Unverschlüsselte Websites sind bald «uncool»

Tom Brühwiler

Spätestens seit Let’s Encrypt im Dezember 2015 an den Start ging und SSL-Zertifikate damit – weil kostenlos und einfach installierbar – quasi über Nacht eine explosionsartige Verbreitung fanden, werden verschlüsselte Websites im Internet immer mehr zum Alltag. In den nächsten Monaten geht Googles eigener Browser noch einen Schritt weiter und markiert nicht verschlüsselte Websites künftig als «Nicht sicher».

Unverschlüsselte Websites sind bald «uncool»

Google Chrome läutet Paradigmenwechsel ein

Mit Erscheinen von Chrome 68 Ende Juli 2018 straft Google unverschlüsselte Websites gut sichtbar ab, indem in der Adressleiste der Hinweis «Nicht sicher» angezeigt wird. Mit Version 69 von Chrome im September 2018 fällt später auch die bisher bekannte, grüne «Sicher»-Markierung weg und das Schloss-Symbol wird stattdessen grau. Und der für den Moment letzte «Umbau» hält mit Chrome 70 im Oktober 2018 Einzug: Füllt der Besucher ab dann auf einer unsicheren Website ein Formular aus, wechselt das graue «Nicht sicher» in der Adressleiste gar zu einem rot eingefärbten Hinweis.

Für die Chrome-Entwickler ist das alles nur ein logischer Schritt, denn das Internet sei inzwischen «safe by default». Tatsächlich nimmt die Zahl der verschlüsselten Verbindungen stetig zu, wie beispielsweise die Zahl der Zugriffe via HTTPS mit Firefox zeigt.

Unverschlüsselte Websites werden mit einem «Nicht sicher»-Hinweis versehen (Bild: Google)

Unverschlüsselte Websites werden mit einem «Nicht sicher»-Hinweis versehen (Bild: Google)

Und die anderen Browser?

Es ist keine Frage, ob weitere Browserhersteller mitziehen werden, sondern vielmehr wann. In der aktuellen Firefox Version 61 ist das grüne Schloss bei verschlüsselten Websites zwar weiter sichtbar, gleichzeitig wird bei unverschlüsselten Verbindungen jedoch bereits ein mit rot durchgestrichenes Schloss in der Adresszeile gezeigt. Und Apples Safari-Browser zeigt zwar derzeit (noch) keine Meldung bei unverschlüsselten Verbindungen, warnt allerdings ebenfalls bereits jetzt vor der Eingabe von Daten auf  unsicheren Websites.

Weckruf für «unsichere» Website-Betreiber

Für Website-Betreiber, die den Datenverkehr zwischen Website und Browser des Besuchers noch immer nicht verschlüsseln, gilt es spätestens jetzt zu handeln, denn wer will schon, dass beim Anzeigen seiner Website im Browser ein rotes «Nicht sicher» prangt.

Bei Formulareingaben auf unverschlüsselten Seiten wechselt der «Nicht sicher»-Hinweis künftig auf rot. (Bild: Google)

Bei Formulareingaben auf unverschlüsselten Seiten wechselt der «Nicht sicher»-Hinweis künftig auf rot. (Bild: Google)

cyon-Kunden aktivieren die verschlüsselte Kommunikation für Websites übrigens ganz einfach und kostenlos: Loggen Sie sich jetzt in Ihr my.cyon-Konto ein und aktivieren Sie Let’s Encrypt-Zertifikate für Domains und Subdomains im Reiter «Sicherheit» > «Kostenlose SSL-Zertifikate». Alle Vorteile, die kostenlose SSL-Zertifikate bieten, haben wir zudem im Bereich Sicherheit auf unserer Website zusammengestellt.

