Urteil - Webfonts nicht mehr vom Drittanbieter einbinden

[[Mitglied R::b…]]

Passend zum Thema:

 

Zitat

Onlinewerbung: 

Nie wieder Cookie-Banner?

Ständig muss man Cookie-Banner wegklicken, nun haben Belgiens Datenschützer entschieden: Ein wichtiger Standard dahinter ist unzulässig. Die Folgen könnten immens sein.
 

[…]

Nun ist in Belgien eine Entscheidung gefallen, die das gesamte Prinzip der personalisierten Werbung im Internet grundsätzlich infrage stellt: Der technische Standard hinter den Cookie-Bannern verstoße in mehreren Punkten gegen die europäische Datenschutzgrundverordnung, befanden Brüsseler Datenschützer Anfang Februar. Es ist eine Entscheidung, die nicht nur innerhalb Belgiens, sondern europaweit gültig ist. 

[…]
 

Eine Analyse von Torsten Kleinz bei Zeit Online

 

[[Mitglied Phoi…]]

Immer noch: Keiner will etwas verbieten.

Ich möchte nur vorher gefragt werden, bevor ein Inhalteanbieter anderen ermöglicht, aus meinem digitalen Fingerabdruck ein Profil zu erstellen.

Zu dem ad-hominem-Schmonzes und den halbgaren Auto-Analogien muss ich nichts sagen, das disqualifiziert sich im Jahre 9 nach Snowden selbst.

Ich akzeptiere, dass der Mehrheit die Bequemlichkeit einer Monokultur und einer -- für mich unnötigen -- Zentralisierung den Gefahren dieser vorzieht und sich lieber nicht mit dem Gefahrenpotential der selbst genutzten Werkzeuge auseinandersetzt. Da ich jedoch einer anderen Kultur und Herkunft in Sachen Datensparsamkeit und Datenschutz entstamme, werde ich weiterhin auf die Gefahren und die historischen Beispiele hinweisen und, soweit mir möglich, das Profiling erschweren. Die Annehmlichkeiten von Qualityland sind für mich nicht erstrebenswert.

[Ralf Herrmann]

vor 2 Minuten schrieb Phoibos:

Immer noch: Keiner will etwas verbieten.

Falsch! Der Richter HAT die externe Google-Font-Nutzung im konkreten Fall verboten. Wenn du sagst, niemand will etwas verbieten, dann ist das einfach unwahr. Und es ist dieser vorgenannte Fakt und seine möglichen Folgen, die zur Diskussion stehen.

Und wenn du vorher gefragt werden willst, dann ist eben die Frage, wie das zu lösen sein soll, ohne dass auf jeder Seite ein Liste mit 48 deaktivierten Checkboxen aufpoppt. Genau solche Dinge wäre aber eine erwartbare Folge (auch deiner Argumentation), wenn neben Cookies auch alles optional einbettbare auch für den einzelnen Nutzer optional sein soll. 

 

vor 2 Minuten schrieb Phoibos:

Zu dem ad-hominem-Schmonzes und den halbgaren Auto-Analogien muss ich nichts sagen, das disqualifiziert sich im Jahre 9 nach Snowden selbst.

Wie in den Gender-Debatten: Wenn Logik einen schlägt, dann wird man eben unehrlich. Mein Argument disqualifiziert sich mitnichten von selbst, da es einen objektiven Logikschluss benutzt, der kontextunabhängig funktioniert und hier nur angewendet wurde. Nur so herablassend zu behaupten, dies wäre keiner Gegenrede wert; es würde sich disqualifizieren und nur zu behaupten, da wären irgendwo Ad-Hominen-Attacken (ohne sie mit einem Zitat prüfbar zu machen) ist unehrlich. Wer so »argumentiert«, hat kein Interesse an einer ehrlicher Auseinandersetzung. Der will nur die Position des anderen verbal verunglimpfen. Und der andere kann sich noch nicht mal verteidigen, weil die vermeintlichen Fehler ja nur unterstellt und nicht benannt sind. Dafür liefe ich kein weiteres Futter. Und damit bin ich raus. 

[[Mitglied Phoi…]]

vor 5 Stunden schrieb Ralf Herrmann:

Falsch!

Das ist falsch. Die Argumentation, "der Richter hat verboten" ist Bullshit, wenn das "Verbotene" bereits vorher gegen geltendes Recht verstößt. Und nur das hat das Gericht festgestellt und einen Schadensersatzanspruch begründet. Es hat nicht das Einbinden von Fonts per se oder die Nutzung von CDN verboten. Nicht mal dem Beklagten ist es verboten worden, weiterhin gegen das Recht zu verstoßen. Der könnte ja weiterhin gegen Gesetze verstoßen -- sofern er das Geld für die Bußen hat. Es gibt genügend Möglichkeiten, "das moderne Web" auch datenschutzrechtlich sicher zu betreiben -- so denn man will.

 

vor 5 Stunden schrieb Ralf Herrmann:

Genau solche Dinge wäre aber eine erwartbare Folge (auch deiner Argumentation), wenn neben Cookies auch alles optional einbettbare auch für den einzelnen Nutzer optional sein soll. 

So what? Wie Du schreibst "optional einbettbar". Es ginge also auch ohne 😉 t3n hat beispielsweise ein Banner, das größtenteils (bereits beim Aufrufen der Website gibt es Kontakte zu Googles Servern) genau das macht: Es sagt, "entweder Du lässt uns Deine Daten in das außereuropäische Ausland verkaufen oder du bezahlst für den Content oder Du gehst wieder". So kann ich entscheiden, ob mir der erhoffte Inhalt Geld oder meine Privatsphäre wert ist oder es doch nicht so wichtig ist, dass ich eines von beiden loswerde.  

 

vor 5 Stunden schrieb Ralf Herrmann:

Wenn Logik einen schlägt, dann wird man eben unehrlich.

