Datenschutz Grundverordnung: Google & Facebook „besser“ einbinden

Hast du auch schon von der neuen DSGVO ( Datenschutz Grundverordnung ) gehört, die am 25.05.2018 in Kraft tritt, und dich gefragt, ob deine Website bereits datenschutzkonform ist?

Der folgende Artikel möchte Aspekte aufzeigen, die bei der Nutzung von Google & Facebook Tools in Hinblick auf die kommende Datenschutzgrundverordnung (DSGVO) berücksichtigt werden sollten. Insbesondere wenn Digitales Marketing betrieben wird oder man generell auf Drittanbieter Tools setzt bzw. externe Ressourcen eingebunden hat.

Doch mit der DSGVO müssen die Besucher nicht nur darauf hingewiesen, sondern es muss auch das Einverständnis eingeholt werden.

Nehmen wir als Beispiel das Reiseportal Niederösterreich: Datenschutz

Dieses ist willkürlich gewählt, soll jedoch deutlich machen, dass sobald es um Datenschutz geht, man immer auf dem aktuellen Stand sein muss, da sonst eine Abmahnung drohen kann.

Die dortige Datenschutzerklärung liest sich sehr vorbildlich, es werden die eingesetzten Tools und Dienste beschrieben. Ein Verfahren zum Opt-Out für Google Analytics wird zwar erwähnt und ein entsprechendes Browser Plugin empfohlen. Doch reicht das aus? Fast, denn erst in den letzten Monaten mehren sich weitere Empfehlungen, vor allem in Hinblick auf den Datenfluss und die dazu geeigneten Opt-Out Verfahren.

Opt-Out in den Datenschutzerklärungen

Um Google Analytics deaktivieren zu können, ist es möglich, dies bereits jetzt über einen Link zu bewerkstelligen. Die DSGVO erfordert nun aber eine eindeutige Kennzeichnung und selbstverständlich muss der Opt-Out im Vorhinein passieren, wenn das JavaScript also noch nicht geladen wurde. Denn wäre es anders, würde der Besucher bereits getrackt und es würden somit Daten unerlaubterweise an Google Server gesendet.

USER OPT-OUT FÜR GOOGLE ANALYTICS

Um das zu erreichen und dem Nutzer die Möglichkeit des opt-out zu geben, bringt Google Analytics bereits alles Notwendige mit. Damit du das Tracking im Vorfeld unterbinden kannst, enthält die „analytics.js“ Bibliothek bereits eine Möglichkeit.

window['ga-disable-UA-XXXXXX-Y'] = true;

Das muss, bevor das JavaScript geladen wird, die „Window“ – Einstellung auf „true“ gesetzt werden. Wenn Google Analytics versucht, einen Cookie zu setzen oder Daten an die Google Analytics-Server zu senden, wird geprüft, welche Einstellung gesetzt ist.

Eine relativ einfache Möglichkeit, das umzusetzen ist über das doNotTrack Feature des Browsers – dabei wird bevor das Analytics Skript geladen wird eine Abfrage gemacht, ob diese Einstellung im Browser des Users gesetzt ist, um so ein vorzeitiges Laden zu verhindern.

Das schaut in etwa so aus:

<script>
  if (navigator.doNotTrack && navigator.doNotTrack === 1) {
    window['ga-disable-{{'UA-XXXXXX-Y'}}'] = true;
  }
</script>

<script>
  (function(i,s,o,g,r,a,m){i['GoogleAnalyticsObject']=r;i[r]=i[r]||function(){
  (i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o),
  m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m)
  })(window,document,'script','https://www.google-analytics.com/analytics.js','ga');

  ga('create', 'UA-XXXXXX-Y', 'auto');
  ga('set', 'anonymizeIp', true);
  ga('send', 'pageview');

</script> 

Ist das erledigt, musst sichergesellt werden, dass der Tag auch nicht im Vorfeld geladen wird und zusätzlich auf Google Analytics noch eine entsprechende Einstellung beim Tag sequencing gesetzt werden. Dies muss im Google Tag Manager geschehen.

Um das Laden im Vorhinein zu unterbinden, gibt es noch andere Möglichkeiten, die jedoch den Rahmen an dieser Stelle sprengen würden.

Tritt einfach mit uns in Kontakt.

AUFTRAGSDATENVERARBEITUNG

Weiters sollte daran gedacht werden, den Vertrag mit Google, die so genannte „Auftragsdatenverarbeitung“ abzuschließen (sofern noch nicht geschehen) oder zu erneuern. Durch den Fall von „Save Harbour“ solltest du das ohnehin bereits erledigt haben, um auf der rechtlich sicheren Seite zu sein.

