Mobiles Arbeiten ist ein Thema, dass ich gerade im Bereich meiner Onlineschulungen sehr schätze und freue mich auch sehr darüber, dass meine eigene Seite responsiv am Smartphone aber auch am Desktop gut abgerufen werden kann. Wobei ich gerne zugebe, dass das Thema Webdesign hier im Blog allenfalls am Rande noch ein Thema spielt. Immerhin ist vor zwei Jahren mit "Tag und Nachtmodus am Smartphone für Internetseiten - Dark Mode per CSS über prefers-color-scheme abfragen und anpassen" oder "In eigener Sache: Updates der Seite (Technik und Design) - Fokus auf Responsives Webdesign und pagespeed" (2013) noch ein wenig herumgeschraubt worden.

Gerade in Richtung Datenschutz, aber auch notwendige Umstellung von Google Analytics 3 (Universal Analytics - UA) auf Google Analytics 4 (GA4) habe ich mich die Tage mit der Nutzung von Matomo als Webanalyse auseinander gesetzt.

Die Installation und erste Anpassungen sind im Artikel "Open-Source-Webanalytik-Plattform Matomo als Alternative zum Wechsel von Googla UA auf GA4" beschrieben  während es hier um den Einsatz von Apps geht mit denen die Ergebnisse von Matomo oder auch Google Analytics näher betrachtet werden können.

Beide Tools bieten natürlich auch eine Weboberfläche, aber zumindest unterwegs empfinde ich einen Blick auf Zahlen und Daten dann doch praktisch und muss mich hier nicht extra per 2FA bzw. am Konto am Smartphone anmelden.

Wordpress

Sofern Matomo nicht per OnPremise, wie in obigen Artikel beschrieben, installiert wurde bzw. eine Analyse in Wordpress (siehe Wordpress Plugin "Matomo Analytics – Ethical Stats. Powerful Insights") erfolgt ist eine Nutzung der App leider nicht möglich. Diese ist nur bei Nutzung einer separaten Installation von Matomo und nicht innerhalb Wordpress möglich. Wobei ich für Wordpress noch auf "Datenschutzfreundliche Statistiken über Seitenaufrufe und Besuchende unter Wordpress Analyse-Plugins Statify und Koko Analytics" hinweisen mag.

Für Matomo On-Premise, Matomo Cloud oder eine eigene Instanz von Matomo ist die Nutzung einer App aber problemlos möglich und daher mag ich diese näher vorstellen. Entsprechend mag ich auf folgende Aspekte der jeweiligen Apps im Vergleich eingehen.

• "Apps von Matomo und Google Analytics"
• "Properties oder Webseiten"
• "Konto und Zugriff auf die Webanalytic der einzelnen Webseiten"
• "Startseite und Dashboards"
• "Aufruf einzelner Berichte und Menü"
• "Fazit"

Installation (Setup) und Einrichtung bzw. Anpassung (Customizing) von Matomo habe ich schon im vorherigen Artikel näher beschrieben, so dass hier nun die beiden Apps direkt verglichen werden. Persönlich nutze ich dabei die Versionen für Android.

Apps von Matomo und Google Analytics

Für meine Webanalyse nutzte ich bisher sowohl die App von Google Analytics als auch nun die App von Matomo unter Android.


Google Analytics von Google LLC

Die App von Google gibt es sowohl unter

• Google Playstore: Android
• Apple Store: Apple IOS

Matomo Mobile 2

Die App von Matomo gibt es ebenfalls unter

• Google Playstore: Android
• Apple Store: Apple IOS

Wie erwähnt, gilt dies nur für Matomo On Premise, Cloud oder bei einer Installation in einer eigenen Instanz und nicht für das Matomo Plugin, das sich direkt in Wordpress einbinden lässt.

Properties oder Webseiten

Beim Anmelden bei Google Analytics kann ich zwischen den einzelnen Properties wechseln.

Google Analytics Konto> Property und Datenansicht


Im Google Analytics wird eine Übersicht aller hinterlegten Properties, die ihre Daten einer bestimmten Webseite (oder Google Analytics Code) beinhaltet. Dies kann, wie im Beispiel UA für Universal Analytics sein, aber auch schon das neue GA4 (Google Analytics 4 als Nachfolge von Google Analytics 3).

Oberste Ebene ist dabei das Konto, welches auch mehrere Nutzer Zugriffsberechtigung geben kann. Unterhalb der Konten können unterschiedliche Property angelegt werden.  Hier werden Analytics Tracking-Codes generiert, die dann in der jeweiligen Internetseite eingebunden werden können. Als unterste Ebene gibt, es die Datenansicht auf die auch bestimmte Filter zur jeweiligen Property genutzt werden können.

Matomo Konto > Website

Beim Anmelden zu Matomo sieht die Übersicht etwas anders aus.


Die Matomo App ermöglicht auch das Anmelden per Konto und danach können zum jeweiligen Konto die hinterlegten Webseiten ausgewählt werden.

Konto und Zugriff auf die Webanalytic der einzelnen Webseiten

Durch die Verknüpfung von Google-Konto und Google Analytics kann unter Android direkt das Google-Konto verwendet werden, um beim Zugriff auf Google Analytics auch direkt auf alle Property und Daten zu gelangen.

Bei Matomo muss sich hingegen klassisch per Benutzername und Passwort angemeldet werden.



Als URL zur Matomo Installation kann die gleiche App wie die Website genutzt werden und auch Benutzername und Passwort sind identisch. Sofern eine Zwei-Faktor-Authentifizierung (2FA) genutzt wird, kann hier auch direkt diese mit angegeben werden.

Alternativ kann sich auch unterhalb der Schaltfläche LOGIN mit einem spezifischen für diese App angelegten Authentifizierungstoken angemeldet werden. Weitere Informationen finden sich im Abschnitt "Sicherheit 2-Faktor-Authentifzierung und Authentifizierungstoken" im vorherigen Artikel "Open-Source-Webanalytik-Plattform Matomo als Alternative zum Wechsel von Google UA auf GA4".

Positiv ist hier zu erwähnen, dass beim Anmelden per Benutzername und Passwort nicht etwa diese in der Matomo Mobile 2 App gespeichert werden, sondern hier zum Benutzer eine Authentifizierungstoken angelegt wird.

Entsprechend findet sich unter Sicherheit beim jeweiligen Benutzer auch gleich ein hinterlegter Token wie in folgender Abbildung.



Dieser Token kann auch gelöscht werden und damit wäre in der App wieder eine Anmeldung per Benutzername und Passwort erforderlich.

Dieses bedeutet natürlich auch, dass ein passendes Token zur Nutzung der App auch an dritte Personen weiter gegeben werden kann, ohne dass diese zwangsweise ein eigenes Benutzerkonto benötigen, sondern als Unterkonto (per Token) zum jeweiligen Konto mit Ansichtsberechtigungen genutzt werden können.

Startseite und Dashboards

Auch wenn Google Analytics sowohl benutzerdefinierte Berichte als auch Dashboards unterstützt sind diese in der Google Analytics App nicht vorhanden sondern müssen hier selbst erstellt werden.

Google Analytics Startseite und Dashboard
Immerhin in der Startseite sind schon einige Auswertungen direkt vorhanden.



Auf der Startseite ist auch direkt der Hinweis zum Wechsel auf GA4 zu sehen, was für mich nach einiger Überlegung und Erfahrung mit Matomo kein Thema mehr ist.

Unter Dashboard ist es in der GA App möglich eigene Berichte anzulegen.



Über die Schaltfläche Bericht erstellen (1) kann einer oder auch mehrere Messwerte ausgewählt werden (2).

Diese Messerte werden dann "nur" in der App im Dashboard angezeigt. Auf die benutzerdefinierten Berichte oder Dashboards der Weboberfläche kann leider nicht Zugriff genommen werden.

Dashboard Matomo

Positiv überrascht hat mich, dass ich bei Matomo direkt auf mein im Benutzer vorhandendes Dashboard zugreifen kann, wo auch schon einzelne Berichte oder Auszüge davon zur Verfügung stehen.



Durch ein Mehrbenutzerkonzept (siehe Abschnitt "Benutzer und ihre Rollen" im Artikel "Open-Source-Webanalytik-Plattform Matomo als Alternative zum Wechsel von Google UA auf GA4") kann ich als Admin auch ein passendes übergreifendes Dashboard erstellen und dieses für die einzelnen Benutzer kopieren und damit zur Verfügung stellen. In der folgenden Abbildung ist diese Funktion kurz vorgestellt.



So habe ich für meinen Hauptadministrator ein Dashboard zusammengestellt und kann dieses über Dashboard im Menü Dashboard (1) durch die Funktion Dashboard zu Benutzer kopieren (2) im folgenden Menü Dashboard zu Benutzer kopieren, mit einer Bezeichnung versehen (Dashboard Name) und über Benutzername (3)  zu einem vorhandenen Benutzer kopieren.

Damit steht dieses auch direkt als Dashboard für die jeweiligen Benutzer direkt zur Verfügung.

Aufruf einzelner Berichte und Menü

Die sonstige Menüführung unterscheidet sich dann noch um einige Punkte.

Google Analytics Menü

Das Menü der App Analytics unterscheidet sich in folgende Bereiche:



Unterhalb der Ordner Zielgruppe, Akquisition und Verhalten können einzelne Berichte der jeweiligen Kategorie aufgerufen werden.

Wobei dabei nicht alle Berichte, die in der Weboberfläche vorhanden sind aufgeführt werden.

• Zielgruppe
  • Übersicht, Sprache, Standort, Neu und wiederkehrend, Browser, Netzwerk, Mobil-Übersicht, Mobilgeräte
• Akquisition
  • Übersicht, Alle Zugriffe, Direkte Zugriffe, Suche - Übersicht, Organische Suche, Bezahlte Suche, Verweis, E-Mail, Soziale
• Verhalten
  • Übersicht, Alle Seiten, Landingpages, Ausstiegsseiten, Websitegeschwindigkeit, Ereignisse

Matomo Mobile 2

In der Matomo App sind folgende Punkte im Menü zu finden.



Im Abschnitt Berichte sind insgesamt fünf Punkte zu finden, die in einzelne Abschnitten aufgeteilt sind. Diese Berichte umfassen folgende Abschnitte in denen die folgende Informationen zusammengefasst werden.

• Besucher
  • Besucherüberblick (Besuche), Land, Kontinent, Region, Browsersprache, Stadt, Sprach-Code, Gerätetyp, Gerätemodell, Gerätemarke, Bildschirmauflösungen, Betriebssystem-Versionen, Browser, Browser-Version, Konfigurationen, Betriebssystem-Familien, Browser-Engines, Browser-Plugins, Besuche nach lokaler Zeit, Besuche pro Stunde in der Zeitzone der Webseite, Besuche nach Wochentagen, Benutzer-IDs
• Aktionen
  • Aktionen - Kernmetriken (Seitenansichten), Einstiegsseiten, Titel der Einstiegsseite, Ausstiegsseiten, Titel der Ausstiegsseite, Seitentitel, Suchbegriffe (interne Suche), Besuchte Seite nach einer internen Suche, Suchbegriffe ohne Ergebnisse, Seitentitel nach einer internen Suche, Suchkategorien, Ausgehende Verweise, Downloads, Ereigniskategorien, Ereignisnamen, Inhaltsname, Dauer der Besuche,Seiten pro Besuch, Besuche nach Besuchsanzahl, Wiederkehrende Besuche,
• Verweise
  • Überischt Verweise (Besucher von Suchmaschinen), Kanaltyp, Alle Kanäle, Suchbegriffe, Suchmaschinen, Webseiten, Soziale Netzwerke, Kampagnen
• Ziele
  • Ziele (Konversionen), Besuche bis zur Konversion, Tage bis zu Konversion, Ziel-Übersicht (Konversionen),  Ziel-Übersicht - Besuche bis zur Konversion, Ziel-Übersicht - Tage bis zur Konversion

Als Beispiel sei hier der Abschnitt Verweise der Motomo Mobile 2 App dargestellt.



Natürlich sind nicht in allen Bereichen auch entsprechende Daten vorhanden, dieses kann unter anderen an nicht definierte Kampagnen oder Ziele liegen oder an nicht hinterlegte Parameter für die interne Suche.

Auch ansonsten sind die erhobenen und ausgewerteten Daten bei beiden Tools auch immer von den Privatsphäre/Datenschutzeinstellungen der jeweiligen Webanalytic-Software abhängig. Für Google Analytics bin ich für GA3 / Universal Analytics im Abschnitt "Google Analytics und Cookies" auch auf das Thema Privacy eingegangen.


 

Fazit

Persönlich hat mir der Zugriff auf das Dashboard und die Funktionen von Matomo selbst ohnehin schon gut gefallen und gerade die Matomo Mobile 2 App punktet für mich durch einen schnellen Zugriff auf für mich relevante Kennzahlen im Berichtswesen.

Ich hoffe, dass der direkte Vergleich vielleicht auch die ein oder andere Seite überzeugt hier einen Wechsel nach Matomo in Betracht zu ziehen und bin selbst sehr angetan von der Webanalyse mit Matomo als auch die Handhabung der App dazu.

Ausgangslage:
Persönlich ist mir das Thema Datenschutz als ein wichtiges Thema bewusst und so ist es auch nicht weiter verwunderlich, dass ich auch Google Analytics als cookieloses Tracking und soweit es möglich war auch pseudonym verwenden wollte. Im Abschnitt "Cookieloses Tracking mit Google Analytics" bin ich etwas ausführlicher darauf eingegangen, wie dieses unter Universal Analytics umgesetzt worden ist. Nun steht aber seitens Google erneut eine Veränderung an, durch die nun ein Wechsel von Universal Analytics (UA) auf Analytics 4-Property (GA4)  erforderlich wäre.

GA4 wird zum 1. Juli 2023 eingestellt, sodass dieses Jahr für mich eine Entscheidung wie ich mit Google Analytics oder einer Alternative umgehen möchte, nun gekommen ist.

Dank eines Austausches mit Bianca Schütz (bianca-schuetz.com) war ich mir aber unsicher, ob eine vergleichbare cookielose Einbindung von GA4 hier ebenfalls im Blog möglich wäre beziehungsweise, ob nicht doch eine datenschutzfreundlichere Lösung für mich in Betracht gezogen werden sollte. Vielen Dank an dieser Stelle für die praktischen Hinweise insbesondere in Richtung der Frage, welche Informationen ich von einer Statistik erwarte und ob ein anderes Tool hier ebenfalls meine Anforderungen erfüllen würde.

Im Artikel "Google Analytics 4 vs Universal Analytics – was ist neu, was ist anders?" hat sie beide Tools gegenübergestellt und bietet auch selbst Onlinetrainings zur Websanalyse an.


Vergangenes Wochenende hatte ich mich daher mit der Einrichtung von Matomo und erste Schritte in der neuen Open-Source-Webanalytik-Plattform OnPremise (selbstgehostet) beschäftigt.

Dabei sind für mich folgende Punkte relevant gewesen:

• "Meine Anforderungen an Auswertungen"
• "Installation Matomo"
  • "Vorarbeiten (Subdomain, Datenbank, Download)"
  • "Setup Matomo"
• "Customizing Matomo"
  • "GUI und Dashboard"
  • "Globale Webseiteneinstellungen" u.a. interne Suchergebnisse
  • "Tracking Code anpassen"
  • "Benutzer und Rollen"
  • "Sicherheit 2-Faktor-Authentifzierung und Authentifizierungstoken"
  • "Browser-Archvierung für eine Performance-Verbesserung deaktiveren"
• Fazit

Meine Anforderungen an Auswertungen

Neben Datenschutz ist eine zentrale Frage für mich der Nutzen der Auswertungen. Besonders interessant ist für mich, welche Seiten / Artikel Interesse bei Lesende finden und auch woher (Quelle) Besuchende auf meiner Seite kommen.

Ein wenig Recherche hat mich dann davon überzeugt, dass diese Informationen durchaus dank Matomo (ehemals Piwik) erfüllt werden können. Bei Matomo handelt es sich um eine datenschutzfreundliche Webanalysesoftware, die ohne Cookies eingesetzt wird und bei der die Erkennung wiederkehrender Nutzer mithilfe eines sogenannten "digitalen Fingerabdrucks" erfolgt, der anonymisiert gespeichert und alle 24 Stunden geändert wird. Darüber hinaus berücksichtigt es auch Do-not-Track-Einstellungen (DNT) des Browsers und läuft lokal hier auf der Internetseite und nicht bei einem dritten Dienstleister.

Installation Matomo

Die Installation war tatsächlich am Wochenende schnell erledigt und so mag ich nur kurz auf die einzelnen Schritte und Besonderheiten eingehen, die mir dabei geholfen haben.

Vorarbeiten (Subdomain, Datenbank, Download)

Grundsätzlich kann Matomo auch in einem Unterverzeichnis der eigenen Seite angelegt werden und die einzelnen Tabellen können hier auch in der gleichen Datenbank wie das CMS/Blog oder eben die Internetseite gespeichert werden. Mir war es aber lieber, eine Subdomain anzulegen und eine separate Datenbank für die Statistik zu verwenden.

Dazu habe ich am Webserver ein eigenes Verzeichnis angelegt und darauf meine Subdomain verweisen lassen. Ebenso habe ich dank kostenloses Zertifikat von Let's Encrypt hier eine SSL Verschlüsselung für die Domain aktiviert, sod ass ich deise später per https:// aurfrufen kann.

Danach habe ich die "Matomo On-Premise" Version von matomo.org heruntergeladen und die Dateien des gezipten Ordners matomo direkt in das Verzeichnis der Subdomain geladen. Alternativ hätte ich auch die Subdomain auf den Ordner matomo verweisen können.

Setup Matomo

Nachdem die Dateien hochgeladen worden sind erfolgt die Installation in acht einzelnen Schritten auf die ich kurz eingehen mag.

1. Willkommen!
Hier wird dir kurz erläutert, dass Matomo eine quelloffene Webanalyse Software ist und über die Schaltfläche nächste können die einzelnen Schritte der Installation durchgegangen werden.
2. Systemprüfung
Hier werden die erforderliche PHP Version (mindestens 7.2.5) und Schreibberechtigungen im jeweiligen Ordner geprüft. Ich nutze in meinen Fall PHP 8 und MariaDB (kompatibel zu MySQL). Es werden auch einige PHP Erweiterungen benötigt, aber zumindest bei meinen Hoster sind hier alle so weit auch aktiv.
Am Ende der Prüfung (Seitenende) kann per "Nächste" auf den folgenden Schritt gewechselt werden.
3. Datenbank einrichten
Nun sollten folgende Daten angegeben werden, die auch schon beim Anlegen der Datenbank notiert worden sind:

• Datenbank-Server
  Hier ist 127.0.0.1 eingetragen alternativ kann auch localhost passend sein
• Benutzer
  User für die Datenbank
• Passwort
  Passwort für Datenbankuser
• Datenbankname
  Dies ist der Name der Datenbank in der Matomo gespeichert werden soll
• Tabellen-Präfix
  Wie auch bei anderen Tools kann hier ein Präfix für die Datenbanktabellen eingetragen werden. Standard ist matomo_
• Adapter
  Hier kann zwischen PDO/MYSQLoder MYSQLI zum Zugriff auf die Datenbank gewählt werden. Beides sind entsprechende Adapter mit denen PHP auf die Datenbank zugreift. In der Regel kann hier das PDO PHP Modul stehen bleiben sprich PDO/MYSQL

Nachdem die Daten eingetragen worden sind, kann über Nächste weitergeschaltet werden.
4. Erstellen der Tabellen
Nun werden auf der ausgewählten Datenbank die notwendigen Tabellen angelegt mit denen später Matomo arbeitet. Es geht weiter mit "Nächste".
5. Hauptadministartor
Nun kann ein Hauptadministrator angelegt werden. Als Optionen stehen folgende Felder zur Verfügung

• Hauptadministrator Login
  Der Benutzername des Adminzugangs
• Passwort
• Passwort wiederholen
• E-Mail
• Optionale Checkboxen für etwaigen Mailempfang von:
  • Wichtige Matomo Cummunity Updates per Mail zukommen lassen
  • Informationen über professionale Dienstleistungen und Produkte für Matomo

Damit ist der Hauptadministrator angelegt. Auf 2FA und Benutzerrollen gehe ich später noch ein. Durch "Nächste" ist der Zugang angelegt.
6. Website hinzufügen
Nun kann die erste Website konfiguriert werden, welche über Matomo getrackt und analysiert werden soll.

• Name der Website
  Zum Beispiel Andreas Unkelbach Blog oder ein anderer Name
• URL der Website
  https://www.andreas-unkelbach.de bzw. die URL ihrer Seite
• Zeitzone
  Hier ist auch schon oft eine passende Zeitzone erkannt bei mir bspw. Deutschland-Berlin, alternativ kann auch eine andere Stadt ausgewählt werden
• Ecomerce
  Hier kann noch aktiviert werden, dass ein E-Commerce-Tracking erfolgen soll. Dies habe ich nicht vor, so dass ich dieses erst einmal auf "Das ist keine Ecommerce Seite" stehen lasse. Im Zweifel kann dieses auch später geändert werden

7. JavaScript-Tracking-Cpde
Hier kann schon vorab der Code kopiert werden, der im HEAD Bereich der Internetseite eingebunden werden soll, entweder direkt kopiert werden oder als Anleitung per E-Mail versandt werden. Dieser Code soll aber nachher noch angepasst werden, so dass dieses später noch erfolgen kann. Dennoch kann dieses auch jetzt schon auf der eigenen Seite vor </head> im Quellcode eingebunden werden.
8. Glückwunsch
Damit ist Matomo aktiviert.
Als weitere Standard Matomo Einstellungen können folgende Punkte überprüft werden:

• Geolokalisierung automatisch mit einer dbip Datenbank konfigigurieren (hier wird dann eine Datenbank heruntergeladen, mit der IP Anschriften mit Geodaten abgeglichen werden können.
• Do-Not-Track Unterstützung aktivieren
• Plugin um die letzten Bytes der IP-Adresse der Besucher zu anonymiseren

Mit Weiter zu Matomo gelangen wir nun auf die Oberfläche von Matomo und können uns mit den gewählten Zugangsdaten anmelden.
Jetzt gibt es noch einmal eine Übersicht, wie das Tracking erfolgen kann und durch "Nachricht für eine Stunde verbergen" kann diese Hilfe übersprungen werden und über die Schaltfläche Dashboard auf die Verwaltung von Matomo gewechselt werden.

Der eingebundene Tracking-Code liefert aber nur Standardtracking, sodass dieser noch weiter angepasst werden kann.

Customizing Matomo

Wie auch bei anderer Software können hier noch weitere Anpassungen vorgenommen werden, auf die ich im Weiteren gerne eingehen mag. Grundsätzlich können mit Matomo mehrere Internetseiten verwaltet werden.

GUI und Dashboard

Von der Oberfläche her sind folgende Bereiche (rechts oben) für die Arbeit mit Matomo besonders relevant.

Unter (1) Dasboard gelange ich auf ein Dashboard wo schon einzelne Berichte als Beispiel eingebunden sind. Jeder Bericht kann hier als Widget auf dieser Startseite aufgerufen werden. Einzelne weitere Berichte finden sich danach aber auch auf der linken Seite und können neben Dasboard auch weitere Berichte zum Beispiel zu Besucher, Verhalten (aufgerufene Seiten, ...), Akquisition (Ursprung wie Suchmaschinen, Webseiten oder soziale Netzwerke) etc.enthalten.


Im Dashboard gibt es direkt ein Widget, dass durch eine Gamification durch die wichtigsten Einstellungen innerhalb Matomo führt.



Bei einigen Punkten hatte ich am Anfang noch nicht den Zusammenhang verstanden, daher möchte ich hier gerne auf einzelne Punkte näher eingehen.

Auf die Zusammenstellung der Berichte und Definitionen wie Segmente oder Ziele mag ich hier nicht eingehen, empfinde die Berichte aber als durchdacht und eigentlich vergleichbar zu GA4.

Die Einstellungen sind aber über das Zahnradsymbol (2) bzw. Einstellungen vorzunehmen. Hier können dann Einstellungen auf der rechten Seite vorgenommen werden.

• Unter Persönlich können Einstellungen zum eigenen Benutzer vorgenommen werden.
• Unter System kann die Benutezrverwaltung und Alllgemeine Einstellungen sowie Plugins etc. vorgenommen werden.
• Unter Privatsphäre ist es DSGVO konform möglcih weitere Datenschutzeinstellungen vorzunehmen, wie bspw. Benutzer Opt-Out oder Anonymiserung von bestehenden Daten. Hier sind bspw. die Anonymiserung der IP-Adressen gesteuert oder es können auch alte Daten aus der Datenbank regelmäßig gelöscht werden
• Unter Webseiten könen die Einstellungen für die einzelnen Webseiten vorgenommen werden etc.
• Plattform und Diagnose bieten auch noch weitere Punkte.

Im Weiteren gehe ich nun auf besondere Punkte zur Einstellung ein.

Globale Webseiteneinstellungen

Unter Einstellungen (Zahnrad)> Webseiten > Verwalten  kann für die einzelne Website noch weitere Einstellungen kontrolliert oder angepasst werden. Neben Zeitzone und Name der Webseite ist hier auch die Option "Interne Suche" spannend. Durch die Aktivierung von "Die interne Suche wird ausgewertet" können auch Suchanfragen über einzelne Parameter hinterlegt werden.

Interne Suchergebnisse

Matomo kann auswerten, wonach Besucher in der internen Suche der Webseite suchen. Standardeinstellung für die Website  ist: "Die interne Suche wird ausgewertet".

Dabei werden Standardparameter wie q,query,s,search,searchword,k,keyword ausgwertet, so dass interne Suchanfragen der Internetseite mit ausgwertet werden.

Die Ergebnisse der internen Suche können später im Dashboard bzw. im rechten Panel für Berichte unter Verhalten > Interne Suche aufgerufen werden.

Hier sind dann die Suchbegriffe der internen Suche zu finden. Anfangs waren hier die Suchergebnisse meiner Google CSE (benutzerdefinierten Suche über Google) nicht sichtbar, was daran liegt, dass hier Google einen eigenen Suchparameter verwendet. Damit dieser berücksichtigt wird kann unter Webseiten > Einstellungen im Abschnitt "Die interne Suche auswerten" weitere Url-Parameter durch Komma getrennt hinterlegt werden.

Sofenr eine Google benutzerdefinierte Suche eingerichtet wurde, kann hier der Parameter gsc.q ergänzt werden. Im Artikel "Benutzerdefinierte Suche in Google CSE" habe ich die Einbindung einer solchen Suche hier für die Artikelsuche beschrieben.

Dies freut mich besonders, da ich über einen solchen Bericht auch oft Anregungen für neue Artikel erhalte (sofern nicht ohnehin eine Mailanfrage vorliegt ;-)),

Tracking Code anpassen

In der Matomo Oberfläche kann im Abschnitt Webseiten unter  Tracking-Code der einzubindende Tracking-Code angepasst werden.

Neben Plugins für Wordpress bietet sich auch das direkte Einbinden des Codes in der eigenen Seite an. Da ich hier eine Eigenentwicklung für mein Blog und Internetseite verwende, ist die Option Tracking mit JavaScript bzw. ohne Tracking mithilfe eines Bildes passend.

Unterhalb des Abschnitt "JavaScript-Tracking-Code" wird der einzubindende Trackingcode angezeigt und kann vor dem schließenden </head> Tag eingebunden werden.

Zu beachten ist, dass hier das Coding noch angepasst werden kann. So findet sich unter Optionen auch ein Link zu "Erweitert anzeigen".



Wichtig sind für mich die beiden Optionen:

• Clientseitige Do-Not-Track Erkennung aktivieren
  Diese Option kann auch über die Privatsphäre eingestellt werden, aber sicher ist sicher.
• Alle Tracking Cookies deaktivieren.
  Damit werden alle Firt-Party Cookies von Matomo gelöscht

Zu beachten ist, dass hierdurch das Coding des Java-Script um zwei Zeilen (1) und (2) ergänzt worden ist. Ferner habe ich auch unter Optionen Benutzer mit deaktivierten JavaScript tracken aktiviert, sodass unter (3) auch eine <noscript> Zeile im Coding hinzugefügt wurde.


Die beiden Zeilen
  _paq.push(["setDoNotTrack", true]);
  _paq.push(["disableCookies"]);
sind vor der eigentlichen Trackinganweisung einzubinden, sprich vor
  _paq.push(['trackPageView']);
damit werden keine Cookies gesetzt und auch DNT wird immer berücksichtigt.
Die <noscript> Anweisung bindet noch per IMG eine weitere Trackingoption ein.

Unter dem Menüpunkt Privatsphäre kann im Abschnitt Benutzer Opt-Out ein weiteres Coding zum Einbinden eines OptOut per HTML Code eingebunden werden.

Ich habe den entsprechenden Abschnitt auch direkt in den Informationen zur Datenverarbeitung  (Datenschutzerklärung) eingebunden.

Soll die Optout Oberfläche auch an mehreren Positionen einer Seite eingebunden werden ist die id des div sowie der Parameter divId anzupassen.

Der Code stellt einen Link zur Verfügung, über den Besucher das Tracking mit Matomo abwählen können, indem ein Opt-Out-Cookie im Webbrowser gesetzt wird. Als Beispiel habe ich dieses unter Informationen und Möglichkeiten des OptOut eingebunden.

Weiter unten ist auch übergreifend die Aktivierung von Do-not-Track Unterststützung aktivieren möglich. Dies haben wir aber als Fallback auch schon im Tracking Code eingebunden.

Benutzer und ihre Rollen

Bisher habe ich mit meinen in der Installation angelegten User gearbeitet. Dieser hat als Hauptadministrator Zugriff auf alle Webseiten und kümmert sich um das Customizing von Matomo. Natürlich kann ich auch mehrere Webseiten verwalten und entsprechend auch weitere Benutzer anlegen und diese dann für einzelne hinterlegte Webseiten auch passende Berechtigungen vergeben. So könnte ich auch für andere Seiten über Webseiten und Verwalten weitere Seiten mit eigenen Tracking-Code hinzufügen und auch einzelne Benutzer nur für einzelne Webseiten anlegen.

In meinen Fall mag ich aber einen User für die Verwaltung von Matomo verwenden und einen zweiten User zur Auswertung um hier die Oberfläche direkt zu verwenden.

Über System und dort im Abschnitt Benutzer kann ich per Schaltfläche Einen Benutzer einladen einen Benutzernamen und E-Mail angeben und die Berechtigung für eine Website hinzufügen.
Hier wird automatisch die Rolle "Ansicht" für den User hinterlegt wobei diese Rollen später je Website auch noch über das Bearbeiten des User bearietet werden kann. Während der Hauptadminstrator die  Gesamtberechtigung hat (welche auch über (5) einzelnen Accounts zugewiesen werden kann) kann je User und Website eine einzelne Rolle zugewiesen werden.



Eine besondere Rolle kommt den Benutzerzugang anonymous zu. Dieser hat normalerweise die Rolle Kein Zugriff (1) damit ist ohne Benutzerkonto kein Zugriff auf Auswertungen möglich. Sind hier andere Rollen bspw. "Ansicht" gewählt können einzelne Widgets auch frei zugängig  machen. Damit ist es möglich einzelne Auswertungen über Plattform und hier Widget per HTML einzubinden.  Für bestimmte Anwendungsszenarien kann dieses sinnvoller sein, als für jeden ein einzelnes Konto anzulegen, aber schöner ist es hier einzelne User mit passenden Berechtigungen zu vergeben.

Dabei mag ich kurz auf die einzelnen mit der Rolle verbundenen Rechte eingehen:

• (2) Ansicht
  Durch die Rolle Ansicht können alle Berichte aufgerufen werden aber keine eigenen benutzerdefinierte Berichte angelegt werden. Für mich ist dieses ideal, da ich mit den Hauptadmistrator ein Dashboard entwerfe und dieses im Dashboard über die Schaltfläche Dashboard -> Dashboard verwalten -> mit "Dashboard zu Benutzer kopieren" als Vorlage zum Auswerten angebe.
• (3) Schreiben
  Hier können eingene Berichte und entsprechende Trichter (Segmente, angelegt werden und Aktualisierungen durchgeführt werden. Dies wäre bspw. eine Rolle wenn ich Matomo für eine andere Seite betreiben zusätzlich betreiben wollte oder eine Dienstleistung für Berichte und Dashboardgestaltung einsetzen mag.
• (4) Administrator
  Über die Rolle Administrator können die Einstellungen der Webseite bearbeitet werden (Name, URL, Zeitzone) und auch neue Benutzer mit Berechitgung für Ansicht, Schreiben oder auch Administrator angelegt für die jeweilige Webseite angelegt werden.
• (5) Hauptadministrator
  Dies ist die umfassendste Berechtigung und kann neue Internetseiten anlegen, Benutzer angelegt werden, Berechtigungen verwaltet werden sowie einzelne Plugins aktiviert oder deaktiviert werden. Darüber hinaus können auch neue Plugins aus dem Marketplace installiert werden.

Für mich macht es daher Sinn, dass ich mit Hauptadministrator mir die Oberfläche anpasse und das Customizing abschliesse, aber mit einen separaten User (Rolle Ansicht) Matomo für das Berichtswesen nutze.

Bei der Erstellung eines neuen User wird eine Mail versandt mit der die Einladung binnen sieben Tagen angenommen werden kann. Dies bedeutet natürlich auch, dass jeder Benutzer eine eigene Mailanschrift benötigt.

Sicherheit 2-Faktor-Authentifzierung und Authentifizierungstoken

Jeder Benutzer kann in den Einstellungen unter Persönlich im Menüpunkt Sicherheit neben der Ändeurng des eigenen Passwort auch eine Zwei-Faktor Authentifizierung als zusätzliches Sicherheitsmerkmal zum Passwort hinterlegen. Hierzu kann ein passender QR Code eingescant werden und auch Wiederherstellungscode für diesen Benutzer geneirert werden.

Ein weiterer Punkt ist die Möglichkeit einen Authentifizierungstoken anzlegen. Durch diesen Token kann Zugriff ohne Benutzername und Passwort auf diesen User genommen werden, was sich bspw. für den Export von Widgets, die API von Matomo oder auch für den Einsatz der Matomo Mobile App genutzt werden. Auf die gehe ich in einen späteren Artikel ncoh ein.

Jeder Token hat dabei eine Beschreibung und besteht aus einen entsprechend langen Zeichencode der dann verwendet werden kann.

Die Bedeutung von 2FA habe ich im Artikel "Zweistufige Anmeldung oder Zwei-Faktor-Authentifizierung (2FA) bei Onlinediensten (Datensicherheit und Datenschutz) bspw. per OTP (One-Time Password, Einmal-Passwort) App" näher beschrieben und schätze diese an vielen Stellen.

Browser-Archvierung für eine Performance-Verbesserung deaktiveren

Die Nutzung eines Authentifizierungstoken bietet sich auch an um eine Performanceverbesserung zur Aufbereitung von Berichten zu nutzen.

In den Einstellungen unter System > Allgemeine Einstellungen kann im Abschnitt Archivierungseinstellungen unter den Punkt "Berichte archivieren, wenn diese im Browser angezeigt werden" von Ja auf Nein umzustellen.

Hintergrund ist, dass alle Daten für Berichte eingelesen werden und hier bei jeden Aufruf abgerufen werden (Echtzeit). Es bietet sich aber an diese Berichtsgenerierung per Cronjob zu erstellen und nicht bei jeden Aufurf eines Berichtes.

Dafür muss ein Cronjob eingeplant werden und dieser mit den Authentifizierungstoken eines Benutzer (mit Berechtigung auf Schreiben) angelegt werden.

Bei meinen Webhoster All-Inkl kann ein solcher Cronjob eine bestimmte URL regelmäßig aurfufen.

In der KAS (technische Verwaltung von All-inkl) kann unter Tools > Cronjobs ein neuer Cronjob angelegt werden.
Als URL wird hier die Seite zu Matomo eingetragen gefolgt von /misc/cron/archive.php?token_auth= sowie den Authentifzierungstokken. Diese seite kann dann stündlich aufgerufen weden.

Zum Testen kann diese URL auch direkt augerufen werden und es erscheint auch dann eine passende Meldung, ob die richtigen Berechtigungen für den User vorhanden sind.

Nehmen wir an, dass Matomo unter matomo.example.com angelegt wurde, dann würde die passende URL wie folgt lauten:
https://matomo.example.com/misc/cron/archive.php?token_auth=XYZ
alternativ als Unterordner:
https://www.example.com/matomo/misc/cron/archive.php?token_auth=XYZ
wobei XYZ der Authentifzierungstoken des Benutzer wäre.

Dabei habe ich den Authentifizierungstoken des Hauptadministrator (Superuser) genutzt :-)

Fazit

Insgesamt bin ich von Matomo sehr angetan und habe hier die für mich relevantesten Berichte direkt zur Verfügung. Ein weiterer Vorteil sind die Datenschutzaspekte und ergänzend dazu gibt es auch noch eine App (bspw. für Android) die ebenfalls sinnvoll genutzt werden kann.

Daneben konnte ich noch meine Datenschutzerklärung (genauer Datenschutzinformationen nach Art. 13 und 14 DSGVO)  um einen Absatz zum Thema Matomo ergänzt und auch gleichzeitig die Option zum Deaktivieren (Opt.Out) ergänzt.

Im Ergebnis habe ich dabei ein gutes Gefühl und werde die Tage dann noch von der App zu Matomo berichten. Was die Nutzung der Berichte anbelangt sammele ich da erste Erfahrungen und bin gespannt, was dabei noch an Erkenntnissen reifen wird.

Die Auswertung der einzelne Berichte und Dashboards per App habe ich unter Android im Folgeartikel "Webanalyse per App Vergleich von Matomo Mobile 2 mit Analytics von Google" beschrieben.

Aber hier sind die Anforderungen für einzelne Seitenbetreibende so unterschiedlich, dass ich auf dieses Thema nicht in Form eines Artikel eingehen werde.
 

Während heute die Mitgliederversammlung der VG Wort statt findet wurde gestern, wie auch schon im Vorjahr 2021 (siehe Artikel "Virtuelle Informationen an Wahrnehmungsberechtigte und Mitglieder der VG Wort vom 9.12.2021 unter anderen zu TTDSG und METIS")  eine virtuelle Versammlung der Wahrnehmungsberechtigte der VG Wort in Form eines Online-Videos zum Geschäftsbericht der VG Wort aber auch zu eingereichten Fragen online als Vidoe zur Verfügung gestellt. (siehe vgwort.de beziehungsweise die bis zum 29. Juli 2022 verfügbare Aufzeichnung).

Neben dem aktuellen Geschäftsbericht sowie den Hinweis, dass es 2022 zwei Termine zur Hauptausschüttung (Juli und September) geben wird, wurden auch wieder eingereichte Fragen ausführlicher behandelt.

Die beiden Termine ergeben sich dadurch, dass es eine Änderung im Sinne der Verlagsbeiteilung ab dem 7. Juni 2021 gab, sodass hier eine Ausschüttung nach alter Regelung und der zweite Teil nach der neuen Systematik erfolgen wird. Ich bin gespannt, wie dieses in den Quotenplänen dargestellt wird. Immerhin ist der Hinweis hier wichtig, dass die Ausschüttung der VG Wort für 2021 in 2022 nicht im Juli mit dem Vorjahr verglichen werden sollte, sondern erst, wenn beide Hauptausschüttungen durchgeführt sind.


Für mich sind immer wieder die eingereichten Fragen interessant und daher mag ich diese gerne hier im Ergebnis kurz festhalten:

Fragen der Wahrnehmungsberechtigte der VG Wort

Zählsystem und Datenschutz bei METIS

Beim Meldesystem bei Texten auf Internetseiten erfolgt ohne Verarbeitung von personenbezogenen Daten, nach Ansicht der VG Wort, aber auch aufgrund der bayrischen Landesdatenschutzaufsicht, sodass hier keine Probleme in Richtung Datenschutz vorhanden ist, was das System an sich anbelangt.

Problematisch könnte das Problem der Nutzung von Cookies sein, die hilfsweise zur genaueren Zählung von Zugriffen genutzt werden und wo hier auch Einwilligungen gesetzt werden sollen. Dieses in § 25 TTDSG korrekt gesetzt. Allerdings beruft sich hier die VG Wort auf § 25 II TTDSG und wird von der VG Wort so ausgelegt, dass es sich um setzbare Cookies handelt, die keine gesonderte Genehmigung seitens der Besuchende wäre. Ohne Cookies funktioniert das Zählsystem dennoch, aber es ist etwas ungenauer.

Dennoch wurde auf das technische Problem der Nutzung von Cookies unter dem Browser Chrome erwähnt. Dieser Browser unterdrückt technisch Fremd-Cookies, also Googles, die außerhalb der eigenen Seite ausgelesen werden. Mittlerweile werden diese technisch mittlerweile unterdrückt, aber bisher sind die Rahmenbedingungen noch nicht bekannt, sodass hier abgewartet wird. Es wird wohl einige Seiten geben, die in diesen Fall, analog Adblocker, den Zugriff sperren, sodass hier seitens Google Chrome hier Maßnahmen umgesetzt werden.

Es wird eine gemeinsame Lösung angestrebt, aber bisher ist hier noch keine Lösung in Sicht.

Hier hatte ich vor einigen Tagen ebenfalls eine Anfrage zum Thema third-part Cookies erhalten:

"Das VG-Wort-Cookie wird als "SameSite=Lax" deklariert, sodass Chrome und Edge kein Cookie setzen. Der Wert müsste von der VG-Wort auf "SameSite=None" geändert werden. Erst dann sollte wieder ein Cookie gesetzt werden." (Hinweis von Sebastian Meister)

Persönlich habe ich bei meinen Artikeln hier keine Einschränkung bemerkt, denke aber, dass dieses tatsächlich künftig ebenfalls von der VG Wort mit berücksichtigt werden wird. Technisch habe ich diese Aussage nicht weiter geprüft und bin mir auch gerade unsicher, wie dies Merkmal in der Zählmarke der VG Wort umgesetzt werden kann... aber dieses Jahr bin ich ohnehin schon sehr neugierig auf mein eigenes VG Wort Ergebnis.

 

Vergütung von Podcasts

Die VG Wort ist nicht für die Zugängigmachung, sondern für die Vervielfältigung zuständig. Entsprechend sind hier Kopierhäufigkeiten zu berücksichtigen, die jedoch nicht ganz einfach sind, gerade da es auch eine Vielzahl von Podcasts gibt und die entsprechend berücksichtigt werden können. Entsprechende Einnahmen im Bereich der Vervielfältigungen sind auch entsprechend gering, sodass hier eine sinnvolle Lösung erarbeitet wird.
 

Gegenseitigkeitsverträge

Wenn Werke nicht nur in Deutschland, sondern auch im Ausland genutzt werden, gibt es mit ausländischen Schwestergesellschaften entsprechende Verträge und gibt Einnahmen aus der Rechtewahrnehmung weiter, sodass hier gegenseitig mit den Schwestergesellschaften entsprechende Vergütungen im Ausland wahrgenommen werden können, sofern der Inkassoauftrag für das Ausland genutzt werden kann.

Für die Urheber*in ist der Wohnsitz nicht entscheidend, sodass bei hinreichender Nutzung des Werkes in Deutschland (auch in einer anderen Sprache) vorhanden ist. Hier sind entsprechende sprachunabhängige Voraussetzungen für die Verbreitung zu sehen.

Dieses dürfte bspw. auch für Lukas Rohr (excelnova.org) oder Katharina Schwarzer (blog.saprani.at)  interessant sein. Hintergründe zur Verwertungsgesellschaft Wort (VG WORT) habe ich ebenfalls online für Onlinetexte zusammengefasst. Besonders, dass die Texte nicht zwingend in deutscher Sprache geschrieben sein müssen, war mir bisher nicht ganz bewust und dürfte auch für andere Onlinemedien spannend sein.

Sofern kein Konto innerhalb des Europäischen Wirtschaftsraum erfolgt (hier gibt es eine SEPA Überweisung) kann hier traditionell eine Auszahlung per Scheck erfolgen.

Quoten der VG Wort 2022 für 2021 Metis und Rest

Auch wenn der Verteilungsplan auf der Mitgliederversammlung beschlossen worden ist, werden die Quoten 2022 wohl erst Anfang Juli 2022 veröffentlicht werden. Im Vorjahresvergleich (siehe "Quoten der VG Wort für Onlinetexte und Printmedien Wissenschaft / Buch") bin ich schon sehr gespannt auf die Entwicklung, auch wenn es vermutlich nicht so hohe Ausschüttungen wie letztes Jahr (inklusive der Nachausschüttungen) geben wird.

Die Quoten für METIS werden erst im September 2022 festgelegt, aber zumindest Print-Medien liegen schon vor. Dabei sind die Vergütungen im wissenschaftlichen Bereich von 2.000 Euro für ein 2020 erschienenes Buch auf eine Vergütung von 1.600 Euro für ein 2021 erschienenes Buch gesunken. Auch im Bereich METIS gibt es zwei Ausschüttungen.

Die beiden Zeiträume, die sich auf die Einnahmen vor dem 7. Juni 2021 und die Einnahmen nach diesem Datum beziehen, werden parallel ausgeschüttet.  Die Sonderausschüttung und die reguläre Ausschüttung mit Zugriffzählung finden zum geplanten Zeitpunkt im September 2022 statt.

 

Hintergrundinformationen zur VG Wort
Der Hintergrund zur VG Wort und den Ausschüttungen an Urheber*innen sowie Verlage ist auf uebermedien.de im Artikel "Zweitverwertung von Texten 1. Juli 2022 Follow the Money: Wie kommt das VG-Wort-Geld zu mir?" mit der entsprechenden Entwicklung beschrieben. Eine praktische Beschreibung, entstanden bspw. durch die steuerrechtliche Behandlung der VG Wort Ausschüttung, findet sich auch bei mir auf der Seite unter "Die Verwertungsgesellschaft Wort (VG Wort) als Autor und Blogger".

 

Auch 2021 informieren die geschäftsführenden Vorstände und der Verwaltungsratsvorsitzende über den Geschäftsbericht 2020 sowie über allgemeine Themen.der Verwertungsgesellschaft Wort (VG Wort).

Vom 10. bis 11 Dezember fand die virtuelle Mitgliederversammlung statt und davor gab es ein Video für die Wahrnehmungsberechtigte der VG Wort.

Im März 2021 gab es schon einmal eine Information, die unter "Neues Meldeportal für Onlinetexte der VG Wort (Metis-Bereich) für Texte im Internet und weitere Neuigkeiten der VG Wort (Informationen für Wahrnehmungsberechtigte und der Mitgliederversammlung 2020 (in 2021))" ausführlicher beschrieben worden ist.

Dieser Artikel gliedert sich in folgende Bereiche

• Rückblick Versammlung März 2021
• Neuigkeiten und Informationen an Wahrnehmungsberechtigte Dezember 2021
  • Erläuterungen zum Geschäftsbericht 2020
  • Änderungen im Urhberrecht
  • Aktuelle Themen - laufende Gerichtsverfahren
  • Änderungen METIS - Meldesystem für Texte auf Internetseiten
  • TTDSG und METIS
  • VGWort und Corona
  • Ausblick 2021
  • Fragen der Wahrnehmungsberechtigte - Wahrnehmung von Rechte Streamingdienste und Uploadplattformen
• Fazit

Quelle:
VIDEO zur Information für die Wahrnehmungsberechtigten
URL:
https://webcast.nc3-cdn.com/clients/vgwort/information/

Rückblick Versammlung im März 2021

Ein Schwerpunkt der Mitgliederversammlung im März 2021 war ein Bericht zu den Entwicklungen im Rahmen des laufenden Gesetzgebungsverfahrens zur Umsetzung der DSM-Richtlinie (Richtlinie (EU) 2019/790 des Europäischen Parlaments und des Rates vom 17. April 2019 über das Urheberrecht und die verwandten Schutzrechte im digitalen Binnenmarkt und zur Änderung der Richtlinien 96/9/EG und 2001/29/EG). Darüberhinaus wurden auch, die schon in 2020 erfolgten Anpassungen wie die umsatzsteuerrechtliche Anpassung. Gerade zum Thema "Auswirkung Urteil europäischen Gerichtshof (EuGH)vom 18.01.2017, C-37/16 (SAWP)" hatte ich schon im Artikel "VG Wort und Steuer" ausführlich berichtet. Daneben ging es auch um die Neuentwicklung der Software für die Meldung von Texten in Bezug auf METIS, aber auch Datenschutz und Sicherheit vorgestellt.

Ferner gab es noch Abstimmungen, insbesondere bzgl. Satzungsänderungen, Wahrnehmungsvertrag und des Verteilungsplans.

Neuigkeiten und Informationen an Wahrnehmungsberechtigte Dezember 2021

Auch die Mitgliederversammlung am Wochenende ist abgeschlossen (siehe Aktuelle Informationen Mitgliederversammlung der VG Wort (PDF)) und entsprechend neugierig bin ich auf die Informationen vom Donnerstag.

Neben der Darstellung des Geschäftsberichts des Vorstandes wurden auch vorab gesandte Fragen beantwortet. Gegenstand der Mitgliederversammlung ist dabei das Geschäftsjahr 2020, wofür auch die Ausschüttungen 2021 herangezogen worden sind. Für Texter*innen, Autor*innen aber auch Blogger*innen dürfte das Thema VG Wort mittlerweile allgemein bekannt sein, dennoch als kleiner Hinweis ein immer wieder aktualisierter Text unter "Hintergründe zur Verwertungsgesellschaft Wort (VG WORT)" :-).

