Abmahn-Falle reCaptcha

Wer freut sich nicht darüber, auf Websites mit Formularen immer wieder Bilderrätsel lösen zu müssen, die oft kaum erkennbar sind oder falsch ausgewertet werden, oder seine Lese- und Rechenkünste der 1. Klasse unter Beweis stellen zu müssen. Die Rede ist von sogenannten Captchas [1]. Sie dienen dazu, Maschinen – also Programmen – das automatische Ausfüllen von Formularen zumindest so zu erschweren, dass davon abgesehen wird. Damit soll in der Regel die Flut von Spam-Kommentaren verhindert werden.

Besonders bekannt sind die Captchas von Google. So ausgeklügelt die heute auch sind und wie gut sie auch ihren Zweck erfüllen, so haben si doch einen entscheidenden Nachteil. Neben ihrer Hauptaufgabe aus Nutzersicht schicken sie jedoch im Hintergrund eine Menge zwar anonyme, aber persönliche Daten zu Google. Neben den technisch notwendigen wie den IP-Adressen, werden Orte, Browser, Plugins, Mausbewegungen… gesammelt und statistisch ausgewertet. Das ist der eigentliche Gewinn für Google, alles andere ist nur Werkzeug. Eigentlich eine Win-Win-Situation, aber eben ein Dorn im Auge der Datenschützer.

Worum es hierbei im Detail geht und warum das aus Sicht der Datenschützer problematisch ist, wird hier [2] gut beschrieben, das muss ich hier nicht nochmal machen.

Um das Problem generell zu umgehen, bietet sich die Nutzung grundsätzlich anderer Konzepte als die diversen Captcha-Lösungen, insbesondere der von Google, an. Mein Favorit ist der „Honigtopf“, ein altbekanntes Mittel, um Fliegen und andere schädliche Insekten anzulocken und unschädlich zu machen. Für unsere Zwecke heißt das tatsächlich „Honeypot“ und beschreibt eine Programmiertechnik innerhalb einer Website, lüsterne Bots (spezielle Suchmaschinen) auf die falsche Fährte zu locken und damit unschädlich zu machen.

Für WordPress gibt es eine Reihe von Plugins, die das realisieren. Welches geeignet ist, hängt ab von anderen verwendeten Techniken, z. B. von benutzten Formular-Plugins wie CF7 oder WPForms. Manches kann man gut kombinieren, z. B. „Honeypot for CF7“ und „Blackhole for Bad Bots“. Man suche einfach mal Plugins mit „Honeypot“ und es finden sich einige, die man probieren kann.

Hat man das erledigt, kann in der Datenschutz-Erklärung der Abschnitt zu Captchas ersatzlos gestrichen werden, der sonst wegen der ungewollten Datenübertragung nach Übersee nicht fehlen dürfte.


[1] https://de.wikipedia.org/wiki/Captcha
[2] https://www.dr-datenschutz.de/google-recaptcha-und-der-datenschutz/

Abmahn-Falle Google Fonts

Es scheint wieder eine neue Abmahnwelle anzurollen. Sie ist nicht neu, aber besonders hinterhältig. Der Hintergrund ist, dass Google eine riesige Menge Schriften (Fonts) zur kostenlosen Verwendung anbietet, indem sie einfach in der eigenen Website verlinkt und beim Laden der Seiten online bezogen werden. Dabei werden – so funktioniert eben das Internet! – neben der eigenen IP-Adresse auch einige anonyme Daten des Browsers zu Google übertragen. Das stößt den Anwälten unter den Datenschützern (Stichwort: DSGVO, Datenschutz-Grundverordnung) auf und sie wittern Profit. Denn dieser Datenübertragung stimmt der Nutzer in der Regel nicht bewusst zu. Was für ein Irrsinn! Es werden dann Abmahnungen im niedrigen dreistelligen Bereich verschickt, die meist schnell bezahlt werden, weil sich ein Rechtsstreit deswegen nicht lohnt. Das bei 1000 „Klienten“ ergibt ein hübsches Sümmchen.

Insbesondere bei Websites mit WordPress, bei deren verwendetem Theme die verwendete Schrift (Font) von Google oft fest einprogrammiert ist, ist das unter Umständen schwer zu beheben. Es gibt Plugins, die sowas beheben sollen, was aber aus meiner Erfahrung nicht geht und sogar in einer „weißen Seite“ enden kann.