Google stellt diesen Vertrag hier zur Verfügung.

Apropos, wenn wir schon bei Google sind, nutzt du andere Google Services oder eventuell WordPress? Dann lohnt sich ein Blick auf die verwendeten Schriften.

Verwendung von Google Fonts oder anderen (externe eingebundene Ressourcen)

Google Fonts werden gern auf Websites eingebunden, gelten sie doch als Web Safe Fonts im Sinne einer optimalen Darstellung über jegliche Browser hinweg. Was die meisten jedoch gern übersehen oder schlichtweg nicht wissen, ist, dass die Schriften über Google Server nachgeladen werden.

Damit dies ordentlich funktionieren kann, muss der Browser dazu eine Anfrage, auch Request genannt, an einen Google Server schicken.

Bei diesem Request werden Meta-Daten des Users an Google übertragen:

  • Browser und -version
  • Host (Website), welche die Anfrage auslöst
  • Betriebssystem des Users
  • Bildschirmauflösung des Users
  • IP-Adresse des Users
  • Spracheinstellung

Da es sich auch hierbei um eine Datenübermittlung handelt, muss in der Datenschutzerklärung auf diesen Umstand hingewiesen werden. Ja du liest richtig, Google Fonts können u.a. für Tracking verwendet werden.

Du hast nun die Möglichkeit, deine Datenschutzerklärung diesbezüglich anzupassen oder du lädst dazu einfach die benötigten Fonts herunter Google Fonts und hostest diese auf der eigenen Webinstanz. Problem gelöst. Nutzt du einen Newsletter Provider a la Mailchimp oder Mailjet? Dann wirst du vor der gleichen Problematik stehen, da diese auch Google Fonts einbinden. Selbstverständlich muss auch dieser Einsatz entsprechend in der Datenschutzbestimmung erwähnt werden.

Praxistipp: So überprüfst du, ob deine Seite Google Fonts integriert hat:

Diese Anleitung gilt für Chrome (Windows), ist jedoch prinzipiell auch mit anderen Browsern möglich.

  1. Rufe die Website auf, um die es geht.
  2. Klicke innerhalb der Website auf die rechte Maustaste und starte den „Entwicklermodus“. Alternativ: Drücke die Taste F12
  3. Wechsle nun im neu aufgegangenen Fensterbereich zum Tab „Network“
  4. Lade die Webseite erneut – drücke dazu die Taste F5
  5. Über die Filterfunktion können nun die Ressourcen „gefiltert“ werden, wir filtern nach „Fonts“

  1. Bewege nun die Maus über die verschiedenen Ressourcen „*.woff2“
  2. Siehst du eine Adresse (font.gstatic….) wie im Screenshot, handelt es sich um eingebundene Google Fonts.

Neugierig, welche Informationen über JavaScript sonst noch ohne großen Aufwand abgerufen werden können? Die Seite von Robin Linus illustriert sehr eindrücklich, welche Informationen dein Browser über JavaScript zum Besten gibt: What every Browser knows about you

Facebook Custom Audience über das Pixel-Verfahren

Kommen wir nun zum blauen Riesen. Hast du ein Facebook Pixel auf einer Website integriert, kann das Surfverhalten für die Ads durch Facebook nachvollzogen werden. Durch definierte „Events“ kannst du als Seitenbetreiber das Userverhalten tracken und Werbung dadurch gezielter auszuspielen. Legt beispielsweise ein Besucher ein Produkt (im Onlineshop) in den Warenkorb, schließt den Check-out Prozess jedoch nicht ab, so wird dieser Vorgang an Facebook übermittelt. Durch Retargeting-Möglichkeiten hast du als Seitenbetreiber damit die Möglichkeit, den User mit entsprechender Werbung zu bespielen.

WAS GETAN WERDEN SOLLTE – HINWEISPFLICHT

Du oder deine Kunden als Seitenbetreiber sind verpflichtet, den Website-Besucher auf die Datenerhebung hinzuweisen. Folgende Aspekte müssen beherzigt werden:

  • Wer die Daten erhebt und verarbeitet (Webseiten-Betreiber und Facebook)
  • Hinweis auf das Verfahren (Produktname)
  • Welche Arten von personenbezogenen Daten erhoben bzw. übertragen werden
  • Zweck der Datenverarbeitung
  • Dass mit Hilfe dieses Tracking-Verfahrens die Identifizierung des Nutzers über zahlreiche Webseiten möglich ist und ihm ein Opt-Out-Verfahren zur Verfügung steht

OPT-OUT-MÖGLICHKEIT – DIESE MUSS IN DIE WEBSITE IMPLEMENTIERT WERDEN.