Die Einnahmen der VG Wort sind wieder gestiegen und lassen scih auch an den Ausschüttungen, wie im Artikel "Mein Wochenrückblick: VG Wort Sonderausschüttung METIS für eBooks📚 (Onlinetexte), Google Analytics mit und ohne Cookies🍪 und FICO Forum Infotage Digital 2021 😎" sowohl an der Sonderausschüttung als auch METIS oder der Printvergütung im Bereich Wissenschaft zeigt.

Erläuterungen zum Geschäftsbericht 2020

Die Vergütung der Urhebende über die Gerätehersteller der Geräte und Speichermedien gemäß § 54 UrhG über stehender Text und Bild per klassicher Kopierer, Audio und Video zum Beispiel per CD, DVD oder MP3/4 Player und moderner die Kombination bei Mobiltelefonen, Smartwatches oder auch PC und Tablet.

Hier zeigt sich auch der Wandel in der Mediennutzung. Aber auch 2020 zeigen sich Einmaleffekte, die nicht zu vernachlässigen sind. Der Rückgang der Bibliothekstantiemen für Printwerke ist auch erklärbar durch geschlossene Bibliotheken, wo ein entsprechender Rückgang zu vermerken ist.

Wie sich die Urheberangabe bei digitalen Lernplattformen an Schulen und Hochschulen entwickelt und wie der Vertrag mit der Kultusministerkonferenz und den Ländern gestalten wird, ist ebenfalls ein spannendes Geschäftsfeld. Die digitalen Semesterapparate ist ebenfalls ein Thema, dass auch im Hochschulbereich noch eine offene Diskussion im laufenden Schiedstellenverfahren stattfindet.

Änderungen im Urheberrecht

Im Rahmen des digitalen Binnenmarktes wurden ebenfalls Rechtewahrnehmungen angepasst. Das Gesetz sieht auch eine Stärkung der Wahrnehmung von Rechten vor darunter fällt auch die Verlagsbeteiligung, welche zwischendurch einer Zustimmung der Urheber*innen bedurfte. Hier gibt es noch Vorschläge in der Mitgliederversammlung und Anpassung im Verteilungsplan, welche sich an den gesetzlichen Vergabeplan orientieren.

Es gibt aber auch einen neuen Anspruch der Urheberinnen und Urheber durch das Presseverlegerleistungsschutzrecht wo nun ein Anspruch über Verwertungsgesellschaften wahrgenommen werden können, sodass Journalistinnen und Journalisten  an den Einnahmen der Verlage beteiligt werden.

Bei vergriffenen Verlagen wird es auch ein System der kollektiven Lizenzen mit erweiterter Wirkung, sodass dieses auch ein weiterer Bereich bei der VG Wort sein wird.

Die Frage von Haftung und Verantwortung von Uploadplattformen und Ansprüchen über das UrhDaG ist hier ebenfalls ein Thema, wo sich die Verwertungsgesellschaft um gesetzlich erlaubte Nutzung oder der direkten Vergütung der Urheberinnen und Urheber gegenüber der Plattform auseinandersetzt.

Aktuelle Themen - laufende Gerichtsverfahren

Es gibt ein Klageverfahren im Rahmen des laufenden Verfahren der Herausgebervergütung (Herausgaber von Sammelwerken) und wissenschaftlichen Autoren. Ebenso ist hier die Frage der Durckkostenzuschüsse des Förderungsfonds Wissenschaft.

Hier gibt es ein erstinstanzliches Urteil, wonach die Wahrnehmung nur teilweise in der Vergangenheit durch Verträge gegeben hatte. Bei Änderungen des Wahrnehmungsvertrages hätte es eine positive Zustimmung zu den Änderungen geben müssen. Wie sich diese Rechtsprechung des Landgerichts München I auswirkt, ist sicherlich ebenfalls eine wichtige Frage bei Sammelwerken. Ebenso sind auch formale Formulierungen beim Förderfond nur bei Berechtigten zu sehen, wobei hier die Einordnung von Berechtigten ist hier kritisch, da ein reiner Wahrnehmungsvertrag erst einmal nicht gültig ist.

Das Urteil  vom 04.10.2021 des LG München I  42 O 13841/19 findet sich unter anderen bei Beck Online ( Rechtswidrige Ausschüttungen der VG Wort  ) sowie in der Pressemitteilung "Ausschüttungen der VG Wort an Herausgeber und Förderungsfonds rechtswidrig". Der Gesamttext des Urteils kann auf dejure.de zu "LG München I, 04.10.2021 - 42 O 13841/19" gelesen werden.


Hier ist eine unsichere Rechtslage in der ersten Instanz sodass hier noch weitere Verfahren wie auch in der Berufungsinstanz ausstehen. Daher gibt es derzeit auch keine aktuellen Druckkostenzuschüsse und entsprechende Risikorückstellungen sowie keine aktuellen Ausschüttungen an Herausgeber von Sammelwerken.

Explizite Zustimmungen bei Änderungen eines Wahrnehmungsvertrages ist auch derzeit noch nicht umgesetzt bzw. ist entsprechend kompliziert.

Änderungen METIS - Meldesystem für Texte auf Internetseiten.

Das Meldesystem für Texte auf Internetseiten (METIS) ist, wie im oberen Artikel beschrieben, um eine neue Benutzerführung erweitert worden. In 2021 sind dies die höchsten Ausschüttungen, die durchgeführt worden sind. Die neu gestaltete Oberfläche hat mich ebenfalls begeistert, da die Seite wesentlich klarer gestaltet worden ist.

Hierbei gibt es auch passende Assistenzfunktionen :-).

Durch eine zuverlässige Meldung der Verlage können diese Meldungen durch die Autorinnen und Autoren als Urheber betrachtet werden und enstprechende Korrekturen vorgenommen werden können. Dadurch entfallen die Meldebestätigungen als Autor*in für von Verlagen gemeldete Texte. Ebenso können nun auch Agenturautoren, wie zum Beispiel die DPA entsprechend berücksichtigt werden und entsprechende Meldungen erfolgen.

Interessant ist auch, dass bei der Nutzungserfassung von Texten im Internet auch alternative Zählerfassungen versucht worden sind (Google Analytics etc.) allerdings sind diese Überlegungen aus Gründen des Datenschutzes angepasst worden sind.

Der Einbau von Zählpixel (reguläres Verfahren) sollen Plugins entwickelt werden, die für Contentmanagement Systeme wie Wordpress (65 % Marktanteil) und danach Typo3 (20-25% Marktanteil)  genutzt werden können. Dieses dürfte gerade für Onlineverlage spannend sein.

Ebenso sollen Autorenidentifikationssysteme wie ORCID (häufig bei wissenschaftlichen Publikationen verbreitet) genutzt werden. Damit fällt die notwendige Authentifizierung von Autorinnen und Autoren weg, sofern diese auch automatisch erkannt werden können.

Dazu gehört auch der Standard ISNI (International Standard Name Identifier).

Bei Verlagen wird die VG Wort Karteinummer verwendet um Urheberinnen und Urheber zu erkennen.

Die Erfassung von Nutzende bei der Sonderausschüttung wurden ebenfalls Ideen entwickelt um Artikel über die deutsche Zeitschriftendatenbank ZDB zu berücksichtigen, so dass hier das Thema ISSN für Verlage ebenfalls interessant wird. Im Artikel "Hintergrund ISSN 📰 für Andreas Unkelbach Blog - Hintergrund ISSN für Onlinepublikationen wie Blog (Akademische Suchmaschinenoptimierung / Academic Search Engine Optimazation ASEO)" sowie "Die wissenschaftliche Suchmaschine Google Scholar - Recherche und eigenes Profil eintragen (Akademische Suchmaschinenoptimierung / Academic Search Engine Optimazation ASEO)" sind auch diese Themen behandelt worden.

Damit können auch Sonderausschüttungen, sofern keine Zählpixel in Onlinemedien erfasst worden sind, berücksichtigt werden. Inwieweit hier weitere Erleichterungen im Bereich Sonderausschüttung und regulärer Ausschüttung erfolgen ist ebenfalls ein Thema, was durch eine Zusammenlegung beider bisherigen Meldesysteme eine Erleichterung anbieten kann. Quasi "single point of truth" für METIS ;-).

TTDSG und METIS

Das Thema TTDSG ist hier ebenfalls ein wichtiges Thema. Seit 1. Dezember in Kraft getreten, wurden hier von der VG Wort etwaige Konsequenzen überprüft. Ein Gutachten liegt in den letzten Zügen und wird vss. Mitte Dezember vorliegen. Die Grundzüge des Gutachten besagen, dass das METIS System keine Einwilligung seitens der Nutzer bedarf.

An dieser Stelle liebe Grüße an Dr. Thomas Schwenke (Abschnitt VG Wort Pixel im Artikel "TTDSG: Neue Regeln für Cookies – Praxistipps und Checkliste für Google Analytics & Co") und Peer Wandiger (siehe Artikel "Der VG Wort Cookie und das TTDSG – Brechen nun die VG Wort Einnahmen ein?").

Im Podcast Rechtsbelehrung sind hier die beiden Folgen "TTDSG – Neue “Datenschutz”-Regeln für Kommunikation und Onlinedienste – Rechtsbelehrung 101" sowie "TTDSG – Cookies unter Aufsicht – Rechtsbelehrung 102" hörenswert.

Dieses dürfte zunächst einmal Anpassungen vermeiden, was die Anpassung der Zählpixel anbelangt. Hier gibt es noch weitergehende Informationen durch die VG Wort zum Thema TTDSG und METIS Zugriffszählung.

VG Wort und Corona

Die Betreibervergütung der VG Wort (Kopiervergütung) wirkt sich direkt auf die Einnahmen der VG Wort aus, so dass durch Schließzeiten hier niedrigere Einnahmen vorhanden sind, durch eine geringere Nutzung. Diese Einbußen sind aber geringer als erwartet.

Immerhin in der Pandemie wurden viele neue Geräte angeschafft, was sich auch auf die VG Wort positiv auf die Einnahmensituation auswirkt. Immerhin auch die VG Wort hat einen Notdienst in Präsenz für Post aber weitesgehend Homeoffice zur Vermeidung von persönlichen Kontakten, so dass die digitale Kommunikation per eMail bevorzugt wird statt per analoger Post oder Telefon.

Ausblick 2021

Für das Jahr 2021 sind zumindest schon einmal Prognosen vorhanden, wonach die Einnahmen zu 2020 wesentlich niedriger liegen (Nachzahlungen 2020 und Einmaleffekt) aber insgesamt ist das Ergebnis wirklich als positiv zu vermelden. Die Auslandszahlungen liegen noch nicht vor.

Neben Satzungsänderungen, Änderung des Wahrnehmungsvertrages und des Verteilungsplan durch die Gesetzesänderungen in 2021 wird hier die Berücksichtigung der Verleger und Inkasso für das Ausland stehen Änderungen an.

Fragen der Wahrnehmungsberechtigte - Wahrnehmung von Rechte Streamingdienste und Uploadplattformen

Hier wurden die Wahrnehmungen von Rechte gegenüber Streamingdiensten und gegenüber Uploadplattformen thematisiert.

Die Rechtewahrnehmung gegenüber Streamingdiensten wie Netflix oder Amazon Prime müssen durch Übersetzende und Drehbuchautoren werden durch die Produzenten und nicht über die Verwertungsgesellschafte eingeräumt, wodurch die VG Wort diese nicht wahrnehmen kann.

Bei Uploadplattformen wie Youtube ist die Frage wie das URHDAG angewendet wird.
Hier gebt es gesetzliche Vergütungsansprüche, direkt an Verwerter oder über Verwertungsgesellschaften. Hier ist das Gesetz noch neu, so dass dieses gemeinsam mit anderen Verwertungsorganisationen ausgearbeitet werden.

Fazit

Das Format zur Inforation an Wahrnehmungsberechtigte erscheint mir gerade dadurch sinnvoll, dass hier auch der Zugang erleichtert wird und ich freue mich, dass hier ausführliche Informationen zur Verfügung gestellt werden.


 

---

Hinweis:

Mehr zum Thema #Autorenleben findet sich im Artikel "Autorenleben - Steuern und Selbstständigkeit, Verwertungsgesellschaft Wort (VG Wort), Autorenleben in Nebentätigkeit"  und wird von mir regelmäßig aktualisiert.

---

Auch wenn die Termine zur Sonderausstellung "geheim!" im Mathematikum Gießen  (das im November 2002  gegründete erste mathematische Mitmachtmuseum der Welt)  noch nicht feststehen bin ich auf diese Ausstellung schon ebenso gespannt wie damals auf die Sonderausstellung zu Leonard da Vinci (siehe Jahresrückblick 2020).

Sonderausstellung geheim! - Kryptografie in Gießen

Schon in der Dauerausstellung ist das Thema Kryptografie immer wieder vorhanden und vom Caesar-Code, Morsealphabet bis zur Verschlüsselungsmaschine Enigma beschäftigen sich einige Exponate mit der Thematik.


Nachbau einer Enigma -  die  berühmteste Verschlüsselungsmaschine der Welt

Das Verschlüsselung gleichzeitig ein gesellschaftliches und nicht nur mathematisches oder technisches Thema ist sollte gerade im Zeitalter von Datenschutz und der Kommunikation mit Medien oder auch der einzelnen Socialmedia Dienste klar sein.

Sobald die Termine zur neuen Sonderausstellung bekannt sind, würde ich die hier im Artikel nachtragen :-).
 

Informationen zum Mathematikum
Liebigstraße 8
35390 Gießen

https://www.mathematikum.de/

Täglich geöffnet 10:00 - 18:00 Uhr
Anmeldung vorab erforderlich unter https://buchung.mathematikum.de/booking.

 

Artikel rund um Datenschutz, Verschlüsselung und Datensicherheit

So hat sich auch hier im Blog der ein oder andere Artikel zum Thema eingefunden, aber auch persönlich sind mir Themen wie Datenschutz oder auch Datensicherheit wichtig.


Das Thema Kryptografie hat mich nicht nur bei der E-Mail-Kommunikation im Artikel "Grundlagen: Mailverschlüsselung und Mailsignatur mit openPGP 🔑 ab Thunderbird 78 oder Android nutzen und eigenen öffentlichen Schlüssel auf Schlüsselerver hochladen" sondern auch bei der Verschlüsselung meiner Festplatte mit "Der verschlüsselte USB Stick oder mit Bitlocker To Go unter Windows Datenträger verschlüsseln" oder auch an älteren Rechnern mit Veracrypt beziehungsweise Truecrypt im Artikel "Truecrypt per Kommandozeile" beschäftigt.

Wie wichtig Matheamtik und auch berechnete Codes sein können zeigt sich auch beim Thema "Zweistufige Anmeldung oder Zwei-Faktor-Authentifizierung (2FA) bei Onlinediensten (Datensicherheit und Datenschutz) bspw. per OTP (One-Time Password, Einmal-Passwort) App". Bei der 2FA werden am Server und Mobilgerät zeitgleich mit der Uhrzeit basierend auf ein gemeinsam vereinbartes Geheimnis ein für kurze Zeit gültiger Code (Einmal-Passwort) berechnet der zusätzlich zur Anmeldung angegeben wird.

Welche Bedeutung die Kryptografie im Alltag und Kommunikation hat, zeigt sich nicht nur beim eingesetzten Messenger wie "Ein datenschutzfreundlicher Messenger am Smartphone - Threema" sondern auch beim Bewusstsein für den Umgang mit Daten und der vorhandenen Möglichkeit der verschlüsselten Kommunikation aber auch der Sicherheit des virtuellen Raumes. Ich erinnere mich noch an meiner Schulzeit in der wir im Unterricht ebenfalls verschiedene Möglichkeiten zur Entschlüsselung von Texten durchgenommen haben. Dabei waren dies relativ einfache Beispiele durch die Häufung von Buchstaben und Wahrscheinlichkeiten um eine einfache Caesarchiffre zu entschlüsseln, die aber bei mir in guter Erinnerung geblieben ist.

Medienkompetenz und Dauerausstellung Museum für Kommunikation in Frankfurt

2019 hatte ich neben der Dauerausstellung in Frankfurt  im Museum für Kommunikation die Ausstellung "Like you! Freundschaft digital und analog" besucht und danach noch im Erdgeschoss die Dauerausstellung zur Mediengeschichte besucht.


Sonderausstellung im Museum für Kommunikation in Frankfurt am Main

Von der Sonderausstellung war ich sehr begeistert aber auch in der Dauerausstellung hatte ich viel Zeit verbracht und kann diese gerade für Menschen die sich für Kommunikation und Medien interessieren empfehlen. Außerdem sind dort einige Exponate ausgestellt oder Videomitschnitte von Personen denen man auch so schon auf der ein oder anderen Weise im Netz begegnet ist. Neben vielen anderen ist hier auch netzpolitik.org vertreten als Beispiel für Teilhabe im Netz :-).

In dieser Ausstellung wird die Mediengeschichte anhand einzelner Geschichten und Beispiele von Keilschrift bis zur Datenbrille über die Bereiche Beschleunigung, Vernetzung aber auch gesellschaftskritisch in den Bereichen Kontrolle und Teilhabe vorgestellt. Schon die Dauerausstellung selbst ist ein Besuch wert und lässt die Zeit ein klein wenig schneller vergehen :-).
 

Informationen zum Museum für Kommunikation Frankfurt
Schaumainkai 53,
60596 Frankfurt am Main

https://www.mfk-frankfurt.de/

Öffnungszeiten: Dienstag bis Sonntag 11 bis 18 Uhr

 

Datenschutz und weitere Gehen

Ich bin schon sehr gespannt auf diese Ausstellung und freue mich darauf, wenn die Termine in Gießen feststehen. Vielleicht ergibt sich ja auch an der TH Mittelhessen irgendwann wieder eine Neuauflage zu der in 2017 zuletzt stattgefundenen Veranstaltungsreihe "THM Datenschutztag" (Rückblick).

Nicht nur im Hochschulumfeld sollte die Bedeutung von Datenschutz zugenommen haben und auch im privaten Bereich ist hier ein stärkeres Bewusstsein vorhanden. So ist es auch nicht weiter verwunderlich, dass in den Videoblogs und Podcast Empfehlungen sich einige auch mit Datenschutz, Jura und IT beschäftigen.

Auch wenn der Artikel von 2018 "EU DSGVO - Info- bzw. Link-Sammlung mit Schwerpunkt auf die Umsetzung bei Blogs oder der eigenen Website (hier: Autorenwebsite, Blogger, KMU)" etwas älter ist, dürften die hier verlinkten Seiten auch noch aktuell und lesenswert sein um sich in das Thema einzulesen.

Mir persönlich ist hier im Blog die Themenvielfalt ein wichtiges Anliegen. Auf der Startseite habe ich mein Blog als persönlichen Wissenspool beschrieben in den ich regelmäßig Artikel aus meinem Arbeitsbereich u. a. Controlling, SAP (mit Schwerpunkt auf die Module CO, PSM und BC) aber auch zu diversen andere oft it-nahe Themen schreibe.

Trotzdem entwickeln sich immer auch wieder Artikel, die dann fast eine eigene Serie sinbilden. Beispiele dafür sind im Bereich "Smart Home Systeme im Alltag - z.B. Google Home und Amazon Echo (Alexa)", "Smarte Geräte am Handgelenk" oder auch im Autorenleben bei Artikeln rund um die Verwertungsgesellschaft Wort (VG Wort) direkt ersichtlich. Ebenso stelle ich gerne von mir genutzte (Software)-tools, aktuelle Buchempfehlungen oder auch andere Internetseiten vor.

Letzte Woche hatte ich mich mit folgenden Themen beschäftigt:

• Blogartikel rund um Sars-Cov-2 / Covid-19
• Hörempfehlungen Podcast rund um Datenschutz, Homeoffice und Digitalisierung in der öffentlichen Verwaltung
• Weiterbildung rund um SAP Infotage und Workshops

Von daher stelle ich die Artikel dazu sowie kurze Ergänzungen zur Verfügung.

 

Blogartikel rund um Sars-Cov-2 / Covid-19

In 2020 / 2021 ist aber auch das Thema Corona und digitale Helfer rund um die Pandemie ein Thema geworden und hier gibt es mittlerweile auch im Blog einige ausführliche Artikel, die nicht nur Apps, sondern auch Informationen rund um das Thema zur Verfügung stellen.

Daher möchte ich diesen Artikel gerne dafür nutzen, um auf einige Artikel noch einmal gesammelt hinzuweisen.



Im Artikel "Ist der QR Code von ImpfpassDE App kompatitbel zu Corona-Warn-App oder der Cov-Pass App?🤔" stelle ich nicht nur die Kompatibilität der einzelnen Impfnachweise vor, sondern beschreibe auch, wie ein solcher Nachweis beantragt werden kann, und wie nicht nur per CovPass oder Corona-Warn-App ein Nachweis erfolgen kann,  sondern auch wodurch Events oder Lokalitäten diesen Nachweis ergänzend zum Papierimpfausweis kontrollieren können.






Dass der Impfausweis aus Papier auch eine Digitalisierung erfahren würde und hier Angebote wie ein digitaler Impfausweis ein aktuelles Thema sein könnte, hat mich selbst überrascht und so hat mich die vorgestellte Lösung mancher Hausarztpraxis erstaunt und im Artikel "Digitaler Impfnachweis für Sars-Cov-2 / Covid-19 mit CovPass, Corona Warn App, ImpfPassDE 👩‍⚕️" ist die Lösung ImpfPassDE näher vorgestellt worden. Gerade bei der Impfdokumentation und der Anzeige der nächsten fälligen Impftermine empfinde ich dieses als sehr praktisch.





Wenn es um Projektmanagement und größere Softwareprojekte geht hat 2020 die Corona-Warn-App in meinen Augen sehr schnell, datenschutzkonform und wandlungsfähig ein großes Lob verdient. Ich bin von der App sehr begeistert und die Entwicklungsarbeit, die dahinter steckt, sowie der Opensourcegedanke hat sowohl in meiner IT als auch Datenschutz und juristischen Filterblase vollkommen zu Recht viel Lob gesammelt.
Die Artikel "Corona Warn App - Update Risikobegegnungen im Kontakttagebuch bei Erhöhtes Risiko + Checkin Funktion" und "Corona Warn App Update Release 2.0.3 Check-in per QR Code möglich (Checkin und QR Code erstellen) 😷" sind hier stellvertretend zu sehen. Die CWA ist auch von der SAP SE entwickelt worden und meine Artikel könnten daher eigentlich auch statt in der Kategorie Android in der Kategorie SAP eingeordnet werde.



Was die Kontaktnachverfolgung bei Begegnungen anbelangt ist auch ein Clustertagebuch ein praktisches Tool und so sind die Artikel "Coronika.App - Corona Kontakttagebuch um Infektionsketten nachverfolgen zu können (ein Clustertagebuch über Kontakte und Orte)" aus der Aktion WirVsVirus aber auch die durchaus umstrittene Luca App im Artikel "Vorstellung der Luca App als Kontaktdatenübermittlung per QR Code - Nun auch in Hessen verfügbar" Thema hier im Blog.

 

Nachtrag: Woher bekomme ich mein digitales Impfzertifikat, wenn ich schon geimpft bin?

Personen, die im Impfzentrum schon geimpft worden sind, werden wohl per Post, sofern die Daten vorhanden sind, ein digitales Impfzertifikat erhalten (Seite mit QR-Code). Sofern die Impfung in einer Praxis erfolgt gibt es wohl einige Praxissysteme, die ebenfalls nun auch das EU-Zertifikat ausstellen, alternativ kann aber auch die bestehende Impfung in einer Apotheke erfolgen, sofern die heimische Apotheke dieses anbietet.

Mittlerweile weist das Portal vom "Deutscher Apothekerverband e.V."  auf  https://www.mein-apothekenmanager.de/ nicht nur Apotheken aus, die Schnelltests, sondern unter Serviceleistungen können auch Lieferdienst sowie "Digitales Impfzertifikat" als Filter per Postleitzahl / Adresse in der Apothekensuche angegeben werden.

Gerade in der Anfangszeit dürfte die Seite, aber auch Apotheken selbst, ziemlich überlaufen sein, sodass hier Geduld und vielleicht auch die Frage, wann man dorthin sollte vorab geklärt werden.

Gerade zum Start gibt es hier sicherlich noch etwas Anlaufschwierigkeiten durch den Antrag, sodass so fern nicht unbedingt direkt sofort und gleich ein Nachweis (für eine Reise etc.) erforderlich ist, ein Besuch der Apotheke auch etwas später möglich ist.

In unserer Apotheke in Gießen Wieseck (Schwanen-Apotheke) ist der QR-Code am Bildschirm schon abrufbar, aber beim Ausdruck gibt es noch Probleme durch die Software, von daher ist hier sicherlich auch noch etwas Geduld gefragt, sodass auch mit etwas zeitlichen Abstand der Impfnachweis durch Vorlage des Papierimpfpasses und Personalausweis möglich ist.

Alternativ, bzw. bei Impfung im Impfzentrum sofern noch nicht direkt das Zertifikat ausgehändigt wurde, gibt es auch ein Schreiben (in Hessen vom Hessisches Ministerium des Inneren und Sport bzw. Hessisches Ministerium  fpr Soziales und Integration) für für die Erst- und Zweitimpfung einen QR Code (bei Johnson & Johnson nur einen QR Code) womit sowohl die Erst- als auch Zweitimpfung in die CovPass App oder Corona-Warn-App übertragen werden kann. Sollte ein Impfnachweis erforderlich sein ist dieser ergänzend mit einem Ausweisdokument (Lichtbild Personalausweis oder Reisepass) möglich.


Der in CovPass oder der Corona-Warn-App importierte Code (per QR Code vom Ausdruck) wird bei einer Kontrolle übrigens mit ausgegeben, so dass per CovPass Check dieser Code mit den Daten Name und Geburtsdatum ausgelesen werden kann aber auch in der CovPass App oder einer anderen importiert weden kann. Daher ist es auch erforderlich als Veranstalung die Daten mit einen Lichtbildausweis zu kontrollieren.

Dieses hat aber gleichzeitig auch einen Vorteil. Die CovPass Check App prüft für sich noch einmal den QR Code der CovPass App und berechnet den Impfstatus anhand des Systemdatums. Dies ist systembedingt, da sowohl CovPass als auch die Corona-Warn-App auch offline funktionieren sollen und die Berechnung der Impfdatum der letzten Dosis + 14 Tage lokal am Gerät erfolgen soll. Sollte als jemand das Systemdatum am Smartphone umstellen, ist hier ein positiver Impfstatus ausgewiesen würde aber beim Abgleich mit der CovPass Check App oder vergleichbare Lösungen auffliegen.

Ansonsten erscheint in der Corona-Warn-App aber auch in der CovPass App der Hinweis:

Digitaler Impfnachweis
Sars-CoV-2
Impfschutz

Vollständiger Impfschutz in .. Tagen


Wichtig ist sich bewust zu machen, dass Impfdatum, Personendaten im Zertifikat enthalten sind und diese dann mit einem amtlichen Dokument (Lichtbildausweis) abgeglichen werden müssen. Dieses ist aber beim Papierimpfpass identisch. Kritisch sehe ich dieses sollte die Personendaten mit einer weiteren App verknüpft werden und diese dann ebenfalls als Nachweis gelten.. damit meine ich nun nicht den digitalen Personalausweis sondern eine App die in sich schon Personendaten erfasst hat und als Kontakttagebuch in Kombination mit den Impfdaten als Einheit auftreten würde....

Deswegen sind mir tatsächlich CovPass und auch die Corona-Warn-App aus Datenschutz aber auch aus anderen Gründen sehr sympathisch, auch wenn der Abgleich mit Ausweis dennoch problematisch sein kann.
 

Wie das gültige Impfzertifikat (aus Impfzentrum, Apotheke oder Arztpraxis in CovPass oder Corna-Warn-App eingebunden wird, habe ich im Artikel "Ist der QR Code von ImpfpassDE App kompatitbel zu Corona-Warn-App oder der Cov-Pass App?🤔 Digitaler Impfnachweis des RKI mit CovPass und Corona-Warn-App" näher beschrieben.



Dabei bin ich sowohl auf "Digitaler Impfnachweis in der Corona-Warn-App" als auch "Digitaler Impfnachweis in der CovPass App" eingegangen.




Interssant ist dass in der ImpfPassDE App der Impfnachweis für 8 Monate als gültig angesehen wird und in der Corona-Warn-App für 12 Monate. In der CovPassApp wird derzeit keine Gültigkeit ausgewiesen.

Digitales und Podcastempfehlungen rund um Datenschutz, Homeoffice und Digitalisierung in der öffentlichen Verwaltung

Nicht nur im Gesundheitsbereich auch was digitale Weiterbildung und neue Medienformate anbelangt hat sich in letzter Zeit viel verändert. Daher mag ich an dieser Stelle noch auf einige in letzter Zeit gehörte Podcasts hinweisen, die mich überrascht haben oder deren Themen ich gerne weiterempfehle.

Microsoft und Datenschutz – Eine Frage der Balance? – Rechtsbelehrung 92
https://rechtsbelehrung.com/microsoft-rechtsbelehrung-92/
Gast der Sendung war Johannes Nehlsen, Inhaber der Stabsstelle IT-Recht für die bayerischen staatlichen Hochschulen und Universitäten.
Die Stelle ist am Rechenzentrum der Universität Würzburg zur hochschulübergreifenden Beratung in IT-Rechtsfragen angedockt. Gerade beim datenschutzkonformen Betrieb von Microsoft Office Produkten ist dieser Podcast sehr angenehm zu hören auch in Hinblick auf praktische Lösungen im Umgang mit Softwareprodukten. Das kurz darauf auch in der Obiter Dictum Folge noch auf viel Kritik eingegangen wurde (Spannungsfeld Open-Source, Microsoft, ..) ist vielleicht auch gerade deswegen die Folge noch einmal hörenswert. Ergänzend mag ich mich auch für den Empfehlungen zu  datenschutzrechtlichen Hilfestellungen zu Microsoft-Produkten auf https://www.rz.uni-wuerzburg.de/dienste/it-recht/it-vertraege/microsoft-365/  bedanken.

STBNHCKR #20 Marc Paczian – “Virtual First” bei Dropbox als Zukunft der Arbeit
https://stbnhckr.de/stbnhckr-20-marc-paczian-virtual-first-bei-dropbox-als-zukunft-der-arbeit/
Wie könnte künftig ein Arbeitsplatz im Spannungsfeld Büro, Mobil oder Homeoffice aussehen? Hier sehe ich die Überlegungen bei Dropbox als sehr weit fortgeschritten an und kann auch sonst rund um Homeoffice und die Auswirkungen auf den Arbeitsplatz der Zukunft sehr empfehlen. Sarah Elsser und Sascha Pallenberg bieten mit STBNHCKR einen Podcast rund um das Thema Technik, Homeoffice an und bieten regelmäßig auch noch weitere Formate unter anderen gab es hier einen Livestream zwischen Sascha Pallenberg und Karsten Lohmeyer rund um Technologien und Tools fürs Homeoffice

Auslegungssache 40: Wie entsteht eigentlich ... eine DSGVO?
https://www.heise.de/hintergrund/Auslegungssache-40-Wie-entsteht-eigentlich-eine-DSGVO-6061213.html
Nicht nur aus Interesse am Datenschutz auch für die Entstehung von EU Gesetzesvorlagen ist die derzeit noch aktuelle Folge der Auslegungssache hörenswert. Der Gast im Podcast Ralf Bendrath hat als wissenschaftlicher Mitarbeiter des (mittlerweile ehemaligen) grünen EU-Abgeordneten Jan-Philipp Albrecht (damals Berichterstatter des Parlaments zur DSGVO) maßgeblich am Gesetzestext mitgewirkt.

Dauerbaustelle Digitalisierung in Deutschland | c't uplink 38.3
https://heise.de/-6046704
Auch wenn ich im ersten Moment eher einen Rant auf die digitale Verwaltung erwartet hätte, hat mich hier Heise Online beziehungsweise c't wieder einmal darin bestätigt, warum ich das Abo dieser Computerzeitschrift sehr schätze. Sie verknüpfen durchaus berechtigte Kritik gleichzeitig auch mit Lob und Chancen die bisher umgesetzte Projekte, wie die Corona-Warn-App oder auch der nPA, ebenfalls haben. Gerade in Hinblick auf digitale Lehre (Schule aber auch Hochschule) wird auch auf die notwendige Begleitung und Schulung hingewiesen, die ebenfalls ein wichtiger Faktor in der Verwaltung ist. Entscheidend für einen Erfolg sind neben Engagement der einzelnen Personen auch das Mitnehmen aller Beteiligten durch Förderung und auch Schulungen in Software aber auch digitale Prozesse.

Zur Digitalisierung der Verwaltung und ein Angebot des digitalen Personalausweises hatte ich im Abschnitt "Datenverschlüsselung (Zukunft) openPGP bei E-Mail und PGP Schlüssel mit neuem Personalausweis nPA signieren" im Artikel "Artikel rund um Datenschutz zum Tag des Datenschutzes oder privacy data day der letzten 12 Monate 🔒 und Hinweis auf eMail Verschlüsselung mit openPGP 🔑 öffentlichen PGP Schlüssel mit neuen Personalausweis signieren lassen" und später etwas konkreter im Artikel "Grundlagen: Mailverschlüsselung und Mailsignatur mit openPGP 🔑 ab Thunderbird 78 oder Android nutzen und eigenen öffentlichen Schlüssel auf Schlüsselerver hochladen" auch schon erste Erfahrungen sammeln können.

Podcasts sind tatsächlich ein Medium über das ich mich, gerade am Wochenende sehr freue und so ist die Liste an Videoblogs und Podcast beinahe ebenso stetig gewachsen wie die Feeds von Blogs oder die Twitter-Timeline :-).

Interview und besonders Videointerviews

Aus anderen Gründen war ich die Tage auch sehr froh über den Beitrag von Dr. Kerstin Hoffmann zum Thema "Endlich gute Interviews führen: 11 praktische Tipps für Corporate Publishing und Content-Marketing"  und von der KreativeKK (kreative Kommunikationskonzepte GmbH). der Beitrag  "7 Tipps für ein gutes Video-Interview (und 4 Bonus-Tipps)". Beide Artikel sind mir leider kurz vor einen anstehenden Interview in die Timeline gespült worden, aber sicherlich für die Zukunft eine gute Empfehlung. Besonders die Empfehlung "Frage in die Antwort einbauen" ist auch später beim Zusammenschneiden der Antworten eines Interviews eine erhebliche Arbeitserleichterung zur späteren Verfügbarkeitsmachung des Interviews.Gleiches gilt übrigens auch für ein gutes Lichtverhältnis. Nachdem dei erste Aufnahme hier fertig war hatten wir dann noch einmal das Interview aufgenommen, da in der Früh das Bild dann doch eher... naja... sagen wir mal, dass ich froh war, dass Claudia (unkelbach.art) hier kurzfristig das mobile Office ausleuchten konnte und auch den Rest der Umgebung wesentlich geeigneter herstellen konnte. Nun bin ich aber auch selbst sehr gespannt auf das Interview und hoffe darauf zeitnah ebenfalls verweisen zu können.

SAP Weiterbildung

Aber auch das Thema SAP hat am zurückliegenden Wochenende noch einige passende Neuigkeiten zu bieten. Für SAP Basis und Revision sind Themen wie auf den virtuellen SAP-infotagen  „Compliance - Erkennen. Vorbeugen.  Uberwachen" aus der Natur des Themas her schon relevant aber auch im Rechnungswesen sollte eine automatisierte Kontrolle aller finanziellen Transaktionen oder Tax Compliance und Risikomanagement ein Thema sein, dass auch in Zukunft mehr an Bedeutung gewinnen wird.

Hier entwickelt sich Espresso Tutorials nicht nur vom Schulungsanbieter, Buchverlag hin zu einer Konferenzplattform die auch passende Vorträge rund um das Thema SAP zu unterschiedlichen Themen liefert.

Compliance Forum Infotage 2021

Eine dieser Veranstaltungen dürfte für SAP Basis, Finanzbuchhaltung und Revision besonders besuchenswert sein. Hier wird ein kostenloser Format über zwei Tage angeboten.

Compliance-Forum-Infotage 2021 (Online)
22.06.2021  09:00 - 17:00 Uhr

• Schnelle Compliance, langsame Compliance - Warum wir manchmal Mist bauen - Tobias Harmes (mindsquare)
• Access Governance im Rahmen einer Transformation nach S/4HANA - Anna Otto (SAP Deutschland)
• Das neue Berechtigungskonzept ist live - Ist die Arbeit nun zu Ende? - Martin Hofmann (ConVista Consulting AG)
• SAP Financial Compliance Management - Die neue Cloud-Lösung für die automatisierte Kontrolle aller finanziellen Transaktionen - Martin Stecher (SAP Deutschland)
• Hilfe, unser Risikoregelwerk passt hinten und vorne nicht - Methodik zur Erstellung eines unternehmensindividuellen Risiko-Regelwerkes - Bianca Folkerts (ConVista Consulting AG)
• Managed Service für SAP Enterprise Threat Detection Cloud Edition - Experten übernehmen den kompletten Betrieb des SAP Monitorings für Sie - Martin Müller (SAP Deutschland)
• SAP Business Integrity Screening (Deep Dive + Demo) - Martin Stecher (SAP Deutschland)

23.06.2021  09:00 - 17:00 Uhr

• Architekturszenarien mit den SAP IAG Lösungen - Gunnar Kosche (SAP Deutschland)
• Integration von Prozess-, Richtlinien- und Berechtigungsmanagement - Björn Rolka (ConVista Consulting AG)
• Produktivdaten in der SAP HANA Datenbank richtig geschützt - Mögliche Ansätze für wirksame interne Kontrollen - Erik Trouillet (Xiting AG)
• SAP Tax Compliance - Operationalisierung von systemübergreifenden Bewegungs- und Stammdatenkontrollen in Geschäfts- und Finanzprozessen - Alexandra Drinhausen (ConVista Consulting AG) & Heinrich Drinhausen (Mazars)
• Risikomanagement vereint mit Technik - SAP-Risiko-Regelwerke für GRC-Tools auf Knopfdruck - Thomas Tiede (IBS Schreiber GmbH)
• IT-Sicherheitsgesetz 2.0 umsetzen in SAP - Was steckt dahinter, wie kann es umgesetzt werden? - Luca Cremer (mindsquare)
• SAP Cloud Identity Access Governance Service (Deep Dive + Demo) - Anna Otto (SAP Deutschland)

Weitere Informationen zur Veranstaltung und ein Auszug zum Programm finden sich auf
https://www.convista.com/de/aktuelles/veranstaltung/compliance-forum-infotage-2021/
 

SAP Grundlagen Schulung SAP Berichtigungen inklusive Fiori-Online-Training

Sollte Interesse am Thema Berechtigung und SAP ERP / S/4HANA bestehen verweise ich auf ebenfalls vorhandene Schulungsangebote.



Das Schulungsangebot "Grundlagen SAP-Berechtigungen inkl. Fiori" wird als Blended-Learning-Paket angeboten und ist dabei wie folgt aufgebaut:

• Einführung in den Kurs
• Warum sind SAP-Berechtigungen eigentlich wichtig?
• Wie funktionieren SAP-Berechtigungen technisch?
• Entwicklung und Pflege von Rollen
• SAP-Fiori-Berechtigungen/Kachel-Berechtigungen in S/4HANA
• Entwicklung von Berechtigungsprüfungen

Dieser Online-Kurs richtet sich unter anderem an SAP-Administratoren, ABAP-Entwickler sowie Personen, die sich aktuell oder zukünftig mit SAP-Berechtigungen beschäftigen.

Ein besonderer Vorteil, neben den Aufzeichnungen der Vorträge, ist eine wöchentliche Live Expert Session in der SAP-Experten Tobias Harmes auch Fragen beantwortet.

SAP FICO-Forum Infotage 2021

Schon auf Facebook (fb.me/unkelbach)  hatte ich auf die FICO-FORUM-INFOTAGE DIGITAL 2021 hingewiesen. Dieses ist eine Jubiläumsversion (10 Jahre Infotage 💐 ) und bietet wieder in digitaler Form 3 Tage (23. bis 25. November 2021) mit Fokus: Finance und Controlling mit SAP S/4HANA 😎 an. Bis zum 30. Juni 2021 gibt es noch Frühbuchertickets (59 Euro) und ich freue mich darauf hier nicht nur selbst Wissen sammeln zu könenn sondern auch die Möglichkeit eines digitalen Austausch nutzen zu können. Weitere Infos zur Veranstaltung sind auf https://www.convista.com/de/aktuelles/veranstaltung/fico-forum-infotage-2021/ zu finden.

Auszug aus der vorläufigen Agenda:

• Strategie SAP S/4HANA Finance in der Public Cloud im aktuellen Release 2021
• Strategie SAP S/4HANA Fianance mit Fokus auf Financial Planning und Analysis im aktuellen Release 2021
• Intercompany Matching and Reconciliation mit SAP ICMR
• Material Ledger in SAP S/4HANA - Martin Munzel (Espresso Tutorials)
• Erfahrungsbericht - Anlagenbuchhaltung in S/4HANA - Maria Proch (ConVista Consulting AG)
• Archivierung in SAP S/4HANA - Michael Rohrbach (ConVista Consulting AG)
• Erfahrungsbericht - SAP S/4HANA for Group Reporting - Werner Pütz (ConVista Consulting AG)

Die vorläufige Agenda ist sicher noch nicht vollständig und aus den Vorjahren kann cih das Format der Veranstaltung sehr empfehlen.


Wie eine solche Veranstaltung virtuell statt finden kann ist im Artikel "Rückblick auf die FICO Forum Infotage Digital 2020 - virtueller ☕ und wie ist so eine digitale Transformation eines Community Events?" beschrieben.

 

Mein aktuelles Buchprojekt ist nun als Manuskript ins Lektorat gegangen und ich bin jetzt schon neugierig darauf, welche Rückmeldungen ich dazu erhalten werde. Allerdings wird die Veröffentlichung noch bis Herbst 2021 dauern, sodass ich die letzten Tage noch das ein oder andere Thema angehen konnte.

Sowohl für Blogger:innen (bloggende Personen, Onlinetexte, eBook) als auch Autor:innen dürften die Quoten zur Hauptausschüttung 2021 für 2020 eine erfreuliche Nachricht sein. Die Ausschüttung für Printmedien erfolgt zur Hauptausschüttung Anfang Juli während die Ausschüttung METIS (Texte im Internet) Ende September / Anfang Oktober erfolgt.

Die aktuellen Quoten, der für mich relevante Bereiche (Texte im Internet, wissenschaftliche Publikationen) habe ich unter "Update Quoten" hier im Artikel für die Jahre Publikationsjahre 2020 bis 2015 ergänzt nebst Verweis auf die Quelle ergänzt. Dabei bin ich auch auf die Vergütung von eBooks eingegangen (Sonderausschüttung) sowie Verwertungsgesellschaften im DACH Raum.
 

Des Thema VG Wort Ausschüttung für eBooks (Metis Sonderausschüttung) ist in folgendem Artikel inklusive einer Schritt für Schritt Anleitung beschrieben:



Unkelbach, Andreas: »Zum Tag der Bibliotheken Nachmeldung von Büchern (KVK-) sowie VG Wort Ausschüttung für E-Books (Sonderausschüttung METIS VG Wort für eBooks)« in Andreas Unkelbach Blog (ISSN: 2701-6242) vom 24.10.2022, Online-Publikation: https://www.andreas-unkelbach.de/blog/?go=show&id=1299

In diesem Artikel haben sich so Themen rund um das Autorenleben mit der Verwertungsgesellschaft Wort (VG Wort), Technik und Datenschutz aber auch SAP Weiterbildung angesammelt, auf die ich in den folgenden Abschnitten gerne eingehen mag.

• Sonderausschüttung der VG Wort für E-Books
• Update Quoten VG Wort - METIS (Onlinetexte und Sonderausschüttung)
• Update Online Onlinetexte melden in der Schweiz und Österreich
• Update Das Meldeportal Texte Online Melden TOM der VG Wort
• Google Analytics und Cookies
  • Bisherige Nutzung von Google Analytics mit Google Optout und Cookies
  • Cookieloses Tracking mit Google Analytics
  • Google Analytics per Browser Addon deaktivieren
  • Google Adsense mit nicht-personalisierten Anzeigen
• SAP Weiterbildung FICO Forum Infotage Digital 2021

Besonders rund um die VG Wort bin ich immer wieder erstaunt, welche Themen hier als Blogger aber auch als Autor relevant werden und ich freue mich darüber, dass die Seite dazu auch anderen weiter helfen kann. Was die Technik um Google Analytics und Cookies anbelangt ist hier eine Mischung aus Faszination für die Technik und Staunen darüber, wie sehr sich hier die Rahmenbedingungen doch immer wieder ändern, so dass ich hier ein großes Lob an alle (auch verlinkten) Personen aussprechen mag, die hier lösungsorientiert Alternativen anbieten.

Für November 2021 freue ich mich aber nun auch schon darauf digital rund um SAP S/4HANA neues zu lernen und hier einen Austausch zu leben. Gerne würde ich hier auch wieder bei einer Tasse Kaffee mich mit anderen austauschen, aber dieses ist zum Glück ja auch digital möglich. Für dieses Jahr bin ich aber froh, dass die Jubiläumsveranstaltung noch einmal digital statt finden wird und habe mich auch bewust dafür entschieden, bei der Anmeldung mich gegen eine lokale Veranstaltung unter Hygienebedingungen auszusprechen.

Nun mag ich aber auf die einzelnen angekündigten Themen eingehen.

Sonderausschüttung der VG Wort für E-Books

Im April 2020 hatte ich mein aktuelles Buch zum SAP S/4 HANA Migrationscockpit veröffentlicht und hier auch eine Meldung im Bereich Wissenschaft der VG Wort eingereicht.

Unter »SAP S/4HANA Migration Cockpit - Datenmigration mit LTMC und LTMOM« ist das Buch ausführlicher als Nachfolge zur LSMW oder eCATT vorgestellt worden.
   

Im Meldebereich T.O.M. (Texte Online Melden) bekam ich dann eine Meldung, dass das Buch keine ausreichende Verbreitung in wissenschaftlichen Bibliotheken gefunden hat.

Was es damit auf sich hat, ist im Abschnitt "Keine ausreichende Verbreitung der Druckversion in wiss. Bibliotheken" beschrieben. Insgesamt stehen hier zwei Möglichkeiten für Autorinnen und Autoren zur Verfügung.

• Variante 1 Nachmelden der Verkaufszahlen (sofern > 100 verkaufte Exemplare in Deutschland)
• Variante 2 Nachmelden nach der Bearbeitungsfrist (sofern innerhalb von drei Jahren (inkl. Erscheinungsjahr) doch noch eine ausreichende Verbreitung in wissenschaftlichen Bibliotheken gegeben ist)

Die Verbreitung kann im Karlsruher virtuellen Katalog (KVK) geprüft werden. Die eigenen Bücher sollten in 5 Hochschulbibliotheken an 2 Verbundsystemen vorhanden sein. 50 % der Tantieme kann auch ausgeschüttet werden, wenn es nur 3 Standorte sind und der Verkaufspreis über 10 Euro lag.

In der Nachricht der VG Wort wurde neben der Verbreitung aber auch darauf hingewiesen, dass ich zu der laut KVK vorhandenen Online-Version meiner Bücher eine Meldung im Bereich METIS abgeben kann. Hier kann die Sonderausschüttung der VG Wort in Anspruch genommen werden, sofern der eigene Verlag keine Zählpixel einsetzt.

Für mich war diese Nachricht eine Motivation hier eine Meldung abzugeben und auf das Thema ausführlicher auf meiner Seite zur VG Wort einzugehen.

• Meldung zur VG Wort (Bücher und Zeitschriften)
  1. Gedrucktes Buch melden
  2. Keine ausreichende Verbreitung der Druckversion in wiss. Bibliotheken
  3. Online-Version der Bücher melden (ebook)
  4. Wie melde ich mein eBook im METIS Bereich an?
  5. Wie meldet ein Verlag eBook / Onlinetexte im METIS Bereich an?

Da auch weitere Autorinnen und Autoren im Verlag nachfragten, wie und ob eine Meldung von E-Books bei der VG Wort möglich ist hoffe ich, dass dieser Text auch anderen weiter helfen kann.

Quoten der VG Wort für Onlinetexte und Printmedien Wissenschaft / Buch

Mittlerweile sind die Quoten der VG Wort für 2020 veröffentlicht, so dass ich  folgende Tabelle den Unterschied zwischen der regulären (erforderlich 1.500 Zugriffe im Jahr und 1.800 Zeichen je Text) und der Sonderausschüttung (pauschale Auszahlung gestaffelt nach Anzahl der Texte) verdeutlichen.
Quelle: https://www.vgwort.de/fileadmin/pdf/quoten/Quoten_2021_fuer_2020.pdf :-)

 

Vergleich METIS Onlinetexte in EUR

Anzahl Texte für->	2020	2019	2018	2017	2016	2015
Regulär METIS je Text	45,00	40,00	35,00	29,40	23,80	20,00
Hier sind 1.800 Zeichen erforderlich und 1.500 Zugriffe aus Deutschland pro Jahr (750 bei mehr als 10.000 Zeichen). Dafür zählt jede Zählmarke einzeln als Text. Eine Verlagsbeteilung ist möglich (zustimmungspflichtig).
Sonderausschüttung	Kein Mindestzugriff von 1.500 Ausschüttung erfolgt nur an Autoren
001-020 Texte	20,00	17,00	15,00	13,00	10,00	10,00
021-060 Texte	60,00	51,00	45,00	39,00	30,00	30,00
061-120 Texte	120,00	102,00	90,00	78,00	60,00	60,00
121-240 Texte	240,00	204,00	180,00	156,00	120,00	120,00
241-180 Texte	480,00	408,00	360,00	312,00	240,00	240,00
> 480 Texte	960,00	816,00	720,00	624,00	480,00	480,00

Die Quoten für METIS (Onlinetexte) der regulären Ausschüttung habe ich unter "Quoten der VG Wort nach Verteilungsplan" im Abschnitt METIS diese seit 2009 erfasst :-).