Ist die Website vorhanden – egal ob konventionell oder z.B. WordPress -, muss man zunächst herausfinden, welche Google-Fonts verwendet und tatsächlich online bezogen werden. Nur um diese geht es in diesem Zusammenhang, alle anderen Techniken werden jetzt nicht betrachtet. Das lässt sich zum Beispiel mit diesem Tool machen:

[1] https://fonts-check.de/

Gibt es „schädliche“ Fonts, werden die aufgelistet. Oft erscheinen dort mehrere Versionen, also Dateiformate – entscheidend ist nur der darinsteckende Name, z.B. „Roboto“. Erscheint nichts, ist alles gut.

Konventionelle Website

Hat man eine konventionelle Website, die man selbst geschrieben hat, stehen die Aufrufe der Google-Fonts im Head-Bereich in einer Form wie

<link href=“https://fonts.googleapis.com/css?family=Roboto’ rel=’stylesheet“>

Diese Zeilen werden auf allen Seiten gelöscht. Stattdessen wird in die normalerweise immer vorhandene zentrale CSS-Datei der Code eingefügt, den man sich mit dem Tool

[2] Google Webfonts Helper (google-webfonts-helper.herokuapp.com/fonts)

(leider nur in Englisch verfügbar!) komfortabel zurechtmachen lassen kann. Dabei kommen solche recht komplexen Styles heraus, die man dann den entsprechenden Selektoren (auch *) zuweisen kann:

* {
    @font-face {
      font-family: 'Roboto';
      font-style: normal;
      font-weight: 400;
           url('../fonts/roboto-v30-latin-regular.woff2') format('woff2'),
           url('../fonts/roboto-v30-latin-regular.woff') format('woff'),
           url('../fonts/roboto-v30-latin-regular.ttf') format('truetype'),
           url('../fonts/roboto-v30-latin-regular.svg#Roboto') format('svg');
    }
}

Die Zeilen für den IE 8/9 habe ich gleich weggelassen, die braucht keiner mehr.

Website mit WordPress

Hier gibt es mehrere Möglichkeiten. Die einfachste ist, dass das verwendete Theme das „Verstecken“ benutzter Google-Fonts gleich selbst mitbringt oder gar keine verwendet.

Etwas aufwändige kann es werden, wenn es welche verwendet, die aber fest im Theme kodiert sind. Dann kann man nur versuchen, das Verstecken mit einem geeigenten Plugin zu bewerkstelligen wie zum Beispiel „OMGF | GDPR/DSVGO Compliant, Faster Google Fonts. Easy.“ (OMGF) oder „Local Google Fonts“. Man kann auch versuchen, die Verwendung ganz abzuschalten, z.B. mit dem Plugin „Disable and Remove Google Fonts“. All das muss nicht funktionieren und kann schlimmstenfalls dazu führen, dass beim Neuladen des Backends oder der Website selbst nichts mehr erscheint außer einer wenig sagenden Fehlermeldung: Dann hilf nur der beherzte Zugriff über FTP auf /wp-content/plugins und das Löschen des Verzeichnisses <plugin-name>, den man sich hoffentlich gemerkt hat… (es empfiehlt sich also ein vorheriger Blick dorthin, um den Namen zu kennen).

Fazit

Auch wenn die Abmahner für diesen unsinnigen Lapsus „nur“ etwa 300 € haben wollen, sollte man die Sache rechtzeitig beheben. Manchmal sind die Fonts überflüssig, weil sie gar keinen Gewinn gegenüber Standardschriften bringen, aber Ladezeit bewirken. Möchte man sie wegen der Ästethik haben, lohnt sich der Aufwand. Übrigens auch dann, wenn ihr Websites für Kunden macht: Man wird das Engagement loben und die 300 € lieber euch geben statt den Anwälten.


Ich bitte um Ergänzungen in euren Kommentaren! Ich werde aber kaum für alle möglichen Fälle wie exotische CMS oder E-Commerce-Sites Empfehlungen zusammentragen, dazu ist das Thema einfach zu vielfältig.

Cloud mit Serverstandort Deutschland

Online-Speicher alias Cloud-Speicher sind praktisch. Von jedem Desktop-PC, Notebook, Tablet oder Smartphone kann man via Internet auf seine Daten zugreifen. […] Das Beste: Die meisten Cloudspeicher sind kostenlos. Und man muss keineswegs zu Google Drive, Microsoft Onedrive oder Dropbox greifen. Nein, auch in Deutschland gibt es viele kostenlose Cloudspeicher wie Telekom (Magenta) Cloud, Hidrive Free, Web.de, E-Post Cloud oder MyTuxedo.

www.pcwelt.de/ratgeber/Kostenlose-Cloud-Speicher-Vergleich-Deutschland-9829970.html

Datenschutz bei Mailinglisten

Eben wurde ich auf ein Problem hingewiesen, das beim Versenden von E-Mails an mehrere Empfänger aufkommen kann. Das betrifft also zum Beispiel Mailinglisten, Newsletter oder ähnliches, die mit Hilfe eines gewöhnlichen E-Mail-Programms verschickt werden. Natürlich gilt das auch für Programme, die solche Empfängerlisten automatisch verarbeiten.

