my.cyon: Für jeden Kontakt die passende Rolle

Es ist ein Szenario, dem wir immer wieder begegnen: Der Webmaster, die Agentur oder der Kollege bestellt ein neues Webhosting. Doch es muss wie so oft schnell gehen, und so bestellt man auf den eigenen Namen, anstatt korrekt den Kunden – oder eben den Kollegen mit der Website – als Inhaber des Webhostings anzugeben. Um die vertraglichen Details kann man sich ja später noch kümmern – allerdings: Daran denken tut später keiner mehr…

my.cyon: Für jeden Kontakt die passende Rolle

Das wiederum kann zu schwierigen Situationen führen. Zum Beispiel wenn dem Webmaster etwas zustösst – was wir natürlich nicht hoffen. Oder wenn die Geschäftsbeziehung im Streit auseinandergeht – was leider häufiger vorkommt, als man sich gemeinhin denken würde. Ist in diesem Fall nicht der Website-Besitzer als Inhaber eingetragen, hat er keinerlei Verfügungsgewalt über «seine» Produkte – und kann so weder Website noch E-Mail-Postfächer verwalten.

Auch für uns ist die Situation äusserst unangenehm, denn wir geraten so plötzlich zwischen die Fronten. Aus rechtlicher Sicht sind uns nämlich die Hände gebunden: Anderen Personen als unserem Vertragspartner, eben dem Inhaber, dürfen wir keinen Zugriff und auch keine weiteren Auskünfte erteilen.

Die Lösung? Korrekte Benutzerrollen

Die Lösung ist einfach und heisst korrekte Benutzerrollen verteilen. Bereits während der Bestellung, aber auch später im my.cyon, können für jedes einzelne Produkt, also beispielsweise einem Webhosting, einem Domainnamen oder einem Sitebuilder, verschiedene Rollen und damit Personen hinterlegt werden. Konkret:

  • Der Halter, der Inhaber und Vertragspartner des entsprechenden Produkts ist. Er kann alle Einstellungen verändern und alle Informationen einsehen. Kündigungen und Änderungen der Rollen können ausschliesslich vom Halter durchgeführt werden. Diese Rolle sollte immer dem Endkunden zugewiesen werden – er sollte immer Inhaber seiner Daten sein.
  • Der Rechnungskontakt, der alle Rechnungen empfängt und diese auch online einsehen kann. Er hat nur Leserechte auf die Rechnung und kann sonst keine Einstellungen vornehmen. Der Halter hat ebenfalls Zugriff auf die Rechnungen und trägt als Vertragspartner die Verantwortung.
  • Der technische Kontakt, der von uns bezüglich technischen Anliegen kontaktiert werden kann. Er ist für Inhalte auf einer Webseite mitverantwortlich und verfügt über fast alle Rechte des Halters. Die Haftung trägt immer der Halter.

Über welche Berechtigungen die verschiedenen Rollen im Detail verfügen, haben wir in einer Tabelle im Supportcenter-Beitrag zum Thema «Kontakte/Rollen» zusammengetragen. Grundsätzlich gilt: Für alles, was der Kunde im Endeffekt bezahlt, sollte er auch als Inhaber eingetragen sein. Schliesslich handelt es sich immer um seine Produkte und seine Daten.

Mit den differenziert vergebenen Rollen erledigt sich übrigens auch gleich ein weiteres Problem: Weil nun jeder Berechtigte sein eigenes Login für die Verwaltung besitzt, ist es auch nicht mehr nötig, das Login zu teilen. Und damit sinkt die Gefahr, dass Benutzernamen und Passwort in fremde Hände geraten.

Nicht mit uns: Wie wir uns gegen eine Phishingattacke wehrten

Der 28. Juni 2019 hatte es in sich: An diesem Freitag wurden cyon-Kundinnen und -Kunden Ziel einer Phishingattacke. Die Absicht der Angreifer: my.cyon-Benutzerdaten zu ergaunern. Während die genauen Beweggründe der Angreifer unbekannt sind, steht eines fest: Gekaperte Webhostings sind wertvolle Beute für Cyberkriminelle: 5 Gründe, warum Hacker Ihre Website hacken. Aber fangen wir von vorne an.

Nicht mit uns: Wie wir uns gegen eine Phishingattacke wehrten

Morgenstund hat Gold im Mund: Phishing-Alarm

Der Tag begann mit einer Meldung von Tom in unserem Slack-Channel für besonders wichtige Ereignisse.

Tom meldet Phishingattacke

Freitagmorgen: Tom meldet die Phishingattacke im Alarm-Slack-Channel.

Das hiess für uns, die bei Ausfällen und Problemen vorgesehenen Prozesse anzustossen. Doch trotz Routine, mit Phishing dieser Grösse hatten wir es bis dato nicht zu tun gehabt. Schnell klinkten sich verantwortliche Personen aus allen Teams ein. An dieser Stelle ein Dankeschön an alle Beteiligten. In Krisenfällen zeigt sich besonders: Bei cyon sind die Leute mit Herzblut bei der Sache.

Situationsanalyse: Was war geschehen?

Als erstes verschafften wir uns einen Überblick darüber, was denn eigentlich passiert war. In der Nacht zuvor hatten Angreifer offenbar gezielt cyon-Kundinnen und -Kunden angeschrieben und sie aufgefordert, auf einen präparierten Link in der E-Mail zu klicken. Der Link führte zu einer täuschend echten Kopie des Login-Formulars von my.cyon.ch. Die Phishing-Nachricht war, mit Ausnahme von ein paar Details, nicht schlecht gemacht. Oder hätten Sie die Nachricht auf den ersten Blick als Phishing erkannt?

Screenshot Phishing-E-Mail

Phishing-E-Mail: Hätten Sie den Betrug sofort erkannt?