Wie Du schreibst, wenn man keine Inhalte liefern kann, zieht man sich auf "banale Technik" und "Du hast eh keine Ahnung verglichen mit meinen zwanzig Jahren Designerfahrung" zurück und versucht sich moralinsauer in formaler Logik mit vielen Konjunktiven (Quelle für Zitate: Dein Posting hier).
Du bleibst die Belege für Deine Argumentation schuldig, während ich hamburg.de, Cambridge Analytica und Snowden angeführt habe. Ich könnte auch noch Apple anführen, die Privacy-Funktionen in IOS implementiert haben, was nach Metas Aussage deren Geschäftmodell (s. Überwachungskapitalismus) bedroht. Dass Profile erstellt werden, ist ein gut belegtes Faktum. Dass mit  Profilen Unfug getrieben wird, ebenfalls. Dass Nutzer*innen in der EU in das Erstellen ihrer Profile informiert einwilligen müssen, ist geltendes Recht. Zu sagen, ohne die Übermittlung privater Daten an Dritte wäre das Internet Steinzeit, ist ein verschleiertes TINA-Argument.
Im Übrigen muss ich nicht wissen, wie ein moderner Dieselmotor funktioniert (nur um die halbgaren Auto-Analogien weiterzuführen), um einen Menschen, der mit 50km/h zur Grundschule rast und dort in der Feuerwehrzufahrt "kurz" parkt, um den Sprößling noch rechtzeitig zur Schule zu bringen, für einen extrem unhöflichen, geradezu antisozialen Menschen zu halten, der die eigene Bequemlichkeit und Sicherheit über die der Mitmenschen stellt. Und die 30er-Zone vor Schulen ist auch kein Rückfall in die Pferdekutschenzeit.

 

vor 5 Stunden schrieb Ralf Herrmann:

Und damit bin ich raus. 

Hast Du in Deinem Handbuch für Eristik nicht auch einen schönen Namen für die Argumentationstechnik, seine eigenen Beiträge zu ignorien und einerseits Zitate und Belege zu fordern, andererseits Zitate und Belege als "Gish-Galopp" zu verunglimpfen und sich dann aus dem Staube zu machen?

Wie gesagt, ich kann damit leben, dass wir unterschiedliche Gesellschaftsmodelle bevorzugen, ein anderes Menschenbild und aufgrund unserer Biographie überhaupt andere Erfahrungshorizonte haben.

[[Mitglied Muec…]]

vor 15 Stunden schrieb Phoibos:

t3n hat beispielsweise ein Banner, das größtenteils (bereits beim Aufrufen der Website gibt es Kontakte zu Googles Servern) genau das macht: Es sagt, "entweder Du lässt uns Deine Daten in das außereuropäische Ausland verkaufen oder du bezahlst für den Content oder Du gehst wieder". So kann ich entscheiden, ob mir der erhoffte Inhalt Geld oder meine Privatsphäre wert ist oder es doch nicht so wichtig ist, dass ich eines von beiden loswerde.  

Wo wir gerade bei dem Thema sind (Im Fundstücke-Faden wird ja gerade eine Infoquelle wärmstens empfohlen zu gewissen aktuellen Ereignissen, die das genau so macht) und weil hier ja auch Profis am Werkeln sind: Kriegt eigentlich irgendwer mit, wie sich Leute bei diesen Entweder-Oder-Bannern entscheiden bzw. genauer, wie viele sich für Weder-noch entscheiden? In Zeiten des Informationsoverkills gibt es ja zumeist genug andere Alternativen zum Informieren (besagtes Thema gibt's ja gerade nun wirklich an jeder Ecke ...), so dass ich, wenn ich NUR ein solches Banner sehe, also gar nicht wissen kann, ob sich der Aufwand lohnt, mich meistens für weder-noch entscheide ...

[[Mitglied Phoi…]]

Am 17.3.2022 um 10:10 schrieb Ralf Herrmann:

theoretisch möglichen Missbrauch

Nur so auf die Schnelle, wie aus "theoretisch möglich" praktisch wird.

Microsoft vergisst Domain zu verlängern, was dazu führte, dass Windows und Dienste mehrerer anderer Anbieter beliebige Inhalte nachladen konnte: https://www.golem.de/news/subdomain-takeover-microsoft-verliert-kontrolle-ueber-windows-kacheln-1904-140709.html

Zugekaufter Kopierschutz verhindert durch Schlampigkeit die Ausführung gekaufter Software: https://winfuture.de/news,126286.html

Google hat seine Domain vergessen: https://www.vice.com/de/article/78kgk4/irgendein-domain-nerd-hat-diese-woche-fuer-12-dollar-googlecom-gekauft-3829

Schadcode in einem Repository für node.js: https://www.golem.de/news/open-source-npm-paket-loescht-dateien-aus-protest-gegen-ukrainekrieg-2203-163958.html

 

Noch einmal, es geht nicht um das Verbieten des Einbindens von dritter Seite, es geht darum, dass dafür ein Problembewusstsein da sein sollte. Dass Anbieter, wenn sie Dritanbieter anbieten, auch für deren Verhalten haften, selbst wenn sie selbst nicht direkt betroffen sind (im konkreten Fall ging es darum, dass die Technik eines Anbieters den Nutzer gegenüber einem Konzern bloßstellte, der nicht europäischen Datenschutzrichtlinien folgt). Und es geht darum, das mühsame, zum Teil unter Opfern erkämpfte Recht auf informationelle Selbstbestimmung nicht unnötig zu schleifen.

[[Mitglied Phoi…]]

vor 21 Stunden schrieb Mueck:

Kriegt eigentlich irgendwer mit, wie sich Leute bei diesen Entweder-Oder-Bannern entscheiden bzw. genauer, wie viele sich für Weder-noch entscheiden?

Die Daten werden mit Sicherheit erhoben und ausgewertet, denn es geht ja um bares Geld, dass es zu vermehren gilt. Aber jeder Seitenaufruf bringt rechnerische Reichweite bringt Geld (schon älter: http://www.stefan-niggemeier.de/blog/870/klickdoping-mit-16-buchstaben/).