Oft werden alle Empfänger mit Komma getrennt im „To:“-Feld des Mailprogramms angegeben. Dadurch sehen alle Empfänger die Adressen und ggf. Namen der anderen Empfänger, ohne dass diese dem zugestimmt haben. Das ist ein Verstoß gegen den Datenschutz.

Richtig ist es, sich selbst als einzigen Empfänger in „To:“ einzutragen und die Liste aller anderen in „Bcc:“. So bleiben die eigentlichen Empfänger untereinander unsichtbar, auch in der möglichen Quellansicht der E-Mail. Außerdem hat man den Vorteil, dass man den Versand der E-Mail damit bestätigt bekommt.

DSGVO geht nach hinten los

Die am 25. Mai 2018 in Kraft getretene EU-Datenschutzverordnung und das daraus resultierende deutsche Bundesdatenschutzgesetz (BSDG neu) könnte in Schuss in den Ofen werden.

Sofort kamen die ersten Abmahnanwälte auf den Plan, die sich händereibend auf stattliche Gewinne durch überzogene Abmahnungen versprechen, was durch deutsche Gesetze noch gefördert oder jedenfalls nicht gebremst wird. Die ersten Vereine haben ihre Website geschlossen, kleine Gewerbetreibende ihre Shops – das kann doch nicht Sinn der Sache sein!

Es bleibt abzuwarten, ob die Bundesregierung und die entsprechenden EU-Gremiendieses mit heißer Nadel und desinteressiert gestrickte Machwerk nochmal überarbeiten. Irgendwie ist das doch inzwischen typisch deutsch und sogar europäisch: Erstmal ein Gesetz erlassen, es dann kassieren lassen und das Problem aussitzen…

Ein sehr schöner Link hierzu:

Quelle:
heise.de/tp/features/Nachbesserungsgesetz-soll-negative-Folgen-der-DSGVO-eindaemmen-4059139.html

Cookie-Hinweis auf Webseiten

Ehrlich gesagt, mich nervt der aufpoppende, sich einschiebende, manchmal alles überdeckende Cookie-Hinweis auf Websites. Wenn das ungeschickt oder unwissend gemacht ist, bekommt man den zumindest auf Smartphones nicht wieder zu, weil man den Button zum Schließen nicht erreicht. 

Ich empfinde diesen Auswuchs der neuen Datenschutzempfehlungen auch deswegen so nervend wie nutzlos, weil kaum ein Normal-User weiß, was ein Cookie (Keks?) ist, was damit gemacht wird und dass der in der Regel ungefährlich ist, weil vom User nichts drin steht.

Aber da ja heutzutage überall von Datenschutz geredet wird und im Übrigen alle voneinander abschreiben, macht eben jeder, was die anderen auch machen. Dabei ist hier [1] zu lesen, dass die gängige Praxis zumindest in Deutschland gar nicht gefordert ist, sondern bestenfalls eine abgeschwächte Empfehlung darstellt.

Für mich artet das langsam in Hysterie aus. Haben die in Brüssel nichts besseres zu tun? Aber sicher, Abmahn-Anwälte und Webdesigner (!) müssen ja auch Arbeit haben…

Quelle:
[1] Team Meuter: Cookie-Hinweis nach der neuen Datenschutz-Grundverordnung (DSGVO)

Ist die Nutzung von WhatsApp strafbar?

Um es gleich vorweg zu nehmen: im Prinzip ja. Denn Facebook, zu dem WhatsApp gehört und mit dem es technisch verbunden ist, ist als einer der schlimmsten „Datenkraken“ verschrien. Spätestens seit dem Skandal um die Firma Cambridge Analytica und den folgenden Daten-Pannen von Facebook sollte das jedem klar sein.

WhatsApp durchsucht also die Kontakte im Smartphone des Benutzers, ob die ihrerseits bei WhatsApp angemeldet sind. Das dient dem zunächst guten Zweck, dass man selbst gleich alle seine bekannten Kontakte im WhatsApp-Verzeichnis wiederfindet und mit ihnen sofort Kontakt aufnehmen kann – und zwar nicht über die Telefonnummer, sondern über den gespeicherten Namen. Man kann auch Gruppen aufbauen, worin dann alle alles von allen Mitgliedern lesen können. Sehr praktisch und bequem ist das – wenn da nicht ein Haken wäre, der dem geltenden Datenschutzrecht entgegenstehen würde [1] [2].