Waren es 2014 noch 12,00 EUR wurde bei der regulären Ausschüttung von 2019 bis 2013 nach der Anzahl der Zugriffe unterschieden.
 

Tantiemen reguläre Ausschüttung METIS (Texte im Internet) 2013 - 2009

	2013	2012	2011	2010	2009
Zugriff	1.500-2.999	1.500-7.499	1.500-5.999	1.500-2.999	1.500-2.999
EUR	10,00 EUR	10,00 EUR	10,00 EUR	15,00 EUR	20,00 EUR
Zugriff	7.500-37.499	7.500-37.499	6.000-23.999	ab 3.000	ab 3.000
EUR	12,00 EUR	13,00 EUR	15,00 EUR	20,00 EUR	25,00 EUR
Zugriff	ab 37.500	ab 37.500	ab 24.000	ab 10.000	ab 10.000
EUR	16,00 EUR	18,00 EUR	20,00 EUR	25,00 EUR	30,00 EUR

Gerade an den Vorjahreswerten zeigt sich, welche Bedeutung Onlinepublikationen (Blogs, Zeitschriften, Portale, ...) gewonnen haben und welche Entwicklung hier sich positiv in diesen Bereich für Autor*innen und Urheber*innen entstanden ist. Gerade der gestaffelte Mindestzugriff aber auch die Anpassung der Vergütung sind hier enorme Vorteile.

Fit für Journalismus (Das Blog für Einsteiger, Umsteiger und vor allem Aufsteiger!) hat im Artikel "VG Wort: Lieber mit Zählmarke oder mit Sonderausschüttung?" den Unterschied zwischen Zählmarke und Sonderausschüttung als Urhebende ebenfalls zusammengefasst. Wobei ich hier auch die Seite der Verlage verstehen kann für die eine Implementierung der Zählmarken ebenfalls Aufwand ist.

Im Vergleich dazu ist die Printvergütung für ein im Bereich Wissenschaft im Meldejahr erschienenes Buch, bei ausreichender Verteilung (siehe "Keine ausreichende Verteilung der Druckversion in wiss.Bibliotheken") ebenfalls erheblich gestiegen.
 

Wissenschaft - Printmedien - in EUR

Wisesnschaft Printmedien	2020	2019	2018	2017	2016	2015
erschienes Buch im Jahr	2.000	1.400	1.900	1.800	900	900
Beitrag (ZS,BB) Seite a 1.500 Zeichen	5	4	3,5	2	1,5	1,5

Onlinetexte melden in der Schweiz und Österreich

An dieser Stelle auch der Hinweis, dass Onlinetexte sowohl in der Schweiz als auch in Österreich gemeldet werden können. Im Abschnitt Onlinetexte melden in der Schweiz und Österreich unter "Hintergründe zur Verwertungsgesellschaft Wort (VG WORT)" ist das Vorgehen der beiden Verwertungsgesellschaften Österreich Literar Mechna (literar.at) und Schweiz Pro Litteris (prolitteris.ch).

Das Meldeportal Texte Online Melden TOM der VG Wort

Im Artikel "Neues Meldeportal für Onlinetexte der VG Wort (Metis-Bereich) für Texte im Internet und weitere Neuigkeiten der VG Wort (Informationen für Wahrnehmungsberechtigte und der Mitgliederversammlung 2020 (in 2021))" habe ich das Verfahren zur regulären Ausschüttung und Meldung von Zählmarken beschrieben.

Ein weiteres Thema letzte Woche war noch eine technische Anpassung der Nutzung von Google Analytics auf dieser Seite, worauf ich ebenfalls noch eingehen möchte.

Google Analytics und Cookies

Dr. Thomas Schwenke hat im Beitrag "Der ultimative Cookie-Datenschutz-Ratgeber" im Abschnitt "Google Analytics ohne Cookies"  darauf hingewiesen, dass Google Analytics mittlerweile auch ohne Setzen eines individuellen Cookies genutzt werden kann. Über den Tag storage: none setzt Google selbst keine ID für den User ("ClientID"), sondern  überlässt es den Website- oder App-Betreibern diese zuzuweisen. Hier muss dann eine eigene ID durch die Website oder App gesetzt werden. Über den Tag storeGac : false wird darüber hinaus auch kein Cookie mit der ID gesetzt. Sollten Sie in der Vergangenheit auch Google Adsense mit Google Analytics verknüpft haben sollte auch der Code

•  ga('require', 'displayfeatures');

entfernt werden. Dieser setzt ebenfalls ein Cookie (_gat), sodass bei der Einbindung von Google Adsense auch mehrere Berichte in Google Analytics genutzt werden kann.

Bisherige Nutzung von Google Analytics mit Google Optout und Cookies

Bisher hatte ich Google Analytics wie folgt eingebunden.

Option um ein Cookie zum Deaktivieren von Cookies zu setzen.
Hier kann dann auf der Seite per
 

<a onclick="alert('Google Analytics wurde deaktiviert');" href="javascript:gaOptout()">Google Analytics deaktivieren</a>

ein Cookie gesetzt werden um eine Option gewählt werden, durch die hier kein Cookie gesetzt wird.
 

<script>
var gaProperty = 'UA-12345678-1';
var disableStr = 'ga-disable-' + gaProperty;
if (document.cookie.indexOf(disableStr + '=true') > -1) {
window[disableStr] = true;
}
function gaOptout() {
document.cookie = disableStr + '=true; expires=Thu, 31 Dec 2099 23:59:59 UTC; path=/';
window[disableStr] = true;
}

Das Coding zum Einbinden von Google Analytics sieht dann wie folgt aus:
 

(function(i,s,o,g,r,a,m){i['GoogleAnalyticsObject']=r;i[r]=i[r]||function(){
(i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o),
m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m)
})(window,document,'script','//www.google-analytics.com/analytics.js','ga');

ga('create', 'UA-12345678-1', 'andreas-unkelbach.de');
ga('set', 'anonymizeIp', true);
ga('require', 'displayfeatures');
ga('send', 'pageview');

</script>

Damit wird die IP anonymisiert und es gibt die Option per Cookie das Tracking etwas zu anonymisieren. Allerdings werden hier im jeden Fall ein Cookie gesetzt, einmal für die Einbindung von Google Analytics selbst oder alternativ zur Ablehnung dieser Option.

Auf Blogmojo hat Finn Hillebrandt im Artikel "Die 5 besten WordPress Cookie Plugins in 2021 (ausführlicher Vergleich)" entsprechende Möglichkeiten in Wordpress beschrieben, wie mit einer solchen Variante verfahren werden kann.


Daher war ich sehr neugierig, wie eine cookielose Variante von Google Analytics und einer eigenen ID statt der ID von Google verwendet werden kann. Damit entspricht der Einsatz, technisch, der Einbindung einer lokalen Trackinglösung wie Matomo oder andere lokale Trackinglösungen. Zumindest ist sich darum bemüht worden möglichst wenig Daten zu sammeln und dennoch eine Analyse zu ermöglichen.

Das entsprechende Coding zur Nutzung einer eigenen ID ist wie folgt in Coding von Google Analytics vorgesehen.

Cookieloses Tracking mit Google Analytics

Markus Baersch hat unter "Cookieloses Tracking mit Google Analytics" mehrere Varianten beschrieben. Unter anderen ist hier die Möglichkeit der Ausgabe der PHP Session ID eine Option oder alternativ eine Berechnung einer ID aus einer Kombination von einer anonymisierten IP, Sprache und User Agent.

 

<script>
/* Google Analytics ohne Cookies */

(function(i,s,o,g,r,a,m){i['GoogleAnalyticsObject']=r;i[r]=i[r]||function(){
(i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o),
m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m)
})(window,document,'script','//www.google-analytics.com/analytics.js','ga');


ga('create', 'UA-12345678-1', 'andreas-unkelbach.de',

{'storage':'none',
'storeGac' : false,
'clientId': '<?php
/*
PHP Code von Markus Baersch
https://www.markus-baersch.de/blog/cookieloses-tracking-mit-google-analytics/

Beispielcode auf Github:
https://gist.github.com/mbaersch/e492ecfa1802b9736fefcc983b8b557f
*/

function anonymizeIp($ip) {
//IPV4/IPV6
return preg_replace(['/.d*$/','/[da-f]*:[da-f]*$/'],['.0','0000:0000'],$ip);
}
function get_fingerprint($i, $l, $a) {
//nicht nachvollziehbarer Hash aus anonymer IP, Sprache und User Agent
$in = $i . 'k1|' . $l . 'k2|' . $a . 's|';

$salt = 'GEHEIMESPASSWORT-PEPPER';

return hash('md5', $in.$salt);
}
$lng = strtolower($_SERVER['HTTP_ACCEPT_LANGUAGE']);
if ($lng != "") $lng = explode(',', $lng)[0];
$agent = urlencode($_SERVER['HTTP_USER_AGENT']);

if (! isset($_SERVER['HTTP_X_FORWARDED_FOR']))
$clientIp = anonymizeIp($_SERVER['REMOTE_ADDR']);
else
$clientIp = anonymizeIp($_SERVER['HTTP_X_FORWARDED_FOR']);

//Client Id als Fingerprint berechnen
$cid = urlencode(get_fingerprint($clientIp, $lng, $agent));
echo $cid;


?>'
});
ga('set', 'anonymizeIp', true);
ga('send', 'pageview');
</script>

Vielen Dank an dieser Stelle für den Coding Vorschlag und noch ein Grund warum ich Twitter zum Austausch (siehe "Thread zum Thema") sehr mag.

Durch die Zeile

• return hash('md5', $in.$salt);

wird der Wert aus anonymisierten IP, Sprache und User Agent ergänzt um ein strenggeheimes Passwort

• $salt = 'GEHEIMESPASSWORT-PEPPER';

serverseitig verschlüsselt, sodass hier keine Rückberechnung durch extern erfolgen kann.

Sofern Wordpress genutzt wird mag ich an dieser Stelle auch noch auf folgenden Artikel hinweisen: "Datenschutzfreundliche Statistiken über Seitenaufrufe und Besuchende unter Wordpress Analyse-Plugins Statify und Koko Analytics".

Diese Option war mir zur Nutzung auf der Seite unserer Kirchengemeinde ein besonderes Anliegen.

Google Analytics per Browser Addon deaktivieren

Nebenbei ein grundsätzliches Deaktivieren von Google Analytics ist auch über ein Browser-Addon, dass von Google selbst unter "Browser-Add-on zur Deaktivierung von Google Analytics" https://tools.google.com/dlpage/gaoptout?hl=de angeboten wird möglich.

 

Google Adsense und nicht-personalisierte Anzeigen

Was Google Adsense anbelangt bin ich auf das Thema im Abschnitt "Onlinemarketing und DSGVO" sowie "Personalisierte Werbung / Google Adsense" im Artikel "EU DSGVO - Info- bzw. Link-Sammlung mit Schwerpunkt auf die Umsetzung bei Blogs oder der eigenen Website (hier: Autorenwebsite, Blogger, KMU)" eingegangen.

Die "Richtlinie zur EU-Nutzereinwilligung von Google" eine Einwilligung zur Präsentation personalisierter Werbung (sogenanntes OPT-IN Verfahren) für Nutzendes aus dem Europäischen Wirtschaftsraum (EWR). Zum EWR zählen die Staaten der Europäischen Union sowie Island, Liechtenstein und Norwegen.

Da ich keine eigene Einwilligung für diese Nutzer eingeholt habe, ist die Option "Nutzer im EWR erhalten keine personalisierte Werbung" in den Google Adsense Einstellungen gewählt. Damit werden keine keine Nutzerbezogene Anzeigen mehr angezeigt. Dieses sind Anzeigen basierend auf Nutzerinteressen, demografischen Merkmalen und Google-Kontoinformationen außerdem kann Google zum Erstellen von Interessenkategorien auf Informationen zu Websitebesuchen zugreifen. Diese Einstellung gilt seit 25. Mai 2018.

SAP Weiterbildung FICO Forum Infotage Digital 2021

Neben aller Technik und Autorenleben ist aber auch SAP weiterhin ein aktuelles Thema :-).

Vom 23. bis 25. November 2021 finden die »FICO-Forum-Infotage 2021« erneut digital statt. Die Jubiläumsveranstaltung - sie finden 2021 bereits zum zehnten Mal in Folge statt - mit Fokus: Finance und Controlling mit SAP S/4HANA wird sicher auch dieses Jahr wieder ein voller Erfolg und so habe ich mich hier ebenfalls direkt angemeldet und bin gespannt auf die drei Tage.

Diese Themen stehen bereits fest

• Strategie SAP S/4HANA Finance in der Public Cloud im aktuellen Release 2021
• Strategie SAP S/4HANA Fianance mit Fokus auf Financial Planning und Analysis im aktuellen Release 2021
• Intercompany Matching and Reconciliation mit SAP ICMR
• Material Ledger in SAP S/4HANA
• Erfahrungsbericht - Anlagenbuchhaltung in S/4HANA
• Archivierung in SAP S/4HANA
• Erfahrungsbericht - SAP S/4HANA for Group Reporting

Wie eine solche Veranstaltung funktionieren kann habe ich im »Rückblick auf die FICO Forum Infotage Digital 2020« festgehalten.

 

---

Hinweis:

Mehr zum Thema #Autorenleben findet sich im Artikel "Autorenleben - Steuern und Selbstständigkeit, Verwertungsgesellschaft Wort (VG Wort), Autorenleben in Nebentätigkeit"  und wird von mir regelmäßig aktualisiert.

---

Das Land Hessen hat heute bekannt gegeben, dass es mit der Luca App eine zentrale Lösung zur digitalen Nachfolgung einführt. Dabei ist das Ziel "Sie soll die Impf- und Teststrategie bei der Bekämpfung der Pandemie sinnvoll ergänzen." (siehe Pressemitteilung). Sowohl die Lizenz der App als auch einige Datenschutzprobleme sind kurze Zeit nach Veröffentlichung der Mitteilung und Vergabe ebenfalls angesprochen worden und werden unter "Nachtrag Kritik an der App (rechtlich, Datenschutz, Vergabe und weitere Punkte) " am Ende dieses Artikel verlinkt.
 

Nachtrag: Corna-Warn App erhölt Check-in Funktion

Wie im Artikel "Das Projektteam veröffentlicht Corona-Warn-App 2.0 mit Eventregistrierung" berichtet erhält nun auch die Corona-Warn-App ein Update um eine Funktionalität zur Eventregistrierung, mit der Nutzer*innen im Einzelhandel, bei Veranstaltungen oder privaten Treffen per QR-Code einchecken können.

Im Artikel "Corona Warn App Update Release 2.0.3 Check-in per QR Code möglich (Checkin und QR Code erstellen) 😷" habe ich die neue Funktion zum Check-in und Erstellen von QR Codes mit der Corana-Warn-App (CWA) für Orte und Events beschrieben.
Exkurs: Alternative Corona Warn App
Entsprechend ist auch die Empfehlung die Funktion der Corona Warn App für Veranstaltungen zu nutzen. Die neue Funktion der CWA sind im Artikel näher vorstellen.

• Checkin per QR Code Scan
• QR Code für Ort oder Event anbieten

 

Anwendungsbeispiel Corona Warn App:
Als praxisnahe Beispiele habe ich, neben der reinen Check-in Funktion auch die Möglichkeit zum Erstellen von eigenen QR Codes für Orte (Geschäfte, Besprechungsräume) aber auch für Events (Kulturveranstaltungen, private Feiern oder Gottesdienste) vorgestellt.

 

Vorstellung Luca App

In den ersten Abschnitten möchte ich erst einmal die App selbst näher vorstellen.

Die App soll eine Ergänzung zur Corona Warn App sein, die ich inklusive ihrer Warnmeldung im Abschnitt "Unterschiedlicher Risikostatus in der Corona-Warn-App Ablauf bei erhöhter Risikobegegnung Warnung der Corona Warn App" vorgestellt habe. Wobei es im Artikel "Corona Warn App - Update Risikobegegnungen im Kontakttagebuch bei Erhöhtes Risiko" dazu auch schon eine Aktualisierung gibt.

Das Konzept der Luca App ist es, dass sich Personen zentral registrieren und bei Besuchen in Läden, oder im privaten Kreis, per QR Code ihre Kontaktdaten und gleichzeitig den Veranstaltungsort miteinander tauschen. Durch die zentrale Speicherung sind die damit angefallenen Daten an einer Stelle hinterlegt und gespeichert. 

Clusterverfolgung dank Kontakttagebuch

Da auch die Corona Warn App (vss. im April) eine Möglichkeit zum dezentralen Austausch von Kontaktdaten erhalten soll (inklusive Checkin per QR Code) bin ich mir unsicher, ob nicht doch eine lokale Erfassung von Kontaktdaten, wie im Artikel "Coronika.App - Corona Kontakttagebuch um Infektionsketten nachverfolgen zu können (ein Clustertagebuch über Kontakte und Orte)" als Clustertagebuch beschrieben, eine datenschutzfreundlichere Idee ist bzw. auch für Betriebe sinnvoller sein kann, insbesondere da mittlerweile auch in der Corona Warn App ein Kontakttagebuch vorhanden ist, auch wenn hier noch manuell die Kontakte gepflegt werden müssen.

Immerhin ist es ein weiterer Fortschritt, dass auch in der Corona Warn App nun Kontakte und Orte im Kontakttagebuc gesammelt werden können und die Weitergabe der Kontaktdaten gerne per QR Code erscheinen mir als einen sinnvollen Ansatz.

 

Vorstellung Luca App

Dennoch war ich neugierig, wie die Luca App funktioniert und mag diese gerne vorstellen.

luca app

Android / Google Play:

• luca app

Apple Store

• luca app - Kontaktdatenübermittlung

Ferner funktioniert die App auch als Web App also per Internet ohne Installation eienr App über https://app.luca-app.de/webapp .

Installation der Luca App am Smartphone

Nach der Installation der App sind AGB und Datenschutzbestimmung der App zu bestätigen.

Registrierung am LUCA Server

Danach können direkt die Kontaktdaten eingegeben werden.



Diese Daten werden am Server verschlüsselt und können von Gesundheitsämtern, nach einer Meldung entschlüsselt werden. Die verpflichtende Angabe von Vorname, Nachname und Erreichbarkeit per Telefonnummer (optional auch E-Mail-Adresse) entspricht auch den Formularen die in Geschäften ausliegen.

Die Telefonnummer wid gleichzeitig zur Verifizierung verwendet. Sofern eine Mobilfunknummer eingetragen wird, wird eine TAN per SMS versandt. Alternativ erfolgt ein Telefonanruf mit Berliner Vorwahl (+49 30 221838558 ) an der eine Computerstimme mehrfach die TAN (sechs Stellen) ansagt.



Nachdem der Account so angelegt worden ist, muss für die Kontaktdatenerfassung noch eine Adresse aufgenommen werden. Diese müssen auch von Gastgeber:innen erfasst werden, so dass die Angabe ebenfalls für die Nutzung von luca verpflichtend ist.



Hier sind als Adresse Straße, Hausnummer, Postleitzahl und Stadt anzugeben.

Danach ist die Registrierung vollständig abgeschlossen und die Kontaktdaten können verschlüsselt übertragen werden.



Innerhalb der App können nun verschiedene Optionen genutzt werdne.

Checkin per QR Code

Beim erstmaligen Start der App erscheint direkt ein QR Code in den die eigenen Daten geteilt werden können. Geschäfte oder Gastgeber:innen können diesen QR Code direkt einscannen.



Der QR Code enthält dabei einen Schlüssel, der am Server dann abgeglichen wird und nur die Gesundheitsämter erhalten dabei eintsprechende Zugangsdaten. Im Screenshot habe ich den QR Code jedoch ausgetauscht.

Selbst einchecken per QR Code

Alternativ kann auch am Veranstaltungsort ein entsprechender QR Code eingescant werden.

Dieses ist über die Schaltfläche "Selbst einchecken" möglich.



Damit muss kein Kugelschreiber oder Liste geführt werden.

Am Beispiel OBI sieht dieses dann wie folgt aus:



Am Eingang des Geschäftes ist ein QR Code zu finden (1. Bild auf der linken Seite), wird dieses mit der Luca App eingescant ist man vor Ort eingecheckt (Bild rechte Seite) und in der Statusleiste (2. Bild linke Seite) ist eine Statusmeldung über den Checkin und die Möglichkeit "Auschecken" zu aktivieren. Alternativ kann in der App auch (Bild rechts) das "Auschecken per Wisch nach links) erfolgen. In der Historie der App sind dann alle Besuche und Veranstaltungen festgehalten.
 

Erfassung privater Treffen

Über die Schaltfläche Privates Treffen erstellen kann auch für Freunde und Familie ein Treffen organisiert werden und in der Historie können Vor- und Nachnamen in der App erscheinen.



Zum Beenden des privaten Treffen ist der Schiebebalken (rechter Pfeil) unterhalb des QR Code zum Treffen nach links geschoben werden. Damit ist dann auch das Treffen beendet und alle Teilnehmende sind zum Treffen gespeichert.

Historie und Daten an Gesundheitsamt freigeben

Über die Schaltfläche Historie sind diese Treffen dann sichtbar und per Daten freigeben können diese Kontaktdaten für das Gesundheitsamt ebenfalls frei gegeben werden



Weitere Funktionen der Apps sind die Bearbeitung der eigenen Kontaktdaten und die Möglichkeit die eigene Historie zu löschen.




Beim Punkt "Historie löschen" werden bergangene Ereignisse werden dann nicht mehr in der App angezeigt, jedoch noch bis zu 30 Tagen am Server im System gespeichert und bei einer Datenfreigabe mit dem Gesundheitsamt geteilt.

Besonders gut gefällt mir ein Update der eigenen Kontaktdaten, was sowohl bei Umzug als auch bspw. bei einen längeren Aufenthalt an einen anderen Ort relevant sein kann.... quasi ein digitaler Nachsendeauftrag.

Fazit

Von der Anwendung her erscheint mir die App sinnvoll und bequem umgesetzt. Je nachdem welche App sich im Markt durchsetzt werden vermutlich mehrere Apps am Smartphone installiert sein. Persönlich bin ich von der Entwicklung und Funktion der Corona-Warn-App aus mehreren Gründen sehr angetan und hoffe hier ebenfalls auf das angekündigte Update sehe aber die einfache Bedienung und das QR Code Konzept der Luca App als sinnvoll und hilfreich. Hier wünschte ich mir eine entsprechende Integration auch in der kommenden Corona Warn App.

Auf der Seite https://www.luca-app.de/ sind auch weitere Informationen zur App in Form einer FAQ  für Anwendende aber auch für Veranstalter, Betreiber & Einzelhändler (Locations) sowie für Gesundheitsämter zu finden. Insbesondere der Austausch mit SORMAS eine vom Helmholtz-Zentrum für Infektionsforschung und Deutschen Zentrum für Infektionsforschung entwickelte E-Health-Software zum Management für Maßnahmen zur Epidemiebekämpfungen und Octoware bzw. DEMIS (Deutschen Elektronischen Melde- und Informationssystem für den Infektionsschutz) dürfte ein Grund für einige Länder sein, sich für diese Software zu entscheiden.

Für Betreiber:innen interessant ist, dass die Anwendung luca nur funktioniert wenn das zuständiges Gesundheitsamt an das luca System angeschlossen ist.  Dafür ist derzeit der Betrieb von Luca auch für Betreiber:innen und Nutzer:innen kostenlos.

Eine Finanzierung erfolgt über die Gesundheitsämter für diese fallen Kosten für die Lizenz, die Infrastruktur, die Zertifikate, den Support und die Wartung an. Diese anfallenden Kosten können über die Länder aus dem Pakt ÖGD (Öffentlicher Gesundheitsdienst) finanziert werden.

Aus Sicht von Nutzer:innen und Betreiber:innen erscheint mir die App einfach in der Anwendung und ich bin gespannt, wie flächendeckend diese in Hessen eingesetzt wird.

Auf der anderen Seite ist hier auch die Frage, ob die Umsetzung dann datenschutzrechtlich tatsächlich freiwillig ist. Inwieweit hier Themen wie Datenschutzfolgenabschätzung und Freiwilligkeit oder Zustimmung berücksichtigt werden ist wieder eine andere Frage.


Im Artikel "Corona-Apps: Die wichtigsten Fragen und Antworten im Überblick | heise online"  sind auch weitere Informationen zu den einzelnen Corona Apps wie die Corona Warn App, Luca aber auch Alternativen dazu zu finden.
 

Weitere Artikel rund um Sars-Cov-2 / Covid-19 und Corona
Neben Themen wie SAP und andere it-nahe Themen habe ich auch einige Artikel rund um die Pandemie und Corona hier im Blog veröffentlicht.


- Ist der QR Code von ImpfpassDE App kompatitbel zu Corona-Warn-App oder der Cov-Pass App?
Welchen QR-Code kann ich denn nun in der CovPass App bzw. als Nachweis einscannen und wie funktioniert der Corona-Impfnachweis

- Digitaler Impfnachweis für Sars-Cov-2 / Covid-19 mit CovPass, Corona Warn App, ImpfPassDE
Neben dem Impfausweis aus Papier gibt es auch Apps und Praxissoftwarelösungen die einen Abgleich der Impfdaten als digitalen Impfpass ermöglichen

- Corona Warn App Update Release 2.0.3 Check-in per QR Code möglich (Checkin und QR Code erstellen)
Neben der Kontaktdatenerfassung kann auch die Corona-Warn-App ein Checkin für Orte und Events ermöglichen.

- Corona Warn App - Update Risikobegegnungen im Kontakttagebuch bei Erhöhtes Risiko + Checkin Funktion
Gerade die Corona-Warn-App ist eine der Apps die in der Pandemie sehr anpassungsfähig und nützlich ist und dabei auch großen Respekt in der IT aber auch in Bezug auf Recht und Datenschutz geerntet hat

- Vorstellung der Luca App als Kontaktdatenübermittlung per QR Code - Nun auch in Hessen verfügbar
Auch wenn die App stark umstritten ist, war doch auch die Luca App schnell in einzelnen Bundesländern als Alternative zur Erfassung der Kontaktdaten in Listen aktiv verbreitet worden

- Coronika.App - Corona Kontakttagebuch um Infektionsketten nachverfolgen zu können (ein Clustertagebuch über Kontakte und Orte)
Clustertagebuch, Kontakttagebuch neben der Corona-Warn-App ist ein solches Kontakttagebuch zur Nachverfolgung von Infektionsketten gerade wenn man eben doch an der Arbeit zur ein oder anderen Person Kontakt hatte sehr praktisch.

Ich hoffe, dass diese ebenfalls lesenswert sind und Sie weiterhin gesund bleiben. Passen Sie auf sich und andere auf.

Gerade im kirchlichen Umfeld sind Themen wie Datenschutz und Öffentlichkeitsarbeit doch recht harmonisch verbunden und so bin ich hier sehr froh über unsere Kirchengemeinde ein wenig Erfahrung was Datenschutz und die Nutzung von Wordpress als Redaktionssystem sammeln zu können. Viele Kirchengemeinden hier in der Gegend setzen eine Typo3 Installation ein, aber es gibt doch einige Seiten die Wordpress oder auch andere CMS Systeme nutzen. Wie bei jeden System nehmen die Wünsche und Anforderungen im Laufe der Zeit zu, so dass nun auch die Frage nach Seitenaufrufe und Zahl der Besuchende auf der Internetseite aufkam.

Hintergrund: Datenschutz und Sicherheit mit Wordpress

Bei der Einrichtung vom "Wordpress als CMS für die Internetseite unserer Kirchengemeinde auf kirche-miteinander.de" waren mir Themen wie "Wordpress Sicherheit : Zugang zu Wordpress unter anderen mit 2FA / OTP als zweiten Faktor absichern, Schnittstellen deaktivieren, Benutzer und Rollenkonzept"  aber auch Datenschutz (wie "Youtube Videos datenschutzkonform einbinden") aber auch die Zusammenarbeit mit anderen (siehe auch "Menüeinträge unter Wordpress durch Redakteure pflegen lassen - Berechtigungen im CMS der Rolle Editor / Redakteur anpassen") besonders wichtig.

Gerade durch das Thema "EU DSGVO - Info- bzw. Link-Sammlung mit Schwerpunkt auf die Umsetzung bei Blogs oder der eigenen Website (hier: Autorenwebsite, Blogger, KMU)" war es mir wichtig die Seite möglichst ohne Cookies oder extern gehosteten Google Fonts zu gestalten.

Anfrage der Internetredaktion zum Thema Benutzerzahlen und Statistiken

Dieses ist mir auch soweit gut gelungen bis dann eine Anfrage von der Internetredaktion hereinkam mit der Anfrage, wie die Statistiken für die Seiten aussehen. Bisher hatte ich weder am Server noch in Wordpress selbst ein Statistiktool eingesetzt und wollte hier auch vermeiden personenbezogene Daten, wie die IP Adresse von Besuchenden zu speichern oder gar einen Cookie Banner einzusetzen.

Nach einiger Recherche habe ich dann zwei datenschutzfreundliche Tools gefunden, die leidglich intern die Zugriffe auf die Seite speichern und dabei keine IP oder andere personenbezogene Daten erfassen.

Entsprechend weise ich darauf in den Informationen zur Datenverarbeitung wie folgt hin:

Unsere Website nutzt das WordPress-Tool „Statify“ zu statistischen Zwecken, das keine personenbezogenen Daten erhebt. Statify speichert keine IP-Adressen, verwendet keine Cookies und erhebt keine Besucherprofile. Ebenso wird das WordPres-Tool „Koko Analytics“ ohne Speicherung von Cookies verwendet. Dieses berücksichtigt die Browser-Option „Do Not Track“ und zählt die Besucher auf dieser Internetseite. Dabei verzichten wir auf das Setzen von Cookies, so dass wiederkehrende Besuchende nicht identifiziert werden. Beim Aufruf der Internetseiten werden ausschließlich Seitenaufrufe gezählt.

Siehe https://www.kirche-miteinander.de/datenschutzerklaerung/

Datenschutzfreundliche Statistik Plugins unter Wordpress

Praktisch ist dieses durch zwei Plugins gelöst die ich hier ebenfalls kurz vorstellen mag.

 

Wordpress Plugin Statify

Statify Von pluginkollektiv
URL: https://de.wordpress.org/plugins/statify/

Datenbankseitig speichert das Plugin in der Tabelle wp_statisfy (wobei Sie WP durch ihr eigenes Wordpress Präfix ersetzen können) die Felder id, created, referer und target.
Dabei wird die ID automatisch bei jedem Zugriff um eines erhöht und in das Feld Created das Datum des aktuellen Zugriffs gespeichert. Handelt es sich um einen Backlink wird die verweisende URL ebenfalls festgelegt und die aufgerufene Seite wird in der Spalte target festgehalten.



Entsprechend kann die Zahl der Einträge in dieser Datenbank natürlich wachsen, so dass unter den Einstellungen zum Plugin auch festgelegt werden kann, wie lange entsprechende Daten gespeichert werden sollen.

Standardmäßig ist der Zeitraum zur Datenaufbewahrung auf 14 Tage eingestellt. Hier habe ich um das Plugin langfristig zu testen, einen höheren Wert eingetragen. Als Trackingmethode habe ich Standard-Tracking gewählt, da ich kein AMP oder Caching Plugin verwendet und so auf JavaScript verzichten mag.

Das Plugin kann auch direkt im Dashboard ein Widget mit den wichtigsten Daten anzeigen. Dabei werden 14 Tage angezeigt und ich habe die Option "Bestenliste für heute" aktiviert, so dass die aktuellsten Backlinks angezeigt werden. Ferner werden angemeldete Benutzer des CMS nicht getrackt.

Das Dashboard sieht dafür dann wie folgt aus:



Insgesamt bietet dieses schon einmal eine gute Übersicht, aber da ja noch mehr Daten gespeichert sind mag ich gerne diese auch etwas ausführlicher aufbereitet haben.

Wordpress Plugin Statify – Extended Evaluation

Statify – Extended Evaluation By Patrick Robrecht
URL: https://wordpress.org/plugins/extended-evaluation-for-statify/

Diess Wordpress Plugin erweitert das Menü im Backend von Wordpress um einen eigenen Menüpunkt Statify. Diagramme zur Datenauswertung aufgerufen werden.



Neben den täglichen und monatlichen Aufrufen gibt es hier auch die Möglichkeit einzelne Inhalte, Beiträge, Seiten, ... genauer zu betrachten aber auch die Verweise (Refer) näher zu berachten.



Diese erweiterte Auswerung bietet eine viel detailereichere Ansicht zu den reinen Dashboard Daten.

Wordpress Plugin Koko Analytics

Koko Analytics Von ibericode
URL https://de.wordpress.org/plugins/koko-analytics/
Auch das Wordpress Plugin Koko Analytics kann optional nur Seitenzugriffe zählen, sofern in den Optionen zum Plugin die Option "Einen Cookie verwenden, um eindeutige Besucher und Seitenaufrufe zu bestimmen" deaktiviert wurde. Ist diese Option deaktivert werden eindeutige Besucher nur noch über die Sessionid gezählt und ergänzt zu den Aufrufen angegeben.

Darüber hinaus werden keine personenbezogenen Daten gesammelt und Besucher können das Tracking ganz einfach durch Aktivierung von Do Not Track im Browser verhindern.

Die Einstellungen kann ferner bestimmte Benutezrrollen vom Tracking ausschliessen.



Auch hier habe ich erst einmal 12 Monate als Zeithorizont eingetragen.

Im Dashboard Widget werden die Daten wie folgt ausgegeben:



Unter den Menüpunkt Dashboard im Wordpress Backend gibt es nun noch den Punkt Analytics wo die Daten aufbereitet dargestellt werden.



Hier weden nicht nur die Seitenaufrufe sondern auch Zahl der Besucher mit angegeben, was durchaus eine charmante Darstellung ist.

Daneben ist Koko Analytics auch noch etwas sparsamer was die Datenbank anbelangt, da hier Summenzeilen gespeichert werden.

• wp_koko_analytics_post_stats (Aufruf nach Seite und Besucher je Posting)
  • date
  • id (Seite, Artikel, ..)
  • visitor (Gesamtzahl zum Tag)
  • pageviews (Gesamtzahl zum Tag)
• wp_koko_analytics_referrer_stats (je Tag werden die Seitenaufrufe und Besucher je Backlink gespeichert)
  • date
  • id
  • visitors
  • pageviews
• wp_kok_analytics_referrer_urls (Seiten die als Referrer, Backlink auf die eigene Seite verweisen)
  • id
  • url
• wp_koko_analytics_site_stats  (Seitenaufrufe insgesamt)
  • date
  • visitors
  • pageviews

Damit ist die Datenbank nur jeweils mit einer Summenzeile je Datum gefüllt und es werden wesentlich weniger Daten gespeichert.

Trotzdem lassen sich hier die Daten flexibel auswerten, was auch anhand des filterbaren Zeitraums zu sehen ist:



Da mir auch die Darstellung nach Besucher und Seitenaufrufe und die platzsparenden Summenerfassung gut gefallen werde ich mich vss. für Koko Analytics als dauerhafte Lösung entscheiden.

Berechtigung für Statsitistiken an Redakteure übertragen

Beide Plugings sind normalerweise nur für Administratoren verfügbar. Allerdings möchte ich auch für Redakteure die Berechtigungen für diese Plugins erteilen. Grundsätzlich werden Berechtigungen in Wordpress durch sogenannte wp_capabilitie je Rolle gespeichert.

Für unsere Kirchengemeinde nutzen wir folgende Rollen:

• Administrator
  Dieses entspricht der Gesamtberechtigung und kümmert sich um Design, Templates, Plugins aber auch um Updates der Software
• Redakteur
  Ein Redakteur kann jede Seite bearbeiten (und auch Autoren der Seite ändern), Bilder und Dateien hochladen sowie Kategorien pflegen
• Autor
  Autoren können Artikel (Beiträge) aber nicht Seiten pflegen, Bilder und Dateien hochladen. Dabei können Autoren auch direkt Beiträge und auch Termine veröffentlichen.
• Mitarbeiter
  Werden bei uns nicht genutzt, aber diese könnten Artikel schreiben ohne diese zu veröffentlichen. Die Veröffentlichung müsste dann von jemand anderen vorgenommen werden.

Beide Plugins weisen darauf hin, dass Berechtigungen per Hook übertragen werden können.

Das Widget von Statify kann durch dem Hook statify__user_can_see_stats so angepasst werden, dass alle User dieses Widget sehen und muss in der functions.php eingetragen werden. Allerdings möchte ich diese Option nur für Redakteure und nicht für alle User ermöglichen. Daher ändere ich gleich das Coding noch etwas ab.

Den ausführlichen Bericht zu Statify – Extended Evaluation kann durch Zuordnung der Berechtigung see_statify_evaluation  zur Rolle Redaktuer gestattet werden.

Bei Koko Analytics ist die Berechtigung an der Zuordnung vom view_koko_analytics zur Anzeige der Statistiken und manage_koko_analytics für die Einstellungen zum Plugin festgelegt.

Redakteure (Editor) haben die Berechtigung edit_other_pages wodurch ich den Filter statify__user_can_see_stats durch folgendes Coding nur für Redakteure aktivieren kann.

if( current_user_can('edit_others_pages') ) {  
 add_filter(
    'statify__user_can_see_stats',
    '__return_true'
);

}

Durch eine Funtion kann ich das Objekt role um Berechtigungen durch die Anweisung add_cap (Ergänzung von Berechtigungen) remove_cap (Löschen von Berechtigungen).

Hier habe ich per add_action init (nachdem Wordpress geladen ist, aber noch nicht die Seitne generiert wurden) folgende Anweisung ergänzt.

add_action( 'init', 'my_role_modification' );
function my_role_modification() {
    $role = get_role( 'editor' );

    $role->add_cap( 'view_koko_analytics' );
    $role->add_cap( 'see_statify_evaluation' );

}

Damit sind der Rolle editor die beiden oben erwähnten Berechtigungen erteilt. Nachdem diese Anweisung einmal ausgeführt ist sind diese Berechtigungen auch in der Datenbank gespeichert.

Danach kann diese Anweisung auch wieder auskommentiert werden. Alternativ kann auch ein Plugin zur Berechtigungsverwaltung genutzt werden. Solche Plugins wie "User Role Editor", "Members – Membership & User Role Editor Plugin" passen entsprechend die Berechtigungen der Rolle an und können nach der Pflege auch wieder deinstalliert werden. Die Berechtigungen einer Rolle sind als Array in der Datenbank abgespeichert.
 

Fazit

Beide Plugins haben ihre Vorzüge. Bei Statify gefällt mir besonders die Ansciht nach den einzelnen Gruppen von Aufrufen. Hier sind Beiträge und Seiten ebenso aufgeführt wie Termine und Veranstaltungsorte, welche beide durch das Plugin Events Manager (siehe gleichnamiger Abschnitt im Artikel "Wordpress als CMS für die Internetseite unserer Kirchengemeinde auf kirche-miteinander.de") ausgeliefert wird einzeln untersucht werden kann. Ebenso zeigt das Liniendiagramm eine schöne Entwicklung der Seitenaufrufe an. Im Gegenzug punktet Koko Analytics mit der Auswertung von Besucherzahlen.

Das beide Plugins die Privatsphäre der Besuchende schützen und hier Koko Analytics sogar die „Do Not Track“ Funktion des Browsersnutzt um Besuchende komplett vom Tracking auszuschliessen betrachte ich als sehr positiv und freue mich hier eine gute Lösung für unsere Internetseite gefunden zu haben.

Ich bin gespannt, welche Rückmeldungen hier noch von der Internetredaktion kommt denke aber, dass die Frage nach Seitenaufrufe damit beantwortet ist.

Intention war wohl auch einwenig Rückmeldung zur Internetseite zu erhalten, auch wenn in diesen Bereich keine gigantischen Zahlen erwartet wurden dürfte eine Zahl über die Seitenaufrufe ebenfalls eine Rückmeldung bzgl. der Interessensquote an #digitalekirche sein. Sicherlich ist dieses auch ein wenig Begeisterung für die Möglichkeiten und Technik aber auch die Bedeutung von Datenschutz nimmt eben doch im Laufe der Zeit zu.

Das Thema Datenschutz und Analyse Plugins hat auch andere im Netz beschäftigt, so dass ich hier auf die Artikel "Statify – datenschutzkonforme Besucherstatistik in WordPress?" aus 2011 von Dr. Thomas Schwenke und auf "Koko Analytics vs. Statify – Erfahrungen, Vergleiche, Probleme und Tipps der Statistik-Plugins" hinweisen möchte. 

Die Corona-Warn-App (siehe FAQ: Corona-Warn-App  aus c't 15/2020) dürfte ja weitesgehend bekannt sein. Per Bluetooth wird hier gemessen, ob ein anonymer Kontakt zu einer infizierten Person vorhanden war und bei einen positiven Covid-19 Test werden alle Kontakte über die App anonym gewarnt zu denen jemand Infiziertes Kontakt hatte.


Google Play

• Corona-Warn-App (RKI)

Apple Store

• Coroina-Warn-App (RKI)

Die App selbst setzt Android 6.0 bzw. iOS 13.5 (iphone6s) vorraus und nutzt eine entsprechende Schnittstelle die von Apple und Google angeboten werden.

Wie der Ablauf bei einer roten Warnmeldung in der Corona Warn App ist, erläutere ich weiter unten und als Update im Artikel "Corona Warn App - Update Risikobegegnungen im Kontakttagebuch bei Erhöhtes Risiko"

Kontaktnachverfolgung / Clustertagebuch / Infektionsketten

Ausgangslage:

Im Falle eines positiven Covid-19 Tests wird nicht nur das Testergebnis über diese App verteilt sondern auch die Kontakte der letzten Tage überprüft. Hier ist es oft schwierig eine Liste anzulegen, wo man alles war und zu wen alles eine Begegnung statt gefunden hat.

Hier bietet das RKI unter "Kontaktpersonen-Nachverfolgung bei Infektionen durch SARS-CoV-2" eine Infografik nach der bei einen bestätigten Fall die Kontaktpersonen ermittelt werden sollen.

1. Symptomatischer Quellfall: Ab 2 Tage vor Auftreten erster Symptome bis mind. 10 Tage nach Symptombeginn
2. Asymptomatischer Quellfall: Ab 2 Tage vor Test bis mindestens 10 Tage nach Test

Zwischen Test und aufgetretenen Symptomen kann jedoch einige Zeit vergangen sein, so dass es sinnvoll ist, hier ein "Kontakttagebuch" zu führen um festzuhalten zu welchen Personen und öffentlichen Plätzen ein Bezug zu anderen Menschen bestehen könnte.

Kontakttagebuch als App

Durch einen Kollegen bin ich per Facebook auf die App coronika aufmerksam geworden die es ermöglicht lokal am Smartphone ein eigenes Kontakttagebuch zu führen. Dieses kann praktisch sein, da man im Falles einer Infektion eben nicht darüber nachdenken muss, zu welchen Personen in den letzten Tagen ein Kontakt bestanden hat. Die App wurde im Rahmen eines Hackathon #WirVsVirus entwickelt und steht unter https://coronika.app für Android und bald auch für iOS zur Verfügung. Zum Ende des Artikels habe ich für iOS noch eine Alternativ-App mit aufgeführt.

Vorteil der App ist, dass alle Einträge lokal gespeichert werden und im Falle einer Erkrankung alle Kontakte aus den Einträgen exportiert und an das Gesundheitsamt übergeben werden. Ähnlich wie die Corona-Warn-App steht hier ebenfalls im Mittelpunkt der Datenschutz und gleichzeitig überzeugte mich die App auch von ihrer Umsetzung.

Daher mag ich hier gerne die Android Version der App näher vorstellen. Die App wurde von Kreativzirkel Design Studio aus Düsseldorf entwickelt (kreativzirkel.de).


Coronika - Dein Corona Tagebuch

Google Playstore:

• Coronika - Dein Corona Tagebuch

Installation der App

Bei der Installation der App wird schon direkt der Zweck der App (Nachvollziehen der Infektionswege) erläutert. Im Form eines Tagebuches werden Orte und Personen erfasst mit denen man sich getroffen  hat und an welchen öffentlichen Orten man gewesen ist. Ferner gibt es auch die Möglichkeit der Erinnerungsfunktionen (Hände waschen, Smartphone desinfizieren oder Tagebuch nutzen).

Der für mich wichtigste Punkt ist aber "Deine Daten gehören dir!". Alle Informationen die in der APp angelegt werden sind lokal gespeichert und werden weder getrackt noch an Clouddienste oder andere weiter gegeben.

Die Oberfläche

Nachdem die App erfolgreich installiert wurde zeigt sie direkt eine Oberfläche an. Zentraler Punkt ist dabei das Tagebuch.



Über das Tagebuch können die letzten 21 Tage aufgerufen werden. Ebenso kann hier auch die Vergangenheit eingetragen werden (durch mehr anzeigen oberhalb der ersten 7 angezeigten Tage).

Innerhalb des Tagebuches können die einzelnen Tage aufgerufen werden oder aber per Gesamt auf eine Liste aller Orte und Begegnungen im Zeitraum geschaut werden. Letzteres ist später für den Export wichtig.

• Unter tipps gibt es einige Hygiene Tipps rund um Corona aber auch Infektionsvermeidung.
• Unter verzeichnis können eingetragene Kontakte und Orte verwaltet werden
• Das tagebuch ist oben zu sehen
• und über die Teilen Funktion kann die App weiterempfohlen werden.

Beim Teilen wird folgender Text versandt

Lass dich durch das Coronavirus nicht in Panik versetzen. Bleib informiert und hilf deinen Mitmenschen, indem du…
✅…ein Tagebuch über Kontakte und Orte führst
✅…auf Hygiene Tipps achtest
✅…Updates von seriösen Quellen im Blick behältst
Bleib gesund und vergiss nicht dir die Hände regelmäßig zu waschen! ✋😉 https://coronika.app/

Coronika - Kontakttagebuch Tagesansicht

Durch den Aufruf eines Tages können in der Tagesansicht sowohl öffentliche Orte als auch Begegnungen mit Menschen eingetragen werden.

Begegnungen mit Personen und Besuch von Orten erfassen

Über die Registerkarte Person könenn Begegnungen mit Personen und über Orte entsprechende öffentliche Orte eingetragen werden.

Beim öffentliche Ort kann direkt ein Ort angelegt werden. Einmal angelegte Orte sind dann auch immer zur Auswahl vorhanden, so dass häufig besuchte Orte (Friseur, Supermarkt, ..) direkt ausgewählt werden können.



Zum Ort könenn Titel, Beschreibung und Telefonnummer erfasst werden.

Ebenso kann auch eine Person erfasst werden. Bei den Personen gibt es aber eine Besonderheit.


Hier kann entweder manuell "+ neue Person" eine Person einegtragen werdne oder über "jetzt importieren" auf das lokale Kontaktverzeichnis (Adressbuch) zugegriffen werden.

Die manuelle Anlage von Personen ist vergleichbar zu den Orten.



Hier sind Vorname und Nachname sowie Telefonnummer erfassbar.

Spannender ist die Funktion "jetzt importieren" wodurch Zugriff auf die Kontakte am Smartphone angefordert wird.



Nun kann über das eigene Adressbuch nach einer Person gesucht werden und diese dann eingetragen werden (über das + in folgender Abbildung)


 

Übersicht über Begegnungen

Obgleich ich Begegnungen mit Menschen tatsächlich vermeide und sowohl auf Abstand als auch Mund-Nasen-Schutz wert lege hat es mich doch überrascht, wieviele längere Begegnungen (Gespräche im Büro) zu unterschiedlichen Personen man doch so hat.



Dabei werden tatsächlich die unerschiedlichen Personen gezählt.

In der Tageansicht sind die Personen dann auch einzeln mit Namen und Telefonsymbol bei vorhandener Telefonnummer angezeigt.



Über die drei Punkte kann ein Kontakt auch wieder entfernt werden.

Epxort von Begegnungen und Aufenthalten

In der Gesamtansicht sind alle Personen mit Anzahl der Begegnungen der letzten Tage aufgeführt (und auch die öffentliche Plätze sofern eingetragen).



Durch die Schaltfläche Übersicht exportieren kann dann ein Export als PDF angestossen werden. Vorher gibt es aber noch eine passende Hinweismeldung:



Hier kann eine Liste erstellt werden in der alle vorhandene Kontakte und Orte aufgeführt sind. Dabei handelt es sich um sensible Daen, so dass diese per Mail oder lokal gespeichert werden können. Sie sollten nicht mit fremden oder Online geteilt werden.


Ist der Export abgeschlossen kann die Liste als PDF Überischt entweder gespeichert oder geteilt werden (per Messsenger, Mailprogramm etc.).

Ansicht der Kontaktliste

Die Kontaktliste aus Anzahl der Begegnungen sieht dann bspw. wie folgt aus:



Dabei werden nicht nur Namen der Kontaktpersonen sondern auch alle vorhandenen Telefonnummern mit aufgelistet, was eine Kontaktaufnahme durch das Gesundheitsamt wesentlich erleichtert.
 