Artikel öffnen

Accessibility Developer Guide: Neue Referenz für barrierefreie Websites

Philipp Zeder

Am 19. Juni 2018 hat die Stiftung «Zugang für alle» in Zürich den brandneuen Accessibility Developer Guide (ADG) präsentiert. Der Guide, welcher in Zusammenarbeit mit den Agenturen Hinderling Volkart, Liip, Unic und Zeix entwickelt wurde, bietet eine umfassenden Einstieg in die Entwicklung von barrierefreien Websites. Das Projekt steht unter der Open-Source-Lizenz MIT und wartet mit unzähligen Beispielen auf, die sich in realen Anwendungsfällen einsetzen lassen.

Accessibility Developer Guide (ADG)

Was ist der Accessibility Developer Guide?

Die Idee für den ADG ist bereits vor einigen Jahren entstanden. Joshua Muheim, Initiator des Guides und Entwickler bei der Stiftung «Zugang für alle», sah sich mit einem Problem konfrontiert: Als frisch angestellter Full-Stack-Entwickler hatte er die Aufgabe, barrierefreie Website-Elemente zu entwickeln. Im Netz fand er zwar Dokumentationen und Richtlinien, einen Guide, der ihm bei der Entwicklung der Elemente das Leben leichter gemacht hätte, gab es damals jedoch nicht. Damit war die Idee für den Accessibility Developer Guide geboren. Und dieser hat jetzt, einige Jahre später, das Licht der Welt erblickt.

Den Web-Entwicklern fehlte bisher eine gute, praxisnahe Referenz zu Accessibility. Es braucht nicht mehr Regeln, sondern mehr Anleitung, damit das Web bedienbar für alle wird. Der Developer Guide wird einen Zugang schaffen, wo bisher kaum einer war, mit praxisnahen Beispielen, von Experten geprüft und Entwicklern mitgetragen.

Severin Klaus, Leiter FrontendHinderling Volkart

In Zusammenarbeit mit Mitarbeitern der Stiftung und den Agenturen ist ein Guide entstanden, mit dem sich interessierte Entwickler mit der Materie Barrierefreiheit intensiv auseinandersetzen können. Der Guide ist in die folgenden vier Abschnitte eingeteilt:

Einführung

Im Abschnitt «Einführung» wird erklärt, welchen Zweck der Guide verfolgt, wie er sich nutzen lässt und wer an der Entwicklung beteiligt ist.

Setup

Wer seriös barrierefreie Websites entwickeln will, muss sicherstellen, dass das Resultat mit Eingabe- und Ausgabegeräten wie Screen-Readern, Braille-Displays, Voice-Steuerungen, Keyboards und vielen mehr funktioniert. Praktischerweise muss man die entsprechenden Geräte nicht selbst besitzen sondern kann sie dank Tools auch simulieren. Der Abschnitt «Setup» erklärt ausführlich, wie die passenden Tools installiert und konfiguriert werden.

Wissen

Bevor es mit den Beispielen in den praktischen Teil der Entwicklung von barrierefreien Websites geht, sollte man sich zuerst einen Grundstock an theoretischem Wissen zum Thema anlegen. Der Abschnitt «Wissen» ist dafür die perfekte Quelle und behandelt die Bereiche HTML und die Wichtigkeit von Semantik sowie Accessible Rich Internet Applications (ARIA). Ausserdem beinhaltet der Abschnitt weitreichendes Wissen zur ausschliesslich tastaturbasierten Nutzung von Websites und der Interaktion mithilfe von Desktop-Screen-Readern.

Beispiele

Der letze Abschnitt des Guides ist ganz den Beispielen gewidmet. Die Autoren haben bei den Beispielen besonderes Augenmerk auf die Einsetzbarkeit in realen Szenarien gelegt. So können die Code-Schnipsel direkt zu Codepen exportiert werden, wo sich mit den Beispielen direkt im Browser experimentieren lässt. Ausserdem sind alle Beispiele gründlich von Test-Experten und mit den zurzeit relevanten Hilfsgeräten auf Herz und Nieren geprüft. Zusätzlich sind die Beispiele auch mit künftig relevanten Hilfsgeräten getestet und so auch in einigen Jahren noch sinnvoll einsetzbar.