 

vor 21 Stunden schrieb Mueck:

enn ich NUR ein solches Banner sehe, also gar nicht wissen kann, ob sich der Aufwand lohnt, mich meistens für weder-noch entscheide

Ob es sich lohnt, kannst Du natürlich immer nur erst hinterher feststellen, da hilft aber schon einiges an Medienkompetenz und Erfahrung von damals™, als das Internet noch nicht so durchmonetarisiert wurde. Ein Heise+-Artikel mit der Überschrift "Unentbehrliche Helfer im Alltag" wird eine extrem langweilige Klickstrecke voller bekannter Free- und Shareware sein. Eine stark emotionalisierende Überschrift für einen Premium-Artikel  bei Spiegel Online oder der Mopo lässt mich auch keinen Content mit Mehrwert für mich erwarten. Contentanbieter, die mich mehr als drei-, vier Mal mit einer überraschenden Paywall (Artikel wird angeteasert aber nicht als Premium-Content markiert) geärgert haben, ignoriere ich dann.

[[Mitglied Phoi…]]

Von der Leyen und Biden wollen doch irgendwie noch ein datenschutzkonformes Abkommen abschließen für transatlantischen Datenverkehr: https://www.heise.de/news/Privacy-Shield-2-0-EU-und-USA-einig-bei-neuem-Abkommen-zum-Datenaustausch-6634101.html

Das wird jedoch noch Monate dauern und dürfte meiner Meinung nach (ianal) alsbald aufgrund der recht breitschultrigen "America First"-Paranoia us-amerikanischer Geheimdienstbefugnisse (NSL, FISA, Cloud-Act) von den Gerichten wieder gekippt werden. 

Und noch ein Artikel zum unüberlegten Einbinden von Inhalten Dritter:
 

Zitat

Das Vertrauen in Open Source, das abhängig ist vom guten Willen der Entwickler, sei jetzt praktisch weg. Immer mehr Leute merkten jetzt, dass ihre Bibliothek oder Anwendung eines Tages ausgenutzt werden könn, um zu verkünden, was irgendein beliebiger Entwickler im Internet für "das Richtige" halte.

Quelle: https://www.heise.de/hintergrund/Wie-Aktivisten-mit-Protestware-Russland-wachruetteln-wollen-6625294.html

 

Und das betrifft erstmal "nur" Open Source, also ein Bereich, der zumindest theoretisch vorher von der Schwarmintelligenz begutachtet wurde. Nach diesem Artikel gibt es Malvertising, die teilweise tagelang unbemerkt von an sich vertrauenswürdigen Seiten ausgeliefert wurde: https://www.cisecurity.org/insights/blog/malvertising. Dort wird gesagt,

Zitat

Unfortunately, due to the way this attack vector works, it is quite difficult for users to protect themselves against it.

weswegen ich von Anbietern erwarte, dass sie ihren Teil zur Sicherheit beitragen, und möglichst wenig ihnen de facto unbekannte Quellen einbinden.

bearbeitet März 26, 2022 von Phoibos
Tante Edith hat den Text aufgeräumt, der irgendwie vermuckelt wurde

[[Mitglied Phoi…]]

Die alten Abmahner scheinen aus ihren Löchern gekrochen gekommen: https://www.heise.de/news/DSGVO-Abmahnwelle-wegen-Google-Fonts-7206364.html

Und es geht noch weiter: https://www.golem.de/news/vergabekammer-clouddienste-von-us-firmentoechtern-sind-nicht-dsgvo-konform-2208-167456.html
 

Einerseits begrüße ich das Bewusstsein um Privatsphäre, andererseits zürne ich den Politikern, die nicht mal die Börsen aufmachen, um eine DSGVO-konforme Unioscloud (mit gesonderten Rechenzentren für die elektronische Gesundheitsakte und Schulclouds -- und der Möglichkeit, via e-Perso ein sicheres Zertifikat auch den Ottonormalverbraucher*innen zugänglich zu machen) auf die Beine zu stellen, aber Gesetze formulieren, die bisherige Anbieter aus dem Rennen werfen...

 

[[Mitglied Stef…]]

Was haltet ihr von der vermeintlich DSGVO-konformen Plattform Bunny Fonts? Ich wundere mich etwas, dass Google der Plattform (noch) keinen Riegel vorgeschoben hat. Ich schätze, dass es die Nutzungsbedingungen der Google Fonts nicht hergeben, dass die Fonts auf diesem Weg distribuiert werden.

[Ralf Herrmann]

Doch doch, die Fonts haben ja alle liberale Lizenzen wie OFL und können weiter verbreitet werden. Google selbst hat gar keine Rechte an den Schriften. 

Den Datenschutz-Aspekt finde ich aber fraglich. Das Unternehmen verspricht nur, es würde keine Daten sammeln. Aber der Knackpunkt des Verfahrens gegen die Verwendung von Google-Fonts war die ungefragte (beim Einbetten aber technisch praktisch unvermeidliche) Weitergabe der IP-Adresse des Besuchers. Dies findet aber bei diesen Bunny-Fonts genauso statt. Es ist letztlich nur ein anderer externer Dienst. 

[[Mitglied Phoi…]]

vor 36 Minuten schrieb StefanB:

Was haltet ihr von der vermeintlich DSGVO-konformen Plattform Bunny Fonts?

Nichts. Abgesehen vom Versprechen, als europäischer Anbieter keine Daten zu sammeln, sind sie reichlich verschwiegen zu sich selbst und ihren Strukturen. Auf die Schnelle habe ich nur herausgefunden, dass sie ein Büro in Slowenien haben. Telephonnummern landen in Massachusetts und Kalifornien.
Angeblich haben wie in über 90 Städten CDN-Server stehen.
Datenschutzverantwortlicher? Impressum? Wie wird verhindert, dass Daten via globales CDN den Euro-Raum verlassen?
Dass sie Disqus als Kommentar-/Forensystem verwenden, ist zudem ein schlagender Beweis dafür, dass sie nicht datensparsam agieren und zudem Daten in die USA übertragen (siehe https://de.wikipedia.org/wiki/Disqus#Datenschutz). Außerdem baut ihre Website (ich ich mit all den Hasen cool finde) Verbindungen zu Google (googletagmanager: https://en.wikipedia.org/wiki/List_of_Google_products#Advertising_services) und intercom.io (https://en.wikipedia.org/wiki/Intercom_(company)) auf.