Fazit

Die App ist sehr durchdacht und legt zusätzlich auch noch Wert auf Datenschutz sowie ist einfach zu bedienen. Hier bin ich für den Hinweis sehr dankbar und erstaunt darüber, wie viele Begegnungen so an einen Tag doch zu anderen Kolleg:innen im Büro vorhanden sind.

Vielen Dank an dieser Stelle an Markus Labasch (labasch.de) der mich auf die App aufmerksam gemacht hat.

Was ist mit iOS (Iphone /iPAD)?

Leider fehlt mir für iOS ein passendes Endgerät, so kann ich nur aus dritter Hand entsprechende Apps empfehlen.

iOS App Kontakt-Tagebuch

Bis Coronika unter iOS bei Apple ebenfalls angeboten wird, kann auch die App Kontakt-Tagebuch hilfreich sein. Leider fehlt mir hier die Erfahrung, wie diese umgesetzt ist. Weitere Alternativen sind unter den Tweet des Entwicklers zu finden.

@Funkenstrahlen: "Hilft dem Gesundheitsamt Infektionsketten nachzuvollziehen, indem du dir notierst wen du getroffen hast.  Für iOS habe ich eine App entwickelt, die dir das ganz einfach macht: https://apps.apple.com/de/app/kontakt-tagebuch/id1535797892  Für Android Nutzer gibt es bereits die App Coronika."

Da ich selbst kein iOS Gerät habe bin ich sehr froh, dass Markus Labasch die App direkt getestet hatte.

Markus Labasch: "Sympathisch ist die Option alle Einträge älter als 14 Tage automatisch zu löschen. Etwas umständlicher, aber besser als nichts ... bis dann die iOS-Version von Chronika online geht. Wir werden sowas leider noch länger brauchen. „Kontakt-Tagebuch“ Version 1.3 stürzt nur leider regelmäßig ab." Wobei dieses sicherlich noch per Update korrigiert wird, sofern es sich bei iOS wie bei Android verhält :-)
 

iOS App Cluster Diary

Eine andere Alternative unter iOS ist noch die App "Cluster Diary" :-) Hier würde ich mich ebenfalls über einen kurzen Erfahrungsbericht freuen. :-)

 

Fazit - Weitere Informationen zu Corona und Updates

Ich würde mich, besonders zu den iOS Apps über kurze Kommentare hier im Blog sehr freuen, wenn ihr diese getestet habt :-). Ansonsten hoffe ich, dass beide Apps auch für Apple User nützlich sind und drücker den Entwicklern von Coronika die Daumen, dass sie auch die App noch auf iOS bekommen. Abseits davon glaube ich, dass uns Corona noch eine Weile begleiten wird, so dass sich hier noch das ein oder andere entwicklen lässt.

Aktuelle Informationen zur Corona, insbesondere der 7-Tage-Inzidenz als Wert der Neuinfektionen über 7 Tage pro 100.000 Einwohner, sind nicht nur beim RKI abrufbar sondern können auch per Messenger Chatbot auf Basis des eigenen Standort angefordert werden. Hier ist das Corona-Radar ein passender Dienst den es für WhatsApp, Telegramm und auch Threema gibt.

Gerade beim "datenschutzfreundlicher Messenger am Smartphone - Threema" war mir gar nicht bekannt, dass hier auch Chatbots verfügbar sind.

Whapooda bietet unter "Aktuelle Corona-Informationen direkt per Messenger" für Deutschland, Österreich und die Schweiz  diesen Dienst an.

Aktuelle Fallzahlen für Deutschland:

Alternativ können auch über das "Robert Koch-Institut: COVID-19-Dashboard" aktuelle Zahlen basierend auf den aus den Gesundheitsämtern gemäß IfSG übermittelten Meldedaten per interaktiver Karte aufgerufen werden.

Hier können je Landkreis

• Fälle
• Fälle/100.000 EW
• Fälle letzte 7 Tage/100.000 EW    
• Todesfälle
• Einwohnerzahl
• Bundesland
• Bundeslandweite Fälle der letzten 7 Tage/100.000 EW
• und das Datum der Aktualisierung

abgerufen werden.

Aktuelle Fallzahlen für aktuellen Standort

Auf der Seite https://hotspotornot.de/  kann für den eigenen Standort (entweder per Standortfreigabe) oder durch Eingabe des Ortes ebenfalls die aktuellen Daten abgefragt werden.



Die Seite gibt den Inzidenzwer,t also die Maßzahl dafür, wie viele von 100.000 Einwohnern innerhalb von 7 Tagen an Covid-19 erkrankt sind, aus.

Aktuelle Fallzahlen Deutschland nach Bundesland und Landkreis

Die Seite https://corona-data.eu/ wiederum  liefert eine Heatmap aller SARS-CoV2 Infektions­fälle in Deutschland nach Alters­gruppen und Kalender­wochen pro Land- und Stadtkreis sowie Bundes­land.

P.S.: Unterschiedlicher Risikostatus in der Corona-Warn-App Ablauf bei erhöhter Risikobegegnung Warnung der Corona Warn App

Im Idealfall haben Sie keine Risikobegnung.



Sollten Sie innerhalb der letzten 14 Tage eine Begegnung mit ausreichenden Abstand gehabt haben gibt es eine weiterhin grüne Meldung:


Bei "Niedriges Risiko    1 (oder mehr) Begegnung mit niedrigen Risiko" hat sich jemand mit größeren Abstand in ihrer Umgebung als positiv gemeldet. Die ausführlichere Erläuterung (durch -> aufrufbar) ist da ebenfalls beruhigend.


Konkret lautet diese:

Begegnung mit niedrigem Stauts

Deshalb ist ihr Infektionsrisiko niedirg

Sie hatten eine Begegnung mit einer später Corona-positiv getetesten Person. Ihr Infektionsrisiko wird auf Grundlage der Daten der Risiko-Ermittlung dennoch als niedrig eingestuft. Ein niedriges Risiko besteht insbesondere dann, wenn sich Ihre Begegnung auf einen kurzen Zeitraum oder einen größeren Abstand beschränkt hat. Sie müssen sich keine Sorgen machen und es besteht kein besonderer Handlungsbedarf. Es wird empfohlen sich an die allgemein geltenden Abstands- und Hygieneregeln zu halten.

Erst bei der Begnung mit hohen Risiko ändert sich die Mitteilung der App.
 

Corona Warn App - Erhöhtes Risiko

Für den Fall einer Risikobegnung gibt die Corona-Warn App eine Meldung "Für sie liegt eine neue Nachricht der Corona Warn App" aus.



Durch Aufruf der App gibt es dann eine detailreichere Meldung der App.



Hier werden dann alle Begegnungen mit roten Hintergrund versehen und die letzte Begegnung mit Anzahl der Tage versehen, während sonst nur Begegnung innerhalb der letzten Tage erscheint.

Wichtig ist, dass innerhalb der letzten 14 Tage dann eine Begegnung war, die dann ein positives Testergebnis gemeldet hat (sprich PCR Test zeigte Covid-19 positiv).

Entsprechend lässt sich hier die Begegnung anhand der Tage seit der letzten Begegnung zurück rechnen. In meinen Fall war dieses eine Begegnung im Supermartk, da ich dank Google Standortverlauf für den Tag gut nachvollziehen konte, wo ich gewesen bin und dank Kontakttagebuch auch sgaen konnte zu wen ein Kontakt bestanden hatte.

Ebenso wird das weitere Verhalten angesprochen:

• Begeben Sie sich, wenn mögglich nach Hause, bzw. bleiben Sie zu Hause
• Halten Sie mindestens 1,5 Meter Abstand zu anderen Personen
• Für Fragen zu auftretenden Symptomen, Testmöglichkeiten und weiteren Isolationsmaßnahmen wenden Sie sich bitte an eine der folgenden Stellen
  • Ihre Hausarztpraxis
  • Den kassenärtztlichen Bereitschaftsdienst unter der Telefonnummer 116117
  • Ihr Gesundheitsamt

Je nachdem ob auch Symptome auftreten wird dann ein Test (bspw. PCR) gemacht und nach einiger Zeit wird einem dann hoffentlich das Ergebnis mitgeteilt.

Die erhöhte Risikobegegnung muss nicht zwingend bedeuten, dass man auch infiziert wurde. Darauf weist die App ebenfalls hin:

Infektionsrisiko
So wird Ihr Risiko ermittelt
Sie haben ein erhöhtes Infektionsrisiko, da Sie zuletzt vor 10 Tagen mindestens einer nachweislich Corona-positiv getesten Person über einen längeren Zeitraum und mit einem geringen Abstand begegnet sind.

Die Infektionswahrscheinlichkeit wird daher als erhöht für Sie eingestuft. Das Infektionsrisiko wird anhand der Daten der Risiko-Ermittlung unter Berücksichtigung von Abstand und Dauer lokal auf Ihrem Smartphone berechnet. Ihr Infektionsrisiko ist für niemanden einsehbar und wird nicht weitergegeben. Wenn Sie nach Hause kommen, vermeiden Sie auch Begegnungen mit Familienmitgliedern und Mitbewohnern.

Sollte ein solches Risiko bei Ihnen gemeldet sien wünsche ich Ihnen alles Gute und im Idealfall keine Symptome oder ein negatives Testergebnis. Zwar schliesst ein negatives PCR-Regbnis die Möglichkeit einer Infektion nicht vollständig aus. Falsch-negative Ergebnisse können z.B. aufgrund schlecher Probenqualität oder ungünstigen Zeitpunkt (bezogen auf den Krankheitsverlauf) der Probenennahme nicht ausgeschloissen werden, aber dennoch ist dieses dann erleichternd.

Sind diese 14 Tage vorbei gibt es wieder eine erneute Meldung:



Dabei gibt es dann folgende Details:

Änderung Ihres Risikostatus

Die Risiko-Begegnung, die zu einen erhöhten Risiko für Sie geführt hat, liegt mehr als 14 Tage zurück. Daher wird das Infektionsrisiko wieder als niedrig für Sie eingestuft.

So verhalten Sie sich richtig:
1. Wenn Sie keine Symptome von COVID-19 aufweisen, halten Sie sich an die allgemein geltenden Verhaltensregeln zu Abstand und Hygiene.
2. Wenn Sie Symptome von COVID-19 aufweisen, empfehlen wir, dass Sie Ihren Arzt aufsuchen und sich testen lassen.

Persönlich halte ich es sowohl sinnvoll bei Auftreten von Symptomen und der erhöhten Risikobegegnung einen entsprechenden Test zu machen (und das Ergebnis zu erhalten) aber dennoch die 14 Tage zur Sicherheit in freiwillige Isolation zu gehen, sofern dieses von der Arbeit her durch mobilen Arbeitsplatz möglich ist.

Zwischenzeitlich gibt es hier auch ein Update siehe Artikel "Corona Warn App - Update Risikobegegnungen im Kontakttagebuch bei Erhöhtes Risiko".

 

Fazit  / Hoffnung

Gerade bei einem positiven Testergebnis empfinde ich ein Kontakt/Clustertagebuch sowie das Tracking der besuchten Orte (bspw. auch durch die Timelinefunktion der Standortverfolgung von Google) als hilfreich um für die Tage anzugeben zu wen man Kontakt hatte und welche Orte besucht worden sind.

Ansonsten gilt aber auch weiterhin:

Bleiben Sie gesund und achten Sie auf sich und Ihren Mitmenschen.
 

Weitere Artikel rund um Sars-Cov-2 / Covid-19 und Corona
Neben Themen wie SAP und andere it-nahe Themen habe ich auch einige Artikel rund um die Pandemie und Corona hier im Blog veröffentlicht.


- Ist der QR Code von ImpfpassDE App kompatitbel zu Corona-Warn-App oder der Cov-Pass App?
Welchen QR-Code kann ich denn nun in der CovPass App bzw. als Nachweis einscannen und wie funktioniert der Corona-Impfnachweis

- Digitaler Impfnachweis für Sars-Cov-2 / Covid-19 mit CovPass, Corona Warn App, ImpfPassDE
Neben dem Impfausweis aus Papier gibt es auch Apps und Praxissoftwarelösungen die einen Abgleich der Impfdaten als digitalen Impfpass ermöglichen

- Corona Warn App Update Release 2.0.3 Check-in per QR Code möglich (Checkin und QR Code erstellen)
Neben der Kontaktdatenerfassung kann auch die Corona-Warn-App ein Checkin für Orte und Events ermöglichen.

- Corona Warn App - Update Risikobegegnungen im Kontakttagebuch bei Erhöhtes Risiko + Checkin Funktion
Gerade die Corona-Warn-App ist eine der Apps die in der Pandemie sehr anpassungsfähig und nützlich ist und dabei auch großen Respekt in der IT aber auch in Bezug auf Recht und Datenschutz geerntet hat

- Vorstellung der Luca App als Kontaktdatenübermittlung per QR Code - Nun auch in Hessen verfügbar
Auch wenn die App stark umstritten ist, war doch auch die Luca App schnell in einzelnen Bundesländern als Alternative zur Erfassung der Kontaktdaten in Listen aktiv verbreitet worden

- Coronika.App - Corona Kontakttagebuch um Infektionsketten nachverfolgen zu können (ein Clustertagebuch über Kontakte und Orte)
Clustertagebuch, Kontakttagebuch neben der Corona-Warn-App ist ein solches Kontakttagebuch zur Nachverfolgung von Infektionsketten gerade wenn man eben doch an der Arbeit zur ein oder anderen Person Kontakt hatte sehr praktisch.

Ich hoffe, dass diese ebenfalls lesenswert sind und Sie weiterhin gesund bleiben. Passen Sie auf sich und andere auf.

Dieses  Wochenende habe ich auch einmal ein Thema aufgegriffen, dass schon eine ganze Weile auf der ToDo Liste stand mir aber im Bereich Datenschutz, Tools und Mailkommunikation als spannend erscheint.

Es geht um die openPGP Mailverschlüsselung für eMail mit Thunderbird und unter Android. Aber auch die Frage, wie ein Schlüsselverzeichnis und das Verteilen des eigenen öffentlichen Schlüssel funktioniert soll in den folgenden Abschnitten erläutert werden.

Datensicherheit durch Verschlüsselung

Die Grundlagen hatte ich schon letztes Jahr gelegt, aber nun kann mit mir auch per Mail sicher kommuniziert werden.... :-) Ich hoffe, dass dieser Artikel die Grundlagen gut erklärt und hilft dabei openPGP unter Thunderbird und Android problemlos zu nutzen. DIe Grundlagen zur Mailverschlüsselung mit PGP habe ich dabei ausgelasen, so dass hier nur die praktische Umsetzung erläutert wird. Im Artikel "Einfach erklärt: E-Mail-Verschlüsselung mit PGP" von Holger Bleich auf heise.de ist dieses dafür besser erläutert.




Im Artikel "Artikel rund um Datenschutz zum Tag des Datenschutzes oder privacy data day der letzten 12 Monate 🔒 und Hinweis auf eMail Verschlüsselung mit openPGP 🔑 öffentlichen PGP Schlüssel mit neuen Personalausweis signieren lassen" hatte ich ja schon angekündigt, dass ich mich gerne tiefer mit der Frage Datenverschlüsselung und Signatur von elektronischer Kommunikation (eMail) beschäftigt. Während die Einrichtung "Der verschlüsselte USB Stick oder mit Bitlocker To Go unter Windows Datenträger verschlüsseln" recht gut funktionierte hatte die Einrichtung im Mailprogramm ein klein wenig gedauert. Immerhin das Thema Sicherheit ist mir auch im Artikel "Zweistufige Anmeldung oder Zwei-Faktor-Authentifizierung (2FA) bei Onlinediensten (Datensicherheit und Datenschutz) bspw. per OTP (One-Time Password, Einmal-Passwort) App" wichtig gewesen, so dass es nur konsequent ist dieses auch auf andere Dienste auszubauen.

openPGP-Mailverschlüsselung mit Mozilla Thunderbird

Das Update zu Thunderbird 78.2.2 machte nun die Einrichtung von openPGP ohne Add-on möglich, so dass ich nun endlich die Verschlüsselung umsetzen kann und gerne das Vorgehen inklusive öffentliches Schlüsselverzeichnis beschreiben mag.

OpenPGP Schlüssel erzeugen

Unter

• Extras
• OpenPGP Schlüssel verwalten

kann die Oberfläche zur Anlage eines openPGP Schlüssel aufgerufen werden.



Unter ERZEUGEN > NEUES SCHLÜSSELPAAR

kann für das entsprechende Konto (Identität) ein Schlüssel generiert werden. Neben meiner Hauptmailanschrift (für die schon ein Schlüssel angelegt worden ist) kann ich dieses für ein weiteres Konto durchführen.



Die Laufzeit mit 3 Jahren erscheint mir sinnvoll und kann entsprechend beibehalten werden, alternativ kann diese auch angepasst werden.

Hintergrund Ablaufdatum PGP Schlüssel
 

Der PGP Schlüssel kann mit einem Ablaufdatum versehen werden, so dass nach diesem Datum der Schlüssel abläuft und der Schlüssel nicht mehr zum Ver- und Entschlüsseln verwendet werden kann.  Das Ablaufdatum kannd abei als Sicherheitsventil betrachtet werden und jederzeit verlängert werden.

Eine Verlängerung ist sogar dann möglich, wenn der Schlüssel bereits abgelaufen ist.  Der Nutzen eines Ablaufdatums ist, dass er Schlüssel ab diesem Zeitpunkt nicht mehr genutzt werden kann, was hilfreich ist,  wenn selbst kein Zugriff mehr auf den privaten Schlüssel vorhanden ist, dieser in unerwünschte Hände gelangt ist und auch kein Widerruf mehr möglich ist.

Die Best Praxis Empfehlung lautet daher, das Ablaufdatum erneut zu verlängern, was auch möglich ist, wenn der Schlüssel bereits abgelaufen ist.


Danach sollte der Schlüssel erneut auf Schlüsselservern hochgeladen oder auch erneut bestätigt werden, dazu habe ich aber später noch ein wenig geschrieben.
 

Verschlüsselung ändern statt RSA ECC für public und privat Key

Statt der RSA Verschlüsselung kann auch ECC (Elliptische Kurve) als sicherere Variante genutzt werden.



Danach wird über die Schaltfläche "Schlüssel erzeugen" ein passender Schlüssel für das Konto angelegt.

Nun wird der private und öffentliche Schlüssel generiert.



Im Ergebnis ist ein entsprechender privater und öffentlicher Schlüssel vorhanden und es können nun Mails im Thunderbird unterschrieben (signiert), verschlüsselt versandt und entschlüsselt werden.

Public und Privat Key exportieren

Sofern mobil kein Thunderbird zur Verfügung steht, bspw. unter Android oder alternative Mailprogramme, kann der unter Thunderbird gespeicherte Schlüssel exportiert werden.

Hierzu sollte der private Schlüssel über

• Datei
• Sicherheitskopie für geheime(n) Schlüssel erstellen

exportiert werden.



Dieser private Schlüssel sollte dann mit zubehörigen Passwort sicher aufbewahrt werden. Immerhin handelt es sich dabei um den Schlüssel um Mails die über den öffentlichen Schlüssel verschlüsselt worden sind wieder zu entschlüsseln.

Ebenso wichtig sind die beiden Optionen zum Verteilen des öffentlichen Schlüssel (public key). Dieser kann über

• Datei
• Schlüssel in Datei exportieren

als -public.asc Datei exportiert werden und auch beim Verfassen einer Mail beigefügt werden.

Mails verschlüsseln oder signieren

Beim Versenden einer Mail kann diese nun verschlüsselt oder signiert werden.



Unter Optionen kann hier sowohl Nachrichten unterschreiben als auch öffentlicher Schlüssel anhängen gewählt werden.

Als Empfänger sieht dann die Mail wie folgt aus:



Die Nachricht hat eine gültige digitale Unterschrift und ist verschlüsselt.

Achtung: Subject (Betreff) und Metadaten (Von:, An:, CC:) der Mail werden nicht verschlüsselt, so dass diese auch bei verschlüsselten Mails lesbar sind. Lediglich der Mailinhalt ist verschlüsselt.
 

Mail verschlüsselt versenden und öffentlichen Schlüssel der Person verwenden

Gerade beim Verschlüsselten Versand stellt sich aber die Frage, wie an den öffentlichen Schlüssel gelangt werden kann.

Hierzu kann entweder der Mailanhang oder aus einen Impressum der öffentliche Schlüsel entnommen werden, oder alternativ in der Schlüsselverwaltung über Schlüsselserver - Schlüssel online finden nach ebensolchen gesucht werden.

Thunderbird fragt bei Kontakten zu denen noch kein SChlüssel vorhanden ist, ob nach einen Schlüssel direkt gesucht werden soll über die Schaltfläche "Neuen oder aktualisierten Schlüssel suchen".

Hierzu gibt es erst eine Fehlermeldung, dass eine End-zu-Ende-Verschlüsselung nicht erfolgen kann, da es Probleme mit den Schlüsseln des Empfänger gibt.

Danach kann aber über die Schaltfläche nach einen aktuellen Schlüssel gesucht werden.



Es folgt die Frage, ob der Schlüssel vertraut werden kann und akkzeptiert werden soll.



In der Schlüsselverwaltung sind dann auch die Schlüssel der eigenen Kontakte mit aufgeführt und wie diese akkzeptiert werden.



Das Testen der PGP Verschlüsselung habe ich an dieser Stelle dank des Beitrags zur "E-Mail-Selbstverteidigung" testen können.
 

Schlüssel in öffentliche Schlüsselverzeichnisse hochladen

Wie eine öffentliche Beglaubigung des eigenen Schlüssel beispielsweise mit den neuen Personalausweis funktioniert hatte ich schon im Abschnitt "PGP Schlüssel mit neuen Personalausweis per NFC signieren lassen" im Artikel zuvor beschrieben.

Ich kopiere hier aber gerne noch die entsprechenden Abschnitte

Neuer Personalausweis nPA zur Beglaubigung des public PGP Key

Durch den neuen Personalausweis und der Online-Ausweisfunktion mit der AusweisApp2 des Bundesministerium des Inneneren für Bau und Heimat (siehe personalausweisportal.de) ist es möglich sich am Smartphone oder Kartenleser über die AusweisApp2 auf unterschiedlichen Betriebssystemen herunterladbar unter https://www.ausweisapp.bund.de/ausweisapp2-home/ auszweisen.



Diese App stellt einen lokalen Server dar zur Authentifizierung und prüft den im Kartenleser freigegebenen Personalausweis. Dieser muss vorher durch PIN frei gegeben sein. Statt eines Kartenleser kann auch ein Smartphone und eine App für Android oder iOS verwendet werden.




Sofern kein Kartenleser am Rechner angeschlossen ist kann zusätzlich eine App am Smartphone installiert werden über die dann (sofern das Smartphone im gleichen WLAN wie der Rechner ist) die App am PC mit der PIN Eingabe am Smartphone gekoppelt werden.

Hierdurch ist es nun möglcih sich über NFC online auszuweisen und bspw. Dienste wie PostIDENT oder verschiedene Behörden Dienste zu nutzen.

Ein ebenfalls spannendes Szenario ist jedoch die Verschlüsselung von eMails mit openPGP und die Beglaubigung des eigenen offenen PGP Schlüssel durch eine Signierung mit den Personalausweis.
 

Öffentlicher PGP Schlüssel verifizieren lassen

Zur CeBIT 97 hat c't erstmals einen kostenlosen Zertifizierungs-Service für PGP-Schlüssel angeboten. Über diese Krypto-Kampagne und wie der öffentliche Schlüssel im Verlag signiert werden kann informiert die Seite  zur "c't-Krypto-Kampagne".

Alternativ können aber auch andere Verzeichnisse genutzt werden. Aber erst einmal muss die Verschlüsselung und die Erstellung eines privaten und öffentlichen Schlüssel angelegt werden (siehe obere Anleitung).

Nachdem dieses ordentlich eingerichtet worden ist besteht nun die Möglichkeit den eigenen öffentlichen Schlüssel zu signieren.

PGP Schlüssel mit neuen Personalausweis per NFC signieren lassen

Die Funktionsweise ist wie folgt beschrieben "Mit der Verschlüsselung mit einem sogenannten PGP-Schlüssel (kurz für Pretty Good Privacy) kann die eigene E-Mail-Kommunikation ohne weitere Lösung „Ende-zu-Ende“-verschlüsselt werden." Hierzu existiert ein privater (geheimer) Schlüssel und einen öffentlichen Schlüssel. Eben dieser kann nicht nur auf der eigenen Internetseite sondern auch in einen vertrauenswürdigen Verzeichnis (bspw. bei PGP Signierung bei Heise Events) aber unter https://pgp.governikus.de mit Hilfe der Online-Ausweisfunktion beglaubigt werden. Hierzu ist neben den neuen Personalausweis bzw. elektronischen Aufenthaltstitel mit aktivierter Online-Ausweisfunktion ein Kartenlesegerät bzw. ein NFC-fähiges Android-Endgerät sowie die AusweisApp2 erforderlich. Ein weiteres Verzeichnis bietet auch Posteo selbst an wie in der FAQ auf der Seite "EasyGPG: Wie veröffentliche ich meinen öffentlichen PGP-Schlüssel über Web Key Directory (WKD) im Posteo-Schlüsselverzeichnis?" beschrieben ist.

Ich gehe davon aus, dass ich dieses für meine eMailKommunikation dann tatsächlich einmal umsetzen werde und sei es nur aus technischen Interesse am Thema :)

Statt selbst einen Artikel hier ins Blog zu stellen verweise ich hier gerne auf die Anleitung von Philipp Mahler auf technikkram.net im Artikel "Beglaubigung des eigenen PGP Schlüssels mit dem neuen Personalausweis (nPa) ". Vielen Dank an dieser Stelle dafür.

Public Key ins Schlüsselverzeichnis openpgp.org hochladen

Da aber auch Thunderbird ein öffentliches Schlüsselverzeichnis eingebunden hat (und dieses auch andere Mailprogramme nutzen) ist es sinnvoll den öffentlichen Schlüssel auf openpgp.org hochzuladen.

Dieses ist über die Seite https://keys.openpgp.org/ direkt möglich. Unter Schlüssel hochladen kann der vorhin exportierte öffentliche Schlüssel hochgeladen werden und es sind folgende Schritte vorzunehmen.

1. Den öffentlichen Schlüssel als Datei hochladen
2. Bestätigungs Email senden lassen
3. Link aus Email aufrufen und damit bestätigen.

Damit ist der Schlüsel direkt bestätigt und im Verzeichnis eingetragen.


 

openPGP unter Android nutzen

Leider unterstützt mein unter Android hauptsächlich genutztes Mailprogramm Aquamail (siehe "Mailprogramme unter Android mit Exchange EWS Unterstützung insbesondere Aquamail" keine Kryptographie, daher nutze ich für den verschlüsselten Mailversand  um Mails unter Android unterwegs lesen und ver- und entschlüsseln zu können zwei weitere Programme mit denen ich dann meinen privaten Key nutzen kann.


K-9 Mail

Playstore / Marketlink

• K-9 Mail

als Mailprogramm und

OpenKey-Chain

Playstore / Marketlink

• OpenKeychain: Easy PGP

zur Schlüsselverwaltung.

Nachdem beide Apps installiert sind muss als erstes der Key in OpenKeyChain importiert werden.

Schlüsselverwaltung mit OpenKeychain

Unter Android wird hier unter Öffnen mit für Dateien mit der Endung asc auch direkt "Schlüssel importieren mit OpenKeychain" vorgeschlagen.



Hier kann dann per Import der Schlüssel in die App OpenKeyChain übernommen werden.



Innerhalb der App werden dann alle Schlüssel verwaltet.



Die App kann nicht nur Schlüssel verwalten sondern auch Dateien entschlüsseln/verschlüsseln. Besonders praktisch wird sie aber im Zusammenspiel mit K-9 Mail.

PGP Kryptographie mit K-9 Mail nutzen

Hier kann unter den globalen Einstellungen unter Kryptographie eine OpenPGP App ausgewählt werden die sich um die Schlüsselverwaltung kümmert.



Dies ist nun OpenKeyChain.

Beim Aufruf des Mailkonto erscheint auch direkt eine Rückfrage, welcher Schlüssel nun zum Konto genutzt werden soll.



Da im Schlüssel auch die Mailanschrift hinterlegt ist, kann hier direkt bestätigt werden.

Diese Einstellung ist in den Kontoeinstellungen unter Kryptographie uner Mein Schlüssel hinterlegt.

Wird nun eine verschlüsselte Mail aufgerufen muss das beim Export des privaten Schlüssel gewählte Passwort eingetragen werden.



Damit kann direkt der Posteingang neu geladen werden und die verschlüsselten Mails sind lesbar.

Auch beim Senden einer Mail kann der Schlüssel nun zum Verschlüsseln genutzt werdne.

Fazit

Auch wenn ich vermutlich seltener mit PGP verschlüsselte Mails versenden werde erscheint es mir doch sinnvoll hier eine Signatur für mein Mailkonto zu haben und auf Wunsch auch verschlüsselt per Mail kommunizieren zu können.

Dieses ist auch ein Grund warum ich meinen öffentlichen PGP Code im Impressum als wietere Kontaktmöglichkeit hinterlegt habe.
 

-----BEGIN PGP PUBLIC KEY BLOCK-----

xjMEX2TVjxYJKwYBBAHaRw8BAQdALEkKTheT+/PVwXTKxndLNsxZtUa1IiETu40dvUW0+6fNL0Fu
ZHJlYXMgVW5rZWxiYWNoIDxBbmRyZWFzLlVua2VsYmFjaEBwb3N0ZW8uZGU+wpEEExYIADkWIQRs
aoMi+k8Ig9Ci6U6UEMDC+0foawUCX2TVjwUJBaOagAIbAwULCQgHAgYVCAkKCwIFFgIDAQAACgkQ
lBDAwvtH6Gs4tAEAhzUVjq8U46GGKr2Y6n/QDr9M/cMgw0LhC9lrAKIxuuYA/jZaE5iVN4jVYjoN
ZeCJBpz6KVKhmwRycvDA/UnfA2QKzjgEX2TVjxIKKwYBBAGXVQEFAQEHQBKIW8risIpQP70ZkNvF
i0t7Vbiq1FD6Sx3N35B5BMUuAwEIB8J+BBgWCAAmFiEEbGqDIvpPCIPQoulOlBDAwvtH6GsFAl9k
1Y8FCQWjmoACGwwACgkQlBDAwvtH6GuA0AD+O4pqNQ5PFvfinD4N2kfeI7xLDrXAU4GxMAy/jTeu
FOcBAOrLwDluEZJVQ4XZfFKRIqELaE1l0dsJVWO4X0fyXykO
=JY4J
-----END PGP PUBLIC KEY BLOCK-----

Ebenso kann auch ein signierter Schlüssel veröffentlicht werden. Hier habe ich zu meinen Kontaktdaten auf dieser Seite diesen ergänzt.

Im Impressum meiner Seite habe ich auch weitere Daten meines PGP Schlüssel, wie Schlüsselserver, Ablaufdatum und Fingerabdruck hinterlegt, so dass ich diesen in 3 Jahren verlängern und hier auch aktualsieren kann. Für aktuelle Mails lohnt sich also ein Blick im Schlüsselverzeichnis oder ins Impressum meiner Seite.

Dieser Code entspricht auch gleichzeitig der exportierten public key Datei. Elegant empfinde ich die öffentlichen Schlüsselverzeichnisse und durch das Update bei Thunderbird sowie die Einrichtung unter Android kann ich sowohl hier am Rechner als auch unterwegs per App unter Android diese Mails lesen und beantworten.
 

FAQ - bekannte Probleme:

Noch ein paar kleine Hinweis:

Thunderbird hängt immer die öffentliche Signatur an Mail an?
In den Optionen im Abschnit "Ende-zu-Ende-Verschlüsselung" von Thunderbird" habe ich unter "Senden von Nachrichten - Standardeinstellungen" die Option "Eigene digitale Unterschrift standardmäßig hinzufügen" aktiviert. Damit ermögliche ich es durch eine digitale Unterschrift den Empfängern zu überprüfen, dass die Nachricht sowohl von mir gesandt wurde als auch der Inhalt nicht geändert wurde.

Allerdings liegt derzeit noch ein "Bug" unter Thunderbird vor, dass automatisch der öffentliche Schlüssel mit übertragen wird. Auf dieses Verhaltenr ist unter "Disabling Attach my public key option by default" hingewiesen worden.



Um zwar eine Mail zu signieren aber nicht immer einen weiteren Textanhang zu versenden ist es empfehlenswert die Option "Meinen öffentlichen Schlüssel anhängen" zu deaktivieren, bis dieses mglw. in einen neuen Update von Thunderbird deaktivierbar ist.

Insgesamt erscheint dieses aber kein hoher Aufwand und bietet sich als Alternative an, wenn nicht der eigene Schlüssel in einen Schlüsselverzeichnis eingetragen ist.

openPGP im Webmailer nutzen
Beim Einsatz von pgp mit Webmailern bspw. per Plugin Enigmail  ist hier vom Update bei Thunderbrid noch abzuwarten. Ich freue mich aber schon darauf, wenn mein Mailhoster Posteo.de ein entsprechendes Update zum Webmailer veröffentlicht (derzeit ist noch die Pressemeldung "Enigmail-Nutzer: Nicht auf Thunderbird 78 updaten" aktuell).

Das Thema Browserplugin und Mailvelope ist dann noch einmal ein anderes Thema siehe "Wie installiere ich eine Ende-zu-Ende-Verschlüsselung für den Posteo-Webmailer mit Mailvelope (PGP)?".

openPGP und Microsoft Outlook
Persönlich nutze ich als Mailer Thunderbird unter Microsoft Outlook wird openPGP leider nicht unterstützt. Hier wird auf S/MIME verwiesen (siehe "Verschlüssseln von Nachrichten").

Heiese Online verweist als Alternative auf "Outlook Privacy Plugin" das wohl ebenfalls openPGP allerdings per Plugin in Outlook unterstützt.

Das Bundesamt für Sicherheit in der Informationstechnik empfiehlt hingegen "Gpg4win – Sichere E-Mail- und Datei-Verschlüsselung" und hier das Plugin "GpgOL: ein Plugin für Microsoft Outlook 2003/2007 sowie rudimentär für Outlook 2010/2013 und Outlook 2016 für sichere E-Mail nach den Verfahren X.509 (S/MIME) und OpenPGP".



Ist kein Plugin installiert erscheint bei einer signierten Mail zwar die rote Schleife (zur signierten Mail) aber zusätzlich wird die Datei "OpenPGP_signature.dat" der Mail anbeigefügt, was zu Rückfragen führen kann.

Dieses Wochenende habe ich mich eigentlich mehr mit SAP beschäftigt, aber da das Thema Sicherheit bei Zugängen zu Systemen nicht nur über die Benutzersteuerung und Rollenkonzept im SAP Umfeld ein wichtiges Thema ist mag ich auch hier im Blog einmal wieder einen der schon länger geplanten Artikel online stellen :-).

Im Artikel "Wordpress als CMS für die Internetseite unserer Kirchengemeinde auf kirche-miteinander.de" hatte ich ja schon erwähnt, dass es hilfreich ist sich, gerade bei bekannter Software auch Gedanken um die Sicherheit zu machen.

Gerade bei Wordpress sollte hier das Thema Updates eine besondere Bedeutung haben. Hier gehe ich (meistens) nach folgenden Muster vor, sofern ein größeres Update anliegt:

1. Backup :-)
2. Themes und Plugins aktualisieren
3. Wordpress aktualisieren
4. Schauen ob noch alles funktioniert

Aber neben dieser allgemein wohl empfehlenswerten Vorgehensweise für jede Software ist gerade bei öffentlichen Seiten auch die Frage der Zugangssicherheit für Redakteure aber auch Admins ein wichtiges Thema.

Hier nutze ich bei der von mir eingesetzten Wordpress Version zwei Plugins um den Zugang für Unbefugte etwas zu erschweren.

Plugins zur Zugangssicherheit von Wordpress

Wie bereits im vorherigen Artikel erwähnt reduziere ich die Möglichkeit sich am Passwort der User zu vesuchen (BruteForce) und habe die Anzahl der Anmeldungen entsprechend reduziert, so dass bei mehrmaliger Falschanmeldung die IP Anschrift gesperrt wird.

Plugin Limit Login Attempts Reloaded

Limit Login Attempts Reloaded Von WPChef
URL: https://de.wordpress.org/plugins/limit-login-attempts-reloaded/
Gerade in Richtung Sicherheit sollte zumindest das Login etwas abgesichert werden. Dieses Plugin setzt hier DSGVO konform auf einen gewissen Schutz, was brute force Angriffe anbelangt.



Damit sind zumindest mehrere Versuche gesperrt und die IP werden nur als HASH gespeichert. Natürlich sollte dennoch kein Name wie Admin für den Administratorzugang gewählt werden.

Zwei-Faktor-Authentifizierung 2FA mit Wordpress

Da ich aber vemehrt mitbekommen habe, dass hier auch immer mal wieder automatische Anmeldeversuche getestet werden (meist für den nicht vorhandenen User Admin aber auch für tatsächlich vorhandene User habe ich nun doch das Thema 2FA ebenfalls per Plugin umgesetzt.

Das Thema habe ich auch im Artikel "Zweistufige Anmeldung oder Zwei-Faktor-Authentifizierung (2FA) bei Onlinediensten (Datensicherheit und Datenschutz) bspw. per OTP (One-Time Password, Einmal-Passwort) App" näher vorgestellt und entsprechend lag es nahe dieses auch in der eigenen Seite umzusetzen.

Plugin Two-Factor

Two-Factor Von Plugin Contributors
URL: https://de.wordpress.org/plugins/two-factor/

Nachdem das Plugin installiert ist können die einzelnen User:innen über ihr Profil einen zweiten oder mehrere Faktoren zur Absicherung ihres Account anlegen. Als Admin kann ich dieses auch in der Userliste und sehen wer diesen Faktor aktiviert hat.

Im Profil habe ich dann mehrere Möglichkeiten wie ich meinen Zugang konkret sichern möchte:



Hier kann der zweite Faktor ein Code per Mail (der dann nach der Angabe von Benutzername und Passwort zugesandt wird) oder auch ein zeitlich limitiertes Einmalpasswort (OTP / OneTimePasswort dass dann per App am Smartphone generiert wird) sein. Neben QR Code kann auch der darunter befindliche Schlüssel zur Authentifizierung in der App eingetragen werden. Für beide habe ich die Daten aber verborgen, so dass der QR Code auf eine andere Seite und die darunterbefindliche Nummer (hier allerdings blau anonymisiert) eingetragen werden kann.


Als weitere Möglichkeiten stehen hier Backupscode oder auch FIDO Universal 2nd Factor (U2F)  zur Verfügung.

Zum Thema FIDO2 (nicht zu verwechseln mit FidoNet) hat Heise unter "Passwort-Nachfolger FIDO2" eine FAQ veröffentllicht.


Die Backupscode sind sehr praktisch, sollte einmal der Authenticator nicht vorhanden sein (Smartphone kaputt) und hier eine neue Registrierung eines zweiten Faktors erforderlich sein. Daher empfiehlt es sich hier einen zweiten Faktor in der Spalte "Aktiviert" zu markieren, so dass im Falle eines Falles eine alternative Anmeldung möglich ist.

Als letzte Möglichkeit kann auch der Pluginordner per FTP umbenannt werden, wenn man gar keine andere Möglichkeit mehr sieht.

Nachdem ein entsprechender Faktor eingerichtet worden ist und der bevorzugte Faktor ausgewählt wurde (bei mir tatsächich 2FA) funktioniert nun die Anmeldung bei Wordpress in zwei Schritten.

Die erste Anmeldung erfolgt mit Benutzername und Passwort:



Wenn dieses erfolgreich ist kommt es nun aber zur Nachfrage des zweiten Faktors:



Da ich auch noch alternative Anmeldungsmöglichkeiten als zweiten Faktor aktiviert habe kann ich hier auch auf E-Mail oder Backup-Verifizierungs-Code umstellen.
 

Schnittstellen deaktivieren bei Wordpress

Innerhalb der functions.php meines Wordpress Themes habe ich noch folgende Anpassungen vorgenommen um externe Schnittstellen zu deaktivieren.

XMLRPC deaktivieren:

add_filter(
    'xmlrpc_enabled',
    '__return_false'
);

Gerade durch BruteForce Angriffe oder DDOS ist es in meinen Augen sinnvoll diese Schnittstelle auf die API von Wordpress zu deaktivieren.

Da ich auch keine externe Anwendung habe die auf diese veraltete API zugreift kann ich diese auch bedenkenlos deaktiverne.

Rest_Authentication / Programmierschnittstelle, JSON-API deaktivieren
 

add_filter( 'rest_authentication_errors', function( $result ) {
  if ( ! empty( $result ) ) {
    return $result;
  }
  if ( ! is_user_logged_in() ) {
    return new WP_Error( '401', 'not allowed.', array('status' => 401) );
  }
  return $result;
});

Durch den c't Artikel "Datenklau durch die ­Hintertür Wie unzureichend geschützte Wordpress-Installationen Daten preisgeben"  (c't 23/2020) bin ich noch auf diese Schnittstelle aufmerksam geworden die ebenfalls hier deaktiviert wurde.

Berechtigungskonzept und Rollenerweiterungen von Wordpress

Innerhalb der Benutzerverwaltung von Wordpress können einzelnen Benutzern unterschiedliche Rollen zugeordnet werden. Dieses kann in einer Kirchengemeinde sinnvoll sein, wenn einzelne Personen Termine einpflegen sollen, andere Ankündigungen und Artikel veröffentlichen sollen und wieder andere auch Seiten pflegen sollen. Darüberhinaus sollte sich auch jemand um die Technik und das Design kümmern.

Für unsere Kirchengemeinde nutzen wir folgende Rollen:

• Administrator
  Dieses entspricht der Gesamtberechtigung und kümmert sich um Design, Templates, Plugins aber auch um Updates der Software
• Redakteur
  Ein Redakteur kann jede Seite bearbeiten (und auch Autoren der Seite ändern), Bilder und Dateien hochladen sowie Kategorien pflegen
• Autor
  Autoren können Artikel (Beiträge) aber nicht Seiten pflegen, Bilder und Dateien hochladen. Dabei können Autoren auch direkt Beiträge und auch Termine veröffentlichen.
• Mitarbeiter
  Werden bei uns nicht genutzt, aber diese könnten Artikel schreiben ohne diese zu veröffentlichen. Die Veröffentlichung müsste dann von jemand anderen vorgenommen werden.

Problematisch ist nun allerdings, dass die Seitenstruktur nur durch den Administrator bearbeitet werden kann, entsprechend ist hier ebenfalls eine Anpasssung erforderlich.

Auf diese bin ich im Artikel "Menüeinträge unter Wordpress durch Redakteure pflegen lassen - Berechtigungen im CMS der Rolle Editor / Redakteur anpassen" eingegangen.

 

Fazit

Auch für die Internetredaktion unserer Kirchengemeinde war die Einrichtung eines zweiten Faktors keine große Hürde und tatsächlich scheint das Bewustsein für Sicherheit für Zugänge hier ebenfalls breit akkzeptiert zu sein.

Da das ganze optional ist, habe ich mich sehr gefreut, dass es in der Breite angenommen wurde.

Kerstin Sommer (kerstinsommer.at) hat in ihren Artikel "WordPress Sicherheit: So schützt du deine Website" noch einige weitere Empfehlungen rund um die Sicherheit mit Wordpress veröffentlicht. Da ich mit Wordpress seltener arbeite, verweise ich an dieser Stelle gerne dahin, auch da hier sicherlich noch weitere aktuelle Artikel online veröffentlicht werden.



Unter Android nutze ich als zweiten Faktor zur Anmeldung in zwei Schritten die Apps Google Authenticator oder FreeOTP. Aber auch einige Passwortmanager haben eine entsprechende Verwaltung eines zweiten Faktor (2FA/OTP) (siehe Artikel) integriert.

 

Update: #Autorenleben Verwertungsgesellschaft Wort ( VG Wort ) und das Thema Steuer

Zum Thema Datenschutz noch als kleiner Hinweis, dass sich auch der Artikel "EU DSGVO - Info- bzw. Link-Sammlung mit Schwerpunkt auf die Umsetzung bei Blogs oder der eigenen Website (hier: Autorenwebsite, Blogger, KMU)" erneut aktualisiert wurde.

Abseits davon dürfte auch gerade für Autor:innen interessant sein, dass  das Thema VG Wort und Steuern einige Updates heute erfahren hat.

Hier bin ich unter anderem intensiver auf das Thema

• "Hintergrund Entscheidung des EUGH zur Umsatzsteuer zu Ausschüttungen von Verwertungsgesellschaften an Urheber"
• "Gutschrift & Ausschüttungsauskunft für Hauptausschüttung und Ausschüttung METIS"

Aber auch ganz konkret (mit Zahlenbeispiel) auf die Themen:

• "Rechnung über Inkassoleistung für die beiliegende Gutschrift"
• "Beispiel zur Hauptausschüttung und Steuer und EÜR"
• "Ausweis der umsatzsteuerfreien Einnahmen aus VG Wort in der Umsatzsteuervoranmeldung (UstVA)"

eingegangen. Hintergrund war, dass ich mir erst einmal selbst klar werden wollte, was es mit dieser Aufstellung für das Jahr 2019 auf sich hatte und mich dann sehr über eine positive Rückmeldung erhalten habe von jemandern der sich hier ebenfalls intensiver damit auseinander gesetzt hat und selbst im Netz dann auf meine Seite landete... daher weise ich an dieser Stelle auch gerne für andere darauf hin. Unter "Autorenleben" finden sich auch weitere Quellen die für Autor:innen nicht nur im Bezug auf Steuer und VG Wort interessant sein können.

„Kirche miteinander“ ist nicht nur der Name unseres Gemeindebriefes und der Internetseite unserer Kirchengemeinden, sondern steht auch stellvertretend für das Gemeindeleben in unseren pfarramtlich verbundenen Kirchengemeinden Garbenteich und Hausen mit Petersweiher. Seit 2003 ist diese Internetseite unter eigener Domain online (davor seit 1997 im Netz) und neben der Zusammenlegung der beiden Gemeindebriefe hat sich auch die Internetseite der Kirchengemeinde im Laufe der Zeit gewandelt.

Da wir uns aktuell auch mit einer Stellenausschreibung unserer Pfarrstelle beschäftigen wurde nun auch die Internetseite etwas aktualisiert und von einem eigenentwickelten CMS auf Wordpress umgstellt. Auf Wikipedia wird WordPress (WordPress.org) als ein freies Content-Management-System vorgestellt, das ursprünglich zum Aufbau und zur Pflege eines Weblogs entwickelt wurde, da es jeden Beitrag frei erstellbaren Kategorien zuweisen kann und dazu automatisch die entsprechenden Navigationselemente erzeugt. Technisch setzt diese Plattform auf PHP und MySQL auf.

Mittlerweile kann es aber so angepasst werden, dass damit auch eine dynamische Internetseite und nicht nur ein Blog bespielt werden kann. Durch die Unterstützung meiner Frau Claudia (schatenbaum.net / Autorin von "PHP für dich" ) ist sowohl das Design angepasst worden als auch einige technischen Besonderheiten umgesetzt worden, so dass sich das Ergebnis der Internetseite nun sehen lassen kann.



Da ich vorher noch nicht mit Wordpress gearbeitet habe, möchte ich hier die dabei gesammelten Erfahrungen beim Umzug festhalten und unsere Herangehensweise zur Nutzung von Wordpress als reines CMS für eine Internetseite festhalten.

Layout und Design

Wie für ein CMS üblich sind auch bei Wordpress Design und Inhalt voneinander getrennt. Zur Definition des Aussehen einer Internetseite werden Themes genutzt über die einzelne Elemente definiert werden können und innerhalb der Administrationsoberfläche, je nach genutzten Theme einzelne Elemente festgelegt werden können. Wordpress selbst liefert dabei einige eigene Themes aus, aber es können auch unterschiedliche andere Themes genutzt werden. Unter den Punkt DESIGN können entsprechende Anpassungen am Theme vorgenommen werden. Hierzu können Elemente wie Farben, Logos, Hintergrundbilder, Menüs oder Widgets (bspw. für die Suche) einzeln eingestellt werden. Sollen größere Elemente geändert werden bietet es sich an, nachdem das Wunschtheme gefunden worden ist, ein sogenanntes Child-Theme anzulegen. Insbesondere wenn die CSS Einstellungen über den Customizer hinaus im Theme angepasst werden sollen, ist dieses hilfreich, da andernfalls die eigenen Änderungen beim Update des Themes wieder überschrieben werden.

Eine Child-Theme kann dadurch angelegt werden, dass im Verzeichnis themes unter wp-content im Verzeichnis der Wordpress Installation ein eigener Ordner angelegt wird.

Hier müssen dann zwei Dateien angelegt werden.

style.css
functions.php

optional kann auch eine screenshot.png als Screenshot zum eigenen Theme angelegt werden.

Die functions.php enthält dabei folgenden Inhalt:

<?php
/**
* Child theme stylesheet einbinden in Abhängigkeit vom Original-Stylesheet
*/

function child_theme_styles() {
wp_enqueue_style( 'parent-style', get_template_directory_uri() . '/style.css' );
wp_enqueue_style( 'child-theme-css', get_stylesheet_directory_uri() .'/style.css' , array('parent-style'));

}
add_action( 'wp_enqueue_scripts', 'child_theme_styles' );
?>

Wichtig ist, dass die PHP End Anweisung in Zeile 12 alleine steht, sonst gibt es einen PHP Header Fehler.... wie ich gestern Abend feststellen durfte.

