Neuer Spamfilter für noch sauberere Postfächer

738’365 E-Mails haben unsere Mailserver letzthin empfangen. An einem einzigen Tag, wohlgemerkt. 101’990 dieser E-Mails wurden als Spam markiert und automatisch in den Spam-Ordner verschoben. Bei 166’299 Stück war der sogenannte Spam-Score sogar so hoch, dass die Spamfilter die E-Mail abgewiesen haben. Die Zahlen zeigen eindrücklich, wie gross das Spam-Problem ist und wie wichtig es ist, wirksame Antispam-Mechanismen zu betreiben.

Neuer Spamfilter für sauberere Postfächer.

Für die Erkennung von Spam haben wir bis vor kurzem auf SpamAssassin gesetzt, das als «Quasi-Standard» in der Spambekämpfung gilt. Doch wie es mit Platzhirschen so ist: Plötzlich war die Weiterentwicklung des Open-Source-Tools zwischenzeitlich etwas eingeschlafen und gleichzeitig kam auch Bewegung in den Markt. So ist mit Rspamd in den letzten Jahren eine weitere Open-Source-Lösung in den Fokus gerückt, die einerseits auf bewährte Mechanismen von SpamAssassin setzt, aber gleichzeitig auch neue Ansätze integriert, um den Kampf gegen Spam neu anzugehen. Seit einigen Wochen nun haben wir komplett auf Rspamd umgestellt und SpamAssassin in den verdienten Ruhestand geschickt.

Doch was macht Rspamd nun anders als sein Vorgänger? Grundsätzlich geht Rspamd wie erwähnt bereits vieles schon mal ziemlich ähnlich wie SpamAssassin an. Dazu zählen beispielsweise DKIM- und SPF-Checks, diverse Tests, etwa zur RFC-Konformität von E-Mails und die Abfrage von «Realtime Blackhole Lists» (RBL) und anderer Stop-Listen.

Bayes-Filter, Office-Makros und vieles mehr

Mit Rspamd nutzen wir neu die Bayes-Engine. Dabei handelt es sich um einen Klassifikator, der, grob gesagt, Objekte nach statistischen Punkten in Gruppen einordnet. Während SpamAssassin aufgrund von einzelnen Wörtern Klassifizierungen vornahm, lässt Rspamd Wort-Gruppen klassifizieren, was gemäss den Entwicklern sehr viel effektiver sein soll.

Im Umgang mit E-Mail-Anhängen lassen wir ausserdem anstelle des Mailservers neu Rspamd entscheiden, wie damit umgegangen wird. So kümmert sich Rspamd auch um die Virenerkennung, kann Office-Makro-Viren erkennen und lernt zudem automatisch weiter dazu. Das hilft, Bedrohungen zu erkennen (und damit entsprechend zu behandeln), die beispielsweise von Virenscanner und Blocklisten noch gar nicht als direkte Treffer erkannt werden.

Auch Antwortmails behandelt das Antispam-Tool speziell. Nehmen wir an, dass Du Deinem Bruder eine E-Mail schreibst und er Dir daraufhin eine Antwort schickt. Rspamd erkennt, dass der Bruder auf eine von Dir initiierte E-Mail antwortet, merkt sich für eine festgelegte Zeitspanne die dazugehörigen Message-IDs und akzeptiert die Antwort-E-Mails direkt.

What’s next?

Rspamd hat noch weitere Features im Rucksack, über die wir uns derzeit ausgiebig Gedanken machen. Zum Beispiel die automatische Lernfunktion, um damit die statistischen Filter mit noch mehr Daten zu versorgen. Oder ein «Fuzzy-Check», eine weitere Klassifizierungsmethode auf Basis des Shingle-Algorithmus. Damit lässt sich Text erkennen, der nur leicht modifiziert ist.

Trotz der Umstellung auf das neue Antispam-Tool: An der Art und Weise, wie wir mit Spam & Co. verfahren, hat sich nichts geändert. RBL-Listen überprüfen wir genauso, wie wir auch weiter auf Waitlisten setzen. Ausserdem hast Du weiterhin die Möglichkeit, E-Mails zur Go-Liste hinzuzufügen oder E-Mails eines bestimmten Absenders von der Spam- und Virenprüfung auszunehmen. Oder Du setzt den Absender einfach auf die Stoplist: Dann werden E-Mails dieses Absenders automatisch gelöscht – ohne, dass Du sie je zu Gesicht bekommst.

Übrigens: Wenn Du herausfinden möchtest, wie eine eingehende E-Mail klassifiziert wurde, beziehungsweise welche Kriterien dazu geführt haben, dass die E-Mail als Spam markiert wurde, findest Du im Header der Nachricht alle relevanten Informationen zur Einstufung.

1.4 Mio. Module – npm jetzt bei cyon verfügbar

npm (ursprünglich die Abkürzung für Node Package Manager) ist DER Paketmanager für die JavaScript-Laufzeitumgebung Node.js. Den Befehl npm kannst Du neu auf unseren Webhosting-, Speedserver- und Agencyserver-Angeboten auf der Kommandozeile nutzen. Und das kannst Du alles damit anstellen:

1.4 Mio. Module – npm jetzt bei cyon verfügbar.

npm und Node.js für die Kommandozeile

npm basiert auf der Laufzeitumgebung Node.js. Deshalb ist mit npm auch automatisch Node.js auf Deinem Webhosting, Speedserver oder Agencyserver installiert. Mit npm und damit dem Zugriff zur npm-Registry sind über 1.4 Millionen Module und Pakete nur noch einen kleinen Installationsbefehl von Dir entfernt.