[[Mitglied Seba…]]

Das "tolle" ist ja, dass die Abmahn-Trittbrettfahrer jetzt auf diesem spezifischen Google-Fonts-Urteil surfen, während es für sämtliche weiteren externen Dienste, DSGVO-konform oder nicht, weiterhin kein Urteil gibt und sie dort dem entsprechend nicht abmahnen.

 

Wir haben hier eine Webseite eines Kunden aus dem Jahre Schnee ohne Service-Vereinbarung, die hat(te) Fonts von google-Fonts und zusätzlich von fonts.net eingebunden (nicht fragen ...). Für Google Fonts ist ein windiges Abmahn-E-Mail eingetrudelt, wo große Sorge und Unbehagen geäußert wurde, für alle weiteren eingebundenen Dienste nicht. Soviel zur Sorge um die IP ...

 

Für google-fonts ist das ganze Thema ja inzwischen relativ einfach zu lösen indem man die Fonts lokal einbindet, wenn man nicht in einer Redaktionssystem/Template-Falle steckt (Caching-Vorteile adé, aber ja). Für vieles andere wird's dann halt wesentlich schwieriger das zu ändern wenn dann ein weiteres punktuelles Urteil eines weiteres Landgerichts zu einem weiteren externen Dienst kommt.

 

Ja, das ist alles auch ohne externe Dienste lösbar, man kann alles programmieren – es ist halt nicht mehr die Erwarungshaltung eines Webdesign-Kunden, dass die Webseite dann am Ende ein vielfaches kostet, weil jede Lösung lokal umgesetzt wird (und das dann ja meistens schlechter als bei einem milliardenfach erpobten Service).

Da trifft dann der Wunsch nach "Netzwerk-Effekten", um Dinge schnell und effizient umsetzen zu können, auf den Wunsch nach "Nicht-Vernetztheit".

[[Mitglied Phoi…]]

vor 3 Stunden schrieb Sebastian Nagel:

während es für sämtliche weiteren externen Dienste, DSGVO-konform oder nicht, weiterhin kein Urteil gibt und sie dort dem entsprechend nicht abmahnen.

Das wird nicht lange mehr dauern. Ich hatte oben einen Artikel verlinkt, dass die Datenabflüsse in den Nicht-EU-Raum wohl immer mehr in den Fokus rücken.

 

vor 3 Stunden schrieb Sebastian Nagel:

Da trifft dann der Wunsch nach "Netzwerk-Effekten", um Dinge schnell und effizient umsetzen zu können, auf den Wunsch nach "Nicht-Vernetztheit".

Das ist eine sehr simple Sicht. Es geht nicht um das Vernetzen. Es geht um Datenverkauf und Datenabflüsse. Die DGSVO soll die Unsitte von Webseitenbetreiber*innen einschränken, dass deren Nutzer*innen (in Form von Daten) abkassiert werden, bevor sie überhaupt die Möglichkeit haben, in einen derartigen Handel einzuwilligen (Neuland war schließlich einmal).

Warum sollte es für den Besteller*innen einer Design-Leistung teurer werden, wenn die entsprechenden Scripte lokal oder in der EU vorliegen? Niemand nimmt den Designer*innen ja ihre Spielzeuge weg (ich bin ein Fan von form follows function und einfachen, angemessenen Lösungen, bei denen der Kosten-Nutzen-Faktor im Vordergrund steht und zwar aus aller Beteiligten Sicht).

 

vor 4 Stunden schrieb Sebastian Nagel:

wenn man nicht in einer Redaktionssystem/Template-Falle steckt

Die Falle ist vom auftragenden Menschen selbst gewählt. Das ist weder das Problem des Gesetzgebers noch das der Nutzer*innen, wenn die ihren Kram nicht zusammenhalten können.

Und bevor jetzt mir jemand Technikfeindlichkeit oder Antimodernismus vorwirft: Ich halte es für technikilliterat bis -feindlich weil schauerlich ineffizient, Informationen von ein paar Bits in Megabyte-große exzessiv designte Seiten zu packen. Ich sehe hier eher einen Schritt Richtung idiocracy. Es werden zu oft Werkzeuge eingesetzt, die für den tatsächlichen Bedarf absolut überqualifziert sind, weil die Nutzenden die eigentliche Aufgabenstellungen nicht mehr anders verstehen und bearbeiten können. Und ohne die Folgekosten zu beachten (in diesem speziellen Falle die Erstellung von Profilen ohne qualifizierte Einwilligung der beobachteten und kategorisierten Person -- etwas, was eine Gefahr sowohl für die individuelle wie auch die gesellschaftliche Freiheit ist).

[[Mitglied Seba…]]

vor 2 Stunden schrieb Phoibos:

Das wird nicht lange mehr dauern. Ich hatte oben einen Artikel verlinkt, dass die Datenabflüsse in den Nicht-EU-Raum wohl immer mehr in den Fokus rücken.

Es kann beim nächsten Fall beim nächsten Gericht mit dem nächsten Service auch so ausgehen, dass der Richter dem Kläger höflich aber bestimmt ausrichtet, dass er keine Schmerzen durch den Webseitenbetreiber erleidet, wenn dieser veranlasst, dass der Browser des Besuchers eine temporäre IP und sonst keine persönlichen Daten einem externen Server mitteilt, damit dieser Server eine entsprechende Datei zurück sendet, während der User gleichzeitig schmerzfrei und schutzlos ("technikilliterat" können auch User sein) bei eben diesem Server bereits eingeloggt ist / Produkte dieses Serverbetreibers nutzt, sodass eben dieser Server über andere Wege bereits Daten erfassen konnte, und den Aufruf nun auch diesem Datensatz hinzufügen könnte.

 

Was nichts mit "Datenabflüssen in den Nicht-EU-Raum" zu tun hat – dagegen kann man ja vorgehen wenn man so will. Eine übermittelte IP ist halt kein Datenabfluss.