Die zweite Datei ist dann die style.css

Hier sind  in der Zeile 6 (Template) der Ordner des Haupttheme einzutragen. In unseren Fall ist dieses das Theme twentyfifteen das wir anpassen wollen. Die anderen Angaben im Kopf beziehen sich dann auf das neu angelegte Theme.

/*
 Theme Name:   Kirche Miteinander.de
 Description:  Kirche-Miteinander.de
 Author:       Claudia Unkelbach
 Author URI:   https://www.schattenbaum.net
 Template:     twentyfifteen
 Version:      1.0
 Text Domain:   kirche-miteinander
*/
/*
    You can start adding your own styles here. Use !important to overwrite styles if needed. */

.page-header
{
 border-bottom: 0;
 border-left: 0px solid #333;
 color: #316191;
 padding: 3.8461% 7.6923%;
}

Im Beispiel hier habe ich für Kategorien den schwarzen Balken im Element pageheader entfernt, der als Überschrift für einzelne Kategorien gewählt werden.

Im Ergebnis sieht die Designauswahl nun wie folgt aus:




Hier haben wir uns für das Theme Twenty Fifteen entschieden und es ein wenig unseren Bedürfnissen für eine Kirchengemeindeseite angepasst.

Das Prinzip des Child-Themes folgt folgender Vererbung. Es wird erst das Haupttheme (Parent) geladen und danach geschaut, ob es Änderungen im Child gab, welche dann das Parent-Theme überschreiben. Neben der style.css können auch andere Dateien des Haupttheme in den child Ordner kopiert und angepasst werden. Diese werden dann statt des Haupttheme geladen. So kann ich zum Beispiel die Datei footer.php um eigene Angaben (zum Beispiel Hinweis auf Kontakt und Impressum als Ergänzung zur Datenschutzerklärung) erweitern.

Zu beachten ist dabei allerdings, dass beim Update des Haupttheme, diese nicht aktualisiert werden, so dass im Rahmen eines Updates auch geschaut werden sollte, ob es hier Änderungen gab.

Benutzer und Berechtigungen

Innerhalb der Benutzerverwaltung von Wordpress können einzelnen Benutzern unterschiedliche Rollen zugeordnet werden. Dieses kann in einer Kirchengemeinde sinnvoll sein, wenn einzelne Personen Termine einpflegen sollen, andere Ankündigungen und Artikel veröffentlichen sollen und wieder andere auch Seiten pflegen sollen. Darüberhinaus sollte sich auch jemand um die Technik und das Design kümmern.

Für unsere Kirchengemeinde nutzen wir folgende Rollen:

• Administrator
  Dieses entspricht der Gesamtberechtigung und kümmert sich um Design, Templates, Plugins aber auch um Updates der Software
• Redakteur
  Ein Redakteur kann jede Seite bearbeiten (und auch Autoren der Seite ändern), Bilder und Dateien hochladen sowie Kategorien pflegen
• Autor
  Autoren können Artikel (Beiträge) aber nicht Seiten pflegen, Bilder und Dateien hochladen. Dabei können Autoren auch direkt Beiträge und auch Termine veröffentlichen.
• Mitarbeiter
  Werden bei uns nicht genutzt, aber diese könnten Artikel schreiben ohne diese zu veröffentlichen. Die Veröffentlichung müsste dann von jemand anderen vorgenommen werden.

Seiten, Beiträge und Termine

Es gibt bei unserer Gemeindeseiten drei Typen von Inhalten die unterschiedlich gepflegt werden. Seiten sind feste Elemente die einmalig von Redakteuren angelegt werden (Vorstellung Kirchenvorstand, Gemeinde, ...). Ein weiterer wichtiger Punkt dürften Beiträge sein. Diese werden mit Datum innerhalb von Kategorien veröffentlicht, so dass diese sich für aktuelle Themen eignen. In unserer Internetseite sind damit Aktuelle Informationen, die Veröffentlichung von Gemeindebriefen oder auch Berichte aus den einzelnen Gruppen zu verstehen.

Ein weiterer wichtiger Punkt sind für unsere Seite noch die Gemeindetermine der einzelnen Gruppen und die Gottesdiensttermine. Die Termine können dabei ebenfalls von Redakteuren gepflegt werden, während die Gottesdienste extern eingebunden werden. Hierauf gehe ich im Abschnitt Plugins näher ein.

Funktionserweiterungen für Wordpress (Plugins)

Der Vorteil eienr quelloffenen Software ist es auch, dass diese durch Plugins erweitert werden können. Da wir die alte Kirchengemeindeseite auf das neue System übertragen wollten war ich sehr froh, dass wir noch eine andere Domain hatten auf der ich erst einmal Wordpress einrichten konnte. Allerdings war dann in der Wordpressdatenbank statt unserer Domain https://www.kirche-miteinander.de eine andere Domain hinterlegt, so dass ich hier ein Plugin genutzt habe, dass alle Einträge in der Datenbank nach erfolgreichen Umzug auf der alten Seite umstellen konnte.

Plugin WP Migrate DB

WP Migrate DB Von Delicious Brains
URL: https://de.wordpress.org/plugins/wp-migrate-db/

Dieses Plugin ermöglicht es selbst in der freien Version die Datenbank von Wordpress nach Strings wie Speicherort der Dateien am Server (absoluter Serverpfad) als auch Domainname zu durchsuchen und diesen zu ändern. Neben Domain ohne Protokoll kann hier auch von http auf https gesucht und umgestellt werden.

Plugin Events Manager

Events Manager Von Marcus Sykes
URL: https://de.wordpress.org/plugins/events-manager/
Gerade was die reine Terminverwaltung anbelangt punktet dieses Plugin für mich durch diverse Anpassungsmöglichkeiten, wiederkehrende Termine, Kategorien für Termine, Orte und auch das Abschalten von Sonderfunktionen wie das Anmelden zu Terminen etc.. 
In der Maske zum Pflegen einzelner Termine sind die Möglichkeiten gut ersichtlich.




Besonders hilfreich ist, dass einzelnen Terminkategorien auch als Menüpunkte eingebunden werden können und so als Unterseite zur Konfirmation alle Termine des Konfiunterricht aufgelistet werden.

Plugin WordPress RSS Feed Retriever

WordPress RSS Feed Retriever Von Theme Mason
URL: https://de.wordpress.org/plugins/wp-rss-retriever/
Im evangelischen Dekanat Gießen übertragen alle Kirchengemeinden (evangelische, katholische, ...) ihre Gottesdienstzeiten, sofern sie angemeldet sind auf die Internetseite "Gottesdienste in und um Gießen" von dort können Sie als IFRAME eingebunden werden. Eine andere Alternative ist es hier die Termine als RSS Feed abzurufen und ebenfalls auf der eigenen Internetseite einzubinden, wodurch die Gottesdienstzeiten von Garbenteich und Hausen direkt auf der Seite eingebunden sind und alle 86400 Sekunden (entspricht 1 Tag) begrufen werden.

Plugin Customizer Export/Import

Customizer Export/Import Von The Beaver Builder Team
URL: https://de.wordpress.org/plugins/customizer-export-import/
Ich hatte ja schon erwähnt, dass die ersten Farbeinstellungen und das Design im Parent-Theme von uns vorgenommen sind. Leider habe ich erst etwas später ein Child-Theme angelegt und als ich dorthin wechselte sind alle Farbeinstellungen etc. verloren gewesen.

Hier erwietert das Plugin den Customizer eines Themes um eine Export und Import Möglichkeit über Dateiupload und Download, so dass ich alle Einstellungen des Customizer vom Parent auf Child ebenfalls übertragen konnte.

Wordpress Plugin am Update hindern (Deaktivierung Auto Update)

Grundsätzlich bietet die Pluginverwaltung von Wordpress die Möglichkeit vorhandene Plugins ebenso wie die Wordpress Version automatisch zu aktualisieren. Hierzu wird die im Repository vorhandene Version mit der installierten Version verglichen. Beim Update eines Plugins bemerkte ich jedoch, dass hier die Funktion nicht mehr wie gewünscht vorhanden war, so dass ich eine vorherige Version des Plugin hochgeladen habe. Tatsächlich wäre nun das Problem gegeben, dass ich immer beim Hinweis darauf dass Aktualisierungen vorliegen darauf achten müsste dieses Plugin nicht zu aktualisieren.

Im Abschnitt PLUGIN der Administration Oberfläce von Wordpres besteht die Möglichkeit den Plugineditor aufzurufen und hier das gewünschte Plugin auszuwählen. In den Kopfkommentaren des Plugins gibt es auch den Kommentar

* Version
und eine entsprechende Nummer. Diese kann einfach auf 9.9.9 gesetzt werden und so ist das installierte Plugin stets aktueller als die online verfügbaren Versionen. Alternativ könnte das Plugin auch in ein anderes Verzeichnis installiert werden, was aber ggf. Nebeneffekte hat.

Da Updates teilweise auch sicherheitsrelevante Aspekte haben, sollte dieses nur eine Ausnahme sein und ggf. den Entwickelnden ein Hinweis auf den Fehler des Plugin geliefert werden bzw. selbst manuell nachsehen, welche Änderungen hier vorhanden sind.

Nachtrag 2020: Google Fonts lokal speichern Keine Google Fonts unter Wordpress

Mit unter anderen der Anleitung auf Blogmojo "Wie du Google Fonts lokal und DSGVO-konform in WordPress einbindest (und welche Nachteile das hat)" oder auch von WP Ninjas "WordPress & DSGVO: Wie du in WordPress Google Fonts DSGVO konform einbaust" ist es recht einfach sowohl in der Browserkonsole festzustellen, welche Google Fonts eingebunden werden als auch über den "google-webfonts-helper" die benötigen Schriftarten herunterzuladen und in das eigene Child-Theme einzuarbeiten. Hier muss ich übrigens den Upload meines Webhosters sehr loben, da die Fonts als ZIP Datei angeboten werden und tatsächlich das ZIP direkt hochgeladen und am Server ausgepackt werden kann.


  Werbung

Gute Erfahrung bzgl. Webhosting kann ich bei All-Inkl.com sammeln. (Partnerlink)
Der Ordner Fonts sollte im ThemeOrdner abgelegt werden. Dieses ist nicht etwa der Ordner des ChildThema sondern der Hauptordern der Themes (normalerweise wp-content/themes/).

Ist nun der Ordner wp-content/themes/fonts angelegt und die heruntergeladenen Dateien vorhanden kann im childtheme die Datei style.css um den CSS Code zum Einbinden der lokal gespeicherten Fonts gespeichert werden.



Durch Vererbung wird die Defnition der Schriftarten überschrieben und nun "auch" lokal geladen. Problematisch ist, dass weiterhin die Schriftarten vom OriginalTheme weiterhin geladen werden. Statt dieses anzupassen empfiehlt es sich, schon aus Bequemlichkeit, hier ein Plugin zu verwenden, dass diese deaktiviert, sofern das eigene Theme dieses nicht unterstützt.

Disable and Remove Google Fonts

Disable and Remove Google Fonts Von Fonts Plugin
URL: https://de.wordpress.org/plugins/disable-remove-google-fonts/

Einmal installiert unterstützt es eine Vielzahl von mit Wordpress ausgelieferten Themes und wird auch weiterhin gepflegt.Weitere Einstellungen sind hier nich erforderlich und im Ergebnis lädt die Seite der Kirchengemeinde ohne Cookies und ohne das Einbinden von Google Fonts.

 

Praktische Handhabung der Seite

Wie schon unter "Benutzer und Berechtigungen" beschrieben hat Wordpress auch den Vorteil, dass hier per Gutenberg Editor problemlos aktuelle Artikel in den einzelnen Kategorien hochgeladen werden können und auch die Pflege von Terminen wesentlich einfacher ist.

Ob nun das Eintragen eines Termins in der Gemeinde:



oder eines neuen Beitrages



beides ist für Ehrenamtliche nun wesentlich einfacher geworden auch da wir die einzelnen Schritte nun erläutern und Formatierungen im Editor direkt ersichtlich sind.

Hier gefällt mir auch tatsächlich das Arbeiten mit Blöcken und Absätzen, so dass direkt Artikel online gestellt werden können. In der ersten Version einer Kurzanleitung hatte ich das Erstellen eines neuen Beitrages wie folgt beschrieben:





Gerade die Einbindung von Bildern aber auch Dateien (PDF für Gemeindebrief) ist hier etwas leichter geworden.
 

Update und Sicherheit

Gerade bei einer weit verbreiteten Software (und dieses ist Wordpress defnitiv) sollte auch das Thema Sicherheit berücksichtigt werden. Dieses fängt dabei an, dass man regelmäßig Updates von Themes und Plugins installieren sollte, aber auch WordPress selbst aktuell gehalten werden soll. Wie üblich kann dieses aber tatsächlich auch in der Adminoberfläche selbst geschehen. Empfehlenswert ist übrigens erst das Theme zu aktualisieren und dann die Wordpress Version, sollten für beide gleichzeitig ein Update vorliegen.

Ansonsten sind noch zwei Plugins spannend zur Sicherheit von Wordpress, auf die ich ebenfalls kurz eingehen mag.

Plugin Limit Login Attempts Reloaded

Limit Login Attempts Reloaded Von WPChef
URL: https://de.wordpress.org/plugins/limit-login-attempts-reloaded/
Gerade in Richtung Sicherheit sollte zumindest das Login etwas abgesichert werden. Dieses Plugin setzt hier DSGVO konform auf einen gewissen Schutz, was brute force Angriffe anbelangt.


Damit sind zumindest mehrere Versuche gesperrt und die IP werden nur als HASH gespeichert. Natürlich sollte dennoch kein Name wie Admin für den Administratorzugang gewählt werden.

Eine spannende Ergänzung können dabei noch "Two Factor Authentication Von David Nutbourne + David Anderson, original plugin by Oskar Hane"  https://de.wordpress.org/plugins/two-factor-authentication/ oder aber auch das etwas ältere "Google Authenticator Von Henrik Schack" https://de.wordpress.org/plugins/google-authenticator/ sein. Wobei es auch noch weitere 2FA Plugins gibt. Wichtig bei der Auswahl wäre mir aber tatsächlich, dass eine Auswahl getroffen werden kann, welche Benutzerrollen zur Eingabe einer 2FA Authentifizierung verpflichtet sind und welche auch ohne diese "Sicherheitshürde" weiterhin Artikel schreiben dürfen. Hier ist definitv eine Frage der Sicherheit und der Benutzerfreundlichkeit gegeneinander anzuwiegen.

Das Thema habe ich auch im Artikel "Zweistufige Anmeldung oder Zwei-Faktor-Authentifizierung (2FA) bei Onlinediensten (Datensicherheit und Datenschutz) bspw. per OTP (One-Time Password, Einmal-Passwort) App" näher vorgestellt.

 

Juristisches und Datenschutz

Schon für meine eigene Seite hier bin ich im Artikel "EU DSGVO - Info- bzw. Link-Sammlung mit Schwerpunkt auf die Umsetzung bei Blogs oder der eigenen Website (hier: Autorenwebsite, Blogger, KMU)" ausführlicher auf das Thema Datenschutz und rechtliche Anforderungen an ein Blog eingegangen.

Für die Seite der Kirchengemeinde bin ich hier allerdings besonders dankbar, dass die evangelische Kirche Hessen Nassau (EKHN) für Gemeindebriefredaktionen und Anbieter von Websites mehrere Mustertexte unter anderen  zum Thema "Einwilligung Veröffentlichung von Fotos im Gemeindebrief/Website/Social Media (Muster)" auf https://unsere.ekhn.de/medien/datenschutz.html zur Verfügung stellt. Entsprechend konnte ich hier auch die eine Information zur Datenverarbeitung (Datenschutzerklärung) und andere Elemente berücksichtigen.

Da wir, auch aus Gründen des Moderationsaufwandes keine Kommentare auf der Seie zulassen sind wir von einigen Änderungen an Wordpress verschont geblieben. Sollten andere Gemeinden hier mehr zulassen wollen kann ich die beiden Artikel "Homestory: Wie Dr. Web die DSGVO umsetzte" im DRWEB.de Magazin und "DSGVO? Da gibt’s doch was von Ra… äh ein WordPress Plugin" von Patricia Cammarata (dasnuf.de) empfehlen.

Aus Datenschutzgründen sind zwischenzeitlich auch die im Theme eingebundnene Google Fonts lokal gespeichert.

In der Datenschutzerklärung (Informationen zur Datenverarbeitung) ist dieser Umstand in folgenden Abschnitt festgehalten:

Lokales Hosting von Google Fonts 
Zur einheitlichen Darstellung von Schrift nutzt diese Seite die Google Font „Noto Sans“ und „Noto Serif“. Die Schriftart wurde lokal installiert und wird nicht von einem externen Server (Google) geladen. Die „Webfonts“/Schriftarten unterliegen der Apache License, Version 2.0 und dürfen für eigene Produkte/Publikationen genutzt werden.

Verwendung von Cookies und Analysetool 
Für die Pflege der Internetseite nutzen wir ein sogenanntes „Session-Cookie“ das nach Ende Ihres Besuchs automatisch gelöscht wird. Über das Cookie wird für den Login-Status festgestellt, so dass die Internetseite auch von uns gepflegt werden kann. 

Wir nutzen keine Cookies die dauerhaft auf ihren Rechner gespeichert bleiben.

Cookies sind kleine Textdateien, die auf Ihrem Rechner abgelegt werden und die Ihr Browser speichert. Sie können Ihren Browser so einstellen, dass Sie über das Setzen von Cookies informiert werden und Cookies nur im Einzelfall erlauben, die Annahme von Cookies für bestimmte Fälle oder generell ausschließen sowie das automatische Löschen der Cookies beim Schließen des Browser aktivieren. Bei der Deaktivierung von Cookies kann die Funktionalität dieser Website eingeschränkt sein. 

Ein Analysetool wird nicht eingesetzt.

Zugegeben dieses ist auch aus Interesse daran entstanden, wie ein Wordpress Blog datenschutzkonform aufgesetzt werden kann.

 

Organisatorisches

Neben Technik und juristische Einordnungen ist aber auch das Thema Organisation und Planung ein wichtiger Punkt. Hier sollte, insbesondere wenn mehrere Personen die Seite pflegen (sollen) auch von der Verfahrensweise abgestimmt werden, wie mit den einzelnen Artikeln, Kategorien, Terminen und Ankündigungen verfahren werden soll.

Ein gutes Beispiel sind hier besondere Termine (Feiern, Ankündigungen, Konzerte, Gottesdienste). Eine Möglichkeit dazu ist folgende Vorgehensweise:

1. Termin eintragen (sofern es sich um einen Gemeindetermin handelt, Gottesdiensttermine sind durch das Gemeindebüro gepflegt)
2. Ankündigung des Termins in der Kategorie Aktuelles und Besondere Termine schreiben (die Kategorie "Besondere Termine" werden als Untereintrag zum Menüpunkt Termine angelegt)
3. Ist der Termin vorbei soll die Ankündigung unter Aktuelles und Besondere Termine gelöscht werden
4. Es kann ein Rückblick auf den besonderen Termin unter Aktuelles geschrieben werden
5. Nach 2 Wochen sollte dieser Artikel dann von der Kategorie "Aktuelles" auf die Kategorie "Gemeindeleben" oder zu einer "Gemeindegruppe" geändert werden.

Ein gesondertes Archiv soll nicht erstellt werden. Hierfür ist die Kategorie Gemeindeleben vorgesehen, so dass wenn Texte nicht mehr aktuell sind diese von Aktuelles auf Gemeindeleben oder eine Kategorie bei Gemeindegruppen verschoben werden kann.

Fazit

Der Umzug vom eigenen CMS hin zu Wordpress war sicherlich aufwändig auch da wir uns erst in die neue Softwareumgebung eingearbeitet haben und diverse Einstellungen sowie Techniken noch unbekannt waren. Insgesamt bin ich dann aber bzgl. des Ergebnis sehr zufrieden und denke, dass die Oberfläche sich tatsächlich für die Kirchengemeinde anbietet und so die Seite auch lebendiger aussieht und hoffentlich künftig mit Leben gefüllt werden kann. Besonders positiv fällt dabei auf, dass sich auch Ehrenamtliche gemeldet haben die Lust auf die Pflege der Seite haben und das "Kirche miteinander" noch stärker zusammen gelebt und erlebt wird. Ob und inwieweit alle hier gemachten Einstellungen richtig sind und diese sich in der Zukunft bewähren ist eine andere Frage, aber zumindest bietet die Seite nun eine bunte Vielfalt an Artikeln, Terminen sowie die Möglichkeit einfach aktuelle Artikel und Ankündigungen abzusetzen. Durch den Verzicht auf Kommentare und auch die Umsetzungen in Richtung Datenschutz denke ich, dass sich der Wechsel auf eine weit verbreitete Standardsoftware gelohnt hat und ich hoffe, dass auch für die Ehrenamtlichen der Umgang leicht ist. Ein weiterer Vorteil ist, dass die Seite auch mobil am Smartphone oder Tablet angenehm zu nutzen ist.



Ein interessanter Aspekt in Hinblick auf die Benutzerfreundlichkeit ist aber tatsächlich, dass man auch bei der Zielgruppe einer Seite darauf achten sollte, wie weit verbreitet die Kenntnis über eine mobile Version einer Seite ist. So ist es gar nicht so selbstverständlich die oberen drei Striche (Hamburger) als Menüpunkt zu erkennen, auf die man klicken sollte.



Für meine eigene Seite bin ich noch immer froh hier eine eigene Softwarelösung einsetzen zu können, aber für externe Seiten oder eben auch die Betreuung unserer Internetseite der Kirchengemeinde bietet Wordpress hier als CMS tatsächlich Vorteile und dadurch, dass ich ein von Wordpress ebenfalls gepflegtes Theme als Grundlage verwende, dürften auch Updates unproblematisch sein. Ob dieses dann in der Praxis tatsächlich so funktioniert kann sich künftig auf Kirche-miteinander.de zeigen.

Schon letztes Jahr bin ich im Artikel "Europäischer Datenschutztag oder Privacy Data Day" bin ich auf das Thema Datenschutz anlässlich des europäischen Datenschutztages oder Privacy Data Day eingegangen.

Wenn ich nun die letzten zwölf Monate zurück blicke sind auch hier im Blog wieder einige neue Artikel rund um Datenschutz und Datensicherheit veröffentlicht worden. Auf diese mag ich anlässlich des heutigen Tages gerne hinweisen.

Datenschutz rechtlich betrachtet (DSGVO / ePrivacy Verordnung)

Eines der größten Themen in 2018 war und ist sicher die europäische Datenschutzgrundverordnung (EU-DSGVO). Im Artikel "EU DSGVO - Info- bzw. Link-Sammlung mit Schwerpunkt auf die Umsetzung bei Blogs oder der eigenen Website (hier: Autorenwebsite, Blogger, KMU)" bin ich auf einige Quellen und hilfreiche Artikel rund um diese Thematik eingegangen und habe diese Sammlung an Informationen auch um aktuellere Artikel immer wieder erweitert. So schrieb Dr. Thomas Schwenke zum Thema "Brexit & DSGVO – Tipps und Checkliste zur Vorbereitung auf den Ernstfall" und Finn Hildebrandt (blogmojo) beginnt unter "ePrivacy-Verordnung: Alles, was du wissen musst (inkl. Timeline!)" ebenfalls schon einen Blick in die Zukunft zu werfen.
 

Datenschutz und Datensicherheit praktisch (Messenger, 2FA und Verschlüsselung)

Neben rechtlichen Grundlagen sollte aber auch die Praxis nicht zu kurz kommen und so sind auch rund um das Thema Datenschutz und Datensicherheit weitere Artikel hinzugekommen.


Im Artikel "Ein datenschutzfreundlicher Messenger am Smartphone - Threema" stelle ich einen Messenger vor, der ein wenig mehr Wert auf Datenschutz legt als andere bei denen zum Beispiel ein Aspekt wie der Umgang mit Kontaktdaten als problematisch angesehen wird.

In diesem Zusammenhang ist ebenfalls ein Paper zur  dienstlichen  DSGEKD und der DSGVO  konformen Nutzung von WhatsApp von Lutz Neumeier interessant. Dieses ist unter "https://neumedier.de/digitalekirche.php#features3-75" abrufbar und beschreibt die datenschutzkonforme Adressbuchverwaltung durch getrennte Adressbücher für und ohne Whatsapp sowie die Erfordernisse der Zustimmung sowohl unter iOS als auch Android.

Neben der Frage des Schutz von Daten ist, gerade durch diverse Vorfälle, auch das Thema Sicherheit von Daten in der IT ein Thema. Insbesondere bei Webdiensten sehe ich die Zweifaktorauthentifizierung wie im Artikel "Zweistufige Anmeldung oder Zwei-Faktor-Authentifizierung (2FA) bei Onlinediensten (Datensicherheit und Datenschutz) bspw. per OTP (One-Time Password, Einmal-Passwort) App" beschrieben als einfache Hürde um sich hier ein Stück weiterer Sicherheit zu verschaffen.

Neben der Sicherheit im Web hat mich dann aber auch das Thema Verschlüsselung zum Beispiel bei der Nutzung von mobilen Datenträgern (wie USB Sticks) beschäftigt und so kam bei der Einrichtung eines neuen PC auch der Artikel "Der verschlüsselte USB Stick oder mit Bitlocker To Go unter Windows Datenträger verschlüsseln" zustande. Wobei ich hier auch auf Alternativen wie das Thema Verschlüsselung in der Cloud oder im Datencontainer von TrueCrypt beziehungsweise VeraCrypt eingegangen bin.

Datenverschlüsselung (Zukunft) openPGP bei eMail und PGP Schlüssel mit neuen Personalausweis nPA signieren

Durch den neuen Personalausweis und der Online-Ausweisfunktion mit der AusweisApp2 des Bundesministerium des Inneneren für Bau und Heimat (siehe personalausweisportal.de) ist es möglich sich am Smartphone oder Kartenleser über die AusweisApp2 auf unterschiedlichen Betriebssystemen herunterladbar unter https://www.ausweisapp.bund.de/ausweisapp2-home/ auszweisen.



Diese App stellt einen lokalen Server dar zur Authentifizierung und prüft den im Kartenleser freigegebenen Personalausweis. Dieser muss vorher durch PIN frei gegeben sein. Statt eines Kartenleser kann auch ein Smartphone und eine App für Android oder iOS verwendet werden.




Sofern kein Kartenleser am Rechner angeschlossen ist kann zusätzlich eine App am Smartphone installiert werden über die dann (sofern das Smartphone im gleichen WLAN wie der Rechner ist) die App am PC mit der PIN Eingabe am Smartphone gekoppelt werden.

Hierdurch ist es nun möglcih sich über NFC online auszuweisen und bspw. Dienste wie PostIDENT oder verschiedene Behörden Dienste zu nutzen.

Ein ebenfalls spannendes Szenario ist jedoch die Verschlüsselung von eMails mit openPGP und die Beglaubigung des eigenen offenen PGP Schlüssel durch eine Signierung mit den Personalausweis.

E-Mailverschlüsselung mit PGP

Mein Mailprovider Posteo.de hat dieses zum Beispiel im Artikel "Wie verschlüssele ich E-Mails mit Enigmail in Thunderbird?" beschrieben. Ebenso gibt es auf der Seite meiner Lieblingscomputerzeitschrift c't eine ausführliche Anleitung zum Thema "Einfach erklärt: E-Mail-Verschlüsselung mit PGP " von Holger Bleich.

Ebenso hat der Verein digitalcourage 2016 eine Zusammenstellung unterschiedlicher Anleitungen unter "E-Mails verschlüsseln wird immer einfacher" veröffentlicht. Eigentlich ist dieses tatsächlich einmal ein guter Grund sich mit der Thematik auseinander zu setzen und mit der Einrichtung einer neuen Arbeitsumgebung auch dieses Thema auf erledigt zu setzen.

An dieser Stelle bin ich auch auf die umfangreiche Anleitung im Rahmen des Projektes »Verbraucher sicher online« der TU Berlin im Fachgebiet Kommunikations- und Betriebssysteme gelandet. Auf der Artikelserie "E-Mail-Verschlüsselung" gelandet. Hier wird auch generell das Verschlüsseln von Dateien mit GpgWIN erläutert.

Ebenso wird auf eine Anleitung von Boris Katheuser unter https://investigativerecherche.de/verschluesselung/ verwiesen in der als Video eine Anleitung veröffentlicht wird.

 

Update hier im Blog:
Unkelbach, Andreas: »Grundlagen: Mailverschlüsselung und Mailsignatur mit openPGP 🔑 ab Thunderbird 78 oder Android nutzen und eigenen öffentlichen Schlüssel auf Schlüsselerver hochladen« in Andreas Unkelbach Blog (ISSN: 2701-6242) vom 19.9.2020, Online-Publikation: https://www.andreas-unkelbach.de/blog/?go=show&id=1131 (Hier gibt es auch eine aktuellere Anleitung zum Thema)

 

Öffentlicher PGP Schlüssel verifizieren lassen

Zur CeBIT 97 hat c't erstmals einen kostenlosen Zertifizierungs-Service für PGP-Schlüssel angeboten. Über diese Krypto-Kampagne und wie der öffentliche Schlüssel im Verlag signiert werden kann informiert die Seite  zur "c't-Krypto-Kampagne".

Alternativ können aber auch andere Verzeichnisse genutzt werden. Aber erst einmal muss die Verschlüsselung und die Erstellung eines privaten und öffentlichen Schlüssel angelegt werden (siehe obere Anleitung).

Nachdem dieses ordentlich eingerichtet worden ist besteht nun die Möglichkeit den eigenen öffentlichen Schlüssel zu signieren.

PGP Schlüssel mit neuen Personalausweis per NFC signieren lassen

Die Funktionsweise ist wie folgt beschrieben "Mit der Verschlüsselung mit einem sogenannten PGP-Schlüssel (kurz für Pretty Good Privacy) kann die eigene E-Mail-Kommunikation ohne weitere Lösung „Ende-zu-Ende“-verschlüsselt werden." Hierzu existiert ein privater (geheimer) Schlüssel und einen öffentlichen Schlüssel. Eben dieser kann nicht nur auf der eigenen Internetseite sondern auch in einen vertrauenswürdigen Verzeichnis (bspw. bei PGP Signierung bei Heise Events) aber unter https://pgp.governikus.de mit Hilfe der Online-Ausweisfunktion beglaubigt werden. Hierzu ist neben den neuen Personalausweis bzw. elektronischen Aufenthaltstitel mit aktivierter Online-Ausweisfunktion ein Kartenlesegerät bzw. ein NFC-fähiges Android-Endgerät sowie die AusweisApp2 erforderlich. Ein weiteres Verzeichnis bietet auch Posteo selbst an wie in der FAQ auf der Seite "EasyGPG: Wie veröffentliche ich meinen öffentlichen PGP-Schlüssel über Web Key Directory (WKD) im Posteo-Schlüsselverzeichnis?" beschrieben ist.

Ich gehe davon aus, dass ich dieses für meine eMailKommunikation dann tatsächlich einmal umsetzen werde und sei es nur aus technischen Interesse am Thema :)

Statt selbst einen Artikel hier ins Blog zu stellen verweise ich hier gerne auf die Anleitung von Philipp Mahler auf technikkram.net im Artikel "Beglaubigung des eigenen PGP Schlüssels mit dem neuen Personalausweis (nPa) ". Vielen Dank an dieser Stelle dafür.

 

Datensicherheit und Datenschutz in SAP (Berechtigungskonzept)

Aber auch im SAP Umfeld waren Datenschutz und Datensicherheit ein aktuelles Thema, so dass hier das Thema Berechtigungen und Umsetzung eines Berechtigungskonzept sich sowohl im Tool der Massenpflege von Berechtigungen "Nach der Massenpflege von Berechtigungsobjekten (PFCGMASSVAL) folgt der Massendownload von Rollen (PFCG_MASS_DOWNLOAD)" aber auch der feingliederigen Steuerung nach einer Berechtigung nach Konten "Kontenberechtigung bspw. für Personalkosten auf Kostenarten, Sachkonten und Finanzpositionen oder Belagart mit Berechtigungsgruppen" ein wichtiges Thema.

Besonders erfreut hat mich das Thema "SAP Query als kundeneigene Transaktion mit Berechtigungen für Tabellenberechtigungsgruppe, Tabellen und Reporttransaktion vergeben", dass auch ganz praktisch im Rahmen eines Tagesseminar rund um SAP Query im Hochschulberichtswesen und Hochschulcontrolling eingeflossen ist.

Aus gegebenen Anlass möchte ich an dieser Stelle auch auf die Zweite "Onlinekonferenz: Wie steigen andere Unternehmen auf SAP S/4HANA um?" vom 29. Januar bis 01. Februar 2019 des it-onlinemagazin hinweisen. Schon letztes Jahr überzeugte mich diese unter anderen durch den Vortrag "Was muss ich am SAP-Berechtigungswesen ändern?" welcher als Aufzeichnung noch immer unter "„S/4HANA Umstieg und Vorbereitung“ Onlinekonferenz (live und als Aufzeichnung)" abrufbar ist.

Datenschutz bei Facebook und Google

Da das Thema Datenschutz durch einen solchen Tag im Jahr aber auch im Privaten immer einmal wieder ein Thema ist möchte ich hier, wie letztes Jahr, auf die Möglichkeit der Datenschutzeinstellungen von Facebook und Google hinweisen.

Google bietet hier auf der Startseite einen direkten Link auf einen "Privatsphärecheck". Aber auch die Einstellungen von Facebook oder andere Netzwerke können hier einen interessanten Blick bieten. So findet sich bei Facebook auf der Seite "Einstellungen für Werbeanzeigen" eine Auflistung wie die einzelnen Werbeanzeigen zustande kommen udn welche Informationen hier Facebook für Werbung verarbeitet. Daneben hat Facebook unter Facebook Privacy Basics eine Informationsseite rund um die Privatsphäre-Grundlagen bei Facebook online gestellt.

Daneben bieten aber auch Internetseitenbetreibende weitreichende Informationen zum Beispiel zum Einsatz von Google Analytics und Google Adsense an.  Auf der Seite der "European Interactive Digital Advertising Alliance" (youronlinechoices.com) eine Widerspruchsmöglichkeit gegen "nutzungsbasierte Online-Werbung" für verschiedene Anbieter nutzen. Diese Einstellung ist jedoch auf jeden von Ihnen genutzten Rechner (bzw. Browser) erforderlich, da diese Seite entsprechende Cookies mit einer entsprechenden Einstellung hinterlegt, die die einzelnen Werbenetzwerke (auch bspw. Facebook, Google, ...) beachten sollen. Anstatt der benutzerbezogenen Werbung (die durch verschiedene Daten zu ihrer Person erhoben sind) wird dann allgemeine Werbung eingeblendet.

Aktuelle Infos rund um Datenschutz?

Gerade wenn es um Datenschutz geht kann ich in meiner Blogroll folgende Punkte empfehlen:

• Lawblogs - Juristische Blogs
• Vblogs -  Videoblogs und Podcasts u.a. zum Datenschutz

Daneben nutze ich auch sehr gerne Twitter für aktuelle Informationen.

Eine kleine Auswahl von Twitter Profilen ist in folgender Liste zu sehen:

• Amt 2.0 Akademie  @amt20akademie
• Finn Hillebrandt  @blogmojo
• Rechtsbelehrung  @RBL_rfm
• RA'in Nina Diercks  @RAinDiercks
• selbstaendig  @selbstaendig
• Dr. Kerstin Hoffmann  @PR_Doktor
• Carsten Ulbricht  @intertainment
• Dr. Thomas Schwenke @thsch
• Stefan Hanse-Oest @sayho

Der Einfachheit halber habe ich mir auf Twitter unter https://twitter.com/AUnkelbach/lists/web-und-datenschutz eine passende Liste mit diesen und anderen Accounts zum Thema Web und Datenschutz angelegt und bin immer wieder über die Onlinediskussionen sowie viele praktische Hinweise und Artikel angenehm überrascht.

Insgesamt dürften auch die kommenden 12 Monate rund um Datenschutz einiges an aktuellen Themen inne haben und so freue ich mich schon darauf kommendes Jahr hier beziehungsweise natürlich in einen neuen Blogartikel hoffentlich ebenfalls auf aktuelle Artikel verweisen zu können.

Manche Themen, wie auch Windows, sind hier im Blog tatsächlich etwas weniger präsent als Excel, SAP oder auch diverse andere Programme. Aber gerade im Rahmen der Einrichtung eines neuen Arbeitsplatzes kam neben den Datenschutzeinstellungen unter Windows 10 auch die Frage der Datensicherheit in Betracht.

Ausgangslage Warum Daten verschlüsseln?

Tatsächlich ist das Thema Verschlüsselung aus unterschiedlichen Gründen relevant. Neben einer Frage der eigenen IT Sicherheit ist gerade beim Einsatz von Cloudspeichern auch im privaten Bereich oftmals die Frage, ob hier wirklich alle Dateien so vertrauenswürdig wären, dass diese problemlos in die Öffentlichkeit gelangen können. Daher ist eine gewisse Sensibilität tatsächlich nicht fehl am Platz und an manchen Einsatzzwecken sogar vorgegeben. Neben einen Cloudspeicher dürfte aber auch der USB Stick als klassisches Datentransfermedium immer noch aktuell sein. Nur was passiert, wenn dieser irgendwo verloren geht und könnte hier nicht ein gewisser Schutz helfen. Manchmal kann dieser Schutz auch ganz nützlich sein, wenn mehr als eine Person Zugriff auf die eigene Arbeitsumgebung hat. Daher mag ich hier ein wenig auf die Möglichkeiten der Datenverschlüsselung auf Datenspeicher unter Windows eingehen und freue mich hier tatsächlich darüber, dass dieses unter Windows 10 Professionell wesentlich einfacher geworden ist als vor einigen Jahren noch unter Windows XP mit TrueCrypt und anderen Tools. Neben physischen Datenspeichern ist aber auch die Cloud ein wichtiges Thema und so gehe ich, wenn auch nur durch einen kurzen Hinweis, auf die Möglichkeiten der Verschlüsselung des eigenen Cloudspeichers ein.
 

Boxcryptor und Cloudspeicher

Beim Einsatz eines Cloudspeicherplatzes (wie zum Beispiel Dropbox (Einladungslink)) stellt sich oftmals die Frage, wie hier auf einfache Weise Daten verschlüsselt gespeichert werden können. Ein passwortgeschütztes ZIP File hat den Nachteil, dass hier keine Daten direkt gespeichert werden können weswegen eine Lösung per App wie Boxcrypter für zwei Geräte eine Verschlüsselung auf Android, MacOS und Windows ermöglicht. Für mehrere Geräte ist dann eine Jahreslizenz erforderlich (ebenso bei der Nutzung von mehr als einen Cloudanbieter). Unter BoxCryptor.com/de/ ist diese Software näher vorgestellt und es können entsprechende Lizenzen erworben werden.

Werbung

 

Verschlüsselte Datencontainer mit Truecrypt oder Veracrypt

Sofern der Zugriff auf bestimmte Dateien nur unter Windows bzw. einen Desktop Betriebssystem erfolgt besteht auch die Möglichkeit des Einsatzes von Truecrypt oder vielmehr der Nachfolge Veracrypt. Im Artikel "Truecrypt per Kommandozeile" bin ich näher darauf eingegangen und tatsächlich bietet es sich auch an mit VeraCrypt Portable diese als Stickware vom USB Stick laufen zu lassen. Die App selbst ist bei Heise Online Download unter Verschlüsselung > VeraCrypt näher vorgestellt.

Sofern kein verschlüsselter Dateicontainer sondern ein USB Stick zum Austausch von Dokumenten ausserhalb der Cloud und nur unter Windows verwendet werden soll, kann ab Windows 10 Professional und Windows 7 Ultimate Bitlocker TO Go genutzt werden. Innerhalb des BSI Grundschutzhandbuch wird diese Software im Maßnahmenkatalog "M 4.422 Nutzung von BitLocker To Go ab Windows 7" im IT Grundschutzhandbuch (IT-Grundschutz-Kataloge) des Bundesamt für Sicherheit in der Informationstechnik (BSI) empfohlen.

Die Verschlüsselung selbst kann nur in den erwähnten Windows Versionen angelegt werden, aber das verschlüsselte Speichermedium selbst (hier ein USB Stick) kann in den niedrigeren Windows Versionen (zum Beispiel Windows 10 Home) direkt geöffent werden.

 

Mobiler Datenspeicher mit Bitlocker ToGo verschlüsseln

Im Explorer kann der mobile Speicherträger oder das zu verschlüsselnde Laufwerk mit der rechten Maustaste angeklickt werden und die Funktion "Bitlocker aktivieren" wie in folgender Abbildung zu sehen aufgerufen werden.



Dadurch wird die Anwendung Bitlocker geladen


Der USB Stick darf während des folgenden Setup zur Bitlocker-Laufwerksverschlüsselung nicht entfernt werden.

Danach ist eine Methode zu wählen, wie die Verschlüsselung abgesichert werden soll.



Die flexibelste Methode ist wohl der Einsatz eines Passwort / Kennwort, das später nachdem der USB Stick eingesteckt wird, oder auf das Laufwerk zugegriffen werden soll eingetragen werden muss. Es empfiehlt sich zur Sicherheit das Passwort zum Beispiel in einen Passwortmanager oder an sicherer Stelle zu speichern. Die Alternative der Smartcard nebst Smartcard-Pin könnte wiederum interessant sein auch in Hinblick auf einer zwei Faktor Authentifizierung per Hardwarelösung.

Im Artikel "Zweistufige Anmeldung oder Zwei-Faktor-Authentifizierung (2FA) bei Onlinediensten (Datensicherheit und Datenschutz) bspw. per OTP (One-Time Password, Einmal-Passwort) App" bin ich darauf für Webdienste eingegangen.

Nachdem das Passwort gewählt worden ist kann auch ein Wiederherstellungsschlüssel gedruckt, als Textdatei gespeichert oder im Microsoft Konto hinterlegt werden.



Soll der USB Stick an unterschiedlichen Rechnern und nicht nur im eigenen PC genutzt werden und man nicht diesen wichtigen Schlüssel in der Cloud speichern wollen ist sicherlich der Ausdruck eine gute Alternative. Zu beachten ist, dass der Schlüssel nicht auf ein bereits verschlüsseltes Laufwerk gespeichert werden kann.

Nachdem der Wiederherstellungsschlüssel gespeichert worden ist kann mit Weiter die Verschlüsselungsform gewählt werden.



Sofern noch keine Daten am Datenträger vorhanden kann die Option "Nur verwendeten Speicher" verschlüsseln gewählt werden.Beim Hinzufügen von Daten werden diese automatisch verschlüsselt.

Anders verhält es sich wenn bereits Daten vorhanden sind. In diesen Fall sollte das gesamte Laufwerk verschlüsselt werden.

Danach ist der Modus der Verschlüsselung und das Format zu wählen.



Handelt es sich um ein eingebautes Laufwerk (Wechselfestplatte, Netzlaufwerk, ...) dass nur an diesen PC verwendet werden soll kann sicherlich die neuere Datenträger-Verschlüsselungsmethode XTS-AES verwendet werden. Soll der Rechner aber auch an anderen Rechnern eingesetzt werden (bspw. Windows 7) ist der Kompatibler Modus empfehlenswert. Da es sich bei mir um einen USB Stick handelt und ich mir unsicher bin welches die eingesetzten Systeme sind habe ich hier den zweiten Punkt gewählt und die Verschlüsselung gestartet.



Es erscheint eine Abfrage mit Zusammenfassung der Entsperrmethode und das Laufwerk kann gemeinsam mit allen vorhandenen Daten über die Schaltfläche "Verschlüsselung starten" abschließend gestartet werden. Nun läuft die Verschlüsselung und der Fortschritt ist beobachtbar.



Zwischendurch könnte die Verschlüsselung auch angehalten werden, aber sinnvoller ist es sicher die Geduld aufzubringen und Windows verschlüsseln zu lassen.

Mit Bitlocker verschlüsselten (Wechsel-) Datenträger arbeiten

Lohn der Mühe ist dann, dass die Bitlocker-Laufwerksverschlüsselung erfolgreich abgeschlossen ist und das Kontextmenü sich um die Punkte BitLocker-Kennwort ändern und BitLocker verwalten erweitert hat.



Der erste Punkt ist selbsterklärend unter der Verwaltung kann der Punkt "Systeme und Sicherheit" mit den Unterpunkt "Bitlocker Verschlüsselung" in der Systemsteuerung aufgerufen werden.



Unter anderne kann hier eine Automatische Entsperrung eingerichtet werden, wenn der Stick beim aktiven User angesteckt wird. Ansonsten muss immer das Passwort eingegeben werden.

Auf verschlüsselten Datenträger zugreifen

Beim Auswerfen des Datenträgers ist dieser auch wieder verschlüsselt. Wenn der USB Stick erneut angeschlossen wird ist eine Kennwort eingabe erforderlich.

Der große Vorteil hier ist, dass das Entschlüsseln und Einbinden des Datenträgers keine Administrationsrechte und keine Installation von lokaler Software erfordert, da Windows selbst den Zugriff auf verschlüsselte Medien unterstützt.



Das USB-Laufwerk an sich ist erst wieder nutzbar nachdem das Passwort eingegeben worden ist. Alternativ kann auch der Wiederherstellungsschlüssel eingetragen werden oder die Option "Auf diesem PC automatisch entsperren" gewählt werden, wenn dieser PC ohnehin geschützt ist und nur man selbst damit arbeitet. Letzterer Punkt kann ebenfalls unproblematisch wieder deaktiviert werden über die rechte Maustaste am entschlüsselten Datenträger und dort auf Bitlocker verwalten.

Das Laufwerk ist im entschlüsselten Zustand dann wie vorher problemlos verwendbar nur beim erstmaligen Verbinden ist dann stets die Kennwortangabe erforderlich (beim Herunterfahren des PC wird der USB Stick ebenfalls ausgeworfen).
 

Persönliche (geschützte) Arbeitsumgebung am USB Stick

Gerade in Kombination mit persönlichen schützenswerten Daten oder auch mit portable Apps ist diese Möglichkeit eines verschlüsselten USB Stick tatsächlich ein Vorteil der hier sehr einfach mit Windows 10 Professional angelegt und genutzt werden kann. Natürlich funktioniert diese Verschlüsselung nur in der Windows Welt aber hat darin tatsächlich Vorzüge gerade in Hinblick darauf, ob man einen USB Stick unbedarft offen liegen lassen kann oder nicht.



Auf den einmal entsperrten Wechseldatenträger können dann auch Programme wie die portableApps Plattform gestartet werden. Letztere ermöglicht es einige Programme vom USB Stick laufen zu lassen. Dazu zählen Browser, Passwortverwaltung und auch ganze Arbeitsumgebung wie PDFToolkit oder Libre Office.

Hin und wieder kann es vorkommen, dass man mit den gewohnten Programmen an einen fremden Rechner arbeiten möchte.  Hilfreich kann hier ein USB Stick sein, auf den alle regelmäßig genutzten Programm in einer portablen Variante installiert sind.  Als Portable Software oder auch Stickware bezeichnet man Software, welche ohne vorherige Installation lauffähig ist. Auf der Seite portableapps.com/de kann eine Plattform für solche Programme ebenso wie eine Auswahl von fertigen Programmen heruntergeladen werden. Der Vorteil dieser Plattform ist, dass sie sich auch um Updates kümmert.

Unterteilt in die Kategorien:

• Barrierefreier Zugang
• Bildung
• Entwicklung
• Grafik & Bildbearbeitung
• Internet
• Musik & Video
• Office
• Spiele
• Werkzeuge

bietet diese Plattform eine Menge an Software an (zum Beispiel Chrome, Firefox, Libreoffice oder auch Messenger oder Systemwerkzeuge wie den Packer 7ZIP).

Aber auch viele andere, meist auch opensource Anwendungen laufen direkt vom USB Stick und müssen dadurch nicht am lokalen Rechner extra installiert werden. So gibt es auch das im Artikel "Mindmapping und Sketchnotes im Beruf nutzen für Brainstorming oder Mind Mapping mit XMIND" vorgestellte XMIND oder FastStoneCapture (ein Screenshotprogramm) in einer portablen Version die problemlos lauffähig ist ohne dabei installiert zu sein.

Fazit

Zur Verschlüsselung von Dateien innerhalb eines Cloudspeichers wie Dropbox sind sicherlich Containerdateien oder extra Programme wie Boxcryptor besser geeignet, aber wenn es um die Nutzung von USB Sticks anbelangt dürfte auch der Einsatz der von Microsoft angebotenen Variante zur Laufwerksverschlüsselung per AES eine gute Lösung zu sein.

Es ist allerdings ebenso wie bei Containern zu beachten, dass wenn das Laufwerk einmal entschlüsselt ist hier auch ein Zugriff erfolgen kann. Daher sollte die Arbeitsumgebung (Rechner) auch entsprechend beachtet werden und sich zum Beispiel beim Verlassen des Arbeitsplatzes abgemeldet werden.

Unter Windows ist die Tastenkombination


     +  L  = Computer sperren

dafür geeignet. Hierbei bleibt der aktive User noch angemeldet, es erscheint jedoch der aktuelle Anmeldebildschirm, so dass zum Weiterarbeiten ein erneutes Anmelden erforderlich ist.

Im Artikel "Hilfreiche Tastenkombinationen unter Windows" bin ich auch auf weitere hilfreiche Tastenkombinationen eingegangen die ebenfalls ein wenig Mehr an Sicherheit bieten. Tatsächlich ist mir hier positiv aufgefallen, dass ein Mehr an Sicherheit nicht sehr viel mehr an Aufwand verursacht.