Mittels Opt-Out-Möglichkeiten muss jeglicher Datenstrom zu Facebook unterbunden werden können. Dies kann per JavaScript realisiert werden. Facebook liefert diese Möglichkeit jedoch nicht von Haus aus mit. Bei Fragen zu einem entsprechenden JavaScript kannst du dich gern an uns wenden.

Achtung, weil wir es immer wieder sehen, ein Verweis auf die URL www.facebook.com/settings stellt kein geeignetes Opt-Out-Verfahren dar.

Du hast es bis hierher geschafft und alle Tipps beherzigt – Gratulation! Die DSGVO wird jedoch noch das ein oder andere mit sich bringen. Eins ist aber gewiss, wir sind damit noch lange nicht fertig und bewegen uns noch nicht auf der rechtlich sicheren Seite. Nichts desto trotz, schau einfach öfters hier vorbei – die nächsten Blogartikel zu diesem äußerst spannenden Thema werden folgen.

QUELLEN UND WEITERE LINKS ZUR VERTIEFUNG:

Wöchentliche Bingo-Action während TV-Sendung „2 Minuten, 2 Millionen”

Heute Abend ist es wieder soweit und die nächste Folge der beliebten Startup-Show „2 Minuten 2 Millionen” läuft im österreichischen TV. Sätze wie „Burschen des taugt ma… oba i bin draußen” oder „Das ist kein Investment-Case für mich” haben mittlerweile ebenso Kultstatus wie viel zu hohe Bewertungen der Start-ups oder die Frage nach dem Patentstatus. Man kennt es, wartet mit Spannung darauf und hat am Ende genau gewusst, welche/ Investor/in sich wie verhalten wird.

Ab sofort gibt es bei der spannenden Sendung jetzt noch mehr Action. Die beliebten Sager und Handlungen der Juroren wurden gesammelt, in eine digitale Bingokarte verpackt und stehen unter www.buzzword-bingo.at nun in einer Online-Variante zur Verfügung.

Die Idee dazu entstand Ende Februar, als die Erfolgsgeschichte von SCUBAJET bei 2 Minuten 2 Millionen ausgestrahlt wurde. Zensations ist selbst am Start-up beteiligt und Sabrina als CMO zudem für die Marketing- und Kommunikationsagenden des Unternehmens zuständig. Deshalb wurde die Ausstrahlung natürlich live vom Team in der Agentur mitverfolgt.

Ganz kurz vor Sendungsbeginn entstand dann die Idee noch schnell ein „2 Minuten 2 Millionen”-Buzzword-Bingo ins Leben zu rufen. Um 20.05 Uhr kam der Vorschlag und um 20.15 Uhr hatten wir die erste Version in der statischen Variante zum Ausdrucken in Social Media gepostet. Doch als digitaler Dienstleister haben wir uns damit natürlich nicht zufrieden gegeben und das Konzept wurde in weiterer Folge um eine Online-Version erweitert. Unsere internen Projekte bilden den perfekten Rahmen, um spontane Ideen rasch umzusetzen. Die Facebook-Kommentarfunktion auf der Seite bietet den Mitspielern zusätzlich die Möglichkeit sich untereinander auszutauschen und um einen Sieger der jeweiligen Partie zu ermitteln.

Die digitale Variante wird künftig noch weiter ausgebaut. Ein Bingo lässt sich in vielen Bereichen des Lebens einsetzen und gestaltet so manche Situation (noch) spannender. Erste Ideen dazu gibt es agenturintern bereits, für weitere sind wir natürlich ebenfalls offen.

Ein Fest der Menschenwürde – Zero Project Conference 2018

Heuer habe ich zum ersten Mal die Zero Project Conference besucht. Das Event, das von der Essl Foundation ins Leben gerufen wurde, war so inspirierend für mich, dass ich mich bereits jetzt auf die nächste Ausgabe freue. Die Vereinten Nationen verliehen der Konferenz im Vienna International Center den passenden Rahmen. Über 600 Teilnehmer aus mehr als 70 Ländern präsentierten ihre Zugänge zu den Themen Inklusion, Zugänglichkeit und Gleichberechtigung aller Menschen.

Barrieren brechen

In den letzten Jahren wurden besonders in den sozialen Medien Stimmen laut, immer mehr Posts befassten sich mit den Richtlinien und Anwendungen, die eine beachtliche Anzahl von 4000 Experten zum Zero Project eingereicht haben. Diese behandeln eine weitgefächerte Bandbreite verschiedener Projekte, die alle eins gemeinsam haben: Sie unterstützen die Umsetzung der United Nations Convention on the Rights of Persons with Disabilities (UN CRPD). Während eines 4-jährigen Zyklus wurde an vier verschiedenen Themen gearbeitet und auch das Team von und um Martin Essl hat dieses Jahr einen ausgezeichneten Job gemacht.