Moderne Web-Entwicklung

Aus einem modernen Entwicklungs-Workflow ist npm nicht mehr wegzudenken. Willst Du in Deinem Projekt Icons einbinden, ein CSS-Framework nutzen oder JavaScript-Bibliotheken installieren, ist der Befehl npm install -g meist die erste Anweisung, die Du in der entsprechenden Doku liest.

npm ist für Dich bei uns so vorkonfiguriert, dass Du diesen Anleitungen direkt folgen kannst. Die Option -g (für Global) installiert das entsprechende Modul für Deinen Hosting-Account im Home-Verzeichnis.

Static Site Generators

Neu kannst Du bei uns mit auf Node.js basierenden Static Site Generators wie Docusaurus, Hexo, Gatsby oder Nuxt die Website-Daten auch direkt auf dem Server erzeugen, anstatt sie zuerst lokal zu generieren und dann auf Dein Webhosting zu kopieren.

Tools, Tools, Tools…

Um npm hat sich ein Ökosystem gebildet, das jede Menge praktische Tools hervorgebracht hat. Ob Du mit Webpack und Browserify einzelne JavaScript-Module für den Browser bündeln möchtest, mit svgo SVG-Dateien optimieren willst oder mit node-qrcode einfach einen QR-Code auf der Kommandozeile anzeigst: Was bisher nur bei Dir lokal möglich war, funktioniert jetzt auch auf den cyon-Servern.

Inspiration für das, was Du mit npm install alles anstellen kannst, findest Du zum Beispiel auf der Awesome-Liste von Sindre Sorhus.

Task-Runner

Mit Task-Runnern wie Grunt oder Gulp kannst Du wiederkehrende Aufgaben automatisieren. Bilder beim Upload umwandeln, SASS in CSS übersetzen oder JavaScript-Dateien zusammenführen? Auf Deinem Webhosting ist das ab sofort dank npm und Node.js möglich.

(Noch) nicht möglich: Web-Applikationen

Bei Node.js und npm denkst Du sicher auch an den Betrieb von Applikationen wie Ghost oder Etherpad. Oder an Server-Side-Rendering in Tools wie Nuxt oder Gatsby. Eine Anbindung von Node.js an den Webserver ist bei uns zurzeit nicht vorhanden, womit Du solche Anwendungen nicht oder nur auf Umwegen betreiben kannst. Wir haben das Thema Node.js aber auf jeden Fall auf unserem Radar. 🙂

Kostenlose Icons: 19 Websites, die in keiner Linksammlung fehlen dürfen

Bist Du auf der Suche nach Icons für Dein Web-Projekt? Ähnlich wie zum Thema Stockfotos finden sich auch für Icons jede Menge Quellen im Netz, die Symbole zur freien Nutzung anbieten. Wir haben die besten Icon-Websites für Dich gesammelt.

Ob in Website-Designs, Interfaces von Web-Applikationen oder Social-Media-Posts, Icons sind allgegenwärtig. Auf diesen Websites solltest Du vorbeischauen, wenn Du Icons für Dein nächstes Projekt benötigst:

Material Design Icons

Material Icons

Das Design-System «Material» von Google ist bekannt. Passenderweise liefert Google gleich auch noch über 900 Icons im Material-Design zur Verwendung im Web, sowie für Android- und iOS-Projekte. Die Icons stehen unter der Open-Source-Lizenz «Apache License Version 2.0» zum Download bereit.

Noun Project

The Noun Project

The Noun Project hat grossgesteckte Ziele und will nichts weniger, als alle Bildsprachen unserer Welt zusammenbringen. Über 3 Millionen Icons hat die Noun Project-Community inzwischen onlinegestellt. Sie können alle unter einer Creative-Commons-Lizenz genutzt werden.

Smashing Magazine

Smashing Magazine

Das Design-Magazin «Smashing Magazine» hält immer wieder Freebies bereit, die einen Blick wert sind. Der regelmässige Besuch der Kategorie lohnt sich also.

Flaticon

Flaticon

Rund 3,5 Millionen vektorisierte Icons sind bei Flaticon zu finden. Ein Teil davon kann unter einer speziellen Flaticon-Lizenz und mit Namensnennung kostenlos genutzt werden. Flaticon bietet zudem jede Menge Funktionen. So lassen sich die Icons etwa in Kollektionen sammeln und direkt in der gewünschten Farbe oder als Icon-Font herunterladen.

Captain Icon

Captain Icon

Mario ist Captain Icon. Der Spanier bietet über 350 Icons zum Download, die unter einer Creative-Commons-Lizenz genutzt werden können.

Good Stuff No Nonsense

Good Stuff No Nonsense

Bei Good Stuff No Nonsense findet man Icon-Packs zu vielen verschiedenen Themen. Nebst einigen kostenlosen Packs bietet die Website auch kostenpflichtige Sammlungen an.

Dribbble

Dribbble

In der Designer*innen-Community Dribbble findet sich, nebst jeder Menge Inspiration, unter dem Suchbegriff «free icons» eine riesige Auswahl an hochstehenden Icon-Kreationen.

Iconfinder

Iconfinder

Rund 5 Millionen SVG-Icons sind in der Datenbank von Iconfinder abgelegt. Die Icons können nach verschiedenen Kriterien gefiltert werden und stehen unter verschiedenen Lizenzen zur Verfügung.

GraphicBurger

Graphic Burger

GraphicBurger bietet nebst anderen Design-Elementen wie Mock-Ups oder UI-Kits auch eine Auswahl an qualitativ hochstehenden Icons an. Die Icons sind unter einer GraphicBurger-eigenen Lizenz kostenlos nutzbar.

Icons8

Icons8

Icons8 bietet 51’000 Icons im Flat-Design zum Download an. Die Icons können vor dem Download mit Effekten bearbeitet, in Farbe und Grösse verändert, oder beschriftet werden. Die Icons können kostenlos genutzt werden, sofern ein Link zur Icons8-Website gesetzt wird.

iconmonstr

iconmonstr

iconmonstr, ein Projekt des Deutschen Alexander Kahlkopf, bietet eine ständig wachsende Zahl von kostenlosen, einfachen Icons. Die Bilder stehen unter einer eigenen Lizenz.