Die Zeit drängt: Falle unschädlich machen

Die allererste Devise bei Phishing: Die Phishing-Seite möglichst schnell vom Netz nehmen zu lassen. Können nämlich Phishing-Opfer die Website nicht mehr aufrufen, ist der ganze Spuk bereits vorbei. Darum schickten unsere System-Engineers sofort eine Phishing-Meldung an den deutschen Hoster der Phishing-Seite. Um der Meldung zusätzliches Gewicht zu geben, griffen wir ein paar Minuten später zum Telefonhörer.

Zusätzlich meldeten wir die URL der Phishing-Seite bei Safe Browsing – Google Safe Browsing sowie antiphishing.ch, dem Meldeportal der Melde- und Analysestelle Informationssicherung MELANI.

Was passiert nach einer Meldung?
MELANI überprüft Ihre Meldung, informiert den zuständigen Web Hosting Anbieter sowie den Inhaber der Webseite und bittet diese, die betrügerische Seite vom Netz zu nehmen. Zusätzlich werden gemeldete Phishing Seiten IT-Sicherheitsdienstleistern, Web Browser-Hersteller und Blacklist-Betreibern zur Verfügung gestellt, um einen maximalen Schutz der Internetnutzer in der Schweiz zu erreichen.

antiphishing.ch

Woher stammen die E-Mail-Adressen?

Werden gezielt die eigenen Kundinnen und Kunden angeschrieben, stellt sich für uns sofort die Frage: Woher stammen die E-Mail-Adressen? In einem solchen Fall ist auch ein internes Datenleck denkbar. Relativ schnell wurde allerdings klar, dass dieser Verdacht unbegründet war.

Aber wie kamen die Angreifer an E-Mail-Adressen von cyon-Kundinnen und -Kunden? Nach heutigem Kenntnisstand ist die Antwort trivial und clever zugleich: Durch das Abgrasen von bei cyon gehosteten Websites. Konkret haben wir zwei Muster erkennen können:

  • Die E-Mail-Adresse lautet info@, mail@, kontakt@, usw., entspricht also verbreiteten Standardadressen, unter der Website-Betreiberinnen und -Betreiber erreichbar sind.
  • Die E-Mail-Adresse befindet sich öffentlich einsehbar auf der entsprechenden Website. Häufig ist das die Kontaktseite oder das Impressum.

Unser Jagdtrieb ist geweckt

Die Sperrung der Website durch den Hoster zog sich für unseren Geschmack etwas lange hin. Wir überlegten uns also, was wir in der Zwischenzeit tun konnten, um den Angreifern das Leben möglichst schwer zu machen.

Nach der Analyse der Phishing-Seite war klar, besonders Mühe hatten sich die Angreifer beim Aufstellen der Falle nicht gemacht. So wurden Bilder oder CSS-Code nicht etwa auf den Server der Phishing-Seite kopiert, sondern direkt von my.cyon.ch eingebunden. Und das brachte uns auf die Idee: Werden Inhalte eingebunden, die unter unserer Kontrolle sind, können wir diese Inhalte kontrollieren. Dank einer praktischen Funktion von Webbrowsern, können wir steuern, wer diese Inhalte zu Gesicht bekommt: Der Referrer.

Referrer (englisch to refer „verweisen“) bezeichnet im World Wide Web die Webseite, über die der Benutzer zur aktuellen Webseite bzw. Datei gekommen ist. Bei einer HTTP-Anfrage (z. B. eine Webseite oder ein Bild) sendet der Webbrowser den URL der ursprünglichen Webseite an den Webserver.

Referrer bei wikipedia.org

Kurzerhand packte unser Software-Entwickler Dominic seine besten Photoshop-Skills aus, zauberte mithilfe von wenigen Zeilen Rewrite-Code eine unmissverständliche Warnung auf die Phishing-Seite und deaktivierte die CSS-Anweisungen.

Achtung Fake, Warnung auf der Phishing-Seite

Damit war, trotz noch erreichbarer Falle, allen potentiellen Phishing-Opfern klar: Hier sollte ich keine sensiblen Daten eingeben.

Süsser Honig: Wir stellen den Angreifern eine Falle

Die Neugier trieb uns weiter an. Wer waren diese Angreifer? Was ist ihre Absicht? Wir erstellten ein präpariertes my.cyon-Konto mit funktionierenden Zugangsdaten und füllten diese auf der Phishing-Seite ab. Die Hoffnung: Die Angreifer würden später versuchen, sich mit den gewonnenen Zugangsdaten auf my.cyon.ch einzuloggen. Das Warten begann. Zwischenzeitlich blockte der Hoster der Phishing-Seite den kompromittierten Account. Damit war die Gefahr für weitere Phishing-Opfer endgültig gebannt.

Am Freitagabend war es dann tatsächlich soweit. Das präparierte my.cyon-Konto verzeichnete ein erfolgreiches Login. Sofort begannen wir die IP-Adresse des Angreifers mit unseren Logs zu vergleichen. Und tatsächlich: Wir konnten weitere Loginversuche auf anderen my.cyon-Konten von der IP-Adresse des Angreifers feststellen. Erfolgreiche Logins liessen sich zum Glück an einer Hand abzählen.

Der Angreifer tappt in die Falle.

Der Angreifer tappt in die Falle.

Um weitere Anmeldeversuche zu unterbinden, sperrten wir anschliessend die marokkanische IP-Adresse des Angreifers und prüften unsere Logs auf weitere ungewöhnliche Zugriffe.

Während wir die Gesamtzahl aller Empfängerinnen und Empfänger der Phishing-E-Mail nicht kennen, wissen wir: Auf unseren Servern ist die Phishing-Nachricht knapp über 10’000-mal eingetroffen. Die Dunkelziffer dürfte höher sein, denn nicht alle cyon-Kundinnen und -Kunden betreiben neben der Website auch ihre E-Mail-Konten bei uns.