 

vor 2 Stunden schrieb Phoibos:

Das ist eine sehr simple Sicht. Es geht nicht um das Vernetzen. Es geht um Datenverkauf und Datenabflüsse. Die DGSVO soll die Unsitte von Webseitenbetreiber*innen einschränken, dass deren Nutzer*innen (in Form von Daten) abkassiert werden, bevor sie überhaupt die Möglichkeit haben, in einen derartigen Handel einzuwilligen (Neuland war schließlich einmal).

Dafür haben wir ja den tollen "Cookie-Banner" (der eigentlich ein Kontaktblocking-Banner ist). Die Frage ist nur, ob schon eine reine IP die der User-Browser übermittelt weil der User das so konfiguriert hat ("technikilliterat" können auch User sein), ein Datenverkauf und Datenabfluss ist. Der Webseitenbetreiber verkauft da keine Daten.  Das Landgericht München sieht das für diesen Fall so, das ist mal vorerst zu akzeptieren. Andere sehen das nicht so, das ist zu diskutieren.

 

vor 2 Stunden schrieb Phoibos:

Warum sollte es für den Besteller*innen einer Design-Leistung teurer werden, wenn die entsprechenden Scripte lokal oder in der EU vorliegen? Niemand nimmt den Designer*innen ja ihre Spielzeuge weg (ich bin ein Fan von form follows function und einfachen, angemessenen Lösungen, bei denen der Kosten-Nutzen-Faktor im Vordergrund steht und zwar aus aller Beteiligten Sicht).

Das mag bei Fonts so sein, oder bei einer Toolkit-Bibliothek dass das nicht teurer wird (hat nach Nachteile wie verlorenes Caching, Routing, aber egal).

 

Aber wenn ich dann für das lokale Yoga-Studio, für das ich ein Anmelde-Tool programmiert habe, damit eine Anmeldung ohne 5x hin und her funktiniert, ein eigenes Captcha programmieren muss, weil dann doch recht schlaue Spambots meinen, das bombardieren zu müssen, dann kann ich meinem Kunden anbieten:
– captcha-tool von einem externen Dienstleister, funktioniert zuverlässig, kostet 1 Stundensatz, aber wir übertragen Timings und Mausbewegungsmuster des Besuchers (und seine IP)
– ich versuche selbst ein captcha zu entwickeln oder genug Heuristik einzubauen, sodass wir dem Problem Herr werden, kostet 4 bis 16 Stundensätze, je nachdem wie lästig die sind, und es wird nicht so gut funktionieren, das kann ich dir jetzt schon sagen
– Weniger ist mehr, form follows function, lass das mit dem Anmeldetool, E-Mail ist auch cool, finden deine Kunden auch. Ist dann halt in der Praxis der Zustand von "vor dem Tool", als Anmeldungen ein Verwaltungsaufwand waren.

– Weniger ist mehr, lass das mit dem Yoga, denn im Internet findest du dank Datenschutz keine technische Möglichkeit mehr, das mit deinem Budget umzusetzen. Die Kunden haben halt auch Pech, gibt's halt kein Yoga (ja, ist hier natürlich übertrieben und nicht praxisgerecht, ist aber bei einem Online-Shop für Sonderteile aus dem 3D-Drucker für irgend ein Hobby plötzlich sehr relevant.)

 

vor 2 Stunden schrieb Phoibos:

Die Falle ist vom auftragenden Menschen selbst gewählt. Das ist weder das Problem des Gesetzgebers noch das der Nutzer*innen, wenn die ihren Kram nicht zusammenhalten können.

 

Und bevor jetzt mir jemand Technikfeindlichkeit oder Antimodernismus vorwirft: Ich halte es für technikilliterat bis -feindlich weil schauerlich ineffizient, Informationen von ein paar Bits in Megabyte-große exzessiv designte Seiten zu packen. Ich sehe hier eher einen Schritt Richtung idiocracy. Es werden zu oft Werkzeuge eingesetzt, die für den tatsächlichen Bedarf absolut überqualifziert sind, weil die Nutzenden die eigentliche Aufgabenstellungen nicht mehr anders verstehen und bearbeiten können. Und ohne die Folgekosten zu beachten (in diesem speziellen Falle die Erstellung von Profilen ohne qualifizierte Einwilligung der beobachteten und kategorisierten Person -- etwas, was eine Gefahr sowohl für die individuelle wie auch die gesellschaftliche Freiheit ist).

Wie oben dargestellt – manche Dinge, sinnlose, aber auch schöne und nützliche – existieren, weil es die technische Möglichkeit gibt, sie kostengünstig umzusetzen. Ist die Umsetzung zu teuer, existieren sie einfach nicht (mehr), dazwischen gibt's nichts.

 

Die Tools die es Leuten ermöglichen zu kommunizieren, zu verkaufen, ... die technisch dazu sonst nicht in der Lage wären, sind naturgemäß nicht effizient und erzeugen megabyte-große Seiten und verknüpfen Dienste miteinander um Dinge möglich zu machen die sonst einfach richtig viel Geld oder Know-How kosten.

Sie sind dafür breitenwirksam und ermöglichen es allen, zum Sender zu werden statt nur Empfänger zu sein. Man könnte sagen, wenn es diese "ineffizenten" Tools nicht gäbe, wäre das Internet ein sehr elitärer Club einiger sehr seltsamer Menschen, aber sicher nicht das was es inzwischen ist – ein Netzwerk das Informationen (ja, das sind Daten) in Echtzeit verknüpft, auch zum Nutzen der User (die z.B. Nachrichten in Echtzeit lesen, nicht erst nächsten Morgen, Diskussionen führen können statt einen Leserbrief schreiben zu müssen, etwas jemandem schicken können, gefunden werden, ...).

 

Dass dabei immer wieder abgewogen werden muss, welchen Preis wir dafür zahlen, ist schon klar und aus diskussionswürdig.

Aber (Polemik): Eine IP-Adresse oder Mausbewegungsmuster an Google zu senden ... ja da kann *ich* damit leben, und ich nehm es sogar in meine Verantwortung, die IP meiner Webseitenbesucher dort hin senden zu lassen, wenn sie das nicht blockieren. Ich kann Leute die dabei Schmerz erlitten haben gerne aufklären, oder notfalls die 100€ in die Hand drücken für die sie sich jetzt anstellen.

