A Digitally Sovereign Website for the OSBA (German)

Disclaimer: The text below first appeared in the blog of the Open Source Business Alliance Verein für Digitale Souveränität e.V. Markus Feilner wrote it and before that, in a process that took weeks, Feilner IT helped making the website, its CMS and its content digitally sovereign to prove once more that there is no need for a GDPR banner or Cookie approval unless the website owner needs your data, be it for session-based offers like shops or forums.

Far more often you have to accept a cookie/tracker banner because you are actually the product, not the customer. In marketing language the latter translates to “We need your approval to create an individual UI/UX experience”, or “to present individual content” – euphemisms for “our business runs on highly personalized advertisement strategies”. Pretty often your data and your behaviour is being sold to the big advertisment networks.

Using adblockers, cookie blockers and tools that prevent this are often called “digital self-defence” and have become a major step towards digital sovereignty of internet users today. But the responsability also lies on the server side. Every webserver can – no should be configured to offer a full experience for digital sovereign citizens. Feilner IT can help you to become digitally sovereign, also on your website.

Die Webseite der OSB Alliance wird Digital Souverän

Werben auch Sie auf Ihrer Webseite für Digitale Souveränität!
Use this banner to advocate digital sovereignty on your website!

Gastbeitrag von unserem Mitglied Markus Feilner von FeilnerIT

Seit ein paar Tagen prangt das Logo „Keine Cookies – kein Tracking auf der Webseite der OSB Alliance. Verschwunden ist das „Cookie-Banner“, das um Ihre Zustimmung zur Datenverarbeitung beim Besuch von osb-alliance.de warb. Die Open Source Businesse Alliance – Bundesverband für digitale Souveränität macht damit einen wichtigen Schritt für die Besucher der Webseite: Denn nur wer Daten für andere als technisch absolut notwendige Zwecke erheben will, muss von seinen Besuchern eine Zustimmung einholen. Wir wollen nicht an Ihre Daten.

Wer keine Daten erhebt, braucht auch kein Cookie-Banner


Obwohl es der Datenschutz erlaubt, obwohl es rechtlich durchaus möglich wäre, haben wir uns entschieden, keinerlei Informationen von unseren Besuchern zu erfassen. Deshalb brauchen wir auch kein Cookie-Banner oder Pop-Up, das Ihre Erlaubnis zur Datenspeicherung einholt.

Das mag überraschen, denn wir alle kennen doch das Problem: Mit der Souveränität und der großen Freiheit, die beispielsweise die DSGVO mit sich brachte, erschienen überall Pop-Ups und Cookie-Banner, die um die Zustimmung von uns Webseitenbesuchern buhlen. Mit Optionen wie „nur minimale Tracker“, „personalisierte Inhalte“ oder ähnlichen Optionen werben diese um die Gunst der Kunden, ehrlicherweise: um deren Daten.

Modern und datensparsam: eine digital souveräne Webseite

Die OSB Alliance hat sich entschieden, einen anderen, benutzerfreundlicheren Weg zu wählen und mit einem guten Beispiel voran zu gehen. Unsere Webseite soll zeigen, dass es selbst für den Betrieb einer großen, modernen und repräsentativen Internetpräsenz nicht notwendig ist, Daten von den Besuchern zu erheben, verarbeiten oder zu speichern. Datensparsamkeit ist auch Teil unseres Verständnis von digitaler Souveränität.

Wir achten beim Erstellen der Webseite, der Blogs und aller Inhalte streng darauf, keine Inhalte von Dritten einzubinden und keinerlei Tracker, Cookies, Pixel oder Ähnliches von anderen Servern einzubinden. Erst wenn Dienste angeboten werden, für die ein Login oder eine Session erforderlich ist, werden Daten erfasst und deshalb Benutzer um Ihre Zustimmung gebeten, beispielsweise bei der Anmeldung zum Newsletter.

Regelmäßige Tests

Wir testen unsere Webseite regelmäßig und nach allen Updates mit modernen Tools und Browsern auf das Einhalten dieser Policy. Dafür kommen unter anderem auch Werkzeuge wie uBlock Origin, Scriptsafe, der PrivacyBadger der EFF, diverse Browser wie Google Chrome, Brave oder Firefox zum Einsatz. Webseiten wie Webbkoll von Dataskydd bieten Tests und verschaffen einen Überblick. Viel wichtiger aber ist es, Tests regelmäßig durchzuführen. Nur so lässt sich die einmal erreichte digitale Souveränität erhalten.