Am darauffolgenden Samstagmorgen informierten wir alle betroffenen Kunden nochmals in einer entsprechenden E-Mail. Der Tenor der Rückmeldungen deckte sich mit den Anfragen, die wir auf die ursprüngliche Phishing-E-Mail erhalten haben: cyon-Kundinnen und -Kunden sind sich der Gefahr von Phishing sehr bewusst und erkennen, wenn es sich um einen Betrugsversuch handelt.

Fazit: Erste Phishingattacke überstanden

Nach über 16-jährigem Bestehen von cyon war dies der erste Phishing-Angriff auf unsere Kundinnen und Kunden. Das zeigt, dass wir mittlerweile für einen nicht unerheblichen Teil des «Schweizer» Internets verantwortlich sind, was uns naturgemäss auch zum Ziel solcher Angriffe macht. Zugleich führt uns das auch unsere Verantwortung gegenüber unseren Kundinnen und Kunden einmal mehr eindrücklich vor Augen. Das Thema Sicherheit hat bei uns einen hohen Stellenwert und wird das auch in Zukunft behalten. Nicht zuletzt schweissen solche Ereignisse auch immer zusammen. Teambildende Massnahmen in extrem sozusagen. Und auch der Humor geht in solch stressigen Situationen nicht verloren. Unsere beiden Grundwerte «Freude» und «Respekt» bestehen also auch in Krisensituationen.

cyonistas packen gemeinsam an.

cyonistas packen gemeinsam an.

Cookie-Richtlinie, DSGVO und ePrivacy-Verordnung: Welche Websites benötigen ein Cookie-Banner?

Ein Gastbeitrag von Rechtsanwalt Martin Steiger, Steiger Legal AG

Es führt kein Weg daran vorbei: Wer Websites besucht, erhält immer häufiger ein Cookie-Banner angezeigt. Je nach Ausgestaltung erklären die Banner oder Pop-up-Fenster, dass Cookies verwendet werden, informieren über eine Widerspruchsmöglichkeit gegen Cookies oder bitten – mehr oder weniger ausdrücklich – um die Einwilligung zur Verwendung von Cookies.

Welche Websites benötigen ein Cookie-Banner?

Viele Cookie-Banner können mit [OK] oder [X] weggeklickt werden. Die meisten Besucherinnen und Nutzer einer Website machen von dieser Möglichkeit reflexartig Gebrauch. 55 Prozent fühlen sich – Überraschung, Überraschung! – von Cookie-Bannern gestört, wie der deutsche Branchenverband bitkom mit einer repräsentativen Umfrage herausgefunden hat.

Zuletzt vermehrten sich Cookie-Banner schlagartig mit der Geltung der neuen Datenschutz-Grundverordnung (DSGVO) der Europäischen Union (EU). In der EU ist die DSGVO seit dem 25. Mai 2018 anwendbar, im Europäischen Wirtschaftsraum (EWR) einschliesslich Fürstentum Liechtenstein, Island und Norwegen seit dem 22. Juli 2018.

Übersicht

Wieso gibt es überhaupt Cookie-Banner?

Nein, die DSGVO ist erst einmal nicht schuld. Und eigentlich geht es gar nicht um alle Cookies, sondern um das Tracking von Website-Besuchern. Für solches Tracking können Cookies, aber auch andere Daten, die lokal als WebStorage im Browser der Nutzer gespeichert werden, dienen. Tracking-Cookies setzen beispielsweise Facebook Pixel, Google Analytics oder Hotjar, je nach Einstellungen auch Matomo (früher Piwik) sowie viele weitere Tracking-Dienste. Beim Besuch der Tages-Anzeiger-Website werden beispielsweise über 25 Cookies von Tracking- und Werbe-Diensten gesetzt, wie Webbkoll zeigt.

Seit 2002 gibt es in der EU die ePrivacy-Richtlinie 2002/58/EG, die den Datenschutz für elektronische Kommunikation regelt. 2009 und damit lange vor Anwendbarkeit der DSGVO wurde die Richtlinie im Sinn von Konsumenten- beziehungsweise Verbraucherschutz mit der sogenannten Cookie-Richtlinie 2009/136/EG ergänzt.

Im Volltext lautet der einschlägige Artikel 5 Absatz 3 der Cookie-Richtlinie wie folgt:

«Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er […] u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat. Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.»

Artikel 5 Absatz 3, Cookie-Richtlinie 2009/136/EG

Im Klartext: Für Cookies und andere Daten, die lokal im Browser der Website-Besucher gespeichert werden, ist grundsätzlich die informierte Einwilligung der betroffenen Personen erforderlich.

Ausnahmsweise ist keine Einwilligung erforderlich, wenn es sich um Daten handelt, die ausschliesslich verwendet werden, um einen Dienst zur Verfügung zu stellen, der vom jeweiligen Nutzer ausdrücklich gewünscht wurde. Dazu zählen insbesondere Cookies, die technisch notwendig sind, damit sich registrierte Nutzer nicht ständig neu einloggen müssen oder Warenkorb-Cookies in einem Onlineshop. Cookies für Tracking- und Werbe-Dienste fallen üblicherweise nicht unter diese Ausnahme.

Die Cookie-Richtlinie hat allerdings einen gewichtigen Haken: Da es sich um eine Richtlinie handelt, müssen ihre Regelungen durch die einzelnen EU-Mitgliedstaaten in nationales Recht gegossen werden. Diese Umsetzung erfolgte in den verschiedenen EU-Mitgliedstaaten sehr unterschiedlich – oder teilweise auch gar nicht.

Was sagt die Datenschutz-Grundverordnung DSGVO?

Inzwischen ist die Datenschutz-Grundverordnung (DSGVO) seit über einem Jahr anwendbar – und muss im Gegensatz zu einer Richtlinie nicht durch die EU-Mitgliedstaaten umgesetzt werden, sondern gilt als Verordnung unmittelbar.