[[Mitglied Phoi…]]

vor 25 Minuten schrieb Sebastian Nagel:

der Browser des Besuchers eine temporäre IP und sonst keine persönlichen Daten einem externen Server mitteilt, damit dieser Server eine entsprechende Datei zurück sendet, während der User gleichzeitig schmerzfrei und schutzlos

IP-Adressen gehören zu den objektiven persönlichen Daten, da mit Hilfe dieser Profile angelegt werden und Nutzer*innen durch das Internet verfolgt werden (können).
Die Beihilfe zu einer ungefragten Profilierung der Nutzer*innen ist ein Schaden, der einen Ausgleich rechtfertigt und abgeschafft werden muss. Schutzlos ist der Nutzer in dem Sinne, dass Du ihm einen Nutzungsvertrag aufzwingst, ohne dass er diesen ablehnen kannst (Website gegen Daten und Datenweiterverkauf (dazu muss übrigens kein Geld fließen, geldwerter Vorteil 😉 )). Das Aufrufen einer URL ist keine qualifizierte Einwilligung in einen Vertrag.
Und eine vorverlagerte Gewissensentscheidung kennt das BGB meines Wissens nicht. Und ich warte noch auf den Fall, dass die Eltern eines minderjährigen Nutzers das Profilieren ihres Kindes vor Gericht bemängeln, entsprechende Diskussionen finden sich schon in schulischen Netzwerkkontexten.
Jenseits dessen ist es nicht die Entscheidung irgendeines Landgerichtes (was die leisten, kenne ich, ich wohn in Hamburg). Der Auslöser war der Europäische Gerichtshof mit der Feststellung, dass in den USA kein europäisches Datenschutzniveau vorliegt.

vor 33 Minuten schrieb Sebastian Nagel:

Die Frage ist nur, ob schon eine reine IP die der User-Browser übermittelt weil der User das so konfiguriert hat

Browser übermitteln keine IP (ernsthaft?!), die wird durch das Protokoll übermittelt und ist nicht vom Nutzenden beeinflussbar (Proxies, VPN etc. mal außer Acht gelassen, da gibt es ja andere Fingerprinting-Möglichkeiten).

vor 50 Minuten schrieb Sebastian Nagel:

kostet 4 bis 16 Stundensätze, je nachdem wie lästig die sind, und es wird nicht so gut funktionieren, das kann ich dir jetzt schon sagen

Zum Thema Stundensatz: Wem seine Kund*innen nicht egal sind und wer sich gesetzeskonform verhalten will, muss da in den sauren Apfel beißen. Aber soooooo kompliziert klingt das nun wieder auch nicht: https://christianwoellecke.de/dsgvo-so-funktioniert-bei-mir-die-spam-absicherung-in-contact-form-7/
 

vor einer Stunde schrieb Sebastian Nagel:

Ist die Umsetzung zu teuer, existieren sie einfach nicht (mehr), dazwischen gibt's nichts.

Ja, ne, ist klar. Allein die Tatsache, dass es durch den Preis keine Massenware ist, macht teuer wieder attraktiv, das ist kein dichotomes Handeln.

 

vor einer Stunde schrieb Sebastian Nagel:

Die Tools

Jaja, die Mär von der Einfachheit. Es ist ja tatsächlich so viel einfacher, mal eben Wordpress aufzusetzen/konfigurieren, als eine txt-Datei auf einen FTP zu speichern. Du verwechselt da die notwendige Aufwändungen zur Informationsübermittlung mit blinkzappeldiewupp. Das Internet ist kein elitärer Club von Nerds, als es diese war, war im Gegenteil die Einfachheit der Informationsbereitstellung erst der Beginn zum Massenkommunikationsmittel und der jetzigen Durchkommerzalisierung (alias Web 2.0, oder, weil es in diesem Thread um Userprofile geht, der Weg von [garnix] über Double Click zu Google Ad(sense) und Google Analytics oder auch Cambridge Analytica).
Verknüpfte Informationen sind auch nicht das Problem, solange ich dabei die Entscheidungshoheit behalte (preloading ist da problematisch) und ich nicht zum Objekt von Big Data werde (s. DSGVO).

vor 1 Stunde schrieb Sebastian Nagel:

Dass dabei immer wieder abgewogen werden muss, welchen Preis wir dafür zahlen, ist schon klar und aus diskussionswürdig.

vor 1 Stunde schrieb Sebastian Nagel:

wenn sie das nicht blockieren.

Ich höre da schon wieder die Menschen, die Adblocker für Diebstahl halten... 😉 Und wenn Du das schon für abwägenswert und diskussionswürdig hälst, warum lässt Du Deine Nutzer*innen das nicht selbst entscheiden?

vor 1 Stunde schrieb Sebastian Nagel:

Schmerz

Schaden, aber nun gut, der Polemik halber...

[[Mitglied Seba…]]

übrigens war nur mein letzter Absatz Polemik, nicht alles ...

[[Mitglied Phoi…]]

vor einer Stunde schrieb Sebastian Nagel:

nicht alles ...

Das habe ich auch so verstanden, ich wollte nur darauf hinweisen, dass Schmerzensgeld der terminus technicus für eine pekuniäre Entschädigung für immateriellen Schaden darstellt und nicht zwingen was mit Schmerzen zu tun haben muss 🙂

[[Mitglied Phoi…]]

Und die nächste Welle rollt: https://www.heise.de/news/Neue-Abmahnwelle-Wieder-gehen-Schreiben-wegen-Google-Fonts-raus-7322064.html

 

Zitat

Anwaltliche Schreiben sind laut Heidrich schwieriger, aber auch hier gibt es potenzielle Einwendungen: "Es spricht bereits einiges dafür, dass die Anwaltsschreiben rechtsmissbräuchlich sind, da die angeblichen Betroffenen die Websites vorsätzlich angesteuert haben dürften. Trotzdem sollten zumindest juristische Laien in diesen Fällen vorsichtshalber einen IT-Anwalt ins Boot holen."

Entweder geht das Abzocken noch lange weiter oder jemand mit ausreichend Kleingeld übrig trägt das durch die Instanzen.