Neben den Einsatz in der Heimautomatisierung (Steuerung von Licht, Strom per Sprache) findet sich smarte Technologie auch im Auto. Der einfachste Fall dürfte hier etwas wie die Navigation im Auto per Smartphone und einer Map Anwendung sein aber auch die Reise mit Öffentlichen Personen Nahverkehr oder die Suche nach Anschriften in einer Stadt kann hier durch Technik erheblich erleichtert werden, auch wenn wir noch ein wenig vom Einblenden von Informationen bspw. in Form einer Google Glass oder einer anderen Form der Anreicherung der Umgebung um Informationen im Sinne einer erweiterten Realität (augmented reality  - AR) entfernt sind.

Gerade in unbekannten Städten und auf Reise weiss ich tatsächlich eine Map Anwendung (egal ob nun OpenStreetMap oder Google Maps) sehr zu schätzen.

Daher ist es auch nicht weiter verwunderlich, dass vor Antritt der Fahrt mein Smartphone entweder direkt am Lüfter befestigt wird oder aber bei größeren Fahrten ein kleines Tablet per Tethering als Navigationsgerät von mir genutzt wird.

Per Sprachsteuerung kann hier direkt das Ziel angesagt werden und tatsächlich ist das Kartenmaterial aktuell und selbst die Streckenansagen sind mittlerweile so gut verständlich, dass ich unser bisheriges Navigationsgerät direkt abgelöst habe, Außerdem hat es den unschlagbaren Vorteil, dass ich statt einer Anschrift auch direkt einen Kontaktnamen aufrufen kann und hier mich zum hinterlegten Ort navigieren lassen kann. Handelt es sich um ein Geschäft ist dieses auch oftmals direkt möglich, da viele Orte schon in der Maps-Anwendung direkt gefunden werden.

Das Smartphone / Tablet als Navigationsgerät

Besonders die Halterung fürs Lüftungsgitter ist dabei sehr praktisch, da ich hier direkt mein Handy befestigen kann aber auch eine Halterung für die Windschutzscheibe wie hier im Bild zu sehen hat ihre Vorzüge. Das Tablet wird dabei durch den Zigarettenanzünder per Strom versorgt.

Fürs Lüftungsgitter bzw. die Windschutzscheibe gibt es dabei bei Amazon folgende Produkte:

• YOSH Handyhalter fürs Auto Magnet Lüftungsgitter *
• YOSH Metallplatte Metallplättchen (4 Stück) *
• oder auch ANSMANN Handyhalter fürs Auto mit Magnet - KFZ Handy Halterung für Windschutzscheibe *

Aber auch andere Halterungen, wie hier fürs Tablet sind entsprechend verfügbar. Gerade die Möglichkeit den von uns ohnehin nicht genutzten Zigarettenanzünder dank RAVPower 54W 4-Port kfz Ladegerät Autoladegerät mit Quick Charge 3.0 in eine Ladestation sowohl für Smartphones als auch für das Navigationsgerät zu verwandeln hat tatsächlich Vorzüge.


* Amazon Partnerlink
Als Amazon-Partner verdiene ich an qualifizierten Käufen über Amazon.

Wenn ich mir nun mein Smartphone ansehe sind da tatsächlich einige Apps die ich für die Navigation auf Reisen gerne verwende.

Apps zur Navigation

So finden sich im App-Ordner Navigation doch mittlerweile einige Apps.




Die App TraveLog hilft zum Beispiel bei der Erfassung von Dienstreisen und wurde neben einer Projektverwaltungs- und Abrechnungssoftware im Artikel "Android App: Zeiterfassung (Dienstreise und Projektverwaltung)" näher vorgestellt.
 

Reisen mit Bus und Bahn - Fahrplanauskunft und Onlineticket

Für eine schnelle Fahrplanauskunft nutze ich gerne die App Öffi von Andreas Schildbach.
Marketlink:

• Öffi - Fahrplanauskunft

Dabei punktet für mich diese App immer noch damit, dass sie schnell geladen ist und auch mehrere Verbindungen gut lesbar darsellt.

Für elektronische Tickets und Bahnverbindungen nutze ich hingegen gerne sowohl die App unseres Regionalen Verkehrsverbundes (RMV) als auch die App der Deutschen Bahn.
Marketlink:

• RMV Rhein-Main-Verkehrsverbund
• DB Navigator

Hier zeigt sich sowohl der Vorteil, dass ich direkt ein Ticket per App lösen kann als auch dass ich gerade bei länger geplante Zugfahrten schon direkt die Verbindung als auch das Ticket selbst am Smartphone und nicht zwingend als Paperausdruck mit dabei habe.

Zur Navigation im Auto nutze ich dann aber tatsächlich vornehmlich Google Maps als Navigation.

 

Android Auto als Oberfläche um das Smartphone in ein Navi, Freisprecheinrichtung und Fahrassistent zu verwandeln

Wobei auch die App Android Auto von Google ihre Vorteile hat und gerade bei längeren Fahrten sinnvoll nutzbar ist.

Marketlink

• Android Auto: Google Maps, Medien & Messaging

Nachdem die App gestartet wurde erscheint eine Oberfläche die das Smartphone tatsächlich in eine sinnvolle gut zu bediende Navigationsoberfläche verwandelt. Unterstützt durch Google Assistant werden auch direkt Fahrziele vorgeschlagen (wie hier der Weg zur Arbeit oder sofern ein Termin vorliegt kann auch direkt dieser angefahren werden). Daneben ist auch die Telefonie als Freisprecheinrichtung vorhanden und es kann automatisch Bluetooth zum Beispiel zum Verknüpfen mit den Lautsprechern im Auto aktiviert werden.




In den Einstellungen zur App  kann auch eine Musikwiedergabe (Onlineradiosender / Google Musik oder andere Dienste) aktiviert werden und natürlich ist auch eine Steuerung per Sprache mit "Okay Google" möglich.

Auch die Navigation, eine der wesentlichen Funktionen ist dabei möglich, wobei die Kartenansicht auch zwischen Tag und Nacht Ansicht unterscheidet (nebenbei schaltet die Karte in längeren Tunneln ebenfalls auf Nachtansicht, wie hier zu sehen.

Fahrmodus von Google Maps

Mittlerweile nutze ich allerdings tatsächlich häufiger als Google Auto das Widget von Google Maps zum Starten des Fahrtmodus.



Hier ist dann ebenfalls der Screen reduziert allerdings die Navigation im Vordergrund.



Ebenfalls recht praktisch ist, dass mein Lieblingskalender (siehe Artikel "Termine verwalten unter Android mit Business Calendar 2 definitiv ein lohnendes Upgrade") ebenfalls bei Terminen mit Ortsangaben direkt einen Schaltfläche zum Start der Navigation neben den Kontaktdaten im Kalenderwidget hat.

Auch wenn wir vom selbstfahrenden Auto noch eine ganze Weile entfernt sein dürften ist die Unterstützung per Navigation insbesondere auch mit Sprachsteuerung eines der Dinge die ich mittlerweile am Smart Home unterwegs sehr zu schätzen weiss.

Da Google Maps auch noch die Möglichkeiten der Offlinekarten unterstützt (hier werden für ein selektiertes Gebiet heruntergeladen und am Smartphone gespeichert)  verbraucht es noch nicht einmal Datenvolumen. Um eine Karte im Vorfeld einer Reise herunterzuladen kann in Google Maps nach den jeweiligen Ort / Strecke gesucht werden und über das Hamburgermenü (drei Striche) über Offlinekarten der jeweilige Kartenabschnitt lokal am Smartphone gespeichert werden. Zusammen mit GPS ist damit dann keine aktive Onlineverbindung mehr zum Herunterladen der Karte erforderlich.

Da bei der Navigation aber auch Livedaten über Verkehrsfluss zur Verfügung gestellt werden ist es weiterhin sinnvoll online verbunden zu bleiben, so dass im Fall eines Staus problemlos eine Ausweichroute vorgeschlagen wird.

Diese Ausweichroute gilt auch, wenn man sich einmal verlaufen haben sollte oder die richtige Abfahrt verpasst hat. Ebenso ist auch zu Fuß die Navigation hilfreich, da ich so als Fußgänger problemlos vom Bahnhof ins Hotel geführt werden kann :)
 

Google Standortverlauf

Sofern der Standortverlauf am Smartphone unter Android aktiviert ist kann auf der Seite https://www.google.de/maps/timeline die eigene  Strecke im Nachhinein auch nachvollzogen werden.

Der Standortverlauf kann in den Konteneinstellungen des Google Kontos unter "Daten & Personalisierungen aktiviert werden.

Alternativ kann auch über die Aktivitätseinstellung unter https://myaccount.google.com/activitycontrols im Abschnitt Standortverlauf diese aktiviert werden.

Nebenbei ist die Technik des Standortverlaufs auch praktisch um das eigene Smartphone zu orten. Dieses ist im Gerätemanager bzw. Mein Gerät suchen unter https://www.google.com/android/find möglich. Positiv ist nebenbei, dass der Standortverlauf für jedes Gerät einzeln aktiivert werden kann, so dass das Tablet vielleicht nicht am Standortverlauf teilnimmt, wohl aber das Smartphone. Dieses ist besonders dann interessant, wenn das Tablet als Navigationsgerät von mehreren Personen genutzt wird aber ein Standortverlauf individuell je Gerät genutzt werden soll.

Ebenso kann der Standort, so gewünscht, auch mit anderen geteilt werden, so dass hier ein gegenseitiges Finden möglich ist.

Unterhaltung während der Zugfahrt

Der Vorteil am Zug fahren ist ja auch immer, dass man noch einmal Unterlagen durchgehen kann, ein Buch lesen oder sich medial an einigen der Themen die ebenfalls unter "Infotainment oder Nachrichtenapps für Android" vorgestellt worden sind kümmern kann.

Natürlich bietet sich auch die persönlcihe Weiterbildung zum Beispiel durch neues "SAP Know How" an. Insbesondere da die App auch die Möglichkeit hat offline auf die Bibliothek zuzugreifen und sich 10 Medien auszuleihen, ohne dass diese online gelesen werden müssen.

Eine andere Möglichkeit habe ich vor kurzen dank Kopfhörer ebenfalls für mich entdeckt.

Google Podcast

Marketlink / Playstore:

• Google Podcast

Tatsächlich handelt es sich dabei um eine sehr einfache Apps um Podcasts zu abonieren, aber für mich reicht diese vollkommen aus.

Eine Zusammenstellung der von mir unter anderen gehörten Podcasts ist in den Webempfehlungen unter "Videoblogs und Podcasts" zu finden.
 

Fazit - Smarte Navigation

Je flexibler und smarter die Navigation am Smartphone oder am Tablet-Navigationsgerät sein soll umso mehr Daten fallen auch an. Hier ist auch eine Abwägung zwischen Datenschutz und Datenverwendung zu treffen, weswegen auch alternative Karten-Navigations-Anwendungen wie Here Map oder OpenStreetMap sicherlich einen Blick wert sind.

Für mich persönlich hat die Integration von Kalender, Kontakten und Navigation innerhalb des Google Ökosystem tatsächlich überwiegend Vorteile, so dass ich hier auch bewust Google Maps zur Navigation nutze. Teilweise gibt es jedoch auch spezialisiertere Karten oder Anwendungen die besondere Anforderungen, als Beispiel sei hier Fahrrad- oder Motorradnavigation genannt, erfüllen und somit bleibt es dann doch eine gewisse Frage der Abwägung welche Interessen hier überwiegen.

Das mittlerweile die klassische Zeitung oder das Buch auf Reisen durch andere Medien abgelöst wird ist nicht nur in Zeiten von Social Media ein Thema und zeigt eigentlich acuh recht gut, dass moderne Zeiten auch andere Workflows und Möglichkeiten zum Erwerb von Wissen bieten.
 

---

Hinweis:

Im Laufe der Zeit wird auch das Leben mit Technik immer intelligenter. Entsprechend habe ich auf der Seite "Smart Home" unsere Erfahrungen mit Amazon Echo (Alexa) und Google Home sowie vernetzte Dienste zusammengestellt.

---

Das Thema Messenger ist unter mehreren Gesichtspunkten relevant. Der erste Punkt bei der Wahl eines passenden Messenger ist hier sicherlich an welcher Stelle auch die meisten Menschen sind mit denen Nachrichten ausgetauscht werden sollen. Zur Wahl des richtigen Messenger sind schon an verschiedenen anderen Stellen Artikel geschrieben worden die ich hier gerne als Ausgangspunkt verlinke.

• Dasnuf.de "[Anzeige] Let’s talk – about Messenger"
  Patricia Cammarata (dasnuf) setzt sich in einer Artikelserie mit den Themen Medienkompetenz zum Thema Kinder und digitale Medien auseinander und stellt im verlinkten Teil einige Punkte zum Theme "Messener-Apps" vor.
• Mobilegeeks.de "Top 10 Alternativen zu Whatsapp"
  Auch Mobilegeeks stellt einige Alternativen zum Messenger Whatsapp dar und gibt eine gute Übersicht über alternative Messenger.

Persönlich sehe ich hier tatsächlich eine Abwägung zwischen Datenschutz, Komfort, Sicherheit und tatsächlich die Frage, welche Messnger andere nutzen.

Problematisch bei den meisten Anbietern ist das Prinzip der Identifikation der Kontakte. Viele populäre Anbieter identifizieren die einzelnen Teilnehmende dadurch, dass die Handynummer als ID verwandt wird. Dabei wird dann auch noch das Theme "Wie finde ich Kontakte" relevant. Viele Messenger laden dabei die Kontaktdaten (bzw. so Aussage der meisten) einen Hashwert über die hinterlegte Mobilfunknummer hoch, so dass diese dann auf einen Server hinterlegt ist und hier vermutlich nicht für alle Kontakte eine entsprechende Einwilligung für das Übertragen der Kontaktdaten auf einen Server (selbst als Hashwert über die Telefonnummer) nicht vorliegt.

Hier haben allerdings auch einige Messenger reagiert, so dass zumindest die Kontaktdaten optional nicht mehr synchronisiert werden oder auch synchronisierte Daten gelöscht werden. Als Beispiel dazu ein Screenshot vom Messenger Telegram.



Telegram ermöglicht es übrigens neben der Verwendung der Telefonnummer ebenfalls die Einrichtung eines Benutzernamen, so dass hier statt der Telefonnummer für einen Kontakt auch ein individueller Benutzername weiter gegeben werden kann.

Der Vorteil dieses Messenger in meinen Augen ist aber ein ganz anderer, da hier mehr als ein Device genutzt werden kann. Ebenso wie Skype, ICQ oder AIM (um auch mal ein paar alte Geister zu nenen) besteht hier die Möglichkeit den Client auf mehr als einen Client einzurichten und sogar portabel per USB Stick der Messenger genutzt werden kann. Damit ist eine Nutzung am PC ebenso wie am Smartphone möglich, was andere Messenger wiederum nur per Webfrontend ermöglichen. Der Nachteil ist die Verknüpfung mit der Telefonnummer und das die meisten Personen wohl ihre Kontakte über eine Synchronisiation mit Adressbuch verteilen... dieses Problem dürfte aber bei den meisten Messengerdiensten der Fall sein. In jeden Fall sind durch die Verwendung der Telefonnummer als ID sowohl bei Telegram als auch bei Whatsapp beim Betreiber die Telefonnummer bekannt und gespeichert.

Zur rechtlichen Einschätzung dieser Problematik verweise ich gerne auf den Podcast Rechtsbelehrung siehe "Podcasthinweis: WhatsApp, Messenger und der Abmahnungen – Rechtsbelehrung Folge 47".

 

Messenger App Threema

Durch einen datenschutzsensiblen Kollegen an der Arbeit bin ich dann jedoch noch auf einen datenschutzfreundlicheren Messenger hingewiesen worden und nutze diesen nun sehr gerne im beruflichen Kontext. Mittlerweile sind, gerade im kirchlichen Umfeld, auch einige Personen zu diesen Messenger gewechselt und dennoch möchte ich diesen hier gerne einmal näher vorstellen.

Bezugsquelle und APK Installation

Threema

Martket Link / Google Play

• Google Play: Threema
• Apples Appstore: Threema
• Microsoft Store: Threema

Neben der Möglichkeit im Store des jeweiligen Anbieters kann die kostenpflichtige App auch auf der Seite von Threema selbst bezogen werden und entsprechend die App hier heruntergeladen werden. Im Onlineshop auf https://shop.threema.ch/ können direkt Lizenzschlüssel bezogen werden und auch an andere Personen weiter gegeben werden. Auf diese Weise habe ich dann ebenfalls meinen Lizenzschlüssel erhalten und konnte die App herunterladen und mir Threema auch ohne Google Konto bzw. außerhalb des jeweiligen Store installieren. Interessant kann, gerade für größere Gruppen oder Unternehmen, auch das Model ThreemaWork sein. Hier sind Lizenzen übertragbar und es können auch mehrere Lizenzen erworben werden.

Von der Seite shop.threema.ch/download kann nach Angabe des Lizenzschlüssels direkt die App heruntergeladen werden.


Gerade wenn die App als APK heruntergeladen worden ist, muss im Anschluss, für spätere Updates, unter Gerätesicherheit der Punkt "Unbekannte Apps installieren" zugelassen sein. Hier wird, wie unter 3 in der oberen Abbildung, die Eigene Dateien als zugelassene App Quelle temporär aktiviert, so dass hier die App ein heruntergeladenes Update, was über Threema selbst heruntergeladen werden kann, durchgeführt werden kann. Dieses ist dann tatsächlich der Preis für eine hohe Anonymität. Die Alternative ist die Installation über eine der Anbieter Quellen (Google Play als Beispiel) worüber dann auch automatisch Updates ausgerollt werden.

Threema-ID

Im nächsten Schritt wird der eigene Account installiert. Sowie bei AIM, ICQ oder auch Skype erhält man bei Threema im Laufe der Registrierung eine ID (Benutzerkennung) so dass der Account nicht direkt mit der Telefonnummer registriert werden muss. Dieses ist auch der Unterschied zu Telegram (welches optional einen Benutzernamen hat der weiter gegeben werden kann ohne dass die Telefonnummer verraten werden muss) oder eben Messenger wie WhatsApp die direkt mit der eigenen Rufnummer verknüpft sind.

Im Rahmen der Einrichtung wird ein Schlüssel erzeugt über den die Kommunikation verschlüsselt. Dabei gibt es einen öffentlichen Schlüssel der an die Kontakte über die Threema-ID verteilt wird und ein privater Schlüssel der am Gerät gespeichert wird.



Auch hier ist darauf zu achten, dass man im Rahmen der Einrichtung auch einen Wiederherstellungsschlüssel angelegt wird der empfehlenswert zu speichern ist, sollte Threema einmal auf einen neuen Gerät gespeichert werden.

Dieses wird als ID-Backup bezeichnet und sollte tatsächlich irgendwo sicher verwahrt werden.

Im Ergebnis liegt dann eine achtstellige Threema-ID vor unter der kommunziert werden kann.

Kontaktdaten oder wie werden Kontakte gefunden

Optional kann ein Nickname, Telefonnummer und Mailanschrift mit angegeben werden.


Damit wird die Handynummer und/oder E-Mail-Adresse automatisch mit der Threema-ID verknüpft und es kann leichter ein Kontakt gefunden werden. Somit sind Kontakte aus ihren Adressbuch ebenfalls schnell in Threema zu finden. Dabei werden die Mailanschriften und Telefonnummer in gehashter Form (einwegverschlüsselt) gespeichert bevor diese später zum Kontaktabgleich auf den Threemaserver hochgeladen werden und es ist auch möglich diese Angaben zu überspringen, so dass Threema auch vollkommen anonym verwendet werden kann.

Der Nickname wird verwendet um diesen statt der Threema-ID in einer Kommunikation anzuzeigen, kann aber auch bei ihren Kontakten in der Kontaktliste geändert werden.

Im Ergebnis werden am Ende alle Daten zur Kontrolle angezeigt und natürlich ist es auch möglcih sich ein Profilbild später noch zuzulegen.Darüber hinaus können Threema Kontakte auch mit Adressbucheinträgen verknüpft werden, so dass hier eigene Profilbilder oder Kontaktdaten hinterlegt sind.

Neue Kontakte hinzufügen

Neben den Kontakten aus den Adressbuch können aber auch manuell KOntakte hinzugefügt werden.

Beim Start von Threema habe ich im linken Hamburgermenü (das mit den drei gestapelten Strichen) hier als 1 in der folgenden Abbildung markiert.



Im direkten Kontakt kann über 2 ein QR Code generiert werden der von anderne Kontakt direkt über 3 eingescant werdne kann. Dadurch, dass beide dieses so gemacht haben ist dieser Kontakt dann als bestätigter Kontakt hinterlegt.

Alternativ kann natürlich auch die Threema-ID des gewünschten Kontakts eingetragen werden. Hierzu muss auf den Abschnitt Kontakte gewechselt werden und über das + Symbol kann eine ID direkt eingegeben oder auch gescant werden.



Kontakte erhalten je nach Zertifizierungsstufe unterschiedliche Punkte.
Zwei orangene Punkte bedeutet, dass der Kontakt nur über die Zusatzinfos (Telefonnummer oder Mailanschrift) im Adressbuch gefunden wurde. Drei Punkte werden vergeben, wenn der Kontakt durch Scanen des QR Codes (oder Austausch der Threema-ID) hinzugefügt worden ist.

Kontaktabgleich mit Adressbuch

Auch bei Threema ist es möglich die Privatsphäre der eigenen Kontakte noch ein Stück mehr zu schützen und im Abschnitt Privatsphäre und Sicherheit in den Einstellungen sowohl die Synchronisation der Kontaktdaten abzustellen als auch die bereits synchronisierten Addressbuchdaten zu löschen.

Webnutzung - Portable Apps

Während ich Telegram als portable App (wie auch Skype) am PC nutzen kann ist dieses bei Threema aber auch Whatsapp schwieriger. Hier ist tatsächlich nur die App am Endgerät (Smartphone) nutzbar und jeweils nur auf einen Gerät.

Allerdings bieten beide Dienste die Möglichkeit der Webnutzung an.

Unter einer URL kann ein QR Code eingescannt werden und in Threema über Threema Web dieser eingescant werden, so dass im Browser direkt der Messenger genutzt werden kann.

Dieses ist bei Threema unter https://web.threema.ch und bei Whatsapp unter https://web.whatsapp.com/ möglich.

Wer nutzt Threema

Persönlich würde ich das Konzept von Threema tatsächlich als sehr durchdacht betrachten und den Nachteil dass ich Threema nur auf einen Gerät nutzen kann wird sicherlich durch Datenschutz und der Möglichkeit der Webnutzung aufgehoben,

Die größere Hürde ist wohl eigene Kontakte zum "kostenpflichtigen" (einmalig 2,99 Euro) zu überreden oder eben, wie mein datenschutzbegeisteter Kollege, entsprechende Lizenzschlüssel zu verschenken.

Die größte Verbreitung von Threema bekomme ich tatsächlich durch drei Gruppen meiner Kontakte zustande:

• Ehrenamt
  Gerade im kirchlichen Umfeld wird Datenschutz von je her groß geschrieben, so dass es nicht weiter verwunderlich ist, dass die meisten hauptamtlichen Personen über Threema zu finden sind
• Arbeit
  Hier sind doch die ein oder andere Kollegin oder Kollege online zu finden
• Fido
  Klar wenn schon Technik vorhanden ist fehlen auch die Kontakte aus den FidoNet nicht

Ein schöner Artikel ist hier unter "Neue Datenschutz-Grundverordnung betrifft auch die Gemeindearbeit" zu finden.

Zitat Giessen-evangelisch.de:
Es müssen datenschutzkonforme Messenger-Dienste verwendet werden, erklärt der Gießener Stadtjugendpfarrer Alexander Klein. „Ich tausche mich mit den vielen ehrenamtlichen Mitarbeitenden ab jetzt mit dem Dienst „Threema“ aus.“ Die einmaligen Kosten von 2,99 Euro für die Anschaffung der App will er den Jugendlichen erstatten. „Ich probiere in den kommenden Monaten auch, so viele Kollegen wie möglich zu diesem Dienst zu lotsen, der nicht sämtliche Kontakte auf den Handys ausliest und kommerziell nutzt.“

Die Motivation zum Einsatz des Messenger ist sicherlich sehr unterschiedlich, aber insgesamt freue ich mich tatsächlich, dass hier mehrere mittlerweile online zu finden sind und sich das Thema Datenschutz ganz konkret auch in solchen Messenger und der bewusten Entscheidung dafür wieder findet.

Fazit

Teilweise gibt es regelrechte Glaubensstreitigkeiten welcher Messenger nun am besten Datenschutz umsetzt (Threema, Wire, Signal etc.). Insgesamt ist die Wahl eines Messenger aber auch wo befinden sich meine Kontakte, wie möchte ich mit ihnen kommunizieren und kann sich eine wichtige Gruppe tatsächlich auf einen Messenger einlassen und diesen dann tatsächlich gemeinsam nutzen.

Die Alternative einen eigenen Jabber Dienst oder Teamspek zu betreiben würde ich hier als nicht sachgerecht sehen.

Dennoch empfinde ich es als sehr positiv, dass gerade im Ehrenamt sich bewust für einen datenschutzfreundlichen Messenger entschieden worden ist und auch sonst hier ein Bewustsein in desier Richtung verbreitet ist.

Was ich persönlich faszinierend finde ist dass bspw. bei Bekannten in Frankreich noch immer SMS stärker verbreitet ist als Messenger und in Österreich die Voice-Chat Funktion eines Messenger teilweise schon Telefon ersetzt hat... :-) Dieses mag aber auch an der unterschiedlichen Verbreitung von Internetzugängen (egal ob LTE oder WiFi) liegen.

Datenschutz und Instant Messenger (Transparenz und Verschlüsselung)

So man den Datenschutz ausserordentlich ernst nehmen möchte kann ich ebenfalls einen Artikel vom Verein digitalcourage empfehlen. Diesen Verein hatte ich schon in einen Vortrag am "Rückblick THM Datenschutztag 2017" erwähnt.

Der Verein Digitalcourage e. V.  (ehemals unter den Namen FoeBuD (Verein zur Förderung des öffentlichen bewegten und unbewegten Datenverkehrs e. V.)) bekannt engagiert sich nicht nur durch den BigBrotherAward sondern setzt sich ganz praktisch in großen und kleinen Projekten für die Themen Datenschutz und Informationsfreiheit ein. Dieses kann sowohl durch eine Verfasssungsklage (Stichwort Vorratsdatenspeicherung) als auch durch praktische Maßnahmen zur digitalen Selbstverteidigung sein.

Im Artikel "Alternativen zu WhatsApp und Threema – Instant Messenger" setzt sich dieser auch mit der Frage auseinander, welches, unter Datenschutzaspekten, empfohlene und nicht empfohlene sichere Instant Messenger sind. Dabei ist jedoch zu beachten, dass der Artikel aus 2016 stammt.

Wobei ich den gesetzten Schwerpunkt auf offene Schnittstellen sowie die nicht Nachpürüfbarkeit über die verwendete Verschlüsselung schwierig finde, da eine Offenlegung des Softwarecodes auch wieder andere Probleme für die Betreiber offenbaren kann. Ein unabhängiger Audit der Sicherheit der Verschlüsselung wäre aber tatsächlich ein wünschenswerter Punkt (wenn dieses nicht ohnehin schon erfolgt ist - ist es "Unabhängiger Sicherheits-Audit bestätigt: Threema hält, was es verspricht").

Im Rahmen der EU-DSGVO dürfte aber sicherlich die Meldung "Threema ist DSGVO-konform" die ein oder andere Kollegin zum Wechsel auf Threema überzeugt habe. Hier verweise ich auch gerne noch einmal auf meine Linksammlung im Artikel "EU DSGVO - Info- bzw. Link-Sammlung mit Schwerpunkt auf die Umsetzung bei Blogs oder der eigenen Website (hier: Autorenwebsite, Blogger, KMU)".

Auf die erwähnte Kritik der fehlenden Offenlegung des Quelltextes und der verbundenen Verschlüsselung findet sich auf Twitter auch ein Hinweis einer Rückmeldung seitens des Supports von Threema  (siehe .https://twitter.com/dSchwarzeWolf/status/1053924132335874049 ).

Persönlich ist es wohl auch bei diesen Thema eine Frage, wie intensiv man sich mit den Thema auseinander setzen mag und wieviel Aufwand für Datenschutz betrieben werden mag.

Nachtrag Stellungnahme Beauftragte für den Datenschutz der EKD (Evangelische Kirche in Deutschland)

In der "Ergänzende Stellungnahme des  Beauftragten für den Datenschutz der Evangelischen Kirche in Deutschland  zum Einsatz von Messenger-Diensten" auf https://datenschutz.ekd.de/2018/10/30/ergaenzende-stellungnahme-zum-einsatz-von-messenger-diensten/ werden mit Blick auf den dienstlichen Einsatz allgemeine Hinweise  zu einzelnen Messenger-Diensten gegeben und sich auch für datenschutzkonforme Messenger in der Kommunikation ausgesprochen. Da hier Signal und WhatsApp ebenfalls kritisch betrachtet werden ist hier zumindest auf Twitter ene rege Diskussion entstanden. Immerhin wird Threema hier tatsächlich für den dienstlichen Einsatz empfohlen. Es fragt sich jedoch ob auch die Zielgruppe zum Einsatz dieses Messenger überzeugt werden kann.

Heute hat mich über die VG Wort zu meinen METIS Zählpixeln folgende Nachricht überrascht "Nicht gemeldete URLs deaktiviert - Mindestzugriff nicht mehr gegeben" wonach neben den von mir gemeldeten URLs die Zählmarke auch auf mindestens einer anderen Seite eingebaut gewesen ist. Auf Rückfrage bei der VG Wort waren einzelne Zählpixel auf meiner Startseite eingebunden. Nach telefonischer Auskunft könnte dieses der Fall sein, wenn durch ein Plugin einzelne Blogartikel auf der Startseite eingeblendet werden oder die Zählpixel an anderen Stellen auf meinen Blog eingebunden wären.

Da dieses Blog eine Eigenentwicklung (dank meiner Frau schattenbaum.net) ist konnte ich dieses schon einmal ausschliessen, da wir hier nicht eine solche Funktion eingebunden haben. Zum Thema PHP Programmierung kann ich übrigens auch "PHP für dich" als Buch empfehlen.

Nach einem Telefonat mit der VG Wort scheint es aber tatsächlich so zu sein, dass bei einzelnen Zählmarken tatsächlich nur die Domain und nicht die Blogseite gezählt wird.

"Die Startseite Ihres Blogs ist ja in Ordnung und darf mitgezählt werden, aber die Startseite Ihrer Homepage enthält die Texte nicht und musste deswegen auch gestrichen werden."

Nun hatte ich aber tatsächlich einen Moment zu grübeln was hier die Ursache war und konnte nicht direkt auf eine Lösung kommen (Spoiler: Zwischenzeitlich habe ich die Lösung gefunden).

Wie funktionieren VG Wort Zählpixel?

Wie im Abschnitt "METIS-Vergütung für Onlinetexte" auf "Die Verwertungsgesellschaft Wort (VG Wort) als Autor und Blogger" erläutert bietet die VG Wort Tantiemen für Online-Texte durch das Meldesystem für Texte auf Internetseiten (METIS) an. Hierzu muss ein sogenanntes Zählpixel im Artikel eingebunden werden anhand dessen die VG Wort die Zugriffe auf diese Artikel zählt und dieses entsprechend zählt. Was den Datenschutzaspekt dieser Zählpixel anbelangt verweise ich auf den Abschnitt zum Thema in meiner Datenschutzerklärung.

Meinen Umgang mit den einzelnen Zählpixel bzw. Zählmarken hatte ich im Artikel "CSV der VG Wort Zählmarken für den Bereich Texte im Internet (METIS) in Tabelle mit öffentlichen und privaten Identifikationscode der Zählmarken umwandeln" beschrieben.


Durch die Umstellung auf SSL meiner Seite (siehe Artikel "Webhosterwechsel und Umstellung von http:// auf https:// (SSL Verschlüsselung) und VG Wort Zählmarken" habe ich Anfang 2017 auch schon die URL für diese Zählpixel von http:// auf https://ssl-vg03.met.vgwort.de/ geändert.

Wie funktioniert VG Wort als Autor

Für Autoren sind neben Texte im Internet natürlich auch ihre gedruckten Werke von Interesse. Das Thema Bibliothekstantiemen, Vergütung für Printmedien (Wissenschaft), Presse, Funk und Fernsehen, Video, Fotokopien und Schulbücher habe ich ausführlicher im Abschnitt VG Wort auf folgender Seite erläutert:



Nun aber zurück zu den nicht gezählten Zählmarken im METIS Bereich.

Ursache für nicht gezählte Zählpixel: Referrer Link auf Zählpixel

Die Ursache der nicht gezählten Zählmarken lag jedoch nicht in der  Einbindung der Zählpixel sondern daran, dass an den Server der VG Wort nicht die eigentliche URL meiner Seite sondern nur die Domain übergeben worden ist.

Ferner habe ich im Rahmen der Umstellung auch für Referrer Links das Meta Tag

<meta name="referrer" content="unsafe-url">

in meine einzelne Artikel eingebunden, so dass bei Verlinkungen auf andere Blogs oder Seiten diese auch direkt die URL des Artikels sehen von dem aus auf sie verlinkt worden ist.

Wikipedie definiert ein Referrer als "Referrer (englisch to refer „verweisen“) bezeichnet im World Wide Web die Webseite, über die der Benutzer zur aktuellen Webseite bzw. Datei gekommen ist. Bei einer HTTP-Anfrage (z. B. eine Webseite oder ein Bild) sendet der Webbrowser den URL der ursprünglichen Webseite an den Webserver." (siehe Referrer auf Wikipedia).

Aus Datenschutzgründen unterbinden moderne Browser jedoch die Übergabe der URL sofern auf andere Seite verlinkt wird, so dass bspw. keine Logondaten, Kundennummern oder sonstige Parameter aus der URL mitgeteilt werden.

Dieses kann aber durch den Meta-Tag unsafe-url unterbunden werden, so dass Links von einzelnen Artikeln korrekt als Quelle genannt werden.

Allerdings hatte ich auf der Startseite meines Blogs, ebenso auch in den einzelnen Kategorieunterseiten, den Meta Tag

 <meta name="referrer" content="origin-when-crossorigin">

eingebunden. Dadurch wird jedoch nur die vollständige URL innerhalb der eigenen Domain übermittelt und eine Verlinkung auf externe Seiten (wie die VG Wort) erhält nur die Hauptdomain in meinen Fall also die Startseite www.andreas-unkelbach.de statt die einzelne Blogseite.

Dieses ist besonders dann ärgerlich wenn viele Besuchende entweder eine Kategorie oder direkt im Blog statt einzelne Artikel lesen.

Durch die Seite https://www.whatismyreferer.com/ konnte ich direkt dieses Verhalten testen. Diese Seite gibt direkt aus von welcher Seite aus diese URL verlinkt worden ist. Gründe davon können sein, dass ein Anonymisierungstool getestet werden soll, oder wie in meinen Fall nachgsehen werden soll, ob die Übergabe der URL problemlos funktioniert hat.

Referer mit PHP auslesen

Über die Servervariable $_SERVER lässt sich nicht nur der absolute Serverpfad eines Dokumentes auslesen (wie im Artikel "Was ist zu beachten beim Serverumzug?" beschrieben sondern sowohl die IP des Besuchers (dieses nutze ich bspw. im Artikel "Traffic Spam oder Möglichkeiten einer IP-Sperrliste für Webangebote" bzw. im Artikel "Kommentarfunktion im Blog Umgang mit Spam auch unter Beachtung des Datenschutz" über die Anweisung $_SERVER["REMOTE_ADDR"]; kann die IP des Besuchers übertragen werden. Ebenso kann über $_SERVER["HTTP_REFERER"]; die verweisende URL ausgegeben werden.

Beide Servervariablen können einer eigenen Variable zugewiesen und entsprechend auch mit PHP ausgegeben werden.

Der Referer lässt sich durch die PHP Anweisung:
<?php
echo $_SERVER['HTTP_REFERER'];
?>
ausgeben und einer entsprechenden Variable zuweisen.

Zusammenfassung: VG Wort beachtet bei METIS Zählmarken die REFERER Angaben im Browser

Sofern der Referer technisch bzw. durch das META Tag vom Browser unterdrückt wird kann dann die VG Wort auch nicht überprüfen, ob das Pixel tatsächlich aus einen Artikel geladen wurde, oder ob es nur von der Startseite der Domain geladen wurde.Ich gehe davon aus, dass sie beim Zählpixel ebenfalls ‘HTTP_REFERER’ auslesen und entsprechend mit den Einträgen zum Zählpixel abgleichen.

Daher ist es empfehlenswert entweder den erwähnten META Tag ganz weg zu lassen, wodurch automatisch die verweisende URL mit übertragen wird, oder aber wie hier erwähnt die URL Weitergabe entsprechend zu gestatten.

Daher habe ich hier im Blog den Meta Tag  <meta name="referrer" content="unsafe-url"> flächendeckend aktiviert. Damit werden sowohl die URL als auch Parameter eines Artikel bzw. der URL der Seite übertragen und damit auch die Artikel-ID und die genaue URL hier im Blog. Problematisch wäre dieses ggf. bei sensiblen Daten, wenn Zugangsdaten, oder personenbezogene Informationen aus der URL auslesbar wären. Für mein Blog, sollte dies aus Datenschutzgründen nicht relevant sein.
 

VG Wort und Adblocker

Viele Adblocker nutzen eine optionale Privacy List um auch Trackingdienste zu blockieren. In der "EasyPrivacy" wird neben Werbung und Tracking Dienste auch das VG Wort Zählpixel blockiert. Vor einigen Jahren hatte ich im Artikel "Internet und Werbung - meine Gedanken zu Flattr Plus" hier schon einige Gedanken zu aufgeschrieben.

Das Thema Onlinewerbung an sich ist ohnehin schon ein kritisches Thema, daher hoffe ich auch, dass hier auf der Seite das Thema Werbung durch wenig Einblendungen sowie diverse Einschränkungen (siehe auch "EU DSGVO - Info- bzw. Link-Sammlung mit Schwerpunkt auf die Umsetzung bei Blogs oder der eigenen Website (hier: Autorenwebsite, Blogger, KMU)") relativ fair umgegangen wird.

Persönlich habe ich nun hier im Blog zwar auch Werbebanner allerdings glaube ich, dass diese nicht weiter beim Lesen stören und auch sowohl in der Druckansicht als auch per Adblocker gut ausgeblendet werden.

Aber zumindest die VG Wort Zählpixel empfinde ich als eine faire Möglichkeit für Blogger um mit ihren Artikeln ebenfalls Tantiemen beziehen zu können.
 

Fazit

Glücklicherweise waren hier nur wenige Artikel meines Blogs betroffen, da die meisten Artikel tatsächlich direkt aufgerufen werden. Dennoch war dieses ein überraschender Aspekt und eine etwas umfangreichere Fehlersuche. Immerhin dürfte durch die Korrektur des Meta-Tag dieser Fehler nun nicht mehr auftreten :-) Nach meiner Erfahrung mit der Verwertungsgesellschaft Wort (VG WORT) möchte ich übrigens lobend erwähnen, dass diese unheimlich schnell auf Anfragen reagiert und auch im persönlichen Telefonat sehr hilfsbereit waren und zumindest einige Ansätze zur Eingrenzung von Fehlern gegeben haben. Vielen Dank an dieser Stelle dafür. Diese Erfahrung hatte ich auch schon bei einer anderen Anfragen (zur SSL Umstellung) machen können und auch sonst sind die zur Verfügung gestellten Informationen hilfreich. :-)
 

Nachtrag:
In der Hilfe zur VG Wort unter  https://tom.vgwort.de/portal/showHelp im Abschnitt Systembeschreibung für Urheber (Stand: 28.02.2019) ist im Kapitel 2.3.6 Potenzielle FehlerquelleReferrer-Tag ebenfalls auf diese Fehlerquelle eingegangen worden. Dieses wurde am 14.3.2019 ergänzt.. :-) Da bin ich dann doch etwas stolz, dass die Fehlersuche hier im Artikel gemeinsam etwas früher geklärt war und die Zugriffszahlen im Nachgang noch akkzeptiert worden sind. Vielen Dank auch dafür  :-) und natürlich auch dafür, dass das Problem an die Technik weiter gegeben worden ist und so der Hinweis in das Dokument kam.

Ein netter Nebeneffekt durch meine Änderung ist noch, dass dadurch auch Backlinks vom Blog für andere Seite transparenter sein werden.


Nachtrag:
Der Browser Firefox kürzt ebenfalls systemseitig den REFERRER für Seiten. Siehe auch die Ankündigung "Firefox 87 trims HTTP Referrers by default to protect user privacy " ab Version 87. Ein kurzer Test mit obigen PHP Skript (siehe Abschnitt Referer mit PHP auslesen) zeigt jedoch, dass hier dennoch durch die META Angabe die verlinkende Seite weiterhin übertragen wird und auch im Meldeportal werden weiterhin meine Zählmarken entsprechend gezählt.


 

Weitere VG Wort Artikel hier im Blog

Gerade für Blogger und Autoren ist das Thema VG Wort ebenfalls von großer Bedeutung. Neben einen Abschnitt zum "Hintergrunde zur Verwertungsgesellschaft Wort (VG WORT)" sind hier im Blog auch weitere Artikel mit VG Wort Bezug veröffentlicht worden, die mir bei der Onlineveröffentlichung von Texten weiter helfen:

• "CSV der VG Wort Zählmarken für den Bereich Texte im Internet (METIS) in Tabelle mit öffentlichen und privaten Identifikationscode der Zählmarken umwandeln" -  Hier erläutere ich, wie ich meine eigenen Zählmarken verwalte und diese direkt nutze um bei TOM, der Verwaltungsplattform für Urheber die Webbereiche beim Einbinden des VG Wort Zählpixel zu füllen. Dann ist es auch viel einfacher bei vollständigen oder anteiligen Zugriffsanzahlen die Texte direkt zu melden.
• "Webhosterwechsel und Umstellung von http:// auf https:// (SSL Verschlüsselung) und VG Wort Zählmarken" - der Wechsel auf SSL Verschlüsselung https:// auf dieser Seite war ebenfalls mit etwas Umbauarbeiten bei den Zählpixeln verbunden. Hier bin ich noch immer sehr froh, dass die Umsetzung der Einbindung der Zählmarken hier im Blog direkt von meiner Frau mitgedacht war und ich so nur eine Codezeile im CMS anpassen musste, damit die Zählpixel von der richtigen Domain eingebunden werden. Für jeden Artikel muss ich glücklicherweise nur den öffentlichen Zählpixel bzw. die Zählmarke eintragen und erspare mir so umfangreiche Anpassungsarbeiten.

Insgesamt also ein Thema, dass sowohl organisatorisch als auch technisch Veränderungen bedurfte aber erfolgreich umgsetzt wurde.

---

Hinweis:

Mehr zum Thema #Autorenleben findet sich im Artikel "Autorenleben - Steuern und Selbstständigkeit, Verwertungsgesellschaft Wort (VG Wort), Autorenleben in Nebentätigkeit"  und wird von mir regelmäßig aktualisiert.

---

Im Onlinebanking wird statt der klassischen TAN (oder iTAN) mittlerweile oftmals schon ein Verfahren wie PushTAN, TAN2go oder Verified by Visa eingesetzt. Hier wird nicht mehr die TAN direkt eingegeben, sondern nachdem sich im Onlinebanking angemeldet wurde an einen zweiten Gerät (Chipkartenleser oder Smartphone) eine TAN als zweiter Faktor entweder per SMS oder über eine SMS eingegeben. Selbst beim Onlinebanking wie im Artikel "Meine Erfahrungen mit Smarthome Teil VI - Onlinebanking mit Google Home und Sparkasse" vorgestellt dürfte eine TAN ab einer Wertgrenze verlangt werden.

Persönlich gefällt mir übrigens dass Beispiel mit TAN und Onlinebanking besser als Bankkarte und PIN auch wenn dieses ebenfalls zwei Faktoren sind.

Vergleichbare Techniken sind dabei auch bei diversen Onlinediensten vorhanden und gerade bei der Veröffentlichung von Passwörtern ist dieses Verfahren dann ein zusätzlicher Schutz für den eigenen Account.

Anmeldung mit Zweifaktor Authentifizierung (kurz: 2FA)

Neben der Thematik Datenschutz (siehe Artikel "EU DSGVO - Info- bzw. Link-Sammlung mit Schwerpunkt auf die Umsetzung bei Blogs oder der eigenen Website (hier: Autorenwebsite, Blogger, KMU)") ist auch das Thema IT-Sicherheit ein fester Bestandteil einer "Digitalstrategie" ;-) bzw. hilft bei der Umsetzung von technischen Maßnahmen die kritische Systeme schützen.

Wikipedia definiert die Zwei-Faktor-Authentifizierung als "Die Zwei-Faktor-Authentifizierung (2FA) dient dem Identitätsnachweis eines Nutzers mittels der Kombination zweier unterschiedlicher und insbesondere unabhängiger Komponenten (Faktoren)"

Als ein einfaches Beispiel mag ich hier Amazon nehmen.

Der erste Schritt ist eine normale Anmeldung beim Amazon Konto.



Hier ist der erste Faktor also die Kenntnis von E-Mail-Adresse/Mobilfunknummer und Passwort.

Interessant ist nun der zweite Schritt. Hier wird nun der zweite Faktor zur Anmeldung verlangt.





Hier muss nun zusätzlich zum Passwort ein Code eingegeben werden. Dieser wird in einer App generiert und ist nur für kurze Zeit gültig. Dieses Passwort wird bei mir am Smartphone generiert und damit ist zusätzlich zum Passwort noch ein physisches Medium (hier mein Smartphone) erforderlich.

Persönlich habe ich mich dazu entschlossen, soweit möglich, meine Onlinedienste mit einen solchen Verfahren abzusichern. Auslöser dafür war, dass mein Mailanbieter Posteo eine Anleitung veröffentlichte wie die Webmailoberfläche zur Nutzung dieses Verfahren abgesichert werden kann.

Dieses ist auf der Seite "Was ist die Zwei-Faktor-Authentifizierung und wie richte ich sie ein?" in der Posteo Hilfe veröffentlicht worden.

E_MAilaccount als Einfallstor für etwaige Sicherheitsprobleme

Ich freue mich ja noch immer über die Mailproviderempfehlung und die hier online gestellte Anleitung zur Zwei-Faktor-Authentifizierung funktioniert ebenfalls über vergleichbare Verfahren anderer Anbieter. Dennoch möchte ich im Verlauf dieses Artikels auf die von mir verwendeten Apps, sowie die Aktivierung der Zwei-Faktor Authentifizierung (2FA) bei einigen Diensten vorstellen. Besonders wichtig ist mir aber tatsächlich die Absicherung meines E-Mail-Kontos.

Heutzutage ist der Mailaccount gerade durch Passwortzurücksetzen noch immer sehr wichtig und daher ist es durchaus auch ein nachvollziehbarer Wunsch diesen möglichst sicher zu haben. Sollte also jemand Benutzername und Passwort kennen fehlt immer noch das Einmalpasswort zur Bestätigung.
 

Apps als Authentifizierung der Geräte zur Erstellung von OneTimePasswort

Mittlerweile nutze ich (an zwei Android Geräten) unterschiedliche Anwendungen um eben diesen Schlüssel zu verwenden und möchte sowohl das Verfahren als auch die Apps kurz vorstellen.

Free OTP

Free OTP

Martket Link / Google Play

• FreeOTP Authenticator

Diese App wird von Redhat  vertrieben und bietet eine Oberfläche in der nicht nur die einzelnen Dienste verwaltet werden können (und neue durch Scannen eines QR Code hinzugefügt werden können) sondern auch unter der Apache Lizenz vertrieben wird.

Die Oberfläche bietet neben jeden eingebundenen Dienst einen Button über den dann ein einmaliges Passwort (gültig für eine bestimmte Zeit, meist eine Minute) generiert wird.



Daneben können über das QR Code Symbol von Webdiensten der geheime Schlüssel eingebunden werden oder über das Schlüsselsymbol auch manuell ein Dienst eingetragen werden.

Google Authenticator

Google Authenticator

Martket Link / Google Play

• Google Authenticator

Diese App wird direkt von Google Inc. angeboten und bietet ebenfalls die Möglichkeit der Zwei Faktor Authentifizierung an.

Beide Apps unterstützen im Rahmen der  Initiative for Open Authentication (OATH) (siehe Wikipedia-Eintrag) ein einheitliches Verfahren, so dass hier nicht nur Google sondern auch andere Dienste eingebunden werden können. Im Gegensatz zur oberen App listet diese App direkt das OneTimePassword für alle Dienste auf, sobald sie gestartet wird.



In diesen Beispiel ist das ganze etwas verborgen.

Generell werden immer ein zwei Zahlenblöcke aus jeweils drei Zeichen berechnet. Wichtig bei der Erstellung eines Codes ist, dass hier die Uhrzeit von Server des Dienstes und am Smartphone identisch ist, da ansonsten aus dem hinterlegten Geheimnis ein fehlerhafter Code berechnet wird.

Auch in der Google App können weitere Dienste hinzugefügt werden.



Dabei stehen auch wieder Schlüsseleingabe und Barcode scannen zur Verfügung.



Der Schlüssel kann dabei zeit oder zählerbasiert hinterlegt werden.