Zondicons

Zondicons

Zondicons sind SVG-Icons, die für den Einsatz in digitalen Produkten wie Websites oder Apps entwickelt wurden. Die Icons des Kanadiers Steve Schoger können unter einer Creative-Commons-Lizenz genutzt werden.

IconStore

IconStore

IconStore, ein Projekt der Leute hinter CodyHouse, bietet Premium-Icons von ausgewählten Designern. Die Icons sind unter einer eigenen Lizenz kostenlos nutzbar.

365cons

365cons

365cons war ein Projekt der Designerin Amy Devereux. Sie stellte 2016 ein Jahr lang jeden Tag ein neues Icon online und experimentierte mit neuen Techniken und Stilen. Die nach wie vor sehenswerten Icons können unter der Open-Source-Lizenz MIT genutzt werden.

Feather

Feather

«Simply beautiful open source icons» verspricht Feather. Die Icons können in Farbe, Strichstärke und Grösse noch vor dem Download angepasst werden.

IconArchive

Iconarchive

Mehr als 700’000 Icons finden sich bei IconArchive. Etwas verwirrend: Die vorhandenen Icons stehen unter verschiedensten Lizenzen. Während manche Icons frei genutzt werden können, stehen andere unter einer Creative-Commons- oder MIT-Lizenz zur Verfügung.

dryicons

DryIcons

Das mazedonische Projekt beherbergt rund 6700 einzigartige Icons, die das Design-Studio in den letzten Jahren erstellt hat. Die Icons können unter einer eigenen Lizenz mit einem Backlink genutzt werden. Wer auf den Backlink verzichten will, findet dort auch eine Extended Lizenz, welche dies zulässt.

Font Awesome

Fontawesome

Font Awesome nennt sich selbst das beliebteste Icon-Set im Web und ist mehr als nur eine Sammlung schöner Icons. Mit einem eigenen Content-Delivery-Network (CDN), mit dem Du die Icons direkt auf Deiner Website einbinden kannst und einem grossen Fundus an Anleitungen zur Nutzung ist Font Awesome ein regelrechtes Icon-Ökosystem. Mittlerweile ist bereits Version 6 des beliebten Tools in Entwicklung.

Clarity

Clarity
Clarity ist ein ganzes Design-System des Technologie-Unternehmens VMware. Ein Teil des Systems ist die Icon-Bibliothek, die sich mittels NPM einbinden lässt. Alternativ kannst Du die MIT-lizenzierten Icons auch im SVG-Format direkt herunterladen.

Bleibt zum Schluss die Frage: Wie verwaltet man eigentlich seine stetig grösser werdende Iconsammlung? Wir nutzen dazu gern IconJar für macOS. Passenderweise bieten die Macher von IconJar gleich selbst eine Sammlung von (kostenlosen) Icons an.

Kennst Du weitere Icons-Websites, die in keiner gut sortierten Linkliste fehlen dürfen?

Google Analytics: 10 Alternativen zum Marktführer

Auf über 79 % aller Schweizer Websites wird Google Analytics zur Erstellung und Auswertung von Zugriffsstatistiken genutzt. Damit hat Google auch in unseren Breitengraden eine absolute Vormachtstellung. Heute zeigen wir Dir 10 alternative Lösungen, die Du anstatt Google Analytics für Deine Website-Statistiken einsetzen kannst.

10 Alternativen zu Google Analytics

Warum nicht Google Analytics?

Es gibt diverse Gründe, warum man sich nach einer Google Analytics-Alternative umsehen möchte.

Google weiss viel über uns Internetnutzer*innen. Wer nicht möchte, dass Zugriffsstatistiken der eigenen Website auf den Servern von Google gespeichert werden, ist mit Google Analytics offensichtlich falsch beraten. Zudem stehen Dir mit Google Analytics lediglich die verarbeiteten Daten zur Verfügung, Zugriff auf die Rohdaten ist nicht möglich. Nicht zuletzt bietet Google Analytics eine Unmenge an Funktionen. Das kann schonmal abschrecken. Wenn’s ein wenig einfacher sein soll und Du den Grossteil der Funktionen sowieso nicht nutzt, lohnt sich der Blick auf eine der Alternativen.

Tags und Pixel vs Logdateianalyse

Vorneweg: Bei der Wahl einer Analysesoftware gilt es zwischen zwei Verfahren zu unterscheiden, wie die Zugriffsdaten gesammelt werden.

Zum einen sind das Lösungen, die mithilfe von JavaScript-Tags das Verhalten der Website-Besucher*innen aufzeichnen und diese Signale an die Analysesoftware senden. Ist JavaScript im Browser deaktiviert, kann die Datenaufzeichnung mit einem sogenannten Zählpixel stattfinden. Ein Zählpixel ist eine pixelgrosse, transparente Bilddatei, die beim Aufruf der Seite vom Browser geladen wird. Der Zugriff auf diese Bilddatei wird dann mithilfe des HTTP-Referrers von der Analysesoftware der entsprechenden Seite zugewiesen. Die JavaScript- und Zählpixel-Lösungen rechnet man den sogenannten client-basierten Lösungen zu, da sie im Browser der Besucherinnen und Besucher Daten generieren und diese über einen Drittanbieter (wie Google Analytics) gesammelt werden können.

Zum anderen kannst Du sogenannte Log-Analyzer nutzen, die Du mit Serverprotokollen fütterst. Diese Analyzer kategorisieren die protokollierten Zugriffe und bereiten diese grafisch auf. Diese Lösungen bezeichnet man als server-basiert, da die Daten serverseitig generiert werden.