Mitmachen und auf dem Laufenden bleiben

Mit dem Launch-Event ist der ADG in die Freiheit entlassen worden. Im Guide steckt eine Menge Erfahrung, die sich alle Beteiligten über viele Jahre erarbeitet haben. Auf Github können Sie sich aktiv an der Weiterentwicklung des Projekts beteiligen. Und auch auf den sozialen Medien ist die Accessibility Alliance aktiv. Folgen Sie der Allianz auf Twitter und Facebook.

Übrigens: An der Frontend Conference 2018 hält Joshua Muheim einen Workshop zum Thema «Accessible autocomplete widgets that work for all». Mit dem Gutschein-Code ADG50FEC18 erhalten Sie 50% Rabatt auf die Kurskosten.

Artikel öffnen

5 Gründe, warum Hacker Ihre Website hacken

Philipp Zeder

Ihre Website und das darunterliegende Webhosting sind wertvolles Gut. Nicht nur für Sie, sondern auch für Angreifer mit bösen Absichten. Das macht Websites zum Ziel von Angriffen, auch wenn sie nicht zu den meistbesuchten Domains der Welt gehören.

Warum Hacker Ihre Website hacken

Was genau finden Kriminelle an Ihrer Website attraktiv? Ganz einfach: Ihre Website läuft auf einem Server, der ordentlich Power hat, auf dem sich Programme ausführen lassen und der mit einer guten Verbindung am Internet hängt. Das macht es für Angreifer lohnenswert, sich Zugriff zu diesen Ressourcen zu verschaffen. Wir zeigen 5 Gründe, warum Angreifer Ihre Website missbrauchen:

  1. Reputation: Ihr guter Ruf im Netz
  2. Spam: Auf der Website und als E-Mail
  3. DDoS: Angriff auf andere Websites
  4. Defacements: «Ich war hier»
  5. Malware: Verseuchte Dateien

Reputation: Ihr guter Ruf im Netz

Ihre Domain und damit Ihre Website hat eine Reputation. Und die ist in der Regel gut. Ideal für Angreifer, die Phishing-Seiten unter Ihrer Domain publizieren wollen. Denn: Bis eine Phishing-Seite durch Dienste wie Google Safe Browsing erkannt ist und Besucher bereits durch den Browser davor gewarnt werden, vergeht wertvolle Zeit. Zeit, in der ahnungslose Besucher bereits ihre Zugangsdaten für das Online-Banking-, PayPal- oder E-Mail-Konto im täuschend echten Anmeldeformular eingegeben haben.

Spam: Auf der Website und als E-Mail

Aber nicht nur mit Phishing-Seiten machen sich Kriminelle die Reputation Ihrer Website zu Nutze. Auch das Hinterlegen von Spam-Seiten und Einpflanzen von Spam-Links ist eine bei Angreifern beliebte Taktik. Solche Angriffe sind meistens schwer zu erkennen, da Ihre Website in der Regel nicht sichtbar verändert wird. Können Angreifer auf vielen verschiedenen Websites die gleichen Spam-Links setzen, nützt das der Sichtbarkeit des «beworbenen» Ziels in den Suchmaschinen.

Apropos Spam: Über Server-Scripts lassen sich E-Mails verschicken. Die Funktion, die normalerweise für den Versand von Kontakformularen oder Benachrichtigungen aus dem Content-Management-System (CMS) vorgesehen ist, lässt sich auch zum Verschicken von unerwünschten Spam-Mails missbrauchen. Eine Methode, die wir bei gehackten Websites sehr häufig beobachten.

DDoS: Angriff auf andere Websites

Mit Schadcode verseuchte Websites werden auch als Ausgangspunkt für Angriffe auf weitere Ziele genutzt. Ist eine Website Teil eines solchen Botnets, können Dienste Dritter mit gezielten Überlastungsangriffen (DDoS-Attacken) zum Erliegen gebracht werden.