Bereits beim ersten Betreten des Vienna International Centers, noch bevor die Sicherheitsschleusen passiert werden, erhält man einen guten Eindruck dessen, was in den nächsten Tagen auf die Teilnehmer wartet. Die Eröffnungszeremonie, die von Caroline Casey moderiert wurde, war bereits der erste prägende Moment. Sie brachte genau das richtige Maß an Energie und Einfühlungsvermögen mit, um jeden Zuhörer in den Bann zu ziehen. Diese Session war sozusagen der Startschuss zu meiner Reise in eine inklusivere Gesellschaft. (Na gut, ich arbeite bereits seit einigen Jahren im Bereich Barrierefreies Web, aber dieses Event gab mir noch mehr Zündstoff – ich möchte noch mehr erreichen!)

Der erste Experte, den ich kennenlernen durfte, Mikael Snaprud von Tingtun, hat eine Anwendung für Accessibility Checks auf großen Websites gebaut. Er war auch derjenige, der mich auf die Idee gebracht hat, eine skalierbare Lösung für die Verbesserung der Barrierefreiheit auf Webseiten anzubieten und diese mit der ideologischen Verpflichtung unseres Projekts der Austrian Web Accessibility Certificate Initiative zu kombinieren. Das verbessert nicht nur die rechtliche Verantwortung, sondern stärkt auch den Arbeits- und Bildungssektors. Hoffentlich treffe ich Mikael bald wieder, um in diesem Bereich mit ihm zusammen zu arbeiten.

Einer der für mich bewegendsten Momente der gesamten Konferenz war die Ausstrahlung des Videos der Canadian Down Syndrome foundation. Überzeugt euch selbst:

Tag #2: Unser Projekt

Als Vorstandsmitglied der Austrian Web Accessibility Certificate Initiative hatte ich die Möglichkeit, an der Veranstaltung teilzunehmen, Klaus Höckner von der Hilfsgemeinschaft der Blinden und Sehschwachen Österreichs zu sehen und unser Projekt zu präsentieren, das auf internationalen Standards basiert, mit Hilfe von Open Source Software umgesetzt wurde und die Konformität von Websites prüft. Es enthält nicht nur ein Monitoring Tool für staatliche Initiativen und Einrichtungen, sondern bietet dem Websitebetreiber auch eine Möglichkeit zur Qualitätssicherung hinsichtlich der Performance und SEO Themen. Weiters planen wir, diese Infrastruktur mit Ausbildungszielen zu kombinieren und so Dienstleister im digitalen Sektor noch weiter zu stärken und unterstützen. Wir bieten damit also einen etwas anderen Zugang zu einem verbreiteten Problem. Kurz darauf kamen Werner Rosenberger und ich auch ins Gespräch mit [Monica Duhem]/https://www.facebook.com/zeroproject.org/videos/vl.528577097514173/1792598110779841/?type=1 „Monica Duhem“) von Hearcolors, in dem wir die Optimierungsprozesse in Bezug auf Web Accessibility in Mexiko und Bangladesh besprachen.

Später am Nachmittag ging der zeremonielle Teil der Konferenz los. Alle Teilnehmer und Gäste machten sich auf den Weg in die Rotunda des United Nations Gebäudes, wo sie ein großer Gospelchor begrüßte um zum ersten Mal in der Geschichte der Veranstaltung die offizielle Hymne der Zero Project Conference live zum Besten gab. In diesem Rahmen wurden auch zwei Medaillen des Friedensnobelpreises ausgestellt, um den Gedanken der UN, eine bessere Welt zu erschaffen, zu signalisieren.

Nach dieser Performance übergab Martin Essl dem United Nations Office in Wien ein Kunstwerk, das seine Unterstützung der Bewegung ausdrücken soll: das “Project Zero Wesen”. Emmerich Weissenberger schuf das Gemälde so, dass es auch Blinde genießen können: Mit einem eingebauten taktilen Board, das die Darstellung auf 7 Relieftafeln greifbar machte.

Zum Abschluss des zweiten Abends wurden 75 innovative Projekte ausgezeichnet. Gratulation an alle Gewinner!