Heutzutage herrscht das clientseitige Verfahren mit JavaScript-Tags und Zählpixeln vor. Die beiden Verfahren schliessen sich keineswegs aus und die Kombination beider Varianten kann zu einer besseren Datenqualität führen. Einzelne Lösungen unterstützen sogar beide Verfahren von Haus aus, Google Analytics gehört allerdings nicht dazu. Ein Grund mehr, sich nach einer Alternative umzuschauen, wenn alle Daten direkt in einem Werkzeug landen sollen.

Die Alternativen

Wir haben uns 10 Analysetools genauer angesehen und stellen diese kurz vor:

Matomo

Screenshot Matomo 2020

Matomo (früher unter dem Namen Piwik bekannt) ist die populärste Google Analytics-Alternative und kommt auf etwas mehr als 15% der Schweizer Websites zum Einsatz. Die Open-Source-Software basiert auf PHP und MySQL und lässt sich somit bei den meisten Webhosting-Anbietern problemlos installieren. Das Tool bietet praktisch alle Funktionen, die Google Analytics mitbringt und eignet sich damit hervorragend als Ersatz. Dank unzähligen Plugins lässt sich die Grundinstallation um weitere Funktionen erweitern. Ausserdem funktioniert Matomo nicht nur client-basiert sondern kann auch Serverprotokolle verarbeiten. Aufgrund der ausführlichen Einstellungsmöglichkeiten zur Wahrung der Privatsphäre ist Matomo vor allem in Europa sehr beliebt und wird auch von Behörden eingesetzt.

  • Datensammlung: Client- und server-basiert
  • Service oder selbstgehostet: Selbstgehostet und als Service verfügbar
  • Kosten: Kostenlos, open-source
  • Website: Matomo

Clicky

Screenshot Clicky 2020

Clicky ist ein Service, der für kleinere Websites kostenlos ist. Mit dem Dienst lassen sich die Aktionen einzelner Besucher in Echtzeit verfolgen. In der Bezahlvariante bietet Clicky ausserdem Heatmaps und eine zuverlässigere Angabe der Bounce-Rate.

  • Datensammlung: Client-basiert
  • Service oder selbstgehostet: Service
  • Kosten: Kostenlose Version verfügbar
  • Website: clicky.com

Open Web Analytics

Screenshot Open Web Analytics 2020

Open Web Analytics ist, der Name verräts, Open-Source-Software und basiert wie Piwik auf PHP und MySQL. Die Weiterentwicklung des Projekts kannst Du auf Github verfolgen. Die Oberfläche von Open Web Analytics erinnert stark an Google Analytics, womit man sich als Google Analytics-Kenner*in schnell zurechtfindet. Open Web Analytics bietet tolle Features wie eine Heatmap oder Aufzeichnungen von Mausbewegungen.

  • Datensammlung: Client-basiert
  • Service oder selbstgehostet: Selbstgehostet
  • Kosten: Kostenlos, open-source
  • Website: www.openwebanalytics.com

Yandex Metrica

Screenshot Yandex Metrica 2020

Yandex ist das russische Pendant zu Google. Ein Analytics-Dienst darf da natürlich nicht im Angebot fehlen. Die Funktionen ähneln denn auch stark denen von Google Analytics. Im Gegensatz zum Google-Produkt bietet Metrica jedoch zusätzliche Funktionen wie «Session Replay», mit der Du nachverfolgen kannst, wie Besucher*innen mit Deiner Website interagiert haben. Als Suchmaschinenanbieter mit ähnlichem Produkte-Portfolio wie Google gelten viele der Nachteile, Stichwort Datenschutz, auch für Yandex Metrica. Metrica lässt sich grundsätzlich DSGVO-konform betreiben, aufgrund des Serverstandorts Russland solltest Du die Entwicklung der datenschutzrechtlichen Rahmenbedingungen aber im Auge behalten.

  • Datensammlung: Client-basiert
  • Service oder selbstgehostet: Service
  • Kosten: Kostenlos
  • Website: metrica.yandex.com

StatCounter

Screenshot Statcounter 2020

StatCounter bietet die üblichen Funktionen, hebt sich gegenüber Google Analytics jedoch mit rohen Daten ab. StatCounter hält die Logs vor und ermöglicht so, Zugriffsdaten ganz genau zu analysieren. In der kostenlosen Version werden die letzte 500 Zugriffe gespeichert, die Bezahlversion bietet je nach Bedarf Daten, die weiter zurückliegen. Damit eignet sich die kostenlose Version von StatCounter vor allem für die kurzfristige Analyse der Zugriffsstatistiken. Wer ältere Daten benötigt, greift zur Bezahlversion.

  • Datensammlung: Client-basiert
  • Service oder selbstgehostet: Service
  • Kosten: Kostenlose Version verfügbar
  • Website: de.statcounter.com

GoAccess

Screenshot GoAccess 2020

GoAccess gehört zu den eingangs erwähnten Log-Analyzern, bereitet also vorhandene Protokolle auf. GoAccess kann Serverprotokolle entweder nachträglich oder in Echtzeit verarbeiten und diese sowohl auf der Kommandozeile wie auch als HTML-Report im Browser ausgeben. GoAccess lässt sich auf Unix-Systemen (Mac, Linux) installieren, auf Windows-Computern ist der Betrieb dank Cygwin möglich.

  • Datensammlung: Server-basiert
  • Service oder selbstgehostet: Selbstgehostet oder lokale Installation
  • Kosten: Kostenlos, open-source
  • Website: goaccess.io

AWStats

Screenshot AWStats 2020
AWStats ist das Urgestein unter den Log-Analyzern und kommt bei vielen Webhosting-Anbietern standardmässig zum Einsatz. Die in Perl geschriebene Software verrichtet zuverlässig ihre Dienste und bereitet Serverprotokolle übersichtlich auf, auch wenn das Layout mittlerweile angestaubt wirkt.