Für Sie als Leser bedeutet das: Anders als viele andere Internetportale können Sie die Webseite der OSB nicht nur ohne Banner, sondern auch ohne aktiviertes JavaScript besuchen. Dabei kämen sie allerdings nicht in den Genuss diverser Funktionen wie beispielsweise den automatischen Bildwechsel auf der Startseite oder Vorschläge in der Suchfunktion. Doch selbst mit Javascript (der Standardeinstellung der meisten Browser) erheben wir keine Daten von Ihnen.

Keine Daten erheben, keine Daten weiterleiten


Um das Ziel zu erreichen, keine Daten von unseren Besuchern zu speichern sowie der Anforderung zu entsprechen, auch keine Daten ungefragt an Dritte weiterzugeben, haben wir hohe Standards an die Entwickler der Webseite sowie an die Redakteure des Blogs und der Unterseiten gesetzt und definierte Prozesse etabliert. Vor allem beim Einbetten von Multimedia-Inhalten wie Bildern und Videos sind dafür sorgfältige Arbeitsabläufe und Tests notwendig.

Die Entwickler der Webseite müssen bei jedem Update darauf achten, dass das Content Management System (CMS) oder seine Plugins nicht wieder ungefragt Emojis, Schriftarten (wie Google Fonts) oder Bilder von den Servern Dritter lädt. Besonders kritisch erwiesen sich Videos oder Bilder, wo moderne CMS gerne Vorschaubilder oder Vorschaulinks erzeugen oder Java-Script-Dateien „einbetten“, wodurch wiederum Daten an dritte Server geleitet werden könnten – ohne Zustimmung des Benutzers ist das nicht erlaubt („Datenverarbeitung durch Dritte“).

Haben Sie einen Fehler gefunden? Helfen Sie uns!


All das macht Arbeit, ist aber auch kein Hexenwerk. Die Open Source Business Alliance hat sich dabei von seinem Mitglied Feilner IT aus Regensburg beraten lassen und die Arbeiten in engem Austausch mit Entwicklern, Datenschützern und juristischem Beistand gestaltet. Sollten sich dennoch Fehler eingeschlichen haben, falls etwa einmal bei einem Blogpost ein Video falsch verlinkt ist, freuen wir uns über schnelles Feedback, wir werden den Fehler sofort korrigieren.

Wer ein Banner braucht, will an die Daten der Besucher


Mit dieser Arbeit und dem Logo möchten wir aber auch zeigen, dass die meisten der nervigen Cookie-Banner auf heutigen Webseiten eigentlich vermeidbar wären. „Technisch notwendige“ Cookies und Tracker sind auch ohne derlei Schaltflächen erlaubt (auch wenn wir keine solchen verwenden). Entgegen weitläufiger Meinung sind Einwilligungen eben nicht immer notwendig:

Datenschutzexpertin und OSB Alliance-Mitglied Henriette Baumann dazu:

„Eine Einwilligung für ein Cookie ist nur dann erforderlich, wenn keine andere Rechtsgrundlage für den Einsatz des Cookies vorliegt. Eine Rechtsgrundlage liegt beispielsweise vor, , wenn ein Cookie eingesetzt wird, damit eine Website oder eine spezifische Funktionalität einer Website wie z.B. ein Warenkorb funktionieren kann (oft bezeichnet als „technisch notwendige“ oder „rein funktionale“ Cookies). Das Cookie darf dann nur für diese Zwecke eingesetzt werden. Für Cookies zu Werbe-, Marketing- oder Tracking-Zwecken ist im Regelfall eine Einwilligung einzuholen, da keine andere Rechtsgrundlage vorhanden ist.