Defacements: «Ich war hier»

Eine der sichtbarsten Auswirkungen eines Hacks sind sogenannte «Defacements». Die gehackte Website wird von Angreifern mit eigenem Inhalt ersetzt. Häufig mit einem politischen Statement, das aber nur dazu dient, Aufmerksamkeit zu erregen. Ein Zusammenhang zwischen Statement und gehackter Website besteht in den meisten Fällen nämlich nicht.

Malware: Verseuchte Dateien

Neben der reinen Ablage von sogenannter Malware auf Ihrem Webhosting, werden gehackte Websites auch gerne für die Verteilung dieser schadhaften Dateien genutzt. Die Website wird so präpariert, dass Besucher bereits beim Öffnen einer Seite automatisch die schadhafte Datei herunterladen. Bei diesen sogenannten «Drive-by-Downloads» werden Schwachstellen im Browser und installierten Plugins wie Flash ausgenützt.

Fazit: Schützen Sie sich

Sie sehen also: Auch wenn Ihre Website nicht zu den Amazons, Googles und Facebooks dieser Welt gehört, für Angreifer ist sie trotzdem interessant. Darum: Schützen Sie sich. Das ist gar nicht so kompliziert. Mit den folgenden Massnahmen sind Sie bereits gut abgesichert:

  • Halten Sie Ihr Content-Management-System auf dem aktuellsten Stand. Systeme wie WordPress bieten automatische Updates, die sie nicht abschalten sollten.
  • Verwenden Sie starke Passwörter und niemals dasselbe. Unsere Empfehlung: Nutzen Sie einen Passwort-Manager wie 1Password oder KeePass.
  • Halten Sie Ihren Browser aktuell und nutzen Sie Plugins nur, wenn Sie diese auch wirklich benötigen. Entfernen Sie Plugins wie Flash, die oft von Sicherheitslücken betroffen sind.
  • Und nicht zuletzt: Setzen Sie auf einen Hostinganbieter, der Ihre Website gegen bekannte Gefahren schützt.

cyon unternimmt eine ganze Menge, dass Ihre Website erst gar nicht gehackt wird. Wir schliessen für Sie Sicherheitslücken in beliebten Content-Management-Systemen automatisch, schützen Ihre Website mit einer Web-Application-Firewall vor bösen Zugriffen und halten Angriffe mit einem DDoS-Schutz ab. Zudem bewahren wir Ihre E-Mail-Konten mit ausgeklügelten Filtern vor Malware und Spam. Und wenn Ihre Website doch einmal infiziert oder Ihr E-Mail-Konto gehackt wurde, sperren wir die betroffenen Teile mit Fingerspitzengefühl. So bewahren wir Sie und die Besucher Ihrer Website vor weiteren Schäden.

Artikel öffnen

Danke DSGVO: Whois-Privacy jetzt inklusive

Philipp Zeder

Seit 25. Mai 2018 gilt die DSGVO in der EU. Sie regelt den Umgang mit persönlichen Daten ausführlich. Zu reden gab im Vorfeld auch der Umgang mit persönlichen Daten im Telefonbuch des Web: Dem sogenannten Whois. Insbesondere weil im Whois Kontaktdaten öffentlich einsehbar sind und, trotz Verbot, auch automatisiert ausgelesen werden, kommt es vor, dass Domainbesitzer schon kurz nach Registration einer neuen Domain mit Spam-Mails eingedeckt werden. Damit dürfte, der DSGVO sei dank, nun endgültig Schluss sein. Und das ohne kostenpflichtige Dienste wie «Whois-Privacy», «Whois-Guard» oder «Domain-Privacy».

Danke DSGVO: Whois-Privacy jetzt inklusive

Was ist eigentlich Whois?