  • Datensammlung: Server-basiert
  • Service oder selbstgehostet: Selbstgehostet oder lokale Installation
  • Kosten: Kostenlos, open-source
  • Website: www.awstats.org

userTrack

Screenshot userTrack 2020

userTrack kann Segmente, Session-Recording und Heatmap. Ausserdem beinhaltet das Tool eine Funktion für A/B-Tests. Eine übersichtliche Oberfläche sorgt dafür, dass Du schnell die gewünschten Daten findest.

  • Datensammlung: Client-basiert
  • Service oder selbstgehostet: Selbstgehostet
  • Kosten: Ab 59.99 $ pro Jahr
  • Website: www.usertrack.net

Plausible

Screenshot Plausible 2020

Plausible platziert sich als komplettes Gegenstück zu Google Analytics und soll möglichst simpel und unkompliziert sein. Trotzdem sind alle wichtigen Kennzahlen ersichtlich, mit denen Du die Performance Deiner Website messen kannst. Plausible ist Open-Source und lässt sich mit Docker auf einem geeigneten Server auch selber hosten.

  • Datensammlung: Client-basiert
  • Service oder selbstgehostet: Service oder selbstgehostet
  • Kosten: Ab 6 $ pro Monat, kostenlos selbstgehostet
  • Website: plausible.io

Fathom

Screenshot Fathom 2020

Fathom ähnelt optisch Plausible und teilt einige der Merkmale der simplen Google-Analytics-Alternative. Wie Plausible setzt auch Fathom einen starken Fokus auf Datenschutz, ist im direkten Vergleich aber etwas teurer.

  • Datensammlung: Client-basiert
  • Service oder selbstgehostet: Service
  • Kosten: Ab 14 $ pro Monat
  • Website: usefathom.com

Welche Google Analytics-Alternative soll’s sein?

Wer auf die vielen Features von Google Analytics angewiesen ist, seine Daten aber nicht in fremde Hände geben will, greift vorzugsweise zu Matomo oder Open Web Analytics. Dürfen’s auch ein paar Funktionen weniger sein, lohnt sich der Blick auf Plausible. Und sollen sowieso nur die servereigenen Protokolle ausgewertet werden und das entweder auf der Kommandozeile oder im Browser, dann ist GoAccess das Tool der Wahl.

Unsere Liste ist keineswegs abschliessend, tummeln sich doch unzählige Anbieter in diesem Markt. Nutzt Du ein Tool, das wir nicht erwähnt haben? Dann freuen wir uns über Deinen Kommentar.

Nach dem Ende von Privacy Shield: Wie können amerikanische Internet-Dienste weiterhin genutzt werden?

Ein Gastbeitrag von Rechtsanwalt Martin Steiger, Datenschutzpartner AG / Steiger Legal AG

Google Analytics auf der Website, Newsletter-Versand mit Mailchimp, Video-Konferenzen mit Zoom: Wer sich im digitalen Raum bewegt, nutzt fast immer zahlreiche amerikanische Internet-Dienste.

Wer solche und andere Dienste im Internet nutzt, bearbeitet zwangsläufig Personendaten. Google Analytics erfährt zwangsläufig die IP-Adressen von Website-Besuchern. Mailchimp zum Beispiel kann keine Newsletter versenden, ohne die E-Mail-Adressen und damit Personendaten der E-Mail-Empfänger zu kennen. Zoom nimmt Bild- und Ton auf, damit sich die Teilnehmer einer Video-Konferenz sehen und hören können.

Nach dem Ende von Privacy Shield: Wie können amerikanische Internet-Dienste weiterhin genutzt werden?

Inhalt

Wichtigste Regel: Angemessener Datenschutz beim Daten-Export

Bei der Bearbeitung von Personendaten muss (selbstverständlich) das anwendbare Datenschutzrecht eingehalten werden. In der Schweiz ist das Datenschutzgesetz (DSG) anwendbar, im Europäischen Wirtschaftsraum (EWR) einschliesslich der Europäischen Union (EU) sowie Island, Liechtenstein und Norwegen die Datenschutz-Grundverordnung (DSGVO).

Dabei kennen sowohl das schweizerische als auch das europäische Datenschutzrecht verschiedene Voraussetzungen, unter denen die Bearbeitung von Personendaten im Ausland erlaubt ist.

«Angemessener Schutz» bedeutet, dass die Grundsätze des schweizerischen DSG eingehalten werden, betroffene Personen ihre Rechte wirksam wahrnehmen können – unter anderem das Recht auf Auskunft – und dass vor Ort im Ausland eine unabhängige Datenschutz-Aufsichtsbehörde besteht.

Angemessener Datenschutz: Mit welchen Staaten ist freier Datenverkehr möglich?

Wer Daten exportiert, also beispielsweise einen Internet-Dienst im Ausland nutzt, muss prüfen, ob im betroffenen Ausland ein angemessener Datenschutz gewährleistet ist. Dabei kann man sich erst einmal auf die Staatenliste des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) abstützen:

Gemäss der Staatenliste besteht insbesondere in folgenden Staaten ein angemessener Datenschutz:

  • Europäischer Wirtschaftsraum (EWR)
  • Grossbritannien
  • Israel
  • Kanada
  • Neuseeland

Dadurch ist die Nutzung von Internet-Diensten und der sonstige Daten-Export in diese Staaten datenschutzrechtlich grundsätzlich unproblematisch, sofern auch ansonsten das Datenschutzrecht eingehalten wird.

Ungenügend hingegen ist der Datenschutz unter anderem in den USA, aber beispielsweise auch in Bosnien und Herzegowina, im Kosovo, in Montenegro, in Russland und in Serbien. Weitere Staaten mit ungenügendem Datenschutz sind China, Hongkong, Indien, Japan, Singapur, Südkorea, Taiwan, Thailand und die Vereinigten Arabischen Emirate.

Siehe auch: Datenübermittlung ins Ausland kurz erklärt (EDÖB)

USA: Welche Bedeutung hatte der Privacy Shield?