Dass die Kontakte in meinem Telefon stehen, ist noch okay. Dass sie das bei den meisten nicht tun, sondern bei Google oder anderen Diensten gelagert werden, ist im Grunde schon fragwürdig. Aber nun werden sie auch noch zu WhatsApp nach Kalifornien geschickt, ohne dass ich jemanden um seine nachweisbare Einwilligung gebeten habe. Und als Krönung bekommt sie nun auch noch Facebook – selbst wenn keiner meiner Kontakte bei Facebook ist! Und was dort damit gemacht  wird, weiß außer Facebook niemand. „Big Data“ lässt grüßen.

Die Illegalität dieses Vorgehens in Deutschland und Europa ist nicht erst am 25. Mai 2018 eingetreten, wenn die neue Datenschutz-Grundverodnung (DSGVO) in Kraft tritt. So liest sich das auszugsweise bisher [1]:

„Wer durch seine Nutzung von „WhatsApp“ diese andauernde Datenweitergabe zulässt, ohne zuvor von seinen Kontaktpersonen aus dem eigenen Telefon-Adressbuch hierfür jeweils eine Erlaubnis eingeholt zu haben, begeht gegenüber diesen Personen eine deliktische Handlung und begibt sich in die Gefahr, von den betroffenen Personen kostenpflichtig abgemahnt zu werden.“ (AG Bad Hersfeld, 15.05.2017 – F 120/17 EASO, Leitsatz 5)

Mit der neuen DSGVO wird das zum europäischen Recht ausgeweitet und Verstöße mit deutlich härteren Strafen belegt. Inwieweit sich das auf Privatpersonen auswirken wird, bleibt abzuwarten. Mit Sicherheit wird sich etwas ändern müssen. WhatsApp rudert schon ein Stück zurück [3], aber dieser zaghafte Versuch wirkt auf mich müde und offiziell verfügbar ist er auch noch nicht.

Natürlich kann ich es mir leicht machen. Ich deinstalliere WhatsApp und nutze nur noch alternative Dienste wie Telegram, Signal oder Threema. Das hat aber zur Folge, dass ich die Kommunikation zu den vielen in meinem Adressbuch, die ich bisher auch über WhatsApp erreichen kann, verliere. Denn die wenigsten sind zu einem Umstieg bereit – das Argument heißt immer noch: „Ich habe doch nichts zu verbergen“ und kaum jemand beschäftigt sich je damit. Genauso wie sich so viele geistig (und manchmal körperlich) bei Facebook oder anderen Diensten nackig machen und sich dann aufregen, dass das alles weltweit verbreitet wird…

Und aufgepasst: Das bisher Gesagte bezieht sich nur auf die private Nutzung von WhatsApp (und anderen mobilen Anwendungen)! In Unternehmen gibt es weitaus strengere Regeln [4]. Hier wird man sicher mit WhatsApp auf die Dauer nicht weiter kommen, da sind wohl eher kommerzielle Alternativen wie Threema Work gefragt.


Nachtrag 1: Hier verweise ich auf einen weiteren Artikel zum Thema, wie auch andere Android-Apps Daten an Facebook senden können.

Nachtrag 2: Hier erklärt Arno Welzel, warum WhatsApp wegen der seit kurzem eingeführten Werbung für ihn nicht tragbar ist und er es deswegen nicht nutzt. Das hat nicht unbedingt die oben genannte rechtliche Relevanz, sollte die Nutzer aber ebenso zum Nachdenken über der (Nicht-)Verwendung von WhatsApp bringen.


Quellen:

[1] eu-dsgvo.at/2017/07/28/whatsapp-illegal

[2] heise.de/newsticker/meldung/Thueringens-Datenschuetzer-Whatsapp-wird-meist-rechtswidrig-genutzt

[3] datenschutz-praxis.de/fachnews/whatsapp-neue-funktion-fuer-dsgvo

[4] it-daily.net/it-sicherheit/datenschutz/18477-whatsapp-cloud-dienste-business-apps-co-muss-dsgvo-konform-sein

Vor dem Lesen vernichten!

Mit dem Datenschutz stimmt was nicht. Zumindest mit seiner geforderten Umsetzung auf Websites. Ich werde den Eindruck nicht los, dass die Leser und Benutzer von Websites zunehmend gezielt verunsichert werden sollen und die Gesetzgebung den Abmahnern in die Hände beziehungsweise in die Kasse spielen. Was als benutzerfreundliche einheitliche Regelung verkauft wird, bewirkt im Gegenteil zunehmende Verunsicherung.