Highlights

Da so viele interessante Sessions gleichzeitig stattfanden, musste man sich immer für eine entscheiden. Auch wenn das nicht immer leicht fiel. Ein bemerkenswertes Projekt aus Paraguay blieb mir besonders im Gedächtnis: Eine Initiative steigerte das Bewusstsein für Barrieren im öffentlichen Raum, indem sie riesige Sticker anbrachte. Das ging so weit, dass die Einwohner nicht mehr auf Entscheidungen der Regierung warten wollten, sondern gleich selbst Rampen bauten oder einfach die unüberwindbaren Stufen hin zu Gehsteigen einrissen, um die Umgebung für alle zugänglicher zu machen. Ein erster Schritt in die richtige Richtung.

Ein weiteres Highlight war die Verleihung des Zero Project Awards an Yuval Wagner und sein Team von Access Israel, das bereits 1999 eine Initiative gründete um Dienstleister hinsichtlich Barrierefreiheit ausbildet. Dies ist ein weiterer Beweis dafür, dass echte Hingabe sich auszahlt und zu einer Veränderung beitragen kann.

Da meine Kindheit geprägt war durch den Gastronomiebetrieb meiner Eltern, war es für mich eine große Ehre, Ewoud Lagring von Visit Flanders zu treffen. Die Tourismusregion Flandern im Norden Belgiens hat eine besondere Vision für barrierefreie Urlaubsdestinationen, die Interessensvertreter aller Geschäftspartner mit ins Boot holt. Im Anschluss daran sah ich mir verschiedene Tourismusregionen und deren Barrierefreiheit an und war erstaunt, wie viel Potenzial in diesem Bereich noch für Verbesserungen der UX von Menschen mit Behinderung vergraben liegt. Aber wir wissen ja ohnehin, dass es noch ein weiter Weg ist, den wir gehen müssen. An dieser Stelle möchte ich die Arbeit von Trivago und Expedia (Online Buchungsplattformen) hervorheben, die es bereits geschafft haben, ihre User Experience und Barrierefreiheit auf ihren Seiten zu verbessern. Wie man sich bestimmt denken kann, ist die Umsetzung nicht immer einfach, wie Ian Devlin, Lead Developer bei Trivago, in einem Blogpost beschreibt. Natürlich ist es aber immer besser, in kleinen Schritten voranzukommen, als immer am gleichen Standpunkt auszuharren. Also weiter so!

Ein internationaler Partner für Inklusion

Die Zero Project Conference ist nicht nur relevant, um Ideen und Erfahrungen auszutauschen, sondern auch um Standards anzupassen. So werden die zeitlichen und arbeitstechnischen Aufwände für überflüssige Aufgaben eingeschränkt und Inklusion schneller erreicht. In Europa gibt es beispielsweise 300 verschiedene Richtlinien und Gesetze, die Barrierefreiheit behandeln. Dieser Umstand erschwert nicht nur die einfache Umsetzung, sondern lässt auch die Organisationen und Unternehmen in Hinblick auf die Rechtssicherheit zweifeln. Deshalb ist es so wichtig, dass Konferenzen abgehalten werden, die sich mit dem Prozess der Veränderung und Innovation befassen und dafür die unterschiedlichsten klugen Köpfe aus der ganzen Welt zusammenbringen.

Während dieser 3 Tage habe ich so viele neue Leute getroffen, aber natürlich auch langjährige Kollegen, Partner und alte Freunde. Alle aufzuzählen würde den Rahmen hier sprengen, aber einige, mit denen ich besonders interessante Gespräche geführt habe und viel Spaß hatte, möchte ich dennoch hervorheben. Dazu gehören Klaus Miesenberger von der JKU, Shadi von W3C WAI, Christine Hemphill von OpenInclusion, Franz Pühretmair & Gerhard Nussbaum von KI-I, Gregor Demblin & Wolfgang Kowatsch von myAbility, Heidi Egger vom Österreichischen Behindertenrat und Victoria Doppler von der Caritas Wien.

Großen Respekt auch an Martin Habacher, der als Social Media Berater für die Konferenz agierte. Er rauschte durch die Hallen, fing die besten Momente ein und führte Interviews mit Vortragenden und dem Organisationsteam. Danke für diesen großartigen Job!

Wir sehen uns nächstes Jahr!

Dieses Jahr ein Teil dieser Bewegung zu sein, freute mich sehr. Ich möchte mich auf diesem Weg auch noch bei Martin Essl und seinem Team in der Zero Project Foundation bedanken, sowie bei allen freiwilligen Helfern, die das Event, den Austausch und die schöne Zeit ermöglicht haben. Ich hoffe, ich werde viele nun bekannte Gesichter auch auf anderen Veranstaltungen auf der ganzen Welt wiedersehen und den Austausch über verschiedene Projekte über das Jahr fortführen, bis wir uns alle nächstes Mal auf der #ZeroCon19 wiedersehen.