Mit dem Privacy Shield bestand für amerikanische Unternehmen die Möglichkeit, freiwillig einen angemessenen Datenschutz gegenüber Personen in Europa zu gewährleisten. Eine entsprechende Absprache bestand sowohl zwischen der EU und den USA als auch zwischen der Schweiz und den USA.

In der Privacy Shield Liste sind über 5’000 teilnehmende Unternehmen eingetragen.

Allerdings erklärte der Europäische Gerichtshof (EuGH), das höchste Gericht der EU, am 16. Juli 2020 mit Urteil C-311/18 «Schrems II» den EU-US-Privacy Shield per sofort für ungültig. In der Schweiz ist der Privacy Shield zwar weiterhin gültig, doch gelangte der EDÖB am 8. September 2020 ebenfalls zum Ergebnis, dass der Privacy Shield «kein adäquates Datenschutzniveau» biete.

Der EuGH stellte fest, dass betroffene Personen, die keine amerikanischen Staatsbürger sind, ihre Rechte gegenüber amerikanischen Behörden nicht wirksam wahrnehmen können. (Wie es darum in Europa steht, prüfte der EuGH nicht …)

Immerhin sehen sowohl das schweizerische als auch das europäische Datenschutzrecht vor, dass der Daten-Export in Staaten ohne angemessenen Datenschutz zulässig ist, sofern er wirksam abgesichert werden kann.

Wer Daten in solche Staaten exportieren möchte, muss prüfen, wie der Datenschutz auf eine andere Art und Weise gewährleistet werden kann. Bei den USA geht es in erster Linie um die Nutzung von Internet-Diensten, bei Staaten auf dem Balkan und in Osteuropa hingegen um das Outsourcing von Software-Entwicklung (sogenanntes Nearshoring).

Daten-Export: Wie funktioniert die Absicherung mit Standardvertragsklauseln?

Im Vordergrund stehen geeignete vertragliche Garantien, die einen angemessenen Schutz im Ausland gewährleisten (Art. 6 Abs. 2 lit. a DSG).

Damit verpflichtet sich der Daten-Importeur – zum Beispiel ein Auftragnehmer in Serbien oder ein Internet-Dienst in den USA –, einen angemessenen Datenschutz gemäss europäischem Standard zu gewährleisten.

Aus schweizerischer und europäischer Sicht sind insbesondere die Standardvertragsklauseln der Europäischen Kommission relevant.

Die Standardvertragsklauseln müssen aber nicht als eigener Vertrag vereinbart werden. Sie können in einen anderen Vertrag integriert werden. Auch können zusätzliche Vereinbarungen getroffen werden, die über die Standardvertragsklauseln hinausgehen.

Alternativ verweist der EDÖB auf den französischsprachigen Mustervertrag des Europarates sowie auf den eigenen englischsprachigen Mustervertrag («Swiss Transborder Data Flow Agreement»).

Der EDÖB und der EuGH hielten nach dem Ende von Privacy Shield ausdrücklich fest, dass Standardvertragsklauseln eine Möglichkeit bleiben, den Daten-Export abzusichern. Sie müssen allerdings wirksame Mechanismen enthalten, die in der Praxis gewährleisten, dass 1) tatsächlich ein angemessener Datenschutz besteht und 2) der Daten-Export ausgesetzt oder unterlassen wird, wenn gegen die vertraglichen Garantien verstossen wird oder ihre Einhaltung nicht gewährleistet ist.

Absicherung: Was sind die Alternativen zu Standardvertragsklauseln?

Es gibt Alternativen zu Standardvertragsklauseln. Dazu zählt insbesondere die aktive und ausdrückliche Einwilligung der betroffenen Personen im Einzelfall nach angemessener Information (Art. 6 Abs. 2 lit. b DSG).

Für eine solche Einwilligung könnte bei einer Website beispielsweise ein Cookie-Banner verwendet werden. Der Daten-Export dürfte (selbstverständlich) erst stattfinden, wenn die Einwilligung erteilt worden ist. Die Einwilligung müsste jederzeit widerrufen werden können. Die Einwilligung könnte nicht pauschal erfolgen, sondern müsste sich insbesondere auf bestimmte Zwecke und Empfänger beschränken.

Auch zulässig ist der Daten-Export im Zusammenhang mit dem Abschluss oder der Abwicklung von Verträgen (Art. 6 Abs. 2 lit. c DSG). Beispiele dafür sind internationaler Tourismus, internationale Transporte und internationaler Zahlungsverkehr.

Weitere Alternativen sind unter anderem die Feststellung, Ausübung oder Durchsetzung von Rechtsansprüchen vor Gericht (Art. 6 Abs. 2 lit. d DSG) und der Schutz von Leben oder körperlicher Integrität von betroffenen Personen (lit. e) sowie der Daten-Austausch innerhalb von internationalen Unternehmen (lit. g, sogenannte Binding Corporate Rules).

Ob solche Alternativen tauglich sind, muss im Einzelfall geprüft werden. Schweizer Banken scheiterten beispielsweise mehrheitlich beim Versuch, die Lieferung von Bankmitarbeiter-Daten an die USA mit der Ausübung von Rechtsansprüchen vor Gericht zu begründen.

Die Einwilligung im Einzelfall ist zwar denkbar, aber die Hürden, um eine rechtswirksame Einwilligung einzuholen, sind hoch. Weiter schreckt man mit dem Versuch, eine solche Einwilligung einzuholen, allenfalls (zu) viele Website-Besucher ab, genauso wie bereits mit einem (sonstigen) Cookie-Banner.

Siehe auch: Antworten der Europäischen Kommission auf häufig gestellte Fragen

Daten-Export: Was gilt gemäss Datenschutz-Grundverordnung (DSGVO)?