Ich würde mir wünschen, dass Alphabet (und natürlich alle anderen Anbieter) seine Kunden besser schützen würde, indem es zumindest für den EU-Raum ein CDN bieten würde, dass ausreichend entfernt von der US-Jurisdiktion entfernt ist.

Und natürlich überhaupt datensparsamer wäre, aber die müssen ja auch irgendwie ihre Server gegenfinanzieren, daher wird das ein Traum bleiben bzw. jeder muss selbst entsprechend Gegenmaßnahmen ergreifen (lokale CDN für Scriptbibliotheken, sogenannte Adblocker (die können ja viel mehr als nur Ads blocken, für mich sind die viel mehr ein Sicherheitswerkzeug denn ein Mittel, Werbung zu unterdrücken und damit Website-Betreibern etwas Einkommen vorzuenthalten), ...).
 

[[Mitglied Diwa…]]

Das ist aber kein Alphabet-Problem. Wer auf seiner Website irgendwas von einem US-Server laden lässt, bevor die entsprechende Zustimmung erteilt wurde, hat halt – vereinfacht gesagt – nicht ausreichend aufgepasst.

Dass die Abmahner allesamt mit der Klobürste vom Hof gejagt gehören, versteht sich trotzdem von selbst. Es wird auch dankenswerterweise von vielen dagegen angegangen, nur beispielhaft:

https://marketingrecht.eu/google-fonts-abmahnungen/

https://www.e-recht24.de/google-fonts-scanner

Der zweite link liefert auch einen Scanner, mit dem man schon mal prüfen kann, ob die eigene URL betroffen ist.

Google-Fonts lokal einbinden

 

Obacht: Auch durch Google Ads können Google Fonts geladen werden, auch wenn man selbst gar keine verwendet.

bearbeitet Oktober 30, 2022 von Diwarnai

[[Mitglied Tobi…]]

vor einer Stunde schrieb Diwarnai:

Obacht: Auch durch Google Ads können Google Fonts geladen werden

Oder Google Maps und – soweit ich mich erinnere – Open Street Maps. Ich hatte auf einer Seite einen Ship-Tracker eingebunden und mich dumm und dusselig gesucht, wo der letzte Google-Font ist, der nach Hause telefoniert, bis ich gesehen habe, dass der in der Karte steckt. Ich meine die war auf Basis von OSM statt Google. Schade, dass man diese Funktion dann nicht mehr anbieten kann.

[[Mitglied Diwa…]]

Gerade eben schrieb Tobias L:

Schade, dass man diese Funktion dann nicht mehr anbieten kann.

Aber nur, wenn die Karte vor einer Zustimmung geladen wird.

[Ralf Herrmann]

Zitat

Wer auf seiner Website irgendwas von einem US-Server laden lässt, bevor die entsprechende Zustimmung erteilt wurde, hat halt – vereinfacht gesagt – nicht ausreichend aufgepasst.

Die Logik ist verständlich, sie verkennt aber grundsätzlich wie das Internet funktioniert und möchte es regeln wie etwa den Straßenverkehr, wo man alles national oder von mir aus europäisch halten kann. Man konzentriert sich auf klar erkennbare, amerikanische Inhalte wie eben von Google, Twitter, Facebook usw. Aber warum auf die Inhalte einschränken? Das bloße eintippen der URL schickt schon Daten durch die Welt. Denn erstmal muss die Adresse ja aufgelöst werden. Das ist schon naturgemäß eine internationale Sache, denn die Websites der ganzen Welt müssen ja über dieses System erreichbar sein und die DNS-Systeme daher alle permanent miteinander Daten austauschen. Und nicht wenige Anwender wechseln sogar bewusst auf die DNS-Auflösung von Google, Cloudflare usw. da sie meist schneller, stabiler und gegebenenfalls sogar sicherer(!) sind als die des eigenen lokalen ISP. Dieses System findet dann den konkreten Nameserver, der der Domain zugeordnet ist. Wo der steht, ist dem Anwender in der Regel vorab nicht bekannt. Der Namenserver zeigt dann wieder auf den tatsächlichen Server mit den Daten. Auch der kann überall auf der Welt stehen. Eine .de-Adresse zum Beispiel schränkt davon nichts ein. Sie muss nur einen deutschen Bevollmächtigten haben. Von Content Distribution Networks, die ebenfalls aus Prinzip international sein müssen und ohne die größere Websites praktisch nicht auskommen, gar nicht zu reden. 

Wenn ich mal eben die Website einen lokalen Klemptners aufrufe, um die Kontaktdaten zu finden, garantiert das keinen rein deutschen Internetverkehr. Im Glücksfall liegen Domain und die Inhalte bei Strato in Berlin und weil es die kürzeste Verbindung war, bleibt alles eher zufällig in Deutschland. Oder es wurde irgendein Website-Baukasten eines Unternehmens irgendwo auf der Welt verwendet. Ich weiß nichts davon vorher. Wenn die ganze Website womöglich im Ausland liegt und deren Abruf nicht bis zu einer Einwilligung technisch unterbunden wird, wieso dann über Einzelinhalte wie Google-Fonts erschrecken? 

Zumal in dem Urteil ja keinerlei Beweispflichten erfüllt wurden, die Details zum Transport der Daten und deren Nutzung irgendwie dokumentieren. Stattdessen wurde ja quasi nur aus einem allgemeinen Unwohlsein über die reine Möglichkeit eines Datenmissbrauchs durch Google ein vermeintlicher Schaden kalkuliert. Das ist auch rechtlich ein äußerst fragliches Konzept, das so an anderen/höheren Gerichten sicher keine Chance hätte. 

Und wir können natürlich auch den klassischen Browser verlassen und den Datenverkehr im E-Mail-Proramm, in Apps usw. anschauen, wo zum Glück dem Drittanbieter-Werbetracking endlich der Kampf angesagt wurde, aber wo man eben auch nicht jeden Datenabruf aus dem Ausland jedes Mal mit Klicks bestätigt. Warum also im klassischen Browser? 