Die DSGVO regelt umfassend die Bearbeitung von Personendaten:

Als personenbezogene Daten gelten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Für die Identifizierbarkeit genügt unter anderem die Möglichkeit, dass ein Nutzer aufgrund einer Online-Kennung direkt oder indirekt identifiziert werden kann (Art. 4 Abs. 1 DSGVO).

Als mögliche Online-Kennungen gelten insbesondere Cookies und IP-Adressen. In der Folge fällt die Verwendung von Cookies und anderen Daten, die lokal im Browser der Nutzer gespeichert werden, fast immer unter die DSGVO (Erwägungsgrund 30 zur DSGVO).

Die Anwendbarkeit der DSGVO bedeutet, dass die Bearbeitung von Personendaten grundsätzlich verboten und nur ausnahmsweise erlaubt ist (Art. 6 DSGVO).

Rechtmässig ist die Verwendung von Cookies unter anderem, wenn die entsprechende Bearbeitung von Personendaten für die Vertragserfüllung mit dem betroffenen Nutzer oder zur Erfüllung einer rechtlichen Pflicht der Website-Betreiberin erforderlich ist, was für Tracking und Werbung auf einer Website als Faustregel nicht der Fall ist.

Hingegen kann in vielen Fällen damit argumentiert werden, dass Tracking im Sinn von Erfolgs- und Reichweitenmessung im überwiegenden berechtigten wirtschaftlichen Interesse einer Website-Betreiberin liegt und deshalb rechtmässig ist. Dafür müssen die Interessen von Website-Betreiberin und betroffenen Nutzern gegeneinander abwogen werden, was anspruchsvoll ist. Auch stösst dieser Rechtfertigungsgrund bei vielen Datenschutzaufsichtsbehörden auf Ablehnung.

Je milder der Eingriff in die Rechte der Nutzer durch Tracking ist, desto besser funktioniert die Argumentation mit den überwiegenden berechtigten Interessen. So kann es beispielsweise hilfreich sein, ausschliesslich eigenes Tracking zu verwenden und auf die Website-übergreifenden Dienste von Facebook, Google und anderen Dritt-Diensten zu verzichten.

Schliesslich kann die Rechtmässigkeit mit Einwilligungen gewährleistet werden:

Solche Einwilligungen – zum Beispiel mit einem Cookie-Banner – müssen ausdrücklich, freiwillig und informiert erfolgen (Art. 7 DSGVO). Ausserdem muss die Website-Betreiberin jede erteilte Einwilligung im Zweifelsfall nachweisen können.

Die Anforderungen an eine solche Einwilligung sind damit sehr hoch und werden deshalb mit einem gängigen Cookie-Banner nicht erfüllt. Die meisten Cookie-Banner scheitern bereits daran, dass die Informationsdichte ungenügend ist, denn gar allgemeine Formulierungen mit Verweis auf ein «personalisiertes Erlebnis» oder «Marketingzwecke» genügen nicht. Daneben scheitern die meisten Cookie-Banner – streng genommen – daran, dass sie lediglich informieren und gar nicht um die Einwilligung für die Verwendung von Cookies bitten. Sie weisen bestenfalls darauf hin, dass zu einem späteren Zeitpunkt ein Widerspruch möglich ist («Opt-out»).

Eine freiwillige rechtsgültige Einwilligung würde bedeuten, dass jeder Website-Besucher in die Cookie-Verwendung ausdrücklich einwilligen müsste und sie dabei auch ablehnen könnte («Hard Opt-in»). Wenn beispielsweise nur [Ja] oder [OK] zur Verfügung steht («Opt-in»), kann sich die betroffene Person gar nicht entscheiden. Auch keine Entscheidung kann erfolgen, wenn die betreffenden Cookies bereits gesetzt wurden, bevor um die Einwilligung gebeten wird.

Schon gar keine rechtsgültige Einwilligung stellt die häufig gelesene Behauptung in Cookie-Bannern dar, die Einwilligung erfolge durch die weitere Nutzung der Website («Soft Opt-in»). Es käme auch niemand auf die Idee, der Text «Mit der weiteren Nutzung dieser Website willigen Sie in eine Nutzungsgebühr von 100 Franken pro Tag ein» könne eine rechtsgültige Einwilligung darstellen.

Unabhängig davon, wie die Rechtmässigkeit von Cookies im Rahmen der DSGVO gewährleistet wird, muss über Art, Umfang und Zweck der Bearbeitung von Personendaten informiert werden (Art. 12 ff. DSGVO):

Dafür dient normalerweise die Datenschutzerklärung einer Website. Als Faustregel benötigt jede Website eine Datenschutzerklärung. Die Datenschutzerklärung sollte sowohl im Cookie-Banner als auch im Footer der einzelnen Webseite verlinkt werden («Datenschutzerklärung», «Datenschutz»). Eine Vermischung von Allgemeinen Geschäftsbedingungen (AGB) oder Impressum mit der Datenschutzerklärung ist nicht empfehlenswert.

Für die Datenschutzerklärung gibt es sogenannte Datenschutz-Generatoren von verschiedenen Anbietern. Ein solcher Anbieter ist Datenschutzpartner, an dessen Datenschutz-Generator ich mit meiner Anwaltskanzlei beteiligt bin. Aus schweizerischer Sicht ist bei Datenschutz-Generatoren wichtig zu beachten, dass sie aktuell gehalten werden und die Rechtslage in der Schweiz berücksichtigen.

Problematisch ist die Verwendung von Dritt-Diensten, um Cookie-Banner in Websites einzubinden. So werden solche Dritt-Dienste je nach Browser-Einstellungen selbst als Tracking blockiert und das Cookie-Banner wird den Nutzern, die man um ihre Einwilligung bitten möchte, gar nicht angezeigt. Gleichzeitig bekunden viele solcher Dienste selbst grosse Mühe, rechtskonforme Cookie-Banner zu gestalten oder bieten derart viele Auswahlmöglichkeiten für «Opt-in» und «Opt-out» an, dass das Cookie-Banner zu einer datenschutzrechtlichen Karikatur wird.