Interessanter als per QR Code scannen ist aber, dass innerhalb des Android Systems die Zweifaktorauthentifizierung bzw. das generierte Geheimnis direkt mit der App aus den Browser am Smartphone aufgerufen werden kann und damit direkt das jeweilige Konto hinterlegt wird.

Nachtrag 2020: Passwortmanager mit 2FA - OTP (OneTimePasswort) Unterstützung

Sofern auch ein Passwortmanager für die sonstigen Zugangsdaten verwendet werden soll kann ich (eigentlich meine Frau unkelbach.art / schattenbaum.net) die plattformübergreifende Anwendung Enpass empfehlen die sowohl eine Passwort- als auch Zwei-Faktor-Authentifizierung unterstützt.

Die Anwendung kann auf enpass.io bezogen werden. Leider ist dieses Tool auch nur noch im Jahresabo oder Einmalpreiszu beziehen. Früher war es wohl einmalig je Plattform zu bezahlen.

Nachtrag 2020: Weitere App Empfehlungen

Wie im Artikel "Meine Erfahrungen mit Smarthome Teil XVI - Apps unter Wear OS" beschrieben hatte ich Google Authenticator auch an der Android WearOS genutzt. Diese Unterstützung ist leider nicht mehr vorhanden. Sollte ich noch einmal wechseln könnte die App "Authenticator Pro" hilfreich sein, aber hier habe ich noch keine Erfahrungen mit sammeln können.



Eine weitere Empfehlung per Mail war noch die App AndOTP, die auch die Möglichkeit hat dass zum Öffnen der App selbst ein Passwort vergeben werden kann. Allerdings ist auch hier keine WearOS Unterstützung. Auf stadt-bremerhaven.de gibt es im Artikel "andOTP: Open-Source-OTP-App für Android" eine kurze Vorstellung.

andOTP - Android OTP Authenticator

Marketlink / Google Play

• andOTP - Android OTP Authenticator

Beim Einrichten wird direkt nach einen Passwort für die Datenbank gefragt, dabei kann dieses sowohl ein Passwort/Pin als auch der Android Keystore verwendet werden. Empfohlen wird aber Passwort oder PIN mit mindestens 6 Zeichen.

Später kann in den Einstellungen auch die Authentifizierung von Passwort, PIN oder Geräte-Anmeldung selbst auf keine eingestellt werden.


Die Einträge können entweder per QR Code scannen mit einer internen Scanfunktion, QR Code aus Bild einlesen oder per Details eingeben eingetragen werden.

Letzteres ermöglicht neben TOTP auch HOTP und STEAM einzutragen und sowohl Aussteller als auch Beschriftung manuell einzutragen. Auch sonst erscheint die App sehr durchdacht und flexibel.



 

Aktivierung von zweistufigen Anmeldung / Zwei-Faktor-Authentifizierung (2FA) bei unterschiedlichen Webdiensten / Webanbietern

Persönlich nutze ich das 2FA Verfahren neben Posteo auch für verschiedene andere Dienste. Hier sind die Einstellungen meistens im Unterpunkt Sicherheit und Anmeldung bei den Kontoeinstellungen zu finden. Wenn ich mir die Liste an Codes in meiner Authentifizierungs-App anschaue dürften am häufigsten die folgenden Dienste von mir mit diesen Sicherheitsverfahren geschützt sein.

2FA - Posteo (Mailanbieter):
Unter Posteo kann dieses in den Kontoeinstellungen unter Passwort und Sicherheit aktiviert werden. Dabei gilt dieses Verfahren ausschliesslich für die Webmailoberfläche.

2FA - Webhosting (All-Inkl)
Auch mein Webhoster (All-Inkl) bietet sowohl für die Vertragsverwaltung als auch der technischen Kundenverwaltung eine Zweifaktorauthentifizierung an. Die Aktivierung erfolgt in der MembersArea (vertragliche Verwaltung) unter "Passwort" -> "2-Faktor-Auth.". In der KAS (technische Verwaltung) ist die Aktivierung unter "Einstellungen" -> "KAS-Passwort" möglich. Dabei kann der QR Code als Backup zur Einrichtung des Clients auch heruntergeladen und offline gespeichert werden, so dass auch beim Verlust des Smartphones bzw. der App der Token erneut eingerichtet werden kann.


2FA - Google (für diverse Google Dienste):
Google bietet das 2FA Verfahren auf einer Extra Seite an (Google Bestätigung in zwei Schritten) nachdem das Verfahren abgeschlossen ist, ist bei jeden Google Dienst (auch Webmail) ein Anmelden per 2FA notwendig. Daneben gibt es aber auch BackupCodes (10) die man sich ausdrucken kann für den Fall, dass das Smartphone einmal nicht funktioniert.
Sollen Mails mit einen Mailprogramm abgeholt werden (bspw. Thunderbird oder Aquamail (siehe Artikel "Mailprogramme unter Android mit Exchange EWS Unterstützung insbesondere Aquamail") wird hier nicht mehr das normale Kennwort vom Konto verwendet sondenr es muss ein App-Passwort auf der Seite App Passwörter generiert werden, dass dann entsprechend im Mailprogramm genutzt werden kann.

Hier können beliebig viele Passwörter generiert werden, die dann aber auch gelöscht werden können bspw. beim Verlust eines Gerätes.

2FA - Microsoft Konto (Accountverwaltung bspw. Office oder Windows sowie Skype und Microsoftdienste)
In der Accountverwaltung unter Sicherheit (https://account.microsoft.com/security) kann auf Weitere Sicherheitsoptionen die Option "Prüfung in zwei Schritten einrichten aktivieren" eingestellt werden. Dort kann im Abschnitt "Identitätsüberprüfungs-Apps" eine "App zur Identitätsüberprüfung einrichten" dieses kann entweder die App Microsoft Authentificator sein die an dieser Stelle heruntergeladen werden kann oder über den dort angebotene Link "eine andere Authentifikator-App einrichten" kann ebenfalls ein OTP (Onetimepasswort)



2FA - Dropbox (einer von mehreren Online-Cloudspeichern):
Hier kann ebenfalls unter Einstellungen - Sicherheit die zweistufige Überprüfung aktiviert werden.Sollten Sie noch nicht Dropbox nutzen kann über diesen Link ein Konto angelegt werden. Hierdurch erhalte sowohl ich als auch Sie noch etwas zusätzlichen Speicherplatz Ist der Synchronisationsclient einmal mit Dropbox verknüpft muss das Passwort nicht erneut angegeben werden.

2FA - Amazon (Onlineversandhändler)
Bei Amazon kann das Verfahren in den Kontoeinstellungen unter "Anmeldung und Sicherheit" unter den Punkt "Erweiterte Sicherheitseinstellungen" aktiviert werden.

Amazon nutze ich mittlerweile nicht nur für Onlinebestellungen sondern auch für meine "Autorenseite *" so dass ich auch froh bin, dass diese entsprechend geschützt ist. Siehe hierzu auch meine Ausführung zum Thema "Autorenvergütung für Bücher oder auch Onlineartikel / Autorenleben".

2FA - Facebook (soziales Netzwerk)
Bei Facebook kann das Verfahren unter den Einstellungen im Abschnitt "Sicherheit und Logon" aktiviert werden.

2FA - Twitter (noch ein soziales Netzwerk)
Bei Twitter ist dieses unter Einstellungen und Datenschutz im Abschnitt "Account" unter den Punkt Anmeldebestätigung eingerichtet werden.
Allerdings isthier dennoch die Hinterlegung der Mobilfunknummer bei Twitter erforderlich, so dass zumindest beim Einrichten der 2FA einmal eine SMS gesandt werden muss.
Beim Entfernen der Mobilfunknummer kommt es zu folgenden Hinweis: "Bei diesem Account ist die Anmeldebestätigung aktiviert. Wenn du Telefonnummern von diesem Account entfernst, deaktivieren wir die Anmeldebestätigung für diesen Account."

Gerade bei Facebook und Twitter ist es hilfreich die Einrichtung direkt am Smartphone vorzunehmen, da die Einrichtung bzw. das Geheimnis (Barcode) direkt mit der App aufgerufen und eingebunden werden kann.

2FA - Wordpress (CMS)
Das verbreitete Blog oder Conten Management System (CMS) Wordpress unterstützt zwar nicht nativ aber per Plugin ebenfalls das Zwei-Faktor-Verfahren. Unter "Zugang zu Wordpress unter anderen mit 2FA / OTP als zweiten Faktor absichern" gibt es da auch mehr Informationen.


Weitere Dienste sind auf der Seite mobilegeeks.de im Artikel "Anleitung: Zwei-Faktor-Authentifizierung für Facebook, WhatsApp, Amazon & Co. einrichten" vorgestellt. Hier muss ich tatsächlich die Seite loben, da hier immer einmal wieder solche Perlen veröffentlicht werden die sich ausführlich mit Grundlagen oder auch tiefergehend mit Themen auseinander setzen.

Für die Eigenentwicklung: 2FA in der eigenen Anwendung verwenden

In der Ausgabe 11/2016 berichtet die c't im Artikel "Doppelt gesichert Zwei-Faktor-Authentifizierung mit Einmal-Passwörtern" darüber wie das Verfahren TOTP "Time-based One-time Password Algorithm" in eigene Anwendungen eingebunden werden kann.

Hier wird die  PHP-Bibliothek GoogleAuthenticator.php genutzt um die eigene Webanwendung mit einer Zwei-Faktor-Authentifizierung zu schützen. Noch einer der Gründe warum ich mein Zeitschriftenabo definitv weiter laufen lasse, selbst wenn zur Zeit einige Ausgaben des Magazin ungelesen in der App liegen (siehe Artikel "Infotainment oder Nachrichtenapps für Android" wo auch die App c’t Magazin vorgestellt wird.
 

Fazit Praktisches Nutzen der zweistufigen Anmeldung

Wie eingangs erwähnt sehe ich gerade mein Mailpostfach als besonders schützenswert an. Wenn ich mir dann noch Meldungen über veröffentlichte Passwörte von Webdiensten ansehe (eine gute Anlaufstelle kann hier die Seite https://haveibeenpwned.com/ sein) ist dieses ein einfach einzurichtender Sicherheitsschritt mit nicht sonderlich hohen Aufwand bei einer Anmeldung.

Wenn ich darüber nachdenke bei welchen Anbietern gerade meine Mailanschrift genutzt werden könnte um ein Passwort zurückzusetzen ist dieses ein besonders wunder Punkt. Daneben kann die zweistufige Authentifizierung auch als technische Maßnahme zum Schutz auf personenbezogene Daten wie eMails betrachtet werden.... was vielleicht an anderer Stelle ebenfalls interessant ist.

Gerade wenn das mobile Gerät (Smartphone) ohnehin immer griffbereit ist, dürfte eine solche Erhöhung der eigenen Sicherheit tatsächlich sehr einfach umzusetzen sein.

Als Lesetipp von Heise kann hier auch der Artikel "Übersicht: Diese Webseiten bieten Zwei-Faktor-Authentifizierung" empfohlen werden in dem eine Seite vorgestellt wird über die nachgelesen werden kann, ob auch die von einen selbst genutzten Dienste möglicherweise schon die zweistufige Anmeldung unterstützen.

Zumindest bei mir merke ich, dass sich hier immer mehr Webdienste für ein solches Verfahren entscheiden und es für mich auch kein hoher Aufwand ist dieses zu aktivieren und auch im praktischen Alltag aktiv zu nutzen. Vielleicht dient dieser Artikel ja auch für die ein oder anderen Kollegin oder Kollegen dazu ebenfalls über das Thema Accountsicherheit im privaten Umfeld nachzudenken.

Persönlich erinnere ich mich noch gut an die Zeit bei AOL als wir hier als Scouts unseren Account neben Passwort noch mit RSA Token abgesichert hatten der regelmäßig ein Passwort generierte und für die Anmeldung erforderlich war.... aber dieses war um 2001 und ist heute tatsächlich wesentlich einfacher .

Außerdem ist ein Smartphone heute leichter zu finden als der blau/rote Token  damals.

Ferner steht nun dieses Mehr an Sicherheit viel mehr Personen zur Verfügung.

Teilweise ist noch nicht einmal ein Griff zum Smartphone oder die App darauf erforderlich...



Im Artikel "Meine Erfahrungen mit Smarthome Teil XVI - Apps unter Wear OS" bin ich ebenfalls auf das Thema Zwei-Faktor-Authentifizierung eingegangen und nutze dieses sehr gerne um mich bspw. bei meinen Mailaccount oder auch in Socialmedia anzumelden.

Durch das Montségur Autorenforum bin ich auf den Forenbeitrag "DSGVO - Info-Sammlung" gelandet und finde eine solche Zusammenstellung sehr praktisch und möchte daher auch an dieser Stelle einmal die Seiten zusammenstellen, die in meinen Augen sich intensiver mit dieser Thematik auseinander gesetzt haben und mir hier als Quelle dienen.

Außerdem helfen folgende Artikel auch dabei nicht wegen einer neuen Vorschrift automatisch in Panik zu geraten sondern sich in aller Ruhe mit diesen Themenkomplex auseinander zu setzen.

Daneben gehe ich aber auch auf tatsächliche Fragen ein, die ich mir im Rahmen des Prozesses stelle:

• Quellen zum Nachschlagen:
  • Magazine, Hefte, Publikationen
  • Offiziele Stellen, Landesämter, Datenschutzseiten, Vorlagen
  • Jura, rechtlicher Hintergrund
  • Recht am Bild, Fotografieren und DSGVO
  • Blogartikel, Blogserien
  • VBlogs und Podcasts zum Thema
  • Facebook Live Talk
• Praktische Umsetzung
  • Datenschutzerklärung für die eigene Internetseite
  • Kirchliches Datenschutzrecht (EKHN) - Öffentlichkeitsarbeit
  • Auftragsverarbeitungsvertrag mit Webhoster
  • Auftragsverarbeitungsvertrag mit Google Analytics
  • Weitere Dienste und DSGVO
  • Social Media Präsenzen
  • Onlinemarketing und DSGVO
  • Personalisierte Werbung / Google Adsense
    • Technische Umsetzung RequestNonPersonalizedAds
    • Einstellung EU Nutzereinwilligung
• Fazit
  • Informationen rund um Datenschutz per Twitter
  • Anpassung IDV, DSE und Verträge
  • Technische Anpassungen hier im Blog
• Danke an Twitter, Blogs und andere Informationsseiten
• Weitere Updates und wie geht es weiter
  • Nach der DSGVO ist vor der ePrivacy Verordnung
  • DSGVO und Brexit
  • Urteil vom 28. Mai 2020 - I ZR 7/16 - Cookie-Einwilligung II

Update 29.05.2020 - Urteil vom 28. Mai 2020 - I ZR 7/16 - Cookie-Einwilligung II
Mit dem  BGH Urteil vom 28. Mai 2020 - I ZR 7/16 - Cookie-Einwilligung II sind hier auch weitere Artikel ergänzt worden.


Damit sind eigentlich ein Großteil der Themen erläutert und mittlerweile auch hier umgesetzt.

 

Magazine, Hefte, Publikationen

In der c't 05/2018 wurde das Thema unter anderen im Artikel "Fit for DSGVO Das neue Datenschutzrecht für Website-Betreiber" behandelt. Im Zusammenarbeit mit dem t3n Magazin hat Dr. Thomas Schwenke einen "DSGVO-Guide mit Mustern für Unternehmer" veröffentlicht.

Das Titelthema der 11 2018 Ausgabe der  c't hat ebenfalls als Thema "Der DSGVO-Praxisguide - EU-Datenschutz für Verbraucher, Webmaster und Unternehmen".

Ergänzend zum Artikel "Final Countdown Die Umsetzung der DSGVO-Vorgaben läuft nicht rund" liegt der aktuellen Ausgabe auch ein c't-Booklet: Fit für die DSGVO unter https://ct.de/yg9g bei.


Auch das Bayerischen Landesamt für Datenschutzaufsicht  hat als Herausgeberin ein Buch für "Erste Hilfe zur Datenschutz-Grundverordnung für Unternehmen und Vereine: Das Sofortmaßnahmen-Paket" (Amazon Partnerlink / Werbung) veröffentlicht, der mit 5,50 Euro sehr günstig ist.

Literatur in gedruckter Form

Aktuell dürfte auch folgende Bücher hier das Thema ansprechen, wobei die Autoren auch teils im folgenden Artikel noch auftauchen.

• "DSGVO für Website-Betreiber: Ihr Leitfaden für die sichere Umsetzung der EU-Datenschutz-Grundverordnung." von Christian Solmecke und Sibel Kocatepe (erscheint Juni 2018 im Rheinwerk Verlag) *
• "Recht im Online-Marketing: So schützen Sie sich vor Fallstricken und Abmahnungen. Inkl. DSGVO (Ausgabe 2018)" von eben diesen bzw. ebenda.*
• "Formularhandbuch Datenschutzrecht" C.H.Beck Verlag  u.a. von RA Dr. Ansgar Koreng und RA Dr. Matthias Lachenmann.wobei dieses wohl eher für Juristen, Datenschutz- und Datensicherheitsbeauftragte geeignet ist.*
• "Datenschutz mit SAP: Der Praxisleitfaden zur EU-DSGVO-Umsetzung in SAP Business Suite und SAP S/4HANA (SAP PRESS)"  weniger für Website aber mehr im Bereich SAP ist dieses Buch geeignet.*
• "Social Media Marketing und Recht" von Thomas Schwenke schon etwas älter aber von den Grundlagen sicher wieterhin aktuell *
• "Kirchliches Datenschutzrecht: Datenschutz-Grundverordnung, Datenschutzvorschriften der Kirchen in Deutschland und Durchführungsverordnungen" von  Alexander Golland (Autor) und Olaf Koglin (Mitwirkende) *
• ... Wobei ich persönlich die Whitepaper und folgende Informationen naturbedingt ebenfalls aktuell und informativ empfinde. 

* Amazon Partnerlink
Als Amazon-Partner verdiene ich an qualifizierten Käufen über Amazon.

 

Offiziele Stellen, Landesämter, Datenschutzseiten, Vorlagen

Eine Seite zum Thema "Datenschutz - Bessere Vorschriften für kleine Unternehmen" hat auch die Europäische Kommision online gestellt in der die Hintergründe zur Regelung erläutert werden.

Das bayrische Landesamt für Datenschutzaufsicht bietet unter anderen auch "Handreichungen für kleine Unternehmen und Vereine" in der sowohl Anforderungen als auch Musterverzeichnisse hinterlegt sind. Ebenso bietet die Seite datenschutz-guru.de ein "Verzeichnis von Verarbeitungstätigkeiten" nach Artikel 30 DSGVO an. Generell bietet die Seite auch durch unterschiedliche Blogbeiträge viele aktuelle Informationen zum Thema.

Auch die Gesellschaft für Datenschutz und Datensicherheit e.V. hat "Praxishilfen DS-GVO" veröffentlicht.

Daneben bietet die activeMind Management- und Technologieberatung AG  einige Hilfen zum Thema "Compliance mit der EU-Datenschutz-Grundverordnung" quasi als Hilfe zur Selbsthilfe an.
 

Jura, rechtlicher Hintergrund

Gerade zum juristischen Hintergrund kann ich die Serie zur EU-DSGVO  von Rechtsanwältin Nina Diercks / Anwaltskanzlei Diercks empfehlen. Schon das Socialmediarecht Blog heute Diercks Digital Recht hatte sich dadurch ausgezeichnet, dass hier auch komplexere Themen verständlich und humorvoll vorgestellt worden sind.

Das Bundesministerium des Inneren, für Bau und Heimat (BMI) hat ebenfalls "FAQ's zur Datenschutz-Grundverordnung" online gestellt.

Auch der hessiche Datenschutzbeauftragte hat Informationen zum Thema "Neues Datenschutzrecht" veröffentlicht. Dabei sind auch diverese Auslegungshilfen und Kurzpapiere veröffentlicht.

Ein Problem bei juristischen Themen ist oftmals, dass hier dann passende Panik von unterschiedlichen Seiten entsteht. Ein etwas ruhiger Artikel versucht hier mit den häufigen juristischen DSGVO-Mythen aufzuräumen. Dieses ist im Artikel auf rechtzweinull.de unter "Mein erster DSGVO Rant – Zu viele Mythen und gefährliches Halbwissen zum neuen europäischen Datenschutzrecht".

Recht am Bild, Fotografieren und DSGVO

Im Rahmen der DSGVO ist auch das Thema Photographie wieder aktuell. Hier stellt IPCL Rieck & Partner  im Artikel "Wissen zur DSGVO – 7 Tipps für Fotografen" im nicht privaten Umfeld zusammen.

Im Podcast Rechtsbelehrung in der Folge "DSGVO: Einschränkungen für Fotografen? – Rechtsbelehrung Folge 56 (Jura-Podcast)" ist dies ebenfalls direkt Thema.


Ebenso beschäftigt sich rechtambild.de im Beitrag "Fotografieren in Zeiten der DSGVO – Große Panikmache unangebracht" rechtliche Informationen rund um das Urheberrecht und Fotorecht insbesondere in Hinblick auf das Gesetz betreffend das Urheberrecht an Werken der bildenden Künste und der Photographie (KunstUrhG / KUG) und der DSGVO.

Nachtrag Februar 2019:
Ebenfalls interessant kann hier das Interview im Beitrag " Zitieren, verlinken, Bilder veröffentlichen: Was ist erlaubt? Wo drohen Strafen?" von Dr. Kerstin Hoffmann (PR-Doktor) und  Rechtsanwalt Dr. Thomas Schwenke  sein, das ebenfalls in Hinblick auf DSGVO ein Update erhalten hat.

Blogartikel, Blogserien

Peer Wandiger von Selbständig im Netz hat eine Webserie zum Thema "DS-GVO gerechte Website erstellen" angefangen welche regelmäßig ausgebaut wird.

Ebenso ist der Artikel "Was bedeutet die DSGVO für Einzelunternehmer und Freelancer?" von content-iq lesenswert.

Auf lesefreude.at ist im Artikel "DSGVO – Leifaden für Blogger" wie für die eigene Seite die DSGVO umgesetzt worden ist.

Ein ebenfalls umfangreicher Artikel ist auf reisen-fotografie.de unter "DSGVO als Blogger – Die neue EU-Datenschutzgrundverordnung" von Thomas Jansen veröffentlicht. Hier war insbesondere auch der Abschnitt "Daten beim Hoster" wo angekündigt wird, dass beim Hoster all-inkl ebenfalls ein Vertrag zur Auftragsdatenverarbeitung  abgeschlossen werden kann bzw. hier noch eine Info durch den Hoster an die Kunden erfolgen wird.

Annete Schwindt dokumentiert in ihren Artikel "Umstellungen wegen der DSGVO"  aktuelle Vorkehrungen die sie trifft.

Generell haben die Blogartikel gleichzeitig auch weiterführende Links, so dass hier auch weitergehende Informationen angelesen werden können.

Wobei stets zu beachten ist, dass diese Artikel Erfahrungsberichte sind und keine Rechtsberatung.

Eine kritische Auseinandersetzung um nicht zu sagen Rant ist auch im Artikel "DSGVO: So viel Panik für nichts Neues – und warum es trotzdem ein grundlegendes Problem gibt" auf binary-butterfly.de Wobei dieses eher einen Blick auf die technische und gesellschaftliche Seite geworfen hat.Hier sind insbesondere auch die Kommentare lesenswert.

 

VBlogs und Podcasts zum Thema

Rechtsanwalt Christian Solmecke von der Kanzlei WILDE BEUGER SOLMECK hat ein Video zum Thema "DSGVO - Was ihr als Blogger beachten müsst | Zu Gast: Ricarda Nieswandt von BLOGST" auf Youtube hochgeladen und schildert im Gespräch mit Ricarda Nieswandt von BLOGST und Hubertus Jencquel, was Blogger bei der Umsetzung des Datenschutzes beachten müssen.

Ebenso hat sich in der Folge Nr. 151 der Jurafunk von  von Rechtsanwalt Stephan Dirks und Jurist Henry Krasemann mit dem Thema  am 20.03.2018: Jurafunk Nr. 151: (Fast) alles zur Datenschutz-Grundverordnung auseinander gesetzt (siehe auch "Jurafunk Nr. 151: Frivoles Plaudern über die Datenschutzgrundverordnung (DSGVO)" auf dirks.legal).

Ebenso sind Marcus Richter und Thomas Schwenke vom Jurapodcast Rechtsbelehrung auf das Thema in der Folge "DSGVO: Alles zur EU-Datenschutzgrundverordnung – Rechtsbelehrung Folge 54 (Jura-Podcast)" eingegangen. Dabei werden in rekordverdächtigen 2 Stunden 22 Minuten und 22 Sekunden die Grundlagen zur EU-Datenschutzgrundverordnung vorgestellt. Da in der nächsten Podcast Folge sich um die Erstellung einer Datenschutzerklärung gewidmet wird ist diese Folge als Grundlage absolut empfehlenswert.

Mittlerweile ist auch der zweite Teil schon online "DSGVO: Datenschutzerklärung FAQ – Rechtsbelehrung Folge 55 (Jura-Podcast)", wobei auch das Facebook Q&A hörenswert war.
Diesmal aber nur 1 Stunde und 26 Minuten lang.... (aber immerhin ein Grund sich aufs Wochenende zu freuen (oder auch schon heute Abend)).. :-) Ebenso gibt es noch eine weitere Folge rund zum Thema Foto, Bild und Video unter der DSGVO :-)

Ein wesentlich tiefer in die Materie (mit Bezug auf Normen und Gesetzesregelungen) berichtet Stephan Hansen-Oest (datenschutz-guru.de) im Video "DSGVO in kleinen Unternehmen umsetzen – Tipps für ein „DSGVO-Projekt“" am Beispiel einer  Anwaltskanzlei die Umsetzung oder aber stellt eine "Webinaraufzeichnung: Umsetzung der DSGVO mit der GM-Methode" zur Verfügung.

Mein Lieblings-VBLOG  c't uplink  hat unter "c't uplink 22.3" dabei ist auch das Thema DSGVO für Dummies  mit ein Thema, so ab  Minute 24:45 (Frickeln mit der DSGVO).

Einen Tag vor in Kraft treten der DSGVO berichtet auch die Heiseshow im Artikel "heiseshow: Die DSGVO kommt – Was genau passiert jetzt?" insbesondere der Punkt mit medizinische Daten aber auch inhaltliche Themen weren hier angesprochen und durch gewohnte gute Moderation verständlich dargestellt.
 

Facebook Live Talk

Im Facebook LIVE Event DSGVO Questions & Answers mit Dr. Thomas Schwenke und Social Media Experte Thomas Meyer von Swat.io werden ebenfalls die Fragen rund ums Thema behandelt und die Aufzeichnung steht auch nach dem Event noch zur Verfügung.

Seitens der MOKS OG ist auf moks.at eine Zusammenfassung unter "DSGVO Questions & Answers mit Dr. Thomas Schwenke" zu finden. Dennoch ist die Videoaufzeichnung sicher etwas für ein längeres Wochenende.. :-)

Praktische Umsetzung

Gerade in den verlinkten Blogartikeln sind schon einige Punkte erwähnt die andere Blogs und Seiten direkt umgesetzt haben und wie sie dabei vorgegangen sind. Im folgenden Abschnitt möchte ich nur auf die von mir genutzten Tools für einige Seiten eingehen und auf entsprechende Praxishilfen direkt verweisen. Viele Blogs setzen dabei auf WordPress (eines der bekanntesten Blogsysteme), so dass hier auch entsprechend viele Artikel zu geschrieben sind.

Auch das DRWEB.de Magazin hat im Rahmen einer "Homestory: Wie Dr. Web die DSGVO umsetzte" das Thema aufgegriffen und tatsächlich die eigenen Schritte vorgestellt. Dr. Web weckt bei mir immer noch die Erinnerung an die Frühzeit von Homepages und das gelbe Buch dürfte noch immer irgendwo bei uns im Bücherschrank stehen :-)

Sofern jemand ein Wordpress (womöglich noch bei allinkl) einsetzt dürfte auch der Artikel "DSGVO? Da gibt’s doch was von Ra… äh ein WordPress Plugin" von dasnuf.de mehr als hilfreich sein. Persönlich nutze ich ein anderes Blogsystem/CMS aber dennoch mag ich diesen Artikel nicht unerwähnt lassen.

Die Motivation zum Artikel kann ich gut nachvollziehen und habe daher von Anfang an diesen Artikel so zusammengestellt, dass ich diesesen auch selbst gerne lesen würde, bzw. dass ich selbst mir auf der einen oder anderen Stelle einmal festhalten wollte, welche Artikel hier mir lesenswert erscheinen.

Dieses ist mit einer der Gründe warum ich das Netz noch immer sehr liebe und froh bin, dass das Blogsterben wohl immer noch ein Gerücht ist, dass viele andere immer wieder zu wierlegen wissen.

Datenschutzerklärung für die eigene Internetseite

Gerade das Thema DS-GVO-konforme Datenschutzerklärung ist wohl ein Thema, dass auch auf einige Seiten zukommen wird und wo bestehende Erklärungen Anpassungsbedarf haben. Gemeinsam mit der DGD (Deutsche Gesellschaft für Datenschutz GmbH) hat die Kanzlei WBS (Wilde Beuger Solmecke GbR) eine Muster-Datenschutzerklärung  als Formular zur Verfügung gestellt ("Datenschutzerklärung-Generator – Ihre DS-GVO-konforme Datenschutzerklärung einfach per Klick") ebenso bietet auch erecht24.de einen "eRecht24 Datenschutz Generator" an. Teile davon sind allerdings eRecht24 Premium Kunden vorbehalten.

Der "Datenschutz-Muster Generator für Webseiten, Blogs und Social Media" von Rechtsanwalt Dr. Thomas Schwenke ist mittlerweile im Hinblick auf die kommende Datenschutzgrundevrordnung (DSGVO) überarbeitet worden.. und wird zum 22. April 2018 auch finalisiert.

Die generierte Datenschutzerklärung darf von Privatpersonen und Kleinunternehmern verwendet werden. Vielen Dank dafür :-).

Update Lizenzbestimmungen zum 21.01.2019:
Bisher war die Regelung auf datenschutz-generator.de wie folgt:
Neben Privatpersonen durfte die Datenschutzerklärung auch von Kleinunternehmer verwendet werden.  Hierbei war die Wertgrenze der Brutto-Umsätze im vergangene Jahr nicht höher als 17.500 Euro. Sofern der Umsatz im folgenden Jahr über die Grenze steigt, musste für ein Update eine entsprechende Lizenz erworben werden. Der vorher generierte kostenlose Text durfte beibehalten werden. Umgekehrt war auch die Erstellung neuer Texte kostenfrei, wenn diese unter die Kleinunternehmergrenze fiel.

Bei  der kostenloser Nutzung (im Gegensatz zum Erwerb einer Lizenz) durfte der den Hinweis auf den Generator nicht aus dem Muster entfernt werden.

Zum 21, Januar 2019 ist ein Lizenzshop für Geschäftskunden auf der Seite eingeführt und die Wertgrenze für Privatpersonen und nicht-kommerzielen Bloggern sowie kleine Vereine auf einen Brutto-Umsatz von 5.000 Euro gesetzt.

Jedoch wird darauf hingewiesen, dass die ältere Lizenz weiterhin gilt

Diese Änderung betrifft somit alle Kleinunternehmer mit Brutto-Umsatz zwischen 5.000 und 15.000 Euro für neu generierte Texte.

Für Personen deren Umsatz des Vorjahres unter der Wertgrenze lag ändert sich ebenfalls nichts.
 

Prof. Dr. Thomas Hoeren  hat auf der Seite des ITM ebenfalls "Materialien zum Internetrecht" zur Verfügung gestellt. Neben dem aktuellen Skriptum zum Internetrecht oder IT-Vertragsrecht ist hier auch eine Musterdatenschutzerklärung nach EU-DSGVO zu finden. Das ITM ist das Landeskompetenzzentrum (NRW) im Bereich Informations-, Telekommunikations- und Medienrecht und gehört der Rechtswissenschaftlichen Fakultät der Westfälischen Wilhelms-Universität in Münster an.

Kirchliches Datenschutzrecht (EKHN) - Öffentlichkeitsarbeit

Für die Evangelische Kirche und ihre Einrichtungen gilt nach wie vor das EKD Datenschutzgesetz (DSG-EKD), das jedoch ebenfalls an das EU Recht angepasst worden ist und am 24. Mai 2018 in Kraft getreten ist.

Die evangelische Kirche Hessen Nassau (EKHN) hat ebenfalls eine "Handreichung der EKHN zur EU Datenschutzverordnung" veröffentlicht. Insbesondere geht diese auf das Thema Datenschutz im Bereich Öffentlichkeitsarbeit (von Gemeindebrief, kirchlicher Datenschutz oder auch Muster für eine Datenschutzerklärung).

 

Auftragsverarbeitungsvertrag mit Webhoster

Neben der Datenschutzerklärung kann auch ein Auftragsdatenverarbeitungs-Vertrag (ADV-Vertrag), auch Auftragsverarbeitungs-Vertrag (AVV), erforderlich sein. Auf Blogmojo im Artikel "ADV-Verträge für Blogger & Online-Unternehmer: Liste mit Hostern, Newsletter-Tools etc." sind durch von Finn Hillebrandt zusammengestellt worden.

Unter anderen bietet mein Webhoster All-Inkl (Werbung/Partnerlink) einen Auftragsverarbeitungsvertrag  für das Webhosting an. Dieser kann in der Benutzerveraltung auf https://all-inkl.com/members/ unter Stammdaten->Auftragsverarbeitung online abgeschlossen werden. Vertragsabschlüsse mittels elektronischem Format vor dem 25.05.2018 erfolgen aus formellen Gründen erst mit Wirkung ab dem 25.05.2018, da erst ab diesen Datum entsprechende Verträge elektronisch abgeschlossen werden können.

Danach ist sowohl der Vertrag als auch die Anlagen dann ebenfalls im Portal herunterladbar. Bei Schriftform kann dieser auch für 10 Euro angefordert werden.

Als Anlagen stehen unter anderen die "Technische und organisatorische Maßnahmen Auftragsverarbeitungsvertrag Art. 32 Abs. 2 DS-GVO" betreffend des Webhosting zur Verfügung.

Auftragsverarbeitungsvertrag mit Google Analytics

Daneben ist auch schon vor der DSGVO eine Auftrags(daten)verarbeitung mit Google beim Einsatz von Google Analytics umzusetzen.

Weitere Informationen zum Thema "Google Analytics datenschutzkonform einsetzen" sind auf datenschutzbeauftragter-info.de zu finden. Ferner sind im Artikel "Google Analytics – Anleitung für datenschutzkonforme Nutzung, Mustertext und FAQ"  von Rechtsanwalt Dr. Thomas Schwenke zu finden. Dieser Artikel ist mittlerweile um Aspekte rund um Google Analytics & DSGVO als Anleitung zur möglichst rechtssicheren Nutung) aktualisiert worden und wurde dabei auch um Hinweise wo die einzelnen relevanten Einstellungen in der Google Analytics Oberfläche zu finden sind, ergänzt.

Ebenso ist dieses auch Teil der EU-DSGVO Serie "Der rechtskonforme Einsatz von Google Analytics bzw. Universal Analytics unter der DSGVO – Teil 12 zur EU-DSGVO, Cookies und Tracking" von Rechtsanwältin Nina Diercks.

Weitere Dienste und DSGVO

Im Artikel "Google & DSGVO: Welche Dienste sind datenschutzkonform nutzbar und wie?" stellt ebenfalls Finn Hillebrandt (blogmojo.de) zusammen, wie einzelne Dienste von Google mit der DSGVO weiterhin nutzbar sind.

Social Media Präsenzen

Mit der Entscheidung zur Verantwortung von Seitenbetreibern von Facebook Fanpages gemeinsam mit Facebook ist hier auch ein weiteres Thema aktuell geworden und auch entsprechend aufgegriffen worden. Die (Vorab-) Entscheidung C-210/16 des EuGH ist auf europa.eu veröffentlicht.


Rechtsanwalt Dr. Thomas Schwenke berichtet dazu auf "Beitragshinweis: EUGH Urteil: Müssen nun alle Facebook-Seiten geschlossen werden?" sowie auf Heise Online unter "Analyse zum EuGH-Urteil: Kein Grund Facebook-Seiten zu schließen".

Ebenso stellt sich Rechtsanwältin Nina Diercks  im Artikel "Facebook-Seitenbetreiber und Facebook sind gemeinsam für die Datenverarbeitung verantwortlich – EuGH C-210/16 – Und nun?" hier passende Informationen zusammen.

Ein weiterer Artikel "EuGH Urteil: Facebook Fanpagebetreiber sind mitverantwortlich für Datenverarbeitung auf Facebook ! Und jetzt ? " ist von Dr. Carsten Ulbricht auf rechtzweinull.de zu finden.


Auf datenschutz-generator.de ist ebenfalls schon ein passendes Update der Datenschutzerklärung (DSE) / Informationen zur Datenverarbeitung  (IDV) zu finden.

"Dazu wurde das Modul zu der Nutzung von Onlinepräsenzen aktualisiert (Frage „Unterhalten Sie Onlinepräsenzen in sozialen Medien?“ in der Gruppe „Social Media, Tools und fremde Inhalte“). Für Kleinunternehmer, Privatpersonen und Inhaber von Nutzungslizenzen, ist das Update kostenfrei."

Hier finde ich die Aktualisierung tatsächlich sowohl von der Schnelligkeit als auch von der Information her als großartigen Service. Danke sehr.

Zwischenzeitlich liegt auch eine Stellungsnahme der Konferenz der unabhängigen Datenschutzbehörden  des Bundes und der Lände (DSK) vor die Rechtsanwältin Nina Diercks im Artikel "Update: Entschließung der DSK zum EuGH-Urteil C-210/16 im Hinblick auf eine gemeinsame Verantwortung von Facebook und Seitenbetreibern – Spoiler: Sie müssen was tun" zusammen gefasst hat.

Interessant dabei ist auch der Verweis zur Datenschutzerklärung in der Story zur Seite (rechte Seite auf der Facebook Fanpage) oder als festgepinter Beitrag bei Google Plus bzw. in den Infos bei Twitter..

Was mich allerdings tatsächlich an der gesamten Diskussion freut ist das Bewustsein, dass die eigene Webpage wichtig wird und viele Seiten wieder ein Umdenken haben um weg von der Monokultur eines sozialen Netzwerkes (nur Facebook) wieder hin zur Nutzung von eigenen Seiten zu finden. Restaurants die nur auf FB ihre Speisekarte und Öffnungszeiten stehen haben macht die Auswahl für einen Computerstammtisch nicht gerade einfacher.

Sapnnend in diesem Zusammenhang empfinde ich die Diskussion in den Kommentaren auf selbstaendig-im-netz im Artikel "Ist Facebook nun verboten? Was bedeutet das EuGH Urteil für Fanpages?".

Update:
Rechtsanwalt Dr. Thomas Schwenke bietet im Artikel "Wird Facebook legal? – Anleitung für Seitenbetreiber zum „Page Controller Addendum“" ein Update zum Thema Page Controller Addendum und ergänzt die Datenschutzerklärung um den Passus zur Grundlage einer Vereinbarung über gemeinsame Verarbeitung personenbezogener Daten (siehe Seiten-Insights-Ergänzung bezüglich des Verantwortlichen) bei Facebook im Datenschutz-Generator.


 

Onlinemarketing und DSGVO

Im Artikel "Wenn Onlinemarketing zum Glücksspiel wird – DSGVO, Tracking und Opt-In-Pflicht für Cookies" von Rechtsanwalt Dr. Thomas Schwenke wird ebenfalls noch einmal das Thema Onlinemarketing unter den Gesichtspunkt von Tracking aber auch Risikoabwägung hingewiesen.

Auch die weiterführende Links zu anderen Artikeln aber auch eigene Beiträge wie "Datenschutz und ePrivacy 2018 – Änderungen für Onlinemarketing, Tracking und Cookies" in dem ebenfalls die Grundlagen zum Onlinemarketing und Recht ebenda beschrieben wird ist hier sinnvoll und ilustriert erläutert.
 

Personalisierte Werbung / Google Adsense

Google und sicher auch andere Werbeanbieter haben hier ebenfalls eine Umsetzungsmöglichkeit für die Einbindung von Werbung ohne Bezug auf personenbezogene Daten umgesetzt. Ab den 7. oder 8. Mai 2018 besteht die Möglichkeit für Besuchende der eigenen Internetseite aus dem EU Wirtschaftsraum automatisch auf "nicht personenbezogene Werbung" umzustellen bzw. ergänzend dazu auch die Option zu ermöglichen, dass nach Zustimmung auch personenbezogene Werbung zugelassen werden kann.

Bisher konnten diese unter 

• Anzeigen zulassen und blockieren
• Content Seiten
• Alle Websiten
• Im Register "Anzeigenbereitstellung"

schon deaktiviert werden. Dabei sind diese wie folgt definiert:

"Personalisierte Anzeigen: Anzeigen werden basierend auf Nutzerinteressen, demografischen Merkmalen und Google-Kontoinformationen geschaltet. Außerdem kann Google zum Erstellen von Interessenkategorien auf Informationen zu Websitebesuchen zugreifen."

Wenn ich die Hilfe "Comply with EU user consent policy Choose ad serving options and get user consent" auf  https://support.google.com/adsense/answer/7670013 richtig verstehe kann diese für EU User deaktiviert werden. Daneben wird aber auch auf der Seite https://support.google.com/adsense/answer/7670312 erläutert wie technisch mit einer Einwilligung für diese Werbungverfahren werden kann.

Wie erwähnt ist auch heute schon diese Form der "Non-personalized ads" / "nicht personenbezogene Werbung" Möglich, wie auch auf Heise im Artikel "Datenschutzgrundverordnung: Google führt unpersonaliserte Werbung an" festgehalten wird.

Mittlerweile ist die entsprechende Infoseite auch als "Richtlinie zur EU-Nutzereinwilligung einhalten Optionen für die Anzeigenbereitstellung auswählen und Nutzereinwilligung einholen" unter https://support.google.com/dfp_premium/answer/7673898 in der "DoubleClick for Publishers-Hilfe" online. In der Adsense Hilfe ist ein entsprechender Hinweis noch nicht enthalten.

Mittlerweile ist der Reiter "EU-Nutzereinwilligung" in den Einstellungen von Google Adsense unter

• Anzeigen zulassen und blockieren
• Content Seiten
• Alle eigenen Webseiten

als eigenes Register vorhanden.

Hier können nun als Optionen:

• Personalisierte Werbung
  Google darf Nutzern im EWR personalisierte Werbung präsentieren.
• Nicht personalisierte Werbung
  Google präsentiert Ihren Nutzern im EWR nur nicht personalisierte Werbung.

zur Auswahl.Der Unterschied zwischen beiden ist in der Onlinehilfe zu finden. Schwieriger ist nun eine Umsetzung als Opt-In für eine Entscheidung für personenbezogene Werbung, die auch in der Hilfe Ads personalization settings in Google’s publisher ad tags zu finden ist.
 

Technische Umsetzung RequestNonPersonalizedAds(

Wenn die Einwillligung erfolgt ist kann hier der Schalter
(adsbygoogle=window.adsbygoogle||[]).requestNonPersonalizedAds=1
oder aber setRequestNonPersonalizedAds(0) bzeiehungsweise setting requestNonPersonalizedAds=0 wieder die personenbezogene Werbung einzustellen.

Damit ist es natürlich erforderlich, dass hier ein Zusatzcookie auf der eigenen Seite gesetzt wird, so dass die Einstellung keine personenbezogene Werbung zu verwenden einfacher ist.

Einstellung EU Nutzereinwilligung

In den Einstellungen von Google heisst es: "Die Richtlinie zur EU-Nutzereinwilligung von Google sieht vor, dass Sie Ihren Nutzern im Europäischen Wirtschaftsraum (EWR) bestimmte Informationen zukommen lassen und ihre Einwilligung zur Verwendung von Cookies oder anderen lokalen Speicherverfahren und zur Präsentation personalisierter Werbung einholen." (siehe hierzu auch "Richtlinie zur Einwilligung der Nutzer in der EU" von Google)

Hier kann die Option "Nicht personenbezogene Werbung" gewählt werden. Die ausgewählte Optionen gelten ab dem 25. Mai 2018.
Sofern die Option gewählt wird, werden keine Nutzerbezogene Anzeigen mehr angezeigt.
Dieses sind Anzeigen basierend auf Nutzerinteressen, demografischen Merkmalen und Google-Kontoinformationen außerdem kann Google zum Erstellen von Interessenkategorien auf Informationen zu Websitebesuchen zugreifen.

Die Frage ist nun immerhin geklärt, ob beim Einsatz von Google Adsense ein OptIn erforderlich ist um mit personenbezogene Daten zu arbeiten, wie diese bspw. im Google Konto hinterlegt sind, oder aber der Hinweis auf Opt-Out in der Datenschutzerklärung im Abschnitt "Google-Re/Marketing-Services & Google Adsense"eine hinreichende Information ist.

Daher habe ich die Datenschutzerklärung um einen Passus "Google Adsense im Europäischer Wirtschaftsraum (EWR)" erweitert.

Persönlich werde ich vss. die vorgeschlagene Version nutzen, so dass künftig nur noch über den Inhalt dieser Seite Werbeanzeigen eingeblendet werden. Die Aussage "If you've met the requirements of our Consent Policy and you want to serve non-personalized ads to all users located in the European Economic Area who visit your site, no changes to your ad tagging are needed." spricht dafür, dass hier durch das Setzen der Option dieses der einfachste Weg ist.

Ein entsprechender Hinweis in meiner Datenschutzerklärung ist bereits ergänzt und gilt ab 25. Mai 2018.


 

Fazit

Insgesamt ist das Thema sicherlich komplex dürfte aber in vielen Punkten schon den derzeitigen Bestimmungen zum Datenschutz entsprechen. Ich denke, dass ein Bewusstsein für Datenschutz ebenfalls wichtiger geworden ist und sich das bewusste Auseinandersetzen mit der Thematik wichtig ist. Sicherlich führt dieses auch in vielen Bereichen zur Panik "Ich möchte mein Blog löschen" und andere Aussagen sprechen dafür... aber wie anhand der oberen Texte zu sehen ist, kann das Thema auch systematisch und in aller Ruhe angegangen werden.

Gerade größere Diensteanbieter (Google Analytic, Adsense, VG Wort) oder auch Webhostinganbieter bieten entsprechende Anpassungen und Unterlagen an und ich bin mir sicher, dass auch die kommenden Wochen noch weitere Hilfestellungen, interessanter Artikel und konkretere Umsetzungen hier Thema sein werden.

Da ich es schade finden würde, wenn die Links in meiner Bookmarksammlung verbleiben habe ich diese hier im Artikel zusammen gestellt und hoffe, dass diese für die ein oder andere Person ein nützlicher Ausgangspunkt zum Thema sein können. Gerade für KMU, Vereine und andere Einrichtungen dürfte dieses mehr und mehr ein Thema sein und auch an der Arbeit im Hochschulumfeld oder im Ehrenamt sollte das Thema an mehreren Stellen aktuell sein.

Ein Kollege meinte einmal, dass Datenschutz immer ein lebendiger Prozess ist, so dass hier nicht mit einmaligen Handeln alles erledigt ist sondern es ein lebendiges System dahinter steckt und das Thema am Wachsen ist und auch die bestehenden Prozesse und Dokumentationen auch im Hinblick auf Datenschutz immer wieder dokumentiert und erweitert werden muss.

Informationen rund um Datenschutz per Twitter

Gerade durch Twitter bekomme ich immer wieder aktuelle Informationen von einigen Juristinnen und Juristen in die Timeline und bin immer wieder froh, dass hier in ruhiger, kompetenter und vor allem auch verständlicherweise das Thema angegangen wird.

Eine zugegeben kleine Auswahl von Twitter Profilen ist in folgender Liste zu sehen:

• Amt 2.0 Akademie  @amt20akademie
• Finn Hillebrandt  @blogmojo
• Rechtsbelehrung  @RBL_rfm
• RA'in Nina Diercks  @RAinDiercks
• selbstaendig  @selbstaendig
• Dr. Kerstin Hoffmann  @PR_Doktor
• Carsten Ulbricht  @intertainment
• Thomas Schwenke @thsch

Auch wenn diese Accounts schon für einen wöchentlichen #FF reichen würde ist diese Liste sicher nicht abschliessend, aber zumindest sind diese für einen guten Überblick rund um Themen Internet, Web und  Internetrecht gut und meist finden sich hier schnell Diskussionen und Informationen, die dann tatsächlich erst später auch in anderen Medien angesprochen werden.

Der Einfachheit halber habe ich mir auf Twitter unter https://twitter.com/AUnkelbach/lists/web-und-datenschutz eine passende Liste mit diesen und anderen Accounts zum Thema Web und Datenschutz angelegt.

 

Anpassung IDV, DSE und Verträge

Das Thema Datenschutzerklärung (DSE) oder Information zur Datenverarbeitung (IDV) und entsprehcende Anpassungen ist für meine Seite direkt im Punkt "Datenschutzerklärung" zu finden. Auch auf meiner Facebook Fanpage gefällt mir die Lösung gut die Datenschutzerklärung als Story in der Fanpage einzubinden (siehe auch auf https://www.facebook.com/Unkelbach/ ).

Daneben habe ich auch die entsprechenden Verträge zur Auftragsverarbeitung (Webhoster, Google Analytics, ...) abgelegt und versuche auch sonst hier auf den Laufenden zu bleiben.
 