 

[[Mitglied Phoi…]]

vor 1 Stunde schrieb Ralf Herrmann:

Man konzentriert sich auf klar erkennbare, amerikanische Inhalte wie eben von Google, Twitter, Facebook usw

Es geht nicht um Inhalte, es geht um Datenabflüsse in Länder, deren Datenschutz und der Umgang mit persönlichen Informationen bestenfalls in Ansätzen reguliert ist. Und es geht keinesfalls nur um us-amerikanische Inhalte (s.u.)

 

vor 1 Stunde schrieb Ralf Herrmann:

Das bloße eintippen der URL schickt schon Daten durch die Welt.

Das hängt davon ab, wie Du Deinen Browser konfiguriert hast. Seitdem die Adresszeile zur Omnibox, oder wie die auch immer firmenspezifisch genannt wird, aufgemotzt wurde, liegt es an  den Nutzer*innen, ob sie aus Bequemlichkeit der ganzen Welt mitteilen wollen, was sie machen, oder nicht.
Ebenso die Konfiguration der host-Datei bzw. der DNS-Server. Und nach den Prinzipien des alten Internets gehen solche Pakete an den schnellsten erreichbaren Server, der oftmals auch der nächste ist. Da gehen schon mal keine Daten in die Jurisdiktion von Ländern, deren Datenschatz nicht europäischen Standards entspricht. Der Anbieter einer Website ist hingegen in der Pflicht, dafür zu sorgen, dass der Nameserver und der eigentliche Content dsgvo-konform ist, sonst haftet er dafür.

vor 1 Stunde schrieb Ralf Herrmann:

Das ist auch rechtlich ein äußerst fragliches Konzept, das so an anderen/höheren Gerichten sicher keine Chance hätte. 

Bisher hat das EU-Recht, dass sich in der DSGVO spiegelt, wie dieses gerichtlich keine (so weit ich grad weiß) Kratzer bekommen. Im Gegenteil, es führte dazu, dass große bilaterale Abkommen für illegal bzw. ungenügend erklärt wurden (Safe Habor, PrivacyShield)

 

vor 1 Stunde schrieb Ralf Herrmann:

Zumal in dem Urteil ja keinerlei Beweispflichten erfüllt wurden, die Details zum Transport der Daten und deren Nutzung irgendwie dokumentieren.

Das muss auch nicht sein. Es reicht völlig aus, dass persönliche Informationen den Geltungsbereich des EU-Datenschutzes verlassen können. Beispielsweise ist jede Firma, die ihren Hauptsitz in den USA hat, zur Zeit datenschutzrechtlich stets am Rande der Abmahnung, denn das US-Recht sieht quasi einen globalen Geltungsbereich vor. Keine us-basierte Firma kann sich der Übermittlung personenbezogener Daten an US-Institutionen entziehen. Und nur weil die US-Geheimdienste sich weder an eigenes noch fremdes Recht halten, ist es kein Grund, dieses Verhalten hinzunehmen (bevor jetzt noch ein Verschwörungstheorie-Vorwurf kommt: FISA, Snowden, Echelon). Und diese Überwachungsmacht eignen sich zusätzlich die großen Big-Tech-Firmen an, teilweise in enger Zusammenarbeit mit staatlichen Stellen (um mal etwas internationaler zu werden und nicht nur den USA als Buhmann darzustellen: VK (Yandex, ICQ (ehemals isrealisch, dann AOL)), Mail.ru (hat Zugriff auf Zynga-Daten), Alibaba, Tencent (unter anderem Epic Games Store).
Es geht auch nicht um den konkreten Font oder ein spezielles Javascript, es geht darum, dass der Überwachungskapitalismus die Demokratie bedroht (für die Vergesslichen: Cambridge Analytica). Es geht auch darum, dass die Technik sich schneller entwickelt als dass die Gesellschaft und die Politik mitkommt.
Die DSGVO ist weit ab von perfekt -- immerhin haben Politiker die formuliert, die oft genug für die Big-Data-Firmen lobbyieren (nur so als Beispiel Augustus Intelligence) --, doch wir sollten die Verzahnung von wirtschaftlichen und staatlichen Interessen zur Sozialkontrolle sehr wachsam gegenüber stehen. Die Verzahnung von Staat und Wirtschaft zur Fremdbestimmung von Individuen sind keine Dystopien von französischen Philosophen (Deleuze und Foucault fallen mir spontan ein) oder Hollywood-Autor*innen, in China sind die Alpträume von Orwell und Huxley die Realität.

Puh, hier habe ich jetzt eine Menge Politik, Geschichte und Philosophie gestreift. Ich will aber eigentlich nicht groß diskutieren, sondern nur meine Meinung und Haltung zu aktuellen Entwicklungen darstellen und davor warnen, zu leichtfertig die Selbstbestimmung aufzugeben. Weder technische Möglichkeiten noch Bequemlichkeit sollte uns veranlassen, die Wachsamkeit aufzugeben. Und leider ist die Bequemlichkeit nur durch geldwerte Nachteile aufzuheben, wo Vernunft (kein Angriff gegen Dich @Ralf Herrmann, ich verstehe auch Deinen Punkt der Fast-Sinnlosigkeit des Unterfangens) nicht reicht.

Tante Edith findet, ich sollte unbedingt mal, nicht nur um den Bogen zur Typographie zu machen Fahrenheit 451 lesen.

[[Mitglied Phoi…]]

vor 1 Stunde schrieb Ralf Herrmann:

Und nicht wenige Anwender wechseln sogar bewusst auf die DNS-Auflösung von Google, Cloudflare usw. da sie meist schneller, stabiler und gegebenenfalls sogar sicherer(!) sind als die des eigenen lokalen ISP.

Da hast Du einen sehr guten Punkt! Jenseits der Sicherheit möchte ich auch erwähnen, dass die DNS-Server von Nicht-EU-Anbietern elementar sind, um staatliche Eingriffe in den Netzwerkverkehr zu umgehen -- von repressiven Regimen (wünschenswert) bis hin zu Blockaden gerichtlich festgestellter illegaler Angebote (bin ich gespaltener Meinung, nicht alles, was Recht ist, ist (für mich) auch richtig).