Die europäische DSGVO regelt den Daten-Export wesentlich genauer als das schweizerische DSG. In groben Zügen sind die Voraussetzungen aber gleich:

Wenn im betreffenden anderen Staat kein angemessener Datenschutz gewährleistet ist (Art. 45 DSGVO), muss der Daten-Export mit anderen Mitteln abgesichert werden, in erster Linie mit den Standardvertragsklauseln der Europäischen Kommission (Art. 46 ff. DSGVO). Schliesslich müssen die betroffenen Personen über den Daten-Export informiert werden, was üblicherweise im Rahmen der sowieso erforderlichen Datenschutzerklärung geschieht (Art. 13 u. 14 Abs. 1 lit. f DSGVO).

Die Liste der Staaten, in denen die Europäische Kommission von einem angemessenen Datenschutz ausgeht, ist mit jener der Schweiz weitgehend identisch. Der wesentliche Unterschied liegt darin, dass für Japan zusätzlich ein Angemessenheitsbeschluss der Europäischen Union besteht. Der Datenschutz in Südkorea könnte in Kürze von der Europäische Kommission als angemessen anerkannt werden.

In der Folge müssen sie die DSGVO zumindest teilweise einhalten, häufig aufgrund von vertraglichen Vereinbarungen sogar vollständig.

Siehe auch: Wann gilt die DSGVO / GDPR in der Schweiz und anderswo ausserhalb der EU? (Steiger Legal)

Schritt für Schritt: So kann der Daten-Export abgesichert werden

Nachfolgend zeige ich anhand von fünf Schritten am Beispiel von Zoom, wie der Daten-Export abgesichert werden kann. Spätestens aufgrund der COVID-19-Pandemie dürfte Zoom als Internet-Dienste für Video-Konferenzen inzwischen allgemein bekannt sein.

Schritt 1: Werden Daten in ein Land ohne angemessenen Datenschutz exportiert?

Bei Zoom ist die Antwort einfach, denn es handelt sich bekanntlich um einen amerikanischen Dienst. Und wir wissen bereits, dass die Gesetzgebung in den USA keinen angemessenen Datenschutz gewährleistet.

Im Zweifelsfall findet man Angaben zu Herkunft und Sitz von Internet-Diensten im Impressum und in der Datenschutzerklärung sowie in den Angaben zur Auftragsverarbeitung. Letztere sind wichtig, weil viele Anbieter von Internet-Diensten in der Schweiz und im EWR ebenfalls Daten exportieren, weil sie selbst Dienste im Ausland nutzen.

Es genügt beispielsweise nicht, dass ein amerikanischer Internet-Dienst für Europa durch eine Tochtergesellschaft in Irland angeboten wird oder die Daten in erster Linie im «Datacenter in Frankfurt» liegen, wenn die Daten dann doch in den USA bearbeitet werden.

Im Zweifelsfall muss man einzeln beim jeweiligen Datenschutzbeauftragten oder – falls nicht vorhanden – beim Support nachfragen.

Bei Zoom findet man den Einstieg über die Seite Datenschutz und Sicherheit für Zoom Video Communications». Dort wird unter anderem auf die Datenschutzerklärung verlinkt.

Die Liste der Unterauftragsverarbeiter führt Zoom auf der Seite «Subprozessoren». Der Liste kann man beispielsweise entnehmen, dass Zoom unter anderem Unterauftragsverarbeiter in Malaysia und auf den Philippinen einsetzt. Wer prüfen möchte, wie auskunftsfreudig Zoom ist, fragt per E-Mail an privacy@zoom.us nach, wie Zoom den Daten-Export in diese Staaten ohne angemessenen Datenschutz absichert.

Schritt 2: Wie kann der Daten-Export abgesichert werden?

Bei Internet-Diensten stehen wie erwähnt Standardvertragsklauseln im Vordergrund. Bei einem Internet-Dienst wie Zoom käme auch die Einwilligung im Einzelfall in Frage, weil es möglich ist, von den Teilnehmern von Video-Konferenzen eine solche Einwilligung einzuholen.

In vielen Fällen ist das vorgängige Einholen einer Einwilligung aber nicht realistisch oder wünschenswert. Wer beispielsweise Google Workspace (ehemals G-Suite) oder Microsoft 365 nutzt, wird schwerlich alle betroffenen Personen um ihre Einwilligung bitten können. Auch wäre es anspruchsvoll, mit dem Widerruf einer solchen Einwilligung umzugehen.

Das gilt auch für Zoom, wo man in der Datenschutzerklärung im Abschnitt «Internationale Transfers» einen ersten entsprechenden Hinweis findet. Der Auftragsverarbeitungsvertrag («Global Data Processing Addendum») von Zoom enthält dann entsprechende Bestimmungen.

In Bezug auf die USA müssen bestehende Standardvertragsklauseln zum Teil ergänzt werden, um zusätzliche Garantien zum Schutz vor amerikanischer Massenüberwachung zu schaffen.

Geprüft werden sollte immer auch, ob das Datenschutzrecht im Allgemeinen eingehalten wird. So kann man mit einem Blick auf die Datenschutzerklärung prüfen, ob ein Internet-Dienst, der behauptet, die DSGVO einzuhalten, über die erforderliche EU-Datenschutz-Vertretung gemäss Art. 27 DSGVO verfügt. Zoom nennt in der Datenschutzerklärung einen «EU Representative» in Irland, womit die DSGVO in diesem Punkt erfüllt wird.

Aber Vorsicht, viele Internet-Dienste nutzen wie erwähnt Unterauftragsvearbeiter in den USA und in anderen Staaten ohne angemessenen Datenschutz!

Je nach Internet-Dienst gibt es allerdings gar keine Alternative, die in Frage kommt. Gerade amerikanische Dienste sind deshalb häufig erfolgreich, weil sie funktional ihrer Konkurrenz in Europa und anderswo deutlich überlegen sind. Die einfache und zuverlässige Durchführung von Webinaren mit hunderten von Teilnehmern beispielsweise ist immer noch ein Alleinstellungsmerkmal von Zoom.