Was sagt die ePrivacy-Verordnung?

Eigentlich hätte die neue sogenannte ePrivacy-Verordnung in der EU die bisherige ePrivacy-Richtlinie einschliesslich Cookie-Richtlinie ersetzen und gleichzeitig mit der DSGVO in Kraft treten sollen. Die ePrivacy-Verordnung wäre, genauso wie die DSGVO, unmittelbar anwendbar gewesen und hätte den Datenschutz speziell für die elektronische Kommunikation vereinheitlicht sowie verschärft. Inzwischen steckt der Gesetzgebungsprozess in der Sackgasse, denn grosse Internet- und Medien-Unternehmen wehren sich dagegen, dass Nutzer mehr Kontrolle über das Tracking ihrer Online-Aktivitäten erhalten.

Wann und mit welchem Inhalt die ePrivacy-Verordnung in Kraft treten wird, ist aus heutiger Sicht unklar. Inzwischen ist sogar denkbar, dass die DSGVO mit ausdrücklichen Regelungen zum Schutz von Konsumenten beziehungsweise Verbrauchern vor Tracking ergänzt wird.

Insofern sollte man die Entwicklungen rund um die ePrivacy-Verordnung zwar verfolgen. Im Übrigen kann man sich aber darauf beschränken, das heute geltende Recht einzuhalten beziehungsweise umzusetzen.

Was sagt das schweizerische Recht?

In der Schweiz darf Tracking grundsätzlich ohne Einwilligung der betroffenen Nutzer erfolgen, auch mit Cookies und anderen lokal im Browser gespeicherten Daten. Es genügt, darüber zu informieren (Art. 45c lit. b FMG), insbesondere im Rahmen der Datenschutzerklärung. Die Datenschutzerklärung muss unter anderem enthalten, wie Widerspruch erhoben werden kann.

Eine Einwilligung ist nur ausnahmsweise erforderlich, nämlich bei der Bearbeitung von besonders schützenswerten Personendaten – zum Beispiel zu politischen Ansichten oder zur Gesundheit – sowie beim Zusammenstellen von Daten, die ein Persönlichkeitsprofil ergeben. Bei besonders schützenswerten Personendaten muss die Einwilligung ausdrücklich, freiwillig und informiert erfolgen (Art. 4 Abs. 5 DSG). Davon betroffen sind beispielsweise politische Organisationen und Parteien im digitalen Wahlkampf, wenn sie Tracking auf ihren Websites einsetzen.

Gleichzeitig ist als Faustregel davon auszugehen, dass sowohl die Cookie-Richtlinie als auch die DSGVO der EU für viele Websites in der Schweiz gelten. Wenn eine solche Website die Cookie-Richtlinie und die DSGVO umsetzt, hält sie das anwendbare schweizerische Recht ohne weiteres ein.

Was sagt beispielsweise Google?

Vor lauter gesetzlichen Grundlagen darf man nicht vergessen, dass für Tracking und Werbung auf Websites meistens Dritt-Dienste eingesetzt werden. Solche Dienste verlangen normalerweise ausdrücklich, dass die Cookie-Richtlinie und das sonstige anwendbare Recht der EU eingehalten werden. Das gilt auch für Dienste von Google, beispielsweise im Rahmen der «EU User Consent Policy».

Google behauptet, die Einhaltung von Hand (!) zu kontrollieren. Bislang gibt es allerdings keine Anzeichen dafür, dass Google die Einhaltung von Cookie-Richtlinie und DSGVO bei Tracking und Werbung gegenüber Website-Betreibern tatsächlich durchsetzt.

Empfehlungen: Wer benötigt welches Cookie-Banner?

Als Faustregel sollten Website-Betreiber in der Schweiz davon ausgehen, dass sie die Cookie-Richtlinie und die DSGVO in Bezug auf Besucherinnen und Besucher aus dem Europäischen Wirtschaftsraum (EWR) einschliesslich Europäischer Union (EU) und Fürstentum Liechtenstein einhalten müssen. In diesem Fall ist es häufig am einfachsten, sich für die gesamte Website am europäischen Recht zu orientieren anstatt zu versuchen, zwischen Besuchern aus verschiedenen Ländern und Regionen zu unterscheiden.

  • Die einzige rechtssichere Variante ist ein Cookie-Banner mit «Hard Opt-in»: Cookies, die technisch nicht notwendig sind, werden nur nach ausdrücklicher, freiwilliger und informierter Einwilligung der betroffenen Website-Besucher gesetzt. Die Besucher können sich beim ersten Besuch der Website aktiv mit [Ja] oder [Nein] für oder gegen Tracking entscheiden. Für weitere Informationen kann auf die Datenschutzerklärung verwiesen werden. Jede Einwilligung wird dokumentiert sowie mit einem «Opt-in»-Cookie kontrolliert.

    Die «Hard Opt-in»-Variante ist datenschutzfreundlich und rechtskonform. Sie hat in der Praxis aber den Nachteil, dass jene Besucher, die das Cookie-Banner nicht reflexartig wegklicken, verloren gehen. Die meisten Website-Besucher, die transparent über die Möglichkeiten von Tracking mit Google Analytics und vergleichbaren Diensten informiert werden, verlieren die Lust an einer Nutzung der Website.

