
| Spiegel Online | × | ← | × | 17 | 34 | 240 | 69 | DE |
| Stern | ✓ | ✓ | × | 15 | 70 | 307 | 90 | NL |
| Süddeutsche Zeitung | × | ← | × | 23 | 23 | 110 | 43 | FR |
| Tagesspiegel | ✓ | ✓ | × | 11 | 13 | 109 | 39 | NL |
| taz | ✓ | × | × | 6 | 88 | 228 | 80 | DE |
| Tichys Einblick | ✓ | × | × | 7 | 37 | 106 | 41 | USA |
| Welt | ✓ | ✓ | × | 18 | 32 | 94 | 44 | NL |
| Zeit Online | ✓ | ✓ | × | 17 | 29 | 107 | 47 | UK |
| ze.tt | ✓ | ✓ | × | 14 | 43 | 141 | 60 | DE |
Die meisten deutschen Zeitschriften haben ihre Hausaufgaben nicht gemacht und schneiden miserabel ab. Lichtblicke sind nur der Bayernkurier und das Neue Deutschland.
Das Schlusslicht bilden bento, Badische Zeitung, FAZ, SPON und die SZ, die keine verschlüsselte Übertragung anbieten; die Verantwortlichen sollten vielleicht einmal jemanden fragen, der sich mit der Sache auskennt.
Während die Huffington-Post wirklich in den USA gehostet ist, wird das USA von Tichys durch das CDN Cloudflare verursacht.
Gemeinsam ist den Angeboten mit einer einzigen Ausnahme, dass sie wie bekloppt mit Cookies um sich werfen und hunderte Seitenkomponenten von dutzenden externen Servern zusammenklauben. Alle diese externen Zugriffe erfolgen ohne Zustimmung des Nutzers; dies ist eine Katastrophe für die Privatsphäre der Nutzer.
Mich würde interessieren, ob diese Webseiten in ihren Datenschutzerklärungen wirklich auf jeden einzelnen externen Server hinweisen und auch den jeweiligen Betreiber auf die DSGVO verpflichtet haben.
3. Öffentlich rechtliche Fernsehsender:
| Name | SSL/TLS | Referer policy |
1st party Cookies |
Third party | Server- standort |
|||
|---|---|---|---|---|---|---|---|---|
| on | redir | Cookies | requests | hosts | ||||
| ARD | ✓ | × | × | 0 | 2 | 6 | 4 | NL |
| ZDF | ✓ | ✓ | × | 0 | 2 | 6 | 3 | NL |
Abgesehen von den Cookies von Fremdservern sind das akzeptable Werte.
4. Parteien:
| Name | SSL/TLS | Referer policy |
1st party Cookies |
Third party | Server- standort |
|||
|---|---|---|---|---|---|---|---|---|
| on | redir | Cookies | requests | hosts | ||||
| AfD | ✓ | ✓ | × | 2 | 6 | 314 | 24 | USA |
| CDU | ✓ | ✓ | × | 1 | 0 | 10 | 5 | DE |
| CSU | ✓ | ✓ | × | 6 | 0 | 8 | 4 | NL |
| FDP | ✓ | ✓ | × | 3 | 0 | 4 | 2 | USA |
| SPD | ✓ | ✓ | × | 4 | 0 | 0 | 0 | DE |
| Bündnis 90 / Die Grünen | ✓ | ✓ | × | 7 | 0 | 9 | 5 | DE |
| Die Linke | ✓ | ✓ | × | 2 | 0 | 0 | 0 | UK |
| Piratenpartei | ✓ | ✓ | ✓ | 2 | 0 | 2 | 1 | DE |
Die Seiten der Parteien zeigen ein überraschend gutes Ergebnis.
Einziger Ausreißer ist die Seite der AfD, die über 300 Objekte von 25 Servern abruft und als einzige Cookies von Fremdservern wirft. Ich würde an Stelle der AfD dem Webdienstleister einmal kräftig in den Hintern treten und außerdem prüfen, ob sich ein U-Boot der Antifa eingeschlichen hat.
Ein Lob an die Piratenpartei für die Nutzung des Referrer-Policy-Headers.
Obwohl es trivial und kostenlos ist, gibt es nur zwei weitere Nutzer:
Mike Kuketz und das Bundeskriminalamt. Eine Koalition aus der SPD und den Piraten würde ein fast
perfektes Ergebnis liefern.
Zu den Servern in den USA: die AfD nutzt das CDN Cloudfront
von Amazon, die FDP nutzt den Google-Cloud-Service. Damit haben sich beide Parteien für
das Thema Datenschutz disqualifiert.
5. Experten für IT-Sicherheit:
| Name | SSL/TLS | Referer policy |
1st party Cookies |
Third party | Server- standort |
|||
|---|---|---|---|---|---|---|---|---|
| on | redir | Cookies | requests | hosts | ||||
| Hadmut Danisch | ✓ | × | × | 1 | 124 | 351 | 97 | DE |
| Mike Kuketz | ✓ | ✓ | ✓ | 0 | 0 | 0 | 0 | DE |
| Felix von Leitner | ✓ | × | × | 0 | 0 | 0 | 0 | DE |
Zweimal Perfekt und fast perfekt.☺ Und einmal gruselig.☹
6. Behörden:
| Name | SSL/TLS | Referer policy |
1st party Cookies |
Third party | Server- standort |
|||
|---|---|---|---|---|---|---|---|---|
| on | redir | Cookies | requests | hosts | ||||
| Bundesamt für Sicherheit in der Informationstechnik | ✓ | ✓ | × | 2 | 0 | 0 | 0 | DE |
| Bundeskriminalamt | ✓ | ✓ | ✓ | 1 | 0 | 4 | 2 | DE |
| Bundesnachrichtendienst | ✓ | × | × | 3 | 0 | 2 | 1 | DE |
| Bundeswehr | ✓ | ✓ | × | 2 | 0 | 0 | 0 | DE |
| Deutscher Bundestag | ✓ | × | × | 1 | 0 | 0 | 0 | DE |
Überraschend gute Werte, alles im gelbgrünen Bereich: Hausaufgaben gemacht.