Schritt 3: Beruft sich der Internet-Dienst immer noch auf das Privacy Shield?

Einige amerikanische Internet-Dienste berufen sich immer noch auf das Privacy Shield. Wenn das der Fall ist, sollte der Internet-Dienste nicht mehr verwendet werden. Das Gleiche gilt, wenn ein Internet-Dienst nicht von sich aus seinen Kunden in Europa hilft, den Daten-Export abzusichern.

Zoom hatte beispielsweise in einem Blog-Eintrag vom 28. Juli 2020 auf das EuGH-Urteil reagiert und auf die vorhandenen Standardvertragsklauseln verwiesen.

Schritt 4: Wie gross ist das Risiko für betroffene Personen?

Standardvertragsklauseln haben einen entscheidenden Nachteil: Sie sind für die Behörden im Staat, wo ein Internet-Dienst sitzt, nicht verbindlich. Auch wenn beispielsweise Zoom im Rahmen von Standardvertragsklauseln geeignete vertragliche Garantien abgibt, werden sich amerikanische Behörden nicht daran halten.

Betroffene Personen sind jene Personen, deren Daten exportiert werden, bei Zoom beispielsweise bei der Durchführung von Video-Konferenzen. Es geht aber auch darum, mit welchen Überwachungsmassnahmen zu rechnen ist und welche Schutzmassnahmen ein Anbieter trifft.

Diese Risikoprüfung ist aufwendig, wenn man sie gründlich durchführt. Hilfreich sind beispielsweise die Empfehlungen der Non-Profit-Organisation noyb, welche das EuGH-Urteil gegen den Privacy Shield erwirkt hatte. nyob hat – umfangreiche! – Musterfragebögen veröffentlicht.

Bei Video-Konferenzen ist zwar mit Überwachungsmassnahmen zu rechnen, da es sich um einen Kommunikationskanal handelt, doch bei einem öffentlich ausgeschriebenen Webinar dürfte das Risiko für die betroffenen Personen gering sein. Hingegen sollten sich beispielsweise Personen in der Schweiz, die in ein Verfahren gegen Behörden in den USA verwickelt sind, nicht ohne weiteres über Zoom mit ihren Rechtsanwälten austauschen.

Das Risiko für die betroffenen Personen kann man teilweise selbst durch geeignete Einstellungen beschränken. So ist es bei Zoom möglich, die verwendeten Datacenter-Regionen zu beschränken und die Teilnahme im Browser ohne App zu fördern. Zoom ist daran, Ende-zu-Ende-Verschlüsselung für Video-Konferenzen einzuführen.

Leider ist die erforderliche Risikoprüfung für viele Laien und KMU kaum zu leisten. Es ist zu hoffen, dass Internet-Dienste – auch Zoom – in dieser Hinsicht ihre Unterstützung verbessern werden. Je mehr allgemeine Informationen ein Internet-Dienst von sich aus liefert, desto weniger Aufwand müssen einzelne Nutzer betreiben.

Die Prüfung kann je nach Einzelfall unterschiedlich ausfallen. Es ist deshalb nicht möglich, einen Internet-Dienst wie Zoom datenschutzrechtlich pauschal für zulässig (oder unzulässig) zu erklären. Auch besteht bei amerikanischen Diensten seit dem «Schrems II»-Urteil immer ein datenschutzrechtliches Risiko.

Schritt 5: Genügt die Absicherung oder muss eine Alternative gesucht werden?

Wenn die Prüfung insgesamt so ausfällt, dass ein angemessener Datenschutz gewährleistet ist, kann man den Internet-Dienst vorläufig als «abgesichert» betrachten und auf Zusehen hin nutzen.

Eine solche Prüfung sollte alle sechs bis zwölf Monate stattfinden, besser alle drei Monate. In vielen Fällen wird man den Internet-Dienst weiterhin nutzen können, aber zum Beispiel die Datenschutzerklärung anpassen müssen, weil sich einzelne Angaben geändert haben.

Es kann aber genauso sein, dass sich früher oder später ein Daten-Export in die USA und andere Staaten ohne angemessenen Datenschutz selbst mit Standardvertragsklauseln nicht mehr ausreichend absichern lässt. So stellt sich die Datenschutz-Aufsichtsbehörde in Baden-Württemberg bereits heute auf den Standpunkt, die Nutzung amerikanischer Internet-Dienste sei nur noch zulässig, wenn es keine zumutbare Alternative ohne Daten-Export-Problematik gäbe.

Wenn man aufgrund der Prüfung davon ausgeht, dass kein angemessener Datenschutz gewährleistet ist, sollte eine Alternative gemäss Schritt 2 gesucht werden.

Wer risikobereit ist, kann sich dafür entscheiden, den geprüften Internet-Dienst trotzdem zu nutzen. Gründe dafür können sein, dass der Internet-Dienst für die eigenen Aktivitäten sehr wichtig ist, während gleichzeitig das Risiko für Sanktionen durch Datenschutz-Aufsichtsbehörden gering erscheint. Ob ein solches Risiko eingegangen werden soll, muss im Einzelfall und in eigener Verantwortung entschieden werden.

In vielen Fällen wird man dieses Risiko nur zeitlich beschränkt eingehen wollen, zum Beispiel in der Hoffnung auf eine Nachfolge-Regelung für das Privacy Shield oder um in aller Ruhe nach einer akzeptablen Alternative suchen zu können.

Siehe auch: Privacy Shield ungültig: Was bedeutet das EuGH-Urteil für Unternehmen in der Schweiz? (Steiger Legal)

Hinweis: Der vorliegende Beitrag kann nur allgemeine Hinweise zu einem Einstieg in die Thematik geben. Für Abklärungen im Einzelfall, bei Unklarheiten und im Zweifelsfall empfiehlt sich die Beratung durch eine erfahrene und qualifizierte Fachperson wie beispielsweise einen Rechtsanwalt.