  • Eine Alternative zum «Hard Opt-in» ist ein Cookie-Banner mit «Opt-in»: Die Besucher müssen die Verwendung von Cookies mit [Ja] oder [OK] bestätigen, können sie aber nicht direkt ablehnen. Für den «Opt-out» beziehungsweise Widerspruch müssen sie sich in der verlinkten Datenschutzerklärung über die entsprechenden Möglichkeiten informieren. Man geht mit dieser Alternative ein gewisses rechtliches Risiko ein.
  • Zahlreiche Websites versuchen ihr Glück mit einem «Soft Opt-in»: Im Cookie-Banner wird behauptet, die weitere Nutzung der Website stelle eine rechtsgültige Einwilligung dar, was offensichtlich nicht der Fall ist. Aus diesem Grund ist diese – rechtlich gesehen lächerliche – Variante nicht empfehlenswert.
  • Wenn man riskieren möchte, gar nicht erst um eine Einwilligung zu bitten, kann die «Opt-out»-Variante verwendet werden: Das Cookie-Banner informiert über die Verwendung von Cookies, ohne aber eine Einwilligung zu thematisieren. Im Übrigen wird auf die verlinkte Datenschutzerklärung verwiesen, wo sich die Besucher informieren können, auch über «Opt-out»-Möglichkeiten. Diese Variante wird häufig gewählt, wenn in einem Unternehmen niemand bereit ist, das Risiko für einen vollständigen Verzicht auf Cookie-Banner zu tragen.
  • Bei der letzten – ausschliesslich informierenden – Variante ist der Schritt zu einem vollständigen Verzicht auf ein Cookie-Banner nicht mehr weit. Aber auch in diesem Fall muss aber im Rahmen der Datenschutzerklärung, die im Footer jeder einzelnen Website verlinkt ist, über die Bearbeitung von Personendaten einschliesslich der Verwendung von Cookies informiert werden.
  • Wer auf ein Cookie-Banner verzichtet, sollte nicht auf andere erforderliche Einwilligungen verzichten. Solche Einwilligungen sind beispielsweise Newsletter-Anmeldungen oder die Bildung einer Custom Audience bei Facebook mit E-Mail-Adressen oder Telefonnummern von Kunden.

    Als Alternative jenseits von Cookie-Richtlinie und DSGVO ist es immer möglich, eine Website datenschutzfreundlich zu gestalten, auch mit Blick auf Cookies und Tracking. Für die Website meiner Steiger Legal-Anwaltskanzlei beispielsweise erfolgt die Erfolgs- und Reichweitenmessung mit Matomo in der selbst gehosteten Variante. Matomo kann sehr datenschutzfreundlich konfiguriert werden, unter anderem mit dem Verzicht auf Cookies.

    Matamo steht auch als kostenpflichtiger Cloud-Dienst zur Verfügung, wenn man den Tracking-Dienst nicht selbst hosten möchte. Im Gegensatz zu anderen extern gehosteten Angeboten wie Google Analytics hat Matomo Cloud den Vorteil, dass Daten nicht Website-übergreifend erfasst werden.

    Siehe auch: Cookie-Banner und andere Irritationen im Datenschutzrecht (Steiger Legal).

    Hinweis: Für Abklärungen im Einzelfall, bei Unklarheiten und im Zweifelsfall empfiehlt sich die Beratung durch eine erfahrene und qualifizierte Fachperson wie beispielsweise einen Rechtsanwalt.

Schöne Bilder, gratis und frei nutzbar: Die besten Stockfoto-Websites 2019

Stockfotos, also Bilder die auf Vorrat geschossen werden, haben in der Webdesign-Gemeinde oft einen schlechten Ruf. Verständlich, wenn man bei Stockphotos an langweilige Bilder von Geschäftsleuten mit aufgesetztem Lächeln denkt. Doch es geht auch anders.

Die besten Stockfoto-Websites 2019

Stockfotos werden in der Regel von grossen Bildagenturen kostenpflichtig vertrieben. Aber: Es gibt kostenlose Alternativen. In einer Qualität, die sich von kostenpflichtigen Angeboten überhaupt nicht verstecken muss. Dank der CC0-Lizenz, die vom Konzept her der Public Domain gleicht, können entsprechend lizenzierte Bilder ohne Namensnennung und selbst für kommerzielle Projekte genutzt werden.

30 Stockfoto-Websites, die einen Platz in den Favoriten verdient haben

Gute Quellen für Bilder kann man nie genug haben, darum sammeln wir regelmässig Linktipps zu Stockfotos. Auf diese 30 Websites lohnt sich ein Blick, wenn Sie auf der Suche nach passenden Fotos für Ihre Website, Ihren Blog oder Ihren Online-Shop sind:

Hinweis: Dieser Beitrag ist ursprünglich im März 2015 erschienen und nun aktualisiert worden.

1. Reshot

Screenshot reshot.com
Reshot bietet nach eigenen Angaben handverlesene Bilder, die nicht nach Stockfotos aussehen. Das Credo des Anbieters heisst «Let’s keep it simple». Und das zeigt sich: Der Text der Reshot-Lizenz hat in 2 Sätzen Platz.

2. Rawpixel

Screenshot rawpixel.com
Rawpixel bietet nebst Stockfotos auch Vektorbilder sowie Illustrationen. Für den Download der Inhalte ist eine Mitgliedschaft nötig, wobei ein kostenloses Angebot besteht. Schöner Nebeneffekt: 10% der Einnahmen aus den kostenpflichtigen Mitgliedschaften werden an eine gemeinnützige Organisation gespendet.

3. ISO Republic

Screenshot isorepublic.com
ISO Republic bietet Tausende von ansprechenden Fotos und Videos, die CC0-lizenziert sind. ISO Republic hat im vergangenen Jahr mehrere Anbieter von kostenlosen Stockfotos gekauft und leitet deren Domains nun auf das eigene Angebot um.

4. Burst

Felsen im Meer
Aus dem Hause Shopify, finden Sie bei Burst jede Menge frei nutzbare Fotos, die sich wunderbar in Online-Shops nutzen lassen. Als zusätzliches Schmankerl bietet die Website auch populäre Business-Ideen und Tipps zu Werbung auf Facebook.