Eine ausführliche Erklärung, was Whois ist und wie Sie Whois-Einträge abfragen können, haben wir für Sie in unserem Supportcenter aufbereitet: Was ist «WHOIS»?

«WHOIS» kommt von «who is» im Englischen und bedeutet auf Deutsch «Wer ist». Es handelt sich dabei um ein Protokoll, womit Informationen zu Domains und IP-Adressen abgerufen werden können, welche öffentliche Details zu Eigentümer und Registrar enthalten. Weiter kann damit überprüft werden, ob eine Domain noch frei oder bereits durch jemanden registriert ist.

Whois ist also ein sehr praktisches Werkzeug, um Informationen zu einer Domain oder IP-Adresse zu erhalten. Wie jede öffentlich einsehbare Information werden aber, leider, auch Whois-Informationen für unlautere Zwecke missbraucht. So kommt es nicht selten vor, dass man kurz nach der Neuregistration einer .com-Domain bereits Angebote für das Erstellen einer Website erhielt – aus dubioser Quelle versteht sich. Da die Daten online verfügbar sind, werden sie automatisiert abgegrast und dann für solche Zwecke verwendet. Obwohl das automatisierte Abfragen von Whois-Daten verboten ist.

Geschützte Daten dank DSGVO

Unser Domain-Partner ist nun im Zuge der DSGVO dazu übergegangen, grosse Teile der bisher in den Whois-Daten sichtbaren Informationen zu verstecken.

Neu sind für Domains, die über cyon registriert sind, nur noch folgende Informationen im Whois-Eintrag einsehbar:

Für Organisationen und Firmen (inkl. Kontakttyp «Privat» mit hinterlegtem Firmennamen)

  • Organisation
  • Strasse
  • Ort
  • PLZ
  • Land

Für Kontakte vom Typ «Privat», für die kein Firmenname hinterlegt ist
Private Kontakte enthalten im Whois-Eintrag nur noch Angaben zum Land. Alle anderen kontaktbezogenen Daten sind verschleiert.

Wichtig: E-Mail-Adressen und Telefonnummern sind damit nun komplett aus den Whois-Daten verschwunden, was ein sehr begrüssenswerter Fortschritt ist.

Ausnahme .ch & .li

Die Schweizer Verordnung über Internet-Domains (VID) bzw. die Liechtensteinische Verordnung über die Identifikationsmittel und Frequenzen im Bereich der elektronischen Kommunikation (IFV) sehen vor, dass für die Endungen .ch und .li sowohl für Private wie auch Organisationen und Firmen folgende Informationen im Whois veröffentlicht werden:

  • Organisation bzw. Vor- und Nachname
  • Strasse
  • Ort
  • PLZ
  • Land

Gemäss einer Erklärung der für die beiden Endungen zuständigen Registrierstelle SWITCH ändert sich durch die DSGVO nichts an dieser Tatsache.

Telefonnummern und E-Mail-Adressen waren für Domain-Namen mit den Endungen .ch und .li auch in der Vergangenheit nicht im Whois sichtbar. E-Mail-Spam oder lästige Anrufe aufgrund des Whois-Eintrags sind damit für Halter einer .ch- oder .li-Domain seit jeher kein Problem.

Auch in der Schweiz wird der Datenschutz mit der geplanten Revision des Bundesgesetz über den Datenschutz (DSG) überarbeitet, womit das Thema Whois in absehbarer Zeit auch für .ch-Domains wieder aktuell wird.

Opt-in für Offenlegung

In Zukunft wird es möglich sein, dass man seine Daten im Whois-Eintrag veröffentlichen kann, wenn man das möchte. Dazu wird ein Verifizierungsprozess eingebaut, der die explizite Zustimmung zur Veröffentlichung der Daten sicherstellt. Die für die Vergabe und die Koordination von Domains zuständige ICANN (Internet Corporation for Assigned Names and Numbers) arbeitet momentan daran, diesen Prozess zu harmonisieren.