Ob ein Cookie „Technisch notwendig“ ist, muss letztlich der Betreiber einer Website als Verantwortlicher der Verarbeitungen und Kenner des Verarbeitungskontextes entscheiden oder – falls es einen Rechtsstreit gibt – ein Gericht. Oft gibt es Angaben von Herstellern – wie beipielsweise von WordPress -, welche Cookies mit welchem Zweck und welcher Rechtsgrundlage verwendet wird, was für den Betreiber einer Website bei der Kategorisierung seiner Cookies hilfreich ist. Relevant ist hierbei auch die Zweckbindung. Das heißt. ein technisch notwendiges Cookie, das für das Funktionieren eines Website-Features gesetzt wird, darf ohne Einwilligung nicht für Marketing- oder Tracking-Zwecke genutzt werden.

Wenn ein Blocker ein technisch notwendiges Cookie blockiert, dessen Zweck eine Bereitstellung einer Funktionalität ist, und die Funktionalität funktioniert trotzdem noch, dann wird das Cookie für den Zweck der Bereitstellung der Funktionalität nicht erforderlich sein. Die Rechtsgrundlage dürfte dann hinfällig und eine Einwilligung erforderlich sein “

Traue keinem Cookie-Banner!


Mit der neuen Webseite der OSB Alliance und der Tracker-, Cookie- und Banner-freien Darstellung möchten wir auch Anwender darauf hinweisen, jeder Webseite, die ein Cookie-Banner vorschaltet, skeptisch gegenüber zu treten. Die Gesetzgebung schützt hier die Interessen der Verbraucher in vorbildlicher Weise: Der Anbieter braucht gute Gründe für Cookies/Tracker und sollte sie nicht nur aus Nachlässigkeit oder „weil es alle so machen“, einsetzen. Eine sauber programmierte Webseite braucht keine Cookies.

Nur wer beispielsweise fürs Session Management in Foren, Shops oder ähnlichen erweiterten Funktionen Ihre Benutzerdaten benötigt, hat dafür einen guten Grund. In den meisten anderen Fällen ist es einem Geschäftsmodell geschuldet, das Ihre Daten oder personalisierte Werbung monetarisiert. Oft findet das unter dem Deckmantel der Optimierung der „individuellen Benutzererfahrung“ statt, Ihre Digitale Souveränität steht nicht im Vordergrund, die Gesetzgebung ist dem Webseitenbetreiber eher ein Hindernis.

Checkliste

Wenn all das nicht auf Ihre Webseite zutrifft, können auch Sie ein Digital Souveränes Angebot ins Netz bringen. Die OSBA kann ihnen dabei helfen und dank unseres kleinen Banners können Sie auch damit werben. Machen Sie einfach den folgenden Check. Wenn Sie alle Fragen mit „JA“ beantworten konnten, sind Sie auf dem richtigen Weg.

Unsere Webseite verwendet keine Cookies und Tracker.

✅ Ja, das trifft zu ❌ Nein

Unsere Webseite lädt keine Daten von anderen Webseiten, beispielsweise Google Fonts, Facebook Cookies oder Twitter-Tracker oder auch Medieninhalte etc. von anderen Blogs oder Servern.

✅ Ja, das trifft zu ❌ Nein

Wir speichern keine Daten von unseren Besuchern.

✅ Ja, das trifft zu ❌ Nein

Wir überprüfen unsere Werkzeuge zur Erstellung der Webseite regelmäßig und testen unsere Webseite auf digitale Souveränität und Compliance.

✅ Ja, das trifft zu ❌ Nein

Wir achten beim Bloggen und beim Erstellen von Inhalten nicht nur auf den Datenschutz, sondern auch auf die Digitale Souveränität der Leser und überwachen diesen Prozess fortlaufend (Qualitätsmanagement).

✅ Ja, das trifft zu ❌ Nein

Wenn Dienste angeboten werden, für die ein Login oder eine Session erforderlich ist, werden Benutzer um Ihre Zustimmung gebeten, beispielsweise bei einer Anmeldung zum Newsletter.

✅ Ja, das trifft zu ❌ Nein

Haben Sie alle sechs Fragen mit „Ja“ beantwortet, steht einer Banner-freien Webseite nichts im Weg und Sie können stolz sein, eine digital souveräne Webseite für Ihre Firma anzubieten!

Markus Feilner arbeitet seit 1994 mit Linux, war stellv. Chefredakteur des Linux-Magazin und der iX, Teamleiter Dokumentation beim Linux-Hersteller SUSE und hat sich mit seiner Firma Feilner IT auf Dokumentation und die OSI Layer 8, 9 und 10 spezialisiert.