5. Foodiesfeed

Food
Foodiesfeed ist eine Stockfoto-Website, die sich ganz dem Thema Food widmet. Wer auf der Suche nach ansprechenden Food-Fotos ist, sollte unbedingt bei Foodiesfeed vorbeischauen. Sämtliche Bilder sind CC0-lizenziert.

6. MMT

Sketchbook
MMT, kurz für «Moment», ist die Website des UX-Designers Jeffrey Betts. Jeffrey lässt mit MMT seit 2014 die Welt an seiner Liebe zur Fotografie teilhaben. Alle Bilder und Videos sind CC0-lizenziert und können damit frei in privaten und kommerziellen Projekten verwendet werden.

7. Startup Stock Photos

Startup-Szene
Bei Startup Stock Photos gibt’s vorwiegend Fotos von Büro-Situationen. Ganz so, wie man sich ein typisches Tech-Startup eben vorstellt. Die Bilder sind CC0-lizenziert.

8. Picography

Blick aus dem Flugzeug
Bereits seit 2015 versorgt Picography das Netz mit ansprechenden CC0-Bildern aus den verschiedensten Themenbereichen. Wer Bilder zu Themen wie Städte, Kultur oder Technik sucht, sollte bei Picography vorbeischauen.

9. Free Nature Stock

Blüte
Adrian Pelletier veröffentlicht täglich eines seiner Naturbilder, die er vorzugsweise mit seiner Canon 6D schiesst. Adrians Bilder stehen unter der CC0-Lizenz und sind somit kostenlos nutzbar. Über einen Kaffe als Dank freut sich der Fotograf aber auf jeden Fall.

10. Magdeleine

Kornfeld
Magdeleine bietet handverlesene Fotos, die entweder CC0-lizenziert sind oder eine Namensnennung benötigen.

11. SplitShire

Glühlampe

Auf der Website von Daniel Nanescu finden sich unter anderem wunderschöne Fotos im Vintage-Look. Die Lizenz erlaubt die Nutzung in allen Arten von Projekten.

12. Skuawk

Hund
Skuawk bietet CC0-lizenzierte Fotos die in Kategorien wie Landscapes, Urban oder Food unterteilt sind.

13. KaboomPics

Gebäck mit Puderzucker
Die Bilder der polnischen Fotografin Karolina Grabowska können frei verwendet werden. Ein Backlink ist zwar nicht vorgeschrieben, aber durchaus gewünscht. Ein fairer Deal, wie wir finden.

14. Albumarium

Screenshot albumarium.com
Die Bilder bei Albumarium sind sauber in Alben sortiert und unter verschiedenen Creative-Commons-Lizenzen nutzbar.

15. StreetWill.co

Canon-Fotokamera
StreetWill.co hat sich komplett dem Thema «Fotos im Vintage-Look» verschrieben und bietet Bilder unter der CC0-Lizenz zum Download an.

16. LibreShot.com

Skilift
Die Fotos von Martin Vorel sind stehen unter der mittlerweile veralteten Lizenz «Creative Commons Public Domain». Alle bei LibreShot erhältlichen Fotos sind vom Autor selbst geschossen.

17. Skitterphoto

Blumenwiese
Über 800 Fotos bietet Skitterphoto zum Download an. Die Bilder stehen, Sie haben es geahnt, unter der CC0-Lizenz.

18. Pixabay

Bergpanorama
Das Urgestein unter den Quellen für kostenlose Fotos. Neben Fotos findet man bei Pixabay auch kostenlose Vektorgrafiken und Illustrationen. Pixabay hat Anfang 2019 eine neue Lizenz eingeführt, die gewisse Einschränkungen vorsieht.

19. New Old Stock

Astronautentraining
Die Website bietet historische Fotos, die aus öffentlichen Archiven von Institutionen wie dem Finnischen Museum für Fotografie stammen und frei von bekannten Urheberrechtsbeschränkungen sind.

20. StockSnap

Screenshot stocksnap.io
Die Betreiber der Website sammeln sowohl die besten Fotos im Netz als auch Einsendungen von Benutzern. Sämtliche Bilder sind CC0-lizenziert.

21. Little Visuals

Mann mit Kamera
Die Website war eine der ersten, auf der man sich für eine wöchentliche Lieferung von Fotos per E-Mail anmelden konnte. Leider ist der Betreiber verstorben, weshalb keine neuen Bilder hinzugefügt werden. Ein Blick auf die Bilderauswahl (CC0-lizenziert) lohnt sich aber trotzdem.

22. Unsplash

Las Vegas Boulevard
Für viele die erste Adresse, wenn es um ansprechende Stockfotos geht. Deshalb darf Unsplash auch in unserer Liste nicht fehlen. Made with Unsplash zeigt die schönsten Werke, in denen die Unsplash-Fotos verwendet werden. Unsplash bietet die Fotos unter einer eigenen Lizenz an.

23. Death to Stock

Screenshot deathtothestockphoto.com
Die Website versorgt Sie im Monatstakt kostenlos mit neuen Fotos, die Sie auch in kommerziellen Projekten nutzen dürfen. Der Zugang zur vollständigen Bibliothek ist jedoch kostenpflichtig.

24. picjumbo

Grünes Feld
Keine Stockfoto-Agentur wollte die Bilder von Viktor Hanáček. Also hat er einfach sein eigenes Projekt gestartet. Die Bilder lassen sich sehen und auch in kommerziellen Projekten nutzen.

25. Gratisography

Lesender Hase
Der Name sagt es schon: Die Website bietet kostenlose, CC0-lizenzierte Bilder. Dazu kreative Motive, die Sie so auf anderen Websites nicht finden.

26. Pexels

Screenshot pexels.com
Die Website aggregiert frei nutzbare Fotos aus anderen Quellen und dient damit als Suchmaschine.