ICANN verliert Gerichtsstreit über Whois-Daten

Apropos ICANN: Die Organisation hatte am Landgericht Bonn eine einstweilige Anordnung gegen den ICANN-akkreditierten Registrar EPAG beantragt. EPAG wollte, gestützt auf die DSGVO, überhaupt keine personenbezogenen Daten mehr für Admin- oder technische Kontakte verarbeiten, zu denen das Unternehmen keinen direkten Bezug habe. EPAG muss diese Daten auch weiterhin nicht erheben, das Landgericht Bonn hat die einstweilige Anordnung abgewiesen.

Fazit: Da geht was dank der DSGVO

Während Änderungen am Whois-System bereits lange angedacht sind, scheint die Umsetzung erst dank der DSGVO so richtig Fahrt aufgenommen zu haben. Zwar gibt es durchaus auch kritische Stimmen zur Verschleierung von Kontaktdaten in den Whois-Einträgen, doch der unmittelbare Nutzen ist unumstritten: Weniger Spam-E-Mails und -Anrufe für Domainbesitzer. Danke DSGVO!

Artikel öffnen

Die DSGVO ist da: Das sollten cyon-Kunden wissen

Philipp Zeder

Am 25. Mai 2018 ist es soweit: Die in den vergangenen Wochen im Netz viel diskutierte Datenschutzgrundverordnung der EU (DSGVO oder im Englischen GDPR) gilt nach einer zweijährigen Übergangsphase. Mit den neuen Bestimmungen erhalten Personen in der EU mehr Kontrolle über ihre Personendaten, Unternehmen werden stärker in die Verantwortung genommen und Datenschutzbehörden in ihrer Rolle gestärkt. Wir zeigen, was sich für Sie als cyon-Kunde oder Besucher unserer Website mit der DSGVO ändert.

Die DSGVO ist da

DSGVO: Eine gute Sache

Datenschutz war uns schon immer wichtig. So verfolgen wir den Ansatz der Datensparsamkeit und geben Kundendaten nur in zwingend nötigen Ausnahmefällen an Dritte weiter. Deshalb begrüssen wir die Dynamiken, die die DSGVO ins Rollen gebracht hat, auch wenn zum Start noch ein paar Unsicherheiten bestehen und noch die Rechtssprechung der Gerichte abzuwarten ist.

Ist meine Website von der DSGVO betroffen?

Die kurze Antwort: Vermutlich ja. Wie so oft steckt der Teufel im Detail und Details gibt es in der 99 Artikel starken Verordnung einige. Rechtsanwalt Martin Steiger formuliert es in seinem Gastbeitrag in unserem Blog «Websites in der Schweiz: Rechtskonforme Cookies im Einklang mit der neuen EU-Datenschutz-Grundverordnung» so:

Die DSGVO führt das sogenannte Marktortprinzip ein: Die DSGVO gilt nicht nur in der EU, sondern weltweit für jede Verarbeitung personenbezogener Daten von Personen in der EU, denen man Dienstleistungen oder Waren anbietet oder deren Verhalten man beobachtet.

In der Folge sind fast alle schweizerischen Websites von der DSGVO betroffen, weil sie ihre Nutzerinnen und Nutzer mittels Webtracking beobachten. So dürfte das Tracking mit Google Analytics weitverbreitet sein und es gibt kaum einen Webserver ohne Auswertung von Logdateien mit IP-Adressen.

Im Zweifelsfall sollten sie daher davon ausgehen, dass Ihre Website von der DSGVO betroffen ist. Eine Beratung durch eine juristische Fachperson ist, wie immer bei rechtlichen Themen, empfohlen.

Wie mache ich meine Website DSGVO-konform?

Als erstes sollten Sie prüfen, ob Sie mit Ihrer Website in irgendwelcher Form personenbezogene Daten verarbeiten:

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.