Wozu soll es sonst gut sein, dass selbst kleine private Websites eine ausgeklügelte Datenschutzerklärung haben müssen, die laut § 13 TMG (Telemediengesetz) „zu Beginn des Nutzungsvorgangs“ [1] (also vor dem eigentlich Lesen!) über die Nebenwirkungen und Risiken der Website aufklären muss – in der Regel mit Worten, die kein Nur-Nutzer des Internets wirklich versteht. Da wird in aufpoppenden gelben Bannern gewarnt, dass vom Server Cookies gesendet werden, die – zum Glück – das „Nutzererlebnis“ verbessern sollen. Diese Banner nehmen auf dem Smartphone oft den halben Bildschirm ein und verbreiten… nein, nicht etwa Sicherheit, sondern die Angst, es gehe gleich was kaputt.

Natürlich ist es richtig zu wissen, was mit meinen Daten geschieht. Im täglichen Leben wird allzu viel Schindluder getrieben; dauernd bekomme ich Briefpost und Mails von irgendwelchen Leuten, die mir was andrehen wollen – woher haben die meine Adresse? Ach ja, ich stehe im Telefonbuch und habe ein paar Websites, klar. Ich muss also damit leben und will es ja auch, dass mich ein paar Leute finden. Dass ein Teil Müll dabei raus kommt, nehme ich inkauf. Auch der allseits verfluchte „Datenkrake“ Google ist hilfreich, er verbreitet meine Website und macht sie bekannter, und andersrum finde ich unendlich viel Wissen (und Halbwissen, auch das) durch die Suchmaschinen. Das Internet ist schon durchaus ein Segen!

Allseits bekannte und beliebte Social-Media-Plattformen außer in Maßen Google+ (ja, schon gut!) nutze ich nicht, denn dort wird es wirklich unkontrollierbar. Nicht umsonst wird überall geraten, diese in den Datenschutzerklärungen zwar unbedingt zu erwähnen, wenn sie auf der Website verlinkt werden, aber man kann eben nur auf deren eigene Datenschutzerklärungen verweisen – was mit den Daten dort wirklich gemacht wird, gehört wohl den am besten gehüteten Geheimnissen des Internets.

Ach ja – Facebook & Co. Millionen Nutzer ziehen sich dort täglich buchstäblich nackich aus, mit Foto und Film sogar. Ob das die gleichen sind, die sich dann besonders lautstark über Die Datengier der Suchmaschinen beschweren?

„Meine Daten gehören mir“, ruft man. Nein, tun sie nicht! Sie gehören allen, die sie greifen können. Ich selbst kann nur sehr begrenzt darauf Einfluss nehmen, wer das ist, egal was derjenige erklärt. Und ich selbst als Betreiber einer Website kann auch nur ein ehrliches Gesicht machen und versprechen, dass ich vertraulich mit Namen, Adressen und Inhalten umgehe und sie auf Wunsch auch wieder lösche. Aber kann ich das? Nein. Ob zum Beispiel der Webserver meines Providers dem Browser des Lesers einen Cookie schickt, den dieser dann speichert, kann ich weder verhindern noch selbigen anschließend entfernen. Von meiner Website finde ich etwa ein Dutzend Cookies im Firefox-Browser, die nach dem Löschen immer wieder auftauchen… Mir bleibt nur, darauf hinzuweisen.

Fazit: Lest nichts im Internet! Stecker raus, Handy aus. Macht keine Websites, wenn ihr nicht in Grund und Boden verklagt werden wollt! Nein, ich glaube, das ist nicht nötig. Nötig ist aber leider, sich ständig mit neuen Gesetzlichkeiten zu befassen und sich zu freuen, wenn man zufällig an Websites vorbeikommt, die selbige mal kurz und bündig und vor allem aktuell und sachlich richtig erklären. Ob das bisher gültige nationale Telemediengesetz in Teilen (§ 13) aufgehoben oder angepasst werden wird, bleibt abzuwarten. Hier [2] wird geschrieben, dass es 2018 durch die neue EU Datenschutz-Grundverordnung abgelöst werden wird. Die Verwirrung nimmt ihren Lauf…

Quellen:
[1] www.datenschutz.org/datenschutzerklaerung-website (§ 13 TMG)
[2] www.mein-datenschutzbeauftragter.de/eu-datenschutz-grundverordnung  (EU DSGVO)