27. Life of Pix

Screenshot lifeofpix.com
Die Website bietet wunderschöne Fotos ohne Restriktionen. Auf der Schwesterseite Life of Vids finde Sie ausserdem Videos, die ebenfalls ohne Einschränkungen verwendet werden dürfen.

28. Smartmockups

iMac auf Bürotisch
Keine Stockfoto-Website im herkömmlichen Sinn: Mit Smartmockups lassen sich kinderleicht Mockups in ansehnliche Stockfotos zaubern.

29. Canva

Screenshot canva.com
Canva ist ein browserbasiertes Design-Tool, mit dem sich mittels Drag-&-Drop in kürzester Zeit ansprechende Grafiken erstellen lassen. Canva bietet dazu eine Menge kostenloser Fotos, die sich zum einen direkt in Canva weiterverarbeiten lassen, zum anderen aber auch für eigene Projekte heruntergeladen werden können. Für den Download der Bilder ist ein kostenloser Canva-Account nötig.

30. CC Search

Screenshot search.creativecommons.org
CC Search ist die Suchmaschine der gemeinnützigen Organisation Creative Commons. In der CC-Search-Datenbank finden sich CC-lizenzierte Bilder aus dem Fundus von Flickr, DeviantArt, dem niederländischen Rijksmuseum und vielen anderen Anbietern.

Creative Commons, die Lizenz fürs Internet

Dank den einfach verständlichen Creative Commons-Lizenzen kann jeder Urheber seine Werke unkompliziert für die Weiterverwendung freigeben. Je nach Gusto können die eigenen Werke mit mehr oder wenige Restriktionen ausgestattet werden. Damit stehen die Creative Commons zwischen dem herkömmlichen Copyright und der Public Domain (Gemeinfreiheit).

Sämtliche Rechte an einem Werk freizugeben, also ein Werk der Allgemeinheit zu überlassen, ist mit unserem heutigen Urheberrecht umständlicher als man meinen könnte. Deshalb hat die Organisation hinter den Creative Commons die CC0-Lizenz ins Leben gerufen. Die CC0-Lizenz unterscheidet sich von der Public Domain unter anderem darin, dass sie nur vom Urheber selbst für seine Werke festgelegt werden kann.

Verlinken macht glücklich

Bilder die Teil der Public-Domain oder CC0-lizenziert sind, dürfen frei verwendet werden und benötigen keinerlei Hinweise auf die Quelle oder den Urheber. Selbstverständlich freuen sich die Autoren der Werke aber trotzdem über einen Link auf ihre Website.

Wenn Sie das Bild nicht direkt mit der Quelle verlinken oder die Quelle in der Bildunterschrift erwähnen möchten, eignet sich auch das eigene Impressum, um einen Link unterzubringen.

Wir starten eine Schweizer Customer-Support-Community

Seit unserer Gründung legen wir bei cyon grossen Wert auf die beste Betreuung unserer Kundinnen und Kunden. Kunden-Support ist für uns nicht nur notwendig, sondern einer der wichtigsten Teile unserer Dienstleistung. Nicht verwunderlich also, dass unser Customer-Support das grösste Team innerhalb der Organisation stellt. Was uns noch fehlt: Eine passende Community in der Schweiz. Das ändern wir mit der Meetup-Reihe «Customer Support Schweiz».

Neue Community: Customer Support Schweiz

Für uns bedeutet guter Kunden-Support, dass wir uns konstant den Anforderungen unserer Kundinnen und Kunden anpassen und dabei die Weiterentwicklung unserer Mitarbeitenden nicht zu kurz kommen lassen. Denn nur wer Freude an seiner Arbeit hat, kann mit Freude Kundinnen und Kunden betreuen. Wir beobachten aktuelle Trends in der internationalen Customer-Service-Community, testen verheissungsvolle Modelle direkt im eigenen Team und entwickeln diese weiter. Nun gehen wir noch einen Schritt weiter und bauen in der Schweiz eine Community für Gleichgesinnte auf.

Wir stellen vor: Customer Support Schweiz

Wir haben kürzlich an einem Event der englischsprachigen Support-Driven-Community teilgenommen und festgestellt: Zum Thema «Customer Support» existiert in der Schweiz noch keine Community. Wir freuen uns darum ganz besonders, nach Berliner Vorbild das Meetup «Customer Support Schweiz» ins Leben zu rufen. Am Dienstag, 25. Juni 2019 geht es los und wir treffen uns zum ersten Mal. Alle Informationen sowie das Anmeldeformular für die Meetup-Gruppe findest Du auf meetup.com.

Wir werden beim ersten Treffen in den cyon-Büros kurz vorstellen, wie wir uns im Customer-Support-Team von cyon organisieren. Ein wichtiger Punkt des Abends bildet auch das gegenseitige Kennenlernen. Nach der kurzen Präsentation werden wir uns deshalb bei gutem Wetter auf der Panorama-Dachterrasse über unsere Erfahrungen austauschen. Bei schlechtem Wetter bietet unsere Cafeteria eine regengeschützte Alternative. Nicht zuletzt ist das Meetup auch eine gute Gelegenheit, einen Blick hinter die Kulissen, in unsere Büroräumlichkeiten und auf die Arbeitsplätze unseres Customer-Support-Teams zu werfen.

Du bist im Support oder Kundendienst tätig? Interessiert Dich der Umgang mit Menschen und das Lösen von Problemen? Oder möchtest Du auch einfach nur erfahren, wie andere Firmen diese Herausforderung angehen und was sie dabei gelernt haben? Dann freuen wir uns sehr darauf, Dich in Kürze am Meetup bei uns im Büro willkommen zu heissen.

Übrigens: Wir suchen zurzeit Verstärkung für unser Customer-Support-Team. Alle Infos zu unseren offenen Stellen findest Du auf unserer Jobs-Seite.