Haben Sie Plugins für Ihr Content-Management-System installiert, die mit externen Diensten kommunizieren? Nutzen Sie Social-Media-Plugins wie einen Facebook-Pixel? Erfassen Sie personenbezogene Daten mit einem Formular? Oder schicken Sie Ihren Kunden einen Newsletter? All das sind Fragen, die Sie sich stellen sollten.

Sobald klar ist, mit welchen Teilen Ihrer Website personenbezogene Daten verarbeitet werden, stellt sich die Frage, ob die Verarbeitung dieser Daten eine der 6 Bedingungen in Artikel 6 der DSGVO erfüllt. Ist auch diese Frage geklärt, sollten Sie Ihrer Website eine DSGVO-konforme Datenschutzerklärung spendieren. Eine praktische Vorlage bietet das Datenschutz Self Assessment Tool DSAT der beiden Schweizer Anwälte David Rosenthal und David Vasella. Hilfreich ist auch der Datenschutz-Generator.de, welcher von Privatpersonen und Kleinunternehmern kostenlos genutzt werden kann.

ADV-Vereinbarung?

Wenn die DSGVO bei Ihrer Website zur Anwendung kommt, können Sie mit uns eine Vereinbarung zur Auftragsdatenverarbeitung (ADV-Vereinbarung) abschliessen. Eine solche Vereinbarung ist in Artikel 28 der DSGVO geregelt und klärt die Zuständigkeiten zwischen uns als Auftragsverarbeiter und Ihnen als Verantwortlichen.

Der Abschluss dieser Vereinbarung ist mit einem Klick erledigt. Sie finden die ADV-Vereinbarung in Ihrem my.cyon-Konto im Menü «Meine Daten» im Abschnitt «Vereinbarung zur Auftragsdatenverarbeitung». In Ihrem my.cyon-Konto wird Ihnen nach erfolgtem Abschluss das Datum angezeigt.

Wir empfehlen: Drucken Sie die Vereinbarung und die Seite «Meine Daten» aus und legen Sie die Dokumente zu Ihren Akten.

Auftragsverarbeiter in die Datenschutzerklärung

Die verwendeten Auftragsverarbeiter sollten in der oben erwähnten Datenschutzerklärung Ihrer Website aufgeführt werden. Damit gehört auch ein Hinweis auf die beim Webhosting-Provider verarbeiteten Daten in die Erklärung. Vielfach geht nämlich vergessen, dass auch ohne Zutun des Website-Betreibers Daten protokolliert werden. Während wir zwar keine Cookies oder direkt andere Daten von Website-Besuchern sammeln, loggen unsere Webserver bei jedem Zugriff bestimmte technische Daten.

Den folgenden Textabschnitt können Sie als cyon-Kunde in Ihrer Datenschutzerklärung verwenden. Der Abschnitt beschreibt Informationen, die von unseren Webservern protokolliert werden und gibt DSGVO-konform darüber Auskunft.

Wie bei jeder Verbindung mit einem Webserver protokolliert und speichert der Server unseres Webhosting-Anbieters cyon in Basel, Schweiz, bestimmte technische Daten. Zu diesen Daten gehören die IP-Adresse und das Betriebssystem Ihres Geräts, die Daten, die Zugriffszeit, die Art des Browsers sowie die Browser-Anfrage inklusive der Herkunft der Anfrage (Referrer). Dies ist aus technischen Gründen erforderlich, um Ihnen unsere Website zur Verfügung zu stellen. cyon schützt diese Daten mit technischen und organisatorischen Massnahmen vor unerlaubten Zugriffen und gibt sie nicht an Dritte weiter. Soweit wir dabei personenbezogene Daten verarbeiten, tun wir dies aufgrund unseres Interesses, Ihnen die bestmögliche Nutzererfahrung zu bieten und die Sicherheit und Stabilität unserer Systeme zu gewährleisten.

Cookies und die DSGVO?

