Die Landesbeauftragte für den Datenschutz Niedersachsen musste leider vermelden, daß wegen eines „technischen Problems“ alle Daten die vom 6.12. bis zum 21.1. in deren Online-Beschwerdeformular eingegangen seien, verlohren gingen…
Was mit diesen Daten passierte, ob sie gar woanders hin gingen, bleibt offen. Es wird keine Auskunft darüber gegeben, ob die Daten durch ein Konfigurationsfehler schlicht gelöscht wurden oder ob sie an einer falschen, womöglich gar unerwünschten Stelle, gespeichert wurden.
Das ist aber nicht das einzige, wo unsere weißen Ritter des Internets aus ihrer Vorbildrolle fallen.
Schaut man sich mal die Webseite genauer an, findet man mehrere Verbindungen zu fast.fonts.net.
Bei dem Laden der Webseite des Landesamtes wird die CSS-File https://fast.fonts.net/cssapi/ff66d5af-5805-4046-a7db-4bd51b942ab8.css geladen, welche dann wiederum das Laden weitere CSS-Dateien und der WOFF-Dateien zur Schrift Frutiger auslöst. Da die CSS-Datei außerhalb des Zugriffs des Landesamts liegt, kann dieses nicht dafür garantieren, daß diese nicht mal geändert wird und vielleicht auch statt einer Schrift mal ein anderer Aufruf statt findet.
Und unabhängig davon werden auch beim Laden der Schriften bereits ausreichend Metadaten vom Leser übertragen um eine Identifikation mittels Browser-Fingerprint zu ermöglichen.
Aus genau denselben Gründen wird -auch und gerade von den Landesbehörden für Datenschutz seit einigen Monaten- und auch von IT-Experten seit langem davor gewarnt, einfach fremde Daten in die eigene Webseite einzubinden.
Es ist kaum anzunehmen oder glaubhaft, dass ein Landesamt für Datenschutz dieses nicht mitbekam, war das Thema sicher doch auch Gegenstand in entsprechenden Treffen und Veröffentlichungen.
Auf der Seite von datenbeauftragter-info.de wird das Thema anschaulich erläutert: Wie Google Fonts DSGVO konform verwenden.
Gleichwohl ist die Einbindung legetim und man sollte nicht den Irrweg gehen, die Einbindung von Fremddaten in Webseiten zu verbieten. So schreibt auch RA Schwäbe in seien Datenschutz-Notizen:
Würde man die Idee der Einwilligung weiterspinnen, müsste man für jeden externen Inhalt (z.B. Bildern auf externen Servern) eine Einwilligung des Webseitenbesuchers einholen – und ein solches Internet kann sich doch niemand ernsthaft wünschen? Es bleibt also festzuhalten, dass mit sehr guten Gründen davon ausgegangen werden kann, dass eine Einbindung von Google Fonts auch ohne Einwilligung möglich ist. Rechtsgrundlage hierfür ist dann Art. 6 Abs. 1 lit. f DSGVO.
Quelle: Datenschutz-Notizen
Erst kürzlich schrieb ich ähnliches aus der Sicht eines IT-Experten. Gleichwohl kann man die Einbindung von Fremdsourcen als Zeichen mangelhafter Qualität der Webseite werten.
Der Server fast.fonts.net wird von Verizon gehostet. Betrieben wird der Server offenbar für das Portal fonts.com. Es handelt sich dabei um ein Angebot des amerikanischen Aktienunternehmens Monotype.
Der Verleich zwischen diesem Angebot und Google Fonts liegt daher nahe. In beiden Fällen handelt es sich um vermeintlich kostenfreie Angebote von größeren Aktienunternehmen.
Das Landesamt hat die Einbindung in seiner Datenschutzerklärung nur sehr oberflächlich in dem Kapitel „Einbindung Dienstleister“ angegeben. Eine Begründung warum die Einbindung notwendig ist, fehlt hingegen:
Einbindung Dienstleister
Die Webseite wird durch Auftragsverarbeiter technisch betreut. Das bedeutet, dass alle personenbezogen Daten auch an diese übermittelt werden können. Bei den Auftragsverarbeitern handelt es sich um einen Host-Provider, dem IT.Niedersachsen (Zurverfügungstellung der technischen Infrastruktur) sowie den Anbieter des CMS (Content Management System), Flying Dog. Der Betrieb der Webseite erfolgt unter Einbindung des externen Dienstes fonts.net. Eine Übermittlung personenbezogener Daten, die bei der Nutzung der Webseite verarbeitet werden, an Dritte findet nicht statt.
Die im letzten Satz gemachte Aussage, „Übermittlung personenbezogener Daten, die bei der Nutzung der Webseite verarbeitet werden, an Dritte findet nicht statt.“, ist aber mit Blick auf die Übertragung von Daten, die ein Browser-Fingerprint ermöglichen, diskutabel.
In der Tat werden hier keine personenbezogenen Daten übermittelt. Jedoch sehr eindeutig personenbeziehbare.
Auch ist der Betrieb der Webseite eben nicht von der Einbindung der Schrift abhängig. Würde die Schrift nicht geladen werden, wird die Standardschrift des Browsers einspringen. Die Inhalte blieben erreichbar, die Webseite benutzbar.
Um dem ganzen noch die perfekte Abrundung zu geben, garniert das Landesamt seine mangelnde Vorbildrolle durch ein i-Tüpfelchen: Auf der Seite der Datenschutzbeauftragten wird auch Matamo (Piwik) eingesetzt.
Dies wird auch etwas ausführlicher in der Datenschutzerklärung begründet angegeben.
Das manche Matamo einsetzen um die eigene Webseite zu optimieren, ist verständlich. Ich frage mich allerdings, ob hier tatsächlich eine Optimierung der Webseite statt findet oder je statt fand.
Wir haben hier eine Webseite mit JavaScripten, die auf das Jahr 2008 zurückgehen, HTML, welches Semantik nur in Versatzstücken kennt und die gesetzlichen Anforderungen an Barrierefreiheit (hier das NBGG vom 25.11.2007) allenfalls in Form einer Tangente berührt.
tl;dr:
Die Webseite der Landesbeauftragten für den Datenschutz Niedersachsen ist meiner persönlichen Meinung nach lausig gepflegt und gemanaged.
- Formulardaten aus dem offizielle Beschwerdeformular der Behörde gingen entweder verloren oder an unbekannte Stelle. Betroffene erfahren keine hilfreichen Informationen, inwieweit vertrauliche Daten nur gelöscht wurden oder ob diese gar in fremde Hände gerieten. Die über diesen Vorfall gemachte Informationspolitik ist schlecht.
- Die Website bindet ohne Not fremde Quellen aus dem amerikanischen Rechtsraum ein und informiert darüber in der Datenschutzerklärung nur mangelhaft.
- Die Webseite weist zudem viele Schwächen in der gesetzlich vorgeschriebenen Barrierefreiheit auf.
Und bevor hier jemand der bösen IT die Schuld gibt, bzw. ein „technisches Problem“ als nicht zu behebbaren Umstand nennt:
Die Verantwortung für eine Website trägt stets der oder die Verantwortliche der Website. Denn dieser gibt die Prioritäten vor und entscheidet über den Einsatz von Mitteln und Personal.
Wer jetzt fragt, „Wer überwacht eigentlich die Überwacher?“ findet in einem Twitter-Thread die Antwort:
Twitter-Thread: Who watches the watchmen?