Cookies, also die kleinen Textdateien, die überall im Web für die Speicherung von Einstellungen oder das Tracking von Besuchern verwendet werden, sind ebenfalls von der DSGVO betroffen. Rechtsanwalt Martin Steiger hat dazu einen ausführlichen Gastbeitrag in unserem Blog verfasst: Websites in der Schweiz: Rechtskonforme Cookies im Einklang mit der neuen EU-Datenschutz-Grundverordnung

Stellen Sie sich für die verwendeten Cookies die folgenden Fragen:

  1. Gibt es ein berechtiges Interesse an der Cookie-Verwendung?
  2. Ist die Cookie-Verwendung erforderlich um das berechtigte Interesse zu wahren?
  3. Überwiegen die Interessen der Website-Anbieter die Interessen der betroffenen Personen am Schutz ihrer Daten?

Martin Steiger schreibt dazu:

Sofern alle Fragen bejaht werden, ist die Cookie-Verwendung grundsätzlich rechtmässig. Die Abwägung ist aber nur möglich, wenn vorgängig bestimmt wurde, für welchen Zweck die Cookies bestimmt sind.

WHOIS-Privacy: Wie weiter?

Zu einem Hosting gehört eine Domain, ohne Adresse geht schliesslich nichts. Auch auf die Verwaltung von Domains hat die DSGVO Einfluss. Insbesondere auf das «Telefonbuch» von Domainnamen, den sogenannten WHOIS-Datenbanken. In den WHOIS-Datenbanken sind Kontaktdaten zu einem Domainnamen erfasst und öffentlich einsehbar. Während bis anhin das Ausmass der einsehbaren Daten je nach Domainendung stark variiert hat und bei einzelnen Domainendungen ein kostenpflichtiger WHOIS-Privacy-Dienst nötig war, um Angaben wie die E-Mail-Adresse oder Telefonnummer vor Spammern zu schützen, bringt die DSGVO hier automatisch Linderung. Die Registerbetreiber sind dazu übergangen nur noch ganz wenige Informationen in der WHOIS-Datenbank uneingeschränkt einsehbar zu machen. Damit wird Spammern erfolgreich ein Riegel geschoben, die bis anhin verbotenerweise die WHOIS-Datenbanken automatisiert nach E-Mail-Adressen abgegrast hatten.

Übrigens: Für .ch-Domains waren und sind E-Mail-Adressen und Telefonnummern nie in den WHOIS-Daten sichtbar.

Schweizer Datenschutzrecht wird überarbeitet

Auch das Schweizer Datenschutzgesetz (DSG) befindet sich zurzeit in Revision. Ein Entwurf wurde im Herbst 2017 präsentiert. Geplant war, das neue Gesetz bis August 2018 einzuführen, zurzeit wird die neue Version aber noch im Parlament behandelt. Das neue DSG wird sich nach Expertenmeinungen in vielen Teilen an die DSGVO anlehnen. Wer jetzt seine Website DSGVO-konform betreibt, dürfte für das neue Schweizer Datenschutzgesetz damit wertvolle Vorarbeit geleistet haben.

Weitere Hilfestellungen zum Thema DSGVO

Die Anzahl Inhalte zum Thema DSGVO ist in den vergangenen Wochen förmlich explodiert. Korrekte Informationen zur neuen Verordnung zu finden, das ist dadurch sicher nicht einfacher geworden. Gute Anlaufstellen für Informationen rund um die DSGVO sind, wie wir finden, die Themenseite des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB), der Blog der Kanzlei Vischer oder der Blog der Kanzlei Dr. Schwenke. Kennen Sie weitere gute Links? Oder haben Sie Fragen zur DSGVO? Hinterlassen Sie uns einen Kommentar.

Hinweis: Für Abklärungen im Einzelfall, bei Unklarheiten und im Zweifelsfall empfiehlt sich die Beratung durch eine Fachperson wie beispielsweise einen Rechtsanwalt.

Artikel öffnen