Technische Anpassungen hier im Blog

In der Vergangenheit habe ich hier im Blog in folgenden Artikeln das Thema zumindest technisch mit angesprochen und umgesetzt:

• "Umsetzung EU Cookie-Hinweis Richtline 2009/136/EG bzw. Richtlinie zur Nutzereinwilligung"
• "Blogartikel per Link im »social web« datenschutzfreundlich teilen" dieses ist eine Anpassung, so dass ich die alte Lösung "Blog: 2 Klicks für mehr Datenschutz" ersetzt habe
• Hier kam mir auch der Umzug wie im Artikel "Webhosterwechsel und Umstellung von http:// auf https:// (SSL Verschlüsselung) und VG Wort Zählmarken" beschrieben zur Hilfe.
• Grundsätzlich habe ich keine Logfiles mehr hier beim Webhosting aktiviert. Allerdings habe ich die Kommentarfunktion um einen Punkt erweitert, der auch im Artikel "Traffic Spam oder Möglichkeiten einer IP-Sperrliste für Webangebote" festgehalten ist. Entsprechend wird dieses auch im Artikel "Kommentarfunktion im Blog Umgang mit Spam auch unter Beachtung des Datenschutz" angesprochen

Wie sich das Thema hier weiter entwickeln wird, ist eine Frage der ich mich dann ebenfalls weiterhin widmen werde und wo ich neugierig bin, wie sich hier entsprechende Artikel und Veröffentlichungen weiter entwickeln werden.

Das Thema an sich ist auf jeden Fall in vielerlei Hinsicht aktuell, so dass ich auch im Artikel "Autorenvergütung für Bücher oder auch Onlineartikel" auf das Thema Zählpixel der VG Wort und Datenschutz eingegangen bin.

Updates hier im Artikel

Insgesamt plane ich für mich hier im Artikel wichtige Informationen, hilfreiche Links oder Artikel zu sammeln, die mir selbst weitergeholfen haben oder weiter helfen und die ich im Umfeld des Thema für sinnvoll ansehe. Bei vielen Punkten der Umsetzung bin ich mir auch nicht sicher, ob diese erforderlich sind und beschäftige mich daher lieber mehr mit den Thema und der Dokumentation als vielleicht für das Blog und der Internetseite erforderlich sein mag. Aber manchmal ist es besser etwas ausführlicher Vorkehrungen zu treffen als später unter Hochdruck aktiv zu werden.

Inhaltlich handelt es sich bei meiner Seite mittlerweile um eine Autorenseite mit Bloganbindung und es wird dezent Werbung eingesetzt. Der inhaltliche Schwerpunkt ist jedoch weiterhin der eigene Wissenpool und das Teilen von Wissen.

Einige Gedanken zur Ausrichtung und Inhalt der Seite habe ich im Artikel "Von der Bewerbungshomepage hin zum Wissenspool mein Beitrag zur Blog- und Webparade für Personenmarken #personalbrandmix" festgehalten und denke, dass die Seite und das Umfeld auch weiterhin Bestand halten dürfte.Wie sich die rechtlichen Anforderungen auf "Kleinbloggersdorf" (um einen Begriff aus der Vergangenheit zu verwenden) auswirken wird, ist definitiv eine spannende Frage und ich betrachte dieses tatsächlich mit wachsender Neugierde und die Angst und Panikmache teilweise auch mit Sorge.


 

Danke an Twitter, Blogs und andere Infoseiten

Trotzdem bin ich sehr froh, dass sich viele mit der Thematik auseinandersetzen und ich so auf die Erfahrungen, Wissen und Vorkehrungen zugreifen kann und mein eigenes Handeln daran orientieren werde.

Auf Twitter hat sich mittlerweile wohl der Hashtag #teamdatenschutz eingebürgert und ich muss tatsächlich sagen, dass ich in letzter Zeit immer wieder beeindruckt war über die Kommunikationskultur, Informationen rund um das Thema und die unterschiedlichen Gesichtspunkte rund um das Thema Datenschutz aber auch die direkten Auswirkungen rund zum Thema.

Persönlich hat mich hier auch der Artikel "Warum wirklich jedes Unternehmen einen eigenen Content-Hub braucht" von Dr. Kerstin Hoffmann (PR-DOKTOR) angesprochen die eindeutig die das Thema Datenschutz und Änderungen beim Einsatz von Social Media noch einmal zum Anlass nimmt und die Frage "Wohin denn nun mit welchen Inhalten?" passend beantwortet.

Dies finde ich schon daher wichtig, da die eigene Plattform nicht nur unabhängig ist sondern auch eine eigene Identität stiftet.

Updates zum Update

Neben den Updates hier innerhalb des Artikels gibt es auch rund um Datenschutz weitere Punkte zu beachten
 

Nach der DSGVO ist vor der ePrivacy Verordnung

Das es im Thema Datenschutz auch weiter gehen wird und hier eine konstante Weiterbildung hilfreich und notwenidg ist zeichnet sich auch im Artikel "ePrivacy-Verordnung: Alles, was du wissen musst (inkl. Timeline!)" von Finn Hildebrand (BlogMojo) ab.

DSGVO und Brexit

Unter "Brexit & DSGVO – Tipps und Checkliste zur Vorbereitung auf den Ernstfall" hat Dr. Thomas Schwenke ebenfalls einen Blick auf  das EU Thema in Bezug auf Großbritannien als "unsicheres Drittland" unter den Motto "Keep calm and prepare for brexit" geworfen.

Datenschutzupdate 28. Mai 2020 - Urteil vom 28. Mai 2020 - I ZR 7/16 - Cookie-Einwilligung II

Mit dem BGH Urteil zur Cookie Einwilligung II (siehe Pressemitteilung BGH) zu dem noch die ausführlichen Erläuterungen ausstehen gibt es auch 2020 noch weitere Neuigkeiten.

Hier möchte ich eingangs direkt auf den Artikel "Eine erste Einordnung des BGH-Urteils „Cookie II“ (I ZR 7/16): Voreingestellte „Einwilligungen“ (Opt-Outs) sind unwirksam und das gilt grundsätzlich auch für Cookies" von Rechtsanwältin Nina Diercks und Rechtsanwältin  Ulrike Berger verweisen. Dieses war auch mit der erste Artikel der mir zum Thema auf Twitter aufgefallen ist, so dass ich diesen auch direkt zum Lesen empfehlen kann und mir sicher bin, dass dieser und auch die folgenden Artikel vom #teamdatenschutz sicher noch aktualisiert werden aber auch für juristische Laien gut verständlich sind. Vielen Dank an dieser Stelle an alle.

Auch der Artikel "BGH-Urteil: Opt-In-Pflicht für Werbe- und Marketing-Cookies (FAQ mit Anleitung und Checkliste)" von Dr. Thomas Schwenke hat hier erneut ein Update erfahren. Daneben sind auch "BGH zu Cookies und dem Erfordernis von Einwilligungen – („Planet 49“)" (Datenschutz-Guru.de / Stephan Hansen-Oest) und "BGH: Das gilt nun beim Einsatz von Cookies für Websitebetreiber" auf datenschutzbeauftragter-info.de lesenswert.

Das Urteil BGH "I ZR 7/16" vom "28.05.2020" mit Entscheidungsgründen kann online eingesehen werden bzw. es kann eine Benachrichtung erhalten werden, sobald es veröffentlicht ist.
 

Das Thema Datenschutz kommt auf dieser Seite zwar durchaus in einigen Artikeln (siehe Tag Datenschutz) vor, aber für einen ausführlichen Hintergrund mag ich dann doch eher auf die unter den Webempfehlungen aufgeführte Blogs zum Thema "Jura, Rechtswissenschaften" verweisen, obgleich das Thema Datenschutz eigentlich nicht mehr nur ein juristisches oder technisches Thema sein sollte sondern ein in der Gesellschaft relevantes Thema sein sollte.

Laut Wikipedia findet am 28. Januar seit 2007 der Europäische Datenschutztag und seit 2008 der Data Privacy Day, Statt. Dieses Datum wurde auf Basis des Inkrafttretens der  Europäische Datenschutzkonvention  (formal korrekt:  „Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten (Konvention Nr. 108)“) gewählt und dient der Sensibilisierung zum Thema Datenschutz.

Leider ist das Webprojekt "do not track" nicht mehr online abrufbar, aber die einzelnen Folgen sind unter "Interaktive Webdoku-Reihe Do Not Track" auf der Seite des Bayrischen Rundfunk aufrufbar. "Do Not Track" war ein internationales Projekt das von der französischen Produktionsfirma Upian in Koproduktion mit dem BR, ARTE France und dem NFB produziert worden ist..

Nachtrag:
Es scheint so, als wäre die interaktive Webdoku zu Do Not Track wieder online auf https://donottrack-doc.com/de/ abrufbar :-) Dieses freut mich besonders in Bezug auf die aktuelle Diskussionen rund um Datenschutz und Facebook.

Dabei wurden einige Aspekte des Datenschutz inklusive einiger Auswertungen über die eigenen Daten dargestellt. Aber auch abseits dieser Themen ist ein solcher Tag vielleicht eine gute Gelegenheit sich ausführlicher mit Datenschutzeinstellungen zu beschäftigen.

Einstellungen rund um Datenschutz bei Google und Facebook

Google bietet hier auf der Startseite einen direkten Link auf einen "Privatsphärecheck". Aber auch die Einstellungen von Facebook oder andere Netzwerke können hier einen interessanten Blick bieten. So findet sich bei Facebook auf der Seite "Einstellungen für Werbeanzeigen" eine Auflistung wie die einzelnen Werbeanzeigen zustande kommen udn welche Informationen hier Facebook für Werbung verarbeitet. Auf Vimeo werden die Datensammlungen im Video "Monologue of the Algorithm: how Facebook turns users data into its profit" anschaulich erläutert.

Nachtrag: Im Artikel "Facebook gestaltet Einstellungen für Privatsphäre und Datenschutz neu" auf Heise Online wird direkt darauf hingewiesen, dass Facebook nun ein wenig später auch die Einstellungsseiten zur Privacy überarbeitet hat.

Ergänzend zu den Links oben hat Facebook unter Facebook Privacy Basics eine Informationsseite rund um die Privatsphäre-Grundlagen bei Facebook online gestellt.

Daneben bieten aber auch Internetseitenbetreibende weitreichende Informationen zum Beispiel zum Einsatz von Google Analytics und Google Adsense an.  Auf der Seite der "European Interactive Digital Advertising Alliance" (youronlinechoices.com) eine Widerspruchsmöglichkeit gegen "nutzungsbasierte Online-Werbung" für verschiedene Anbieter nutzen. Diese Einstellung ist jedoch auf jeden von Ihnen genutzten Rechner (bzw. Browser) erforderlich, da diese Seite entsprechende Cookies mit einer entsprechenden Einstellung hinterlegt, die die einzelnen Werbenetzwerke (auch bspw. Facebook, Google, ...) beachten sollen. Anstatt der benutzerbezogenen Werbung (die durch verschiedene Daten zu ihrer Person erhoben sind) wird dann allgemeine Werbung eingeblendet.

Datenschutzinformationen online

Daneben gibt es aber auch noch einige andere Webangebote (die ich auch im Artikel "Rückblick THM Datenschutztag 2017") zusammen gestellt habe. An größeren Informationsportalen würde ich noch auf das Blog "Datenschutzbeauftragter INFO  Informationen zum Datenschutz" sowie auf das "virtuelle Datenschutzbüro" verweisen.

Vielleicht kann der heutige Tag ja ein wenig dazu genutzt werden sich etwas ausführlicher mit den Thema Datenschutz auseinander zu setzen.

Datenschutz im Zusammenhang mit SAP - mehr als nur Berechtigungswesen

Das Thema Datenschutz wird aber auch in Bezug auf SAP immer aktueller. So bietet die DSAG (Deutschsprachige SAP-Anwendergruppe)  unter https://www.dsag.de/go/leitfaeden Prüfleitfäden SAP ERP die sich auch mit dem Thema Datenschutz unter SAP auseinnader setzen. Aber auch das IT Grundschutzhandbuch des BSI (Bundesamt für Sicherheit in der Informationstechnik) hat hier einige Informationen rund um den Einsatz von SAP zusammengestellt.

An aktueller Literatur ist in 2017 das Buch "Datenschutz mit SAP: Der Praxisleitfaden zur Umsetzung der EU-Datenschutz-Grundverordnung (DSVO)" (Amazon Partnerlink) im Verlag SAP Press erschienen. Aber auch im Rahmen des Berechtigungsmanagement sind hier einige Neuerscheinungen lesenswert.  So stellt der virtuelle Buchclub von Espresso Tutorials auch das Thema Berechtigungen im Artikel "Sicherheitslücke SAP-Berechtigung" ausführich dar. Persönlich bin ich gerade dabei zum Buch "SAP-Berechtigungen für Anwender und Einsteiger" (Amazon Partnerlink) von  Andreas Prieß eine Rezension zu schreiben. Dieses Buch ist ebenfalls in der SAP Bibliothek Flatrate als eBook verfügbar und liest sich sehr gut an.

Eigentlich sollte das neue Jahr hier im Blog ja mit  einer Anleitung rund um Office oder einen noch im Entwurf befindlichen Artikel rund um SAP beginnen, aber als kleinere Schreibübung möchte ich hier ein Thema aus den Bereich Datenschutz und Webdesign aufgreifen über dass ich vorhin gestolpert bin (außerdem mag ich gerne die verbleibende Tage Urlaub dazu nutzen im Ehrenamt noch ein paar Aufgaben zu übernehmen und nicht direkt hier schon ein Arbeitsthema aufzugreifen).

Hierbei ging es um die Frage, wie Blogartikel in den einzelnen sozialen Netzwerken wie XING, Facebook, Twitter oder Google+ geteilt werden können, ohne dass schon beim Aufruf der Seite Skripte dieser Anbieter mit auf der Seite eingebunden werden, was der Fall ist, wenn die vom jeweiligen Netzwerk zur Verfügung gestellte "Share-Buttons" genutzt werden.

Während ich auf meiner Seite die im Artikel "Blog: 2 Klicks für mehr Datenschutz" vorgestellte Lösung nutze besteht auch die Möglichkeit über einen einfachen Link (der gerne auch per CSS formatiert werden kann) statt mit einer wie hier eingesetzten JavaScript Lösung.

Diese Variante ist eine einfache Alternative zum Projekt "Shariff: Social-Media-Buttons mit Datenschutz"  oder der auf meiner Seite eingesetzten Vorgängerlösung "2 Klicks für mehr Datenschutz" des c't magazin.

Alternative Möglichkeit des Link teilen im social web

Die einzelnen Netzwerke haben eine entsprechende SHARE-Url der als Parameter eine URL übergegeben werden kann. In der folgenden Tabelle sind beispielhaft für vier von mir genutzten Netzwerke die URLs zum Teilen von Artikeln angegeben.

Damit werden keine Daten von Facebook direkt eingebunden sondern ebenfalls nur beim Klick die URL an den Teilmechanismus des jeweiligen sozialen Netzwerk übertragen.

Der Nachteil ist hier jedoch, dass kein Counter bzw. Information mit ausgegeben wird, wie häufig ein Link im Netzwerk geliked oder ge+ worden ist sondern nur die SHARE / TEILEN Funktion angeboten wird. Shariff Plus und andere Lösungen haben auch eine LIKE Version mit im Angebot.

Teilfunktion der einzelnen sozialen Netzwerke mit Parameter

Aus folgender Tabelle können die einzelnen URL für die häufigsten Netzwerke entnommen werden.
 

URL Teilen per social web

Dienst	URL zum Teilen von Artikeln
Facebook	https://www.facebook.com/sharer/sharer.php?u=
Twitter	https://twitter.com/share?url=
Google +	https://plus.google.com/share?app=110&url=
XING	https://www.xing.com/social_plugins/share?url=
Linkedin	https://www.linkedin.com/shareArticle?mini=true&url=

Am Ende der jeweiligen URL muss dann noch die Webadresse des jeweiligen Artikel ergänzt werden.

Allerdings muss diese URL noch entsprechend encoden muss.

Ziel (Artikel) URL encoden

Hierzu bietet die Programmiersprache PHP direkt die Funktion urlencode  an während die entsprechende Funktion in JavaScript encodeURIComponent lautet.

PHP.NET beschreibt diese Funktion wie folgt: "gibt einen String zurück, in dem alle nicht-alphanumerischen Zeichen außer -_. durch ein Prozentzeichen (%) gefolgt von zwei Hexadezimalwerten und Leerzeichen durch ein Plus (+) ersetzt werden"

Konkret bedeutet dieses zum Beispiel, dass aus der Seite

https://www.andreas-unkelbach.de/smarthome,php

durch die Funktion

https%3A%2F%2Fwww.andreas-unkelbach.de%2Fsmarthome.php

wird. Entsprechendes gilt auch für = dass in %3D oder & dass in %26 umgewandelt wird.

Innerhalb PHP kann diese Variablenübergabe relativ einfach per Variablen erfolgen und mit oberer URL zusammengefasst werden.

Weitere Infos zu den einzelnen Funktionen sind in der Onlinehilfe zur PHP Funktion urlencode auf php.net oder zu JavaScript Funktion encodeURIComponent auf w3schools.com zu finden.

Aktuelle URL inklusive Parameter mit PHP auslesen und encoden

Um die aktuelle URL inklusive Parameter auszulesen kann die PHP Funktion $_SERVER verwendet werden.

$_SERVER ist ein Array, das Informationen wie Header, Pfade und die verschiedenen Wege, das Skript anzusprechen beinhaltet. Die Einträge in diesem Array werden vom Webserver erstellt.

Als Coding inklusive des Protokolls kann hier folgende PHP Anweisung verwandt werden.

<?php
    $url = (empty($_SERVER['HTTPS'])) ? 'http://' : 'https://';
    $url .= $_SERVER['HTTP_HOST'];
    $url .= $_SERVER['REQUEST_URI'];
echo urlencode($url);
?>

Die erste Zeile gibt entweder http:// oder https:// aus.
Die zweite Zeile die Domain inkl. Subdomain.
Die dritte Zeile Pfad und Parameter der aufgerufenen Datei.
Zum Schluss wird der ganze String noch encoded.

Für diesen Artikel wird also aus:
https://www.andreas-unkelbach.de/blog/?go=show&id=891

https%3A%2F%2Fwww.andreas-unkelbach.de%2Fblog%2F%3Fgo%3Dshow%26id%3D891


Dieses kann direkt am Ende der Share-URL des jeweiligen Dienstes ausgegeben werden.
 

Teilenbutton mit CSS Formatieren

Neben der Verlinkung von kleinen Bildern mit LOGO des jeweiligen sozialen Netzwerks können diese Links auch hinter anderen Varianten verborgen werden.

Eine optisch ansprechende Variante kann zum Beispiel per CSS Sprite oder generell per CSS erfolgen. Im Artikel "Socialmedia Buttons für Profile per CSS Sprites oder CSS Box für XING, Google+, Twitter und Facebook" bin ich ausführlicher auf dieses Thema eingegangen.

Im Artikel "Fontello - Icons als Webfonts per CSS einfügen" ist auch eine Beschreibung zu finden, wie per Webfonts die einzelnen sozialen Netzwerke als Webfontsymbol ausgegeben werden können.

Im Ergebnis kann diese Funktion einer Sharebutton-Integration wie folgt aussehen:


 

Fazit oder warum behalte ich die 2 Klicks für mehr Datenschutz Funktion bei

Persönlich behalte ich jedoch lieber meine hier eingesetzte Funktion, die auf der einen Seite entsprechend gut auf der Seite dokumentiert ist und zum anderen nicht durch einen Bot ohne weiteres aufgerufen werden kann. Gerade wenn ich mir das Spamaufkommen der letzten Tage ansehe, mag ich ungern hier auch ein automatisiertes Abrufen der Teilfunktion beobachten.

Ausserdem ist mir diese Funktion ebenso wie die im Artikel "Eine Tasse Kaffee als Feedback für gelungene Blogartikel" vorgestellte Zusatzfunktion immer noch sehr sympathisch und ich glaube, dass sollte jemand tatsächlich auf XING einen meiner Artikel teilen möchten dieses auch problemlos per Copy & Paste der URL aus der Browserzeile oder der integrierten Teilenfunktion funktioniueren sollte ;-)

Nachtrag und vollständiges Coding

Im Artikel "Socialmedia Buttons für Profile per CSS Sprites oder CSS Box für XING, Google+, Twitter und Facebook" hatte ich ja schon erwähnt, dass ich für die einzelnen sozialen Netzwerke eine eigene CSS Klasse je Button angelegt habe. Dieses entspricht btnfb, btntw, btngp und btnxing. Ferner habe ich per Webfonts eine Weltkugel als Hexadezimalcode eingefügt.

Im Ergebnis lautet mein PHP Code wie folgt:

<?
// Anfang URL per HREF Link teilen
    $url = (empty($_SERVER['HTTPS'])) ? 'http://' : 'https://';
    $url .= $_SERVER['HTTP_HOST'];
    $url .= $_SERVER['REQUEST_URI'];
    $url = urlencode($url);
?>
<b>Seite teilen</b><br /><br /><br />
<a rel="nofollow" target="_blank" href="https://www.facebook.com/sharer/sharer.php?u=<? echo $url; ?>" class="btnfb" title="Artikel auf Facebook teilen"><span class="symbol">&#x01f30e;</span> Facebook</a>

<a rel="nofollow" target="_blank" href="https://twitter.com/share?url=<? echo $url; ?>" class="btntw" title="Artikel auf Twitter teilen"><span class="symbol">&#x01f30e;</span> Twitter</a>

<a rel="nofollow" target="_blank" href="https://plus.google.com/share?app=110&url=<? echo $url; ?>" class="btngp" title="Artikel auf Google + teilen"><span class="symbol">&#x01f30e;</span> Google</a>

<a rel="nofollow" target="_blank" href="https://www.xing.com/social_plugins/share?url=<? echo $url; ?>" class="btnxing" title="Artikel auf XING teilen"><span class="symbol">&#x01f30e;</span> XING</a>

<?
// Ende URL per HREF Link teilen
?>

Manchmal kann ich tatsächlich Basteltrieben nicht widerstehen, daher ist das Blog nun auf diese Variante angepasst worden :-) Damit nicht auch noch Google Bots oder andere Suchmaschinen die Seite teilen ist dieser Link mit NOFOLLOW versehen.

Einzige Ausnahme ist hier XING, da hier sofern zwei Parameter in der URL übergeben werden... go und id bei mir ... die zweite Übergabe statt mit & über &amp; übergeben wird, oder alternativ die Parameter abgeschnitten werden. Daher ist XING hier auch nicht als SocialButton eingebunden.

Erneutes Fazit inklusive Auswirkung auf Pagespeed

Das letzte Mal hatte ich mich im Artikel "In eigener Sache: Updates der Seite (Technik und Design) - Fokus auf Responsives Webdesign und pagespeed" mit Gedanken rund um Pagespeed beschäftigt. Dadurch, dass ich nun nicht mehr JavaScript Bibliotheken einsetze ist auch die Ladezeit der Seite erheblich gesteigert worden (Pagespeed-Insight von Google 89 Mobil und 96 Desktop), so dass diese Änderung noch einen weiteren positiven Effekt hat.

Entsprechend habe ich nun diese Lösung dann doch trotz obiger Argumente eingesetzt :-)
 

Das Thema Datenschutz wird an der Technischen Hochschule Mittelhessen nicht nur in der täglichen Arbeit sondern auch einmal jährlich in Form der Veranstaltung "THM Datenschutztag" gewürdigt. Hierzu wird in das kleine Kino der Hochschule eingeladen (ehemaliges Kino Roxy in Gießen) . Die Teilnahme ist kostenfrei (Anmeldung erforderlich) aber sicherlich nicht umsonst. Die Jahre zuvor konnte ich nur im Nachhinein die zur Verfügung gestellten Folien nachlesen aber dieses Jahr war mir auch eine Teilnahme möglich und ich bin wirklich von dieser Form der Weiterbildung begeistert.

Daher möchte ich an dieser Stelle einen persönlichen Rückblick zu den einzelnen Vorträgen aber auch gleich einen Hinweis auf die kommende Veranstaltung am 20. Februar 2018 geben. Gerade da ich mich selbst gerne mit den Thema Datenschutz hier im Blog auseinandersetze (und dabei wohl eher auf die technischen Apsekte wie Datenschutzerklärung eingehe) möchte ich hier doch einen Rückblick auf diese Veranstaltung geben.

Als Beschäftigter in der öffentlichen Verwaltung (Hochschule) war hier natürlich gleich der erste Vortrag interessant, aber auch die übrigen Veranstaltungspunkte sind spannend gewesen.


(C) THM Datenschutztag, mit Genehmigung Datenschutzbeauftragten

Ambiente / Ort der Veranstaltung:

Nach erfolgreicher Anmeldung und Erhalt eines Namensschildes war es möglich mit Kaffee sich erst einmal zu stärken und überrascht doch die ein oder andere Person aus dem Hochschulumfeld anzutreffen. Der Datenschutztag ist mittlerweile auch in das Weiterbildungskonzept der Hochschule eingebunden, so dass hier auch das "Referat Personalentwicklung auf dem Campus Gießen" als Veranstalter mit auftritt.

Allerdings ist die Themenwahl auch für externe oder generell am Datenschutz interessierte Personen interessant. Nach einer Begrüßung durch die Vizepräsidentin Katja Specht moderierte Hajo Köppen, der Datenschutzbeauftragte der THM, durch die Veranstaltung und leitete von einer Veranstaltung zur nächsten weiter und schaffte es auch als Jurist die Tücken von Technik zu überwinden.

An Themen wurden folgende Bereiche angesprochen:

1. Haftung von Beschäftigten der öffentlichen Verwaltung bei Verstößen gegen Datenschutzvorschriften und Dienstvorschriften
2. Datenschutz und Sicherheit bei der Nutzung von Internet & E-Mail - Sicherheitsbewusstsein & Bordmittel gegen Angriffe, Malware, Phishing & Co.
3. Begleitausstellung Datenschutz-Awareness
4. Digitalcourage: Ein Datenschutzfeuerwerk - vom BigBrotherAward bis zur Verfassungsbeschwerde

Die Zusammenstellung war für mich schon dadurch gelungen, dass hier sowohl Datenschutz als auch Datensicherheit in den ersten beiden Vorträgen vorgestellt worden sind.

Die Vorträge selbst sind dankenswerterweise auch im Veranstaltungsarchiv auf Seiten des THM Datenschutztages zu finden.

Dennoch möchte ich zu den einzelnen Vorträgen kurz die für mich interessantesten Punkte hervorheben.

Haftung der Beschäftigten der öffentlichen Verwaltung bei Verstößen gegen Datenschutz - und Dienstvorschriften

Rechtsanwalt Dr. jur. Götz Gerlach von Kleymann, Karpenstein & Partner mbB stellte die Frage der Haftung bei Datenschutzverstößen in den Mittelpunkt seines Vortrages. Dabei wurden sowohl Risikobereiche (Schatten-IT, Datenschutz- und Urheberrechtsverstöße) aber auch die rechtlichen Folgen dargestellt.

Besonders positiv war hier, dass auch Bezug auf die IT-Benutzungsordnung der THM eingegangen wurde, die insbesondere auch den Umgang mit dienstlicher E-Mail und anderen IT Systemen regelt.

Dabei ist die rechtliche Bindung sowohl über § 106 GeWO "Weisungsrecht des Arbeitgebers" als auch § 70 Hess. BeamtenG "Pflichten gegenüber Vorgesetzten" durch die Weisungsrechte des Arbeitgeber gegeben. In der oberen Benutzungsordnung ist auch ein Verfahren beschrieben durch das eine Kontrolle der Einhaltung der Richtlinie befolgt werden kann.

Anhand der Kombination von Datenschutz und Arbeitsrecht wurden auch praktische Probleme wie das private Surfen im Internet, Screening von Bewerbern oder gar das Nutzen von privater Software für dienstliche Zwecke besprochen und auch die möglichen Folgen anhand Urteile und Fallbeispiele erläutert.

Daneben gab es auch praktische Ratschläge zum Verfahren bei rechtswidrigen Anweisungen und wie sich hier bei entsprechenden Anweisungen verhalten werden kann. Aber auch die Quizrunde bzgl. der Einordnung ob bestimmte Sachverhalte datenschutzrechtlich relevant sind oder nicht, waren vom Meinungsbild aber auch von der Form der Wissensvermittlung sehr gelungen. Daneben wurden aber auch rechtliche Grundlagen und Hinweise auf neue Gesetzesgrundlagen angesprochen.

Hier möchte ich auch gerne auf die Artikelreihe zum Thema EU-DSGVO auf socialmediarecht.de verweisen.

Durch die anschließende Fragerunde und Austausch mit Publikum war dieser Vortrag sehr lebendig und konnte auch auf einzelne Fragen aus der Praxis sehr gut eingehen.

Datenschutz & Sicherheit bei der Nutzung von Internet & E -Mail

Der folgende Vortrag von Frank Giebel, IT-Revisor, Datenschutzbeauftragter (3rd Mind Business Consulting e.K.)  beschäftigte sich mit Fragen des IT-Sicherheit und stellte sowohl die Gefahren wie Identitätsdiebstahl, Spearphishing durch social enginierung aber auch technische Möglichkeiten der Gefährung von IT Systemen und den Risikofaktor Mensch dar.

Dabei wurde das Thema Datenschutz nicht nur auf die IT beschränkt sondern gleichzeitig auf Prozesse und die Menschen die Umgang mit den Daten haben erweitert. Zur Verdeutlichung wurde hier auch auf die Internetseite projekt-datenschutz.de verwiesen wo entsprechende Vorfälle die öffentlich geworden sind dargestellt werden.

Neben den geschilderten Fällen und Risiken wurden aber auch konkrete Möglichkeiten des Schutzes vorgestellt und diese durchaus mit kleinen humorvollen Seitenhieben sehr anschaulich vermittelt.

Begleitausstellung Datenschutz-Awareness

Kirsten Siebentritt stellte hier ihre Bachelorarbeit zum Thema "IT-Sicherheit durch Awareness – eine Plakatserie zur Sensibilisierung" vor, die in 15 Plakaten das Thema IT-Sicherheit für den ZKI (Zentren für Kommunikation und Informationsverarbeitung in Lehre und Forschung e. V) aufarbeite und so eine anschauliche Möglichkeit der Aufmerksamkeit auf das Thema Datenschutz lieferte.

Die Arbeit war auch als Ausstellung am Datenschutztag zu sehen und es besteht die Überlegung diese auch als Wanderausstellung in Hessen zur Weiterbildung zu nutzen.

Auf ihrer Internetseite kann das Projekt "IT-Sicherheit durch Awareness" ebenfalls betrachtet werden. Eines der Motive ist auch für den Flyer zum Datenschutztag verwendet worden.

Digitalcourage: Ein Datenschutzfeuerwerk - vom BigBrotherAward bis zur Verfassungsbeschwerde

Im Abschlussvortrag wurde auch die Bedeutung des Datenschutzes im Rahmen einer digitalen Zivilcourage (digitalcourage) vorgestellt. Als Redner war hier padeluun ein deutscher Künstler und Netzaktivist, der für digitale Bürgerrechte eingeladen der die Geschichte aber auch das aktuelle Engagement des Verein Digitalcourage e. V. vorstellte.

Der Verein (ehemals unter den Namen FoeBuD (Verein zur Förderung des öffentlichen bewegten und unbewegten Datenverkehrs e. V.)) bekannt engagiert sich nicht nur durch den BigBrotherAward sondern setzt sich ganz praktisch in großen und kleinen Projekten für die Themen Datenschutz und Informationsfreiheit ein. Dieses kann sowohl durch eine Verfasssungsklage (Stichwort Vorratsdatenspeicherung) als auch durch praktische Maßnahmen zur digitalen Selbstverteidigung sein. Auf die Frage wie padeluun selbst sicher kommuniziert wurde auf das Projekt pep (pretty easy privacy) verwiesen.

Fazit

Gerade durch praktische Beispiele aber auch durch die Auswahl der Themen und der Referierende hat diese Veranstaltung das Thema Datenschutz und Arbeitsrecht sehr lebendig gemacht und auch wenn die Unterlagen zur Veranstaltung auch online einsehbar sind, war in meinen Augen ein Besuch dieser Veranstaltung sehr empfehlenswert und gleichzeitig sensibilisierend für das Thema.

Dieses ist auch ein Grund, warum ich das Datum 20. Februar 2018 für den THM-Datenschutztag 2018  mir auch direkt vormerke und diese Veranstaltung gerade für Beschäftigte in der Verwaltung sehr empfehlen kann. Der große Vorteil ist, dass diese Veranstaltung nicht nur technisch oder formaljuristisch aufgebaut ist sondern das Thema lebendig zu vermitteln versteht. Neben den fachlichen Input ist aber auch die Moderation und das menschliche Vermitteln eines solchen Themas sehr gelungen und zeigt für mich, dass Juristen nicht nur mit Technik umgehen können sondern jenseits von Facebook und Co. ebenfalls soziale Netzwerke funktionieren und die digitale Wissensvermittlung auch analog oder von Mensch zu Mensch funktionieren kann.

Mich beeindruckt nebenbei dass hier Datenschutz nicht nur dienstlich gelebt wird sondern auch im Rahmen der Weiterbildung Datenschutz für Beschäftigte im Rahmen der Personalentwicklung genutzt wird und viele dieser internen Veranstaltungen auch für andere genutzt werden können. Ein Überblick über die THM Datenschutz Fortbildungsveranstaltungen kann ebenfalls auf Seiten des THM Datenschutz eingesehen werden und auch wenn diese nicht öffentlich sind, kann doch ein Kontakt zu den Vortragenden vermittelt werden. Damit ist ein wichtiger Punkt der Umsetzung eines lebendigen Datenschutzkonzeptes ganz praktisch verwirklicht worden.

Weitere Informationsquellen im Netz

Da Datenschutz, wie erwähnt, kein Thema für einen Tag ist gibt es natürlich auch abseits dieser Veranstaltungen eine Menge an Informationsmöglichkeiten zu diesen Thema. Persönlich bin ich hier begeistert von den beiden Jurapodcasts Rechtsbelehrung - Jura Podcast mit Marcus Richter und Thomas Schwenke oder auch Jurafunk - Recht zum Hören die beide in regelmäßigen Abständen ebenfalls das Thema Datenschutz auf der Agenda haben. Daneben ist aber auch das Social Media Recht Blog  oder andere in den Webempfehlungen erwähnten Internetseiten von Interesse.

An größeren Informationsportalen würde ich noch auf das Blog "Datenschutzbeauftragter INFO  Informationen zum Datenschutz" sowie auf das "virtuelle Datenschutzbüro" verweisen.

Wie schon im Jahresrückblick erwähnt stand für mich Ende des Jahres nicht nur ein Wechsel  des Mailanbieters an sondern auch ein Umzug mehrere Seiten zu einen neuen Webhoster an. Mein damaliger Webhoster hatte den Geschäftsbereich Webhosting aufgegeben, so dass ich mir ein neues digitales Zuhause gesucht und mittlerweile auch gefunden habe.

Nachtrag:
Neben den hier vorgestellten Technikvorteilen kann die SSL Verschlüsselung auch ein weiterer Baustein für die EU-DSGVO sein. Hier finden sich im Artikel "EU DSGVO - Info- bzw. Link-Sammlung mit Schwerpunkt auf die Umsetzung bei Blogs oder der eigenen Website (hier: Autorenwebsite, Blogger, KMU)" einige Informationen.

Sollte mein Blog per Feed aboniert worden sein ist auch ein neues Abo erforderlich, da ich meine Seite auf https umstellen werde und so zumindest unter Feedly ein erneutes Abo unter https://www.andreas-unkelbach.de/blog/rss.xml erforderlich ist. Andere RSS-Feedleser scheinen mit einer Umleitung des RSS-Feed wesentlich besser klar zu kommen.

Auswahl Webhoster

Sehr hilfreich war hier die Gegenüberstellung einzelner Webhosting-Pakete im c't magazin auch wenn mittlerweile Strato mit 1&1 zusammengelegt wurde und Hosteurope (wo mein ehemaliger Webhoster Reseller war) nun zu GoDaddy gehört. Mein PLUS Abo des c't magazin zahlt sich aber gerade bei solchen Themen als extrem positiv auf, da ich hier einen Zugriff auf eines der letzten Hefte habe und der Artikel auf http://heise.de/-3318728 eine sehr gute Grundlage bietet um sich für ein Angebot zu entscheiden.

Gelandet bin ich hier mittlerweile bei "ALL-INKL.COM - Neue Medien Münnich" * und bin derzeit auch vom Umzug und den Angebot recht angetan.

Gründe für all-inkl waren, dass ich hier viel Gutes vom Hoster gehört habe und auch vom Angebot her mich die angebotene Technik aber auch die Möglichkeit eines Testaccount sehr angesprochen hat. Für mich war ein wichtiger Punkt, dass sowohl Mailverteiler als auch einige andere Techniken vom Server funktionieren und ich mich hier weniger um die Technik kümmern muss (im Sinne von Serverwartung). Neben PHP und MySQL waren hier also insbesondere auch die Einstellungsmöglichkeiten zur Mail wichtig sowie die Domainverwaltung. Besonders wichtig waren mir hier auch große Postfächer auch wenn ich mittlerweile durch Posteo (wozu ich bei Gelegenheit einmal mehr zu schreibe) eine echte Alternative gefunden habe.

  Werbung


Sofern man sich auch etwas intensiver mit Serverkonfiguration und der Basistechnik rund um Webhosting kümmern macht aber auch Uberspace.de einen spannenden Eindruck.

Datenschutz durch HTTPS / SSL und anonymisierte Logfiles

Im folgenden Artikel möchte ich einige Punkte an sprechen, die an Aufgaben beim Umzug meiner Seiten erforderlich waren und da ich gleichzeitig auch technisch das ein oder andere auf meiner Seite geändert habe auch auf allgemeine Themen im Zusammenhang mit PHP 7 sowie Wechsel von http:// auf https:// (SSL Verschlüsselung) meiner Seite eingehen. Dieses ist ab PrivatPlus ebenfalls kostenlos bei all-inkl möglich.

Warum eine SSL Verschlüsselung auch für "normale" Internetseiten sinnvoll ist dürfte die Verbreitung von WLAN bspw. im Hotel oder auch an anderen Stellen belegen. Gesetzlich wird diese, zumindest  bei Kontaktformularen, auf Basis von § 13 Absatz 7 Telemediengesetz als sicher anerkanntes Verschlüsselungsverfahrens anzubieten gefordert. Im Artikel "Sicher ist sicher: Warum HTTPS für deine Website sinnvoll ist" auf drweb.de werden hier auch einige weitere Gründe mit aufgeführt.

Juristische Aspekte der SSL Verschlüsselung

Die jurisitschen Aspekte sind von Rechtsanwalt Dr. Thomas Schwenke im Artikel "Gastbeitrag: Warum Sie Ihre Website auf https umstellen sollten" auf der Seite der Kanzlei Plutte beschrieben worden. An dieser Stelle mag ich auch sehr gerne auf die von mir gerne gehörten Jura-Podcast (siehe Videoblogs und Podcast ) hinweisen.

Weiter unten bin ich im Abschnitt "Umstellung http:// auf https:// (SSL Verschlüsselung)" auch auf das Thema Warnmeldung wegen mangelnde Zertifikatsprüfung  im Browser eingegangen, was aber eher ein technischer Aspekt im Zusammenhang mit erfolgreichen Wechsel auf SSL bzw. HTTPS eingegangen. Immerhin ist dieses durch HTML relativ leicht zu verhindern :-).
 

Datenschutz und Serverlogfiles

Grundsätzlich bietet diese Verschlüsselung auch einen Gewinn im Bereich Datenschutz, so dass ich dieses mit der Möglichkeit der Anonymisierung oder gar Deaktivierung von Serverlogfiles als einen datenschutzrechtlichen Fortschritt beim neuen Anbieter ansehe. Das Thema Datenschutz ist auch ein Grund, warum ich die nun gewonnene Möglichkeit der Anonymisierung von Serverlogfiles nutze und diese auch in meiner Datenschutzerklärung unter den Punkt Serverlogfiles zusammenfasse.

Die angesprochenen Themen sind dabei allerdings unabhängig vom Anbieter und so hoffe ich, dass dieser Artikel auch für andere interessant sein dürfte.

Umzug der Domain - administrativ

Früher, das ist nun auch schon über zehnJahre her,  war für den Umzug einer Domain tatsächlich ein Brief (oder Fax) erforderlich und es wurde ein unterschriebener KK-Antrag zum Wechsel eines Providers für  eine Domain den neuen Hoster zugesandt und es wurde danach die Domain übertragen. Seit 2008 hat sich hier aber das Verfahren erheblich geändert und es wird vom bisherigen Provider ein AUTH-Code  beantragt und mit diesen wird (ohne Unterschrift) dann die Freigabe und Übertragung der Domain angestoßen.  Dieses funktioniert auch wunderbar bei .DE Domains die bei der Denic registriert sind.

Bei internationalen Domains  (.com, .net, .org, .info, .biz, .name) ist darüber hinaus aber auch eine Bestätigung durch den Domaininhaber erforderlich ist. Hierzu wird eine Mail an den eingetragenen Domaineigentümer  (ADMIN-C Kontakt) gesandt in der ein Bestätigungslink für die Zustimmung oder Ablehung des Transfer gegeben werden kann. Entsprechend wichtig ist es, dass die Mailanschrift bei den WHOIS Daten der Domain aktuell sind (daher bekommt man auch einmal jährlich eine Erinnerung an die hinterlegte Mailanschrift). Sollte die Mail nicht mehr nutzbar sein, kann aber auch immer noch ein Fax genutzt werden.

Sobald der FOA-Service ("Form of Authorisation") abgeschlossen ist wird die Domain nach 14 Tagen übertragen und die Domain dann auf den neuen Server übertragen. Später erfolgt auch noch ein weiteres Bestätigungsverfahren, sollten sich im Rahmen des Umzugs auch Kontaktdaten des ADMIN-C geändert haben. Dieses dann aber über eine Mail zur Domain-Validation, die auch sonst einmal im Jahr zwecks Kontrolle der hinterlegten Daten mich anschrieb.

Umzug der Domain - technisch

Das letzte Mal, dass ich mich intensiver mit der Technik rund ums Blog und dieser Seite auseinander gesetzt habe war im Artikel "In eigener Sache: Updates der Seite (Technik und Design) - Fokus auf Responsives Webdesign und pagespeed" vor fast vier Jahren.

Entsprechend positiv empfand ich, dass ich erst einmal nur das Webhostingpaket ohne Domains bestellen konnte und meine Seiten erst einmal ohne übertragene Domains anlegen konnte.

Allinkl bietet neben einer Vertragsverwaltung (Members Area) in der Domains tatsächlich bestellt werden können und die Vertragsdaten verwaltet werden auch Kundenadministrationssystem  (KAS) unter den eine technische Administration des Accounts vorgenommen werden kann.

Hierdurch ist es möglich  erst einmal alle Daten  zu übertragen und erst zum Schluss Ihre die Domains tatsächlich umziehen zu lassen. Dieses ist besonders dadurch interessant, dass so auch schon IMAP Konten eingerichtet werden können und in der Webmailoberfläche auch von bestehenden Mailkonten sowohl Mails als auch Ordner mit importiert werden können.

Statt einer Domain kann über eine Übergangsdomain  (URL) die eigene Seite aufgerufen werden. Hierbei sind die einzelnen Domains Unterordner des Webspace zugeordnet und die Seite kann über eine Subdomain aufgerufen werden auch wenn die Domain aus irgendwelchen Gründen noch nicht normal erreichbar ist.

Wechsel PHP 5.5  auf PHP 7

Im Rahmen des Serverumzugs habe ich mich auch mit einen Wechsel von PHP 5.5 auf PHP 7 beschäftigen dürfen und doch das ein oder andere Projekt anpassen müssen. Aber zumindest das Blog und auch einige andere Seiten von mir waren dafür schon sehr gut dank schattenbaum.net auf einen Umzug vorbereitet.
 

PHP Code Anpassungen bspw. bei Fehlermeldung von DokuWiki

Gerade wenn auch gleichzeitig ein Wechsel der PHP Version anstand ist dieses sehr praktisch, da erst einmal der Code hier angepasst werden kann und auch beim von mir eingesetzten WikiSystem Dokuwiki konnte ich bei der Fehlermeldung "Declaration of action_plugin_wikicalendar::register(&$controller) should be compatible with DokuWiki_Action_Plugin::register(Doku_Event_Handler $controller) in" feststellen, dass einige Plugins nicht mit der neuesten PHP Version kompatibel sind. Insgesamt verlief besonders der Umzug von Dokuwiki wesentlich einfacher als das 2013 (da allerdings nur von einen auf den anderen Server beim gleichen Webhoster siehe Artikel "Was ist zu beachten beim Serverumzug?".
 

Unterstützung durch PHP für dich :-)

Glücklicherweise habe ich die Autorin von "PHP für dich" geheiratet und so war mit ihrer Hilfe auch der PHP Code und das von ihr entwickelte Blogsystem schnell auf die aktuellste PHP Version angepasst.

Einige wichtige Punkte sind auch auf ihrer Seite unter anderen auch auf

• PHP für dich -  Mit PHP mit der mySQL-Datenbank verbinden
• PHP für dich - Suchen und Ersetzen, Maskierungszeichen entfernen und Zeilenumbrüche für HTML lesbar machen
• PHP für dich - Variablen mit und ohne Formulare übergeben
• PHP für dich - Sessions mit PHP

erläutert worden aber auch sonst war das ein oder andere Anpassen erforderlich.

Nun aber zum Thema des Zertifikat und Verschlüsselung von Internetseiten.

Umstellung http:// auf https:// (SSL Verschlüsselung)

Der Wechsel des Webhoster ist auch gleichzeitig mit einer Aktivierung der SSL Verschlüsselung für Internetseiten an. Dabei kann hier die Datenübertragung per SSL verschlüsselt werden und so ein Mehr an Sicherheit angeboten werden.

Hier kann im KAS unter Domains beim Eintrag in der Domain unter den Punkt SSL-Schutz ein kostenloses Zertifikat von "Let's Encrypt" beantragt werden (siehe Abbildung).



Hier kümmert sich dann künftig ALL-INKL um die Verlängerung des Zertifkates.Bei dieser Form des Zertifikates handelt es sich um eine Domain-Validierung (Domain Validation), womit sichergestellt wird, dass die Kommunikation auch tatsächlich über andreas-unkelbach.de verschlüsselt läuft. Daneben gibt es auch noch  Organisation-Validierung (Organisation Validation) wodurch zusäztlich noch Inhaberdaten (personenbezogen) mit angegeben werden.

Zum Hintergrund der Zertifikat von "Let's Encrypt" kann auch der Artikel "https:// für alles! Die Initiative Let’s Encrypt revolutioniert mit kostenlosen SSL-Zertifikaten das Web" des CT-Magazin weiterhelfen.

Dieses bietet sich  für Organisationen an und ist besonders bei Banken oder Onlineshops im Einsatz.

Der Vorteil von SSL verschlüsselten Internetseiten ist, dass die Daten hier geschützt zwischen Browser und Webserver übertragen werden.

Die gesicherte Verbindung ist auch in der Adressleiste durch die URL https://www.andreas-unkelbach.de wie in folgenden Bild zu sehen ersichtlich.



Hier sind tatsächlich alle Elemente der Seite verschlüsselt übertragen und die Verbindung gilt als sicher.

Problematisch ist es, sofern Teile der Seite noch per http:// eingebunden sind, was sowohl durch externe Skripte oder auch durch Bilder der Fall sein kann, die hier mit ihrer absoluten URL eingebunden werden.

Hier gibt die Adressleiste eines Browser eine entsprechende Warnmeldung aus, wie ebenfalls in der folgenden Abbildung zu sehen ist.



Hier sind gemischte (also verschlüsselte und unverschlüsselte Inhalte) auf einer Seite eingebunden worden. Je nach Browser können diese dann auch blockiert und damit nicht angezeigt werden.

Setzen von protokoll-relativen Pfaden in Blogartikeln per SQL oder Suchen und Ersetzen

Für eigene Bilder oder interne Links bietet sich hier eine relative Verlinkung an. Hier werden einzelne Artikel oder Bilder mit relativen Pfaden bspw. /andreas.php verlinkt statt mit der vollständigen URL https://www.andreas-unkelbach.de/andreas.php .Besonders bei eingebundenen Bildern bietet sich jedoch eine protokoll-relative Verlinkung an. Hierbei werden statt http:// oder https:// nur // zur Verlinkung angegeben.

Diese Vorgehensweise ist auch im SELFHTML Wiki im Abschnitt "Mit protokoll-relativen URIs referenzieren" beschrieben und es war relativ einfach möglich die entsprechenden URL in der Datenbank meines Blogs durch Suchen und Ersetzen anzupassen. Dieses war natürlich durch den Umzug besonders einfach, da ich hier einfach die Exportdatei der Datenbank anpassen konnte und nicht das passende SQL Statement verwenden musste.

Wobei auch per

UPDATE tabelle_blogartikel SET spalte_artikeltext = REPLACE(spalte_artikeltext ,"http://www.andreas-unkelbach.de","//");

eine entsprechende Anpassung möglich gewesen wäre... allerdings ist es mir nie ganz geheuer direkt in der Datenbankverwaltung  (siehe PHP für dich - Tabellen anlegen mit phpMyAdmin) zu arbeiten.
 

Einbindung VG Wort Zählmarken einer SSL verschlüsselten Webseite (https)

Ein weiteres Problem kann noch die Einbindung von VG Wort Zählmarken (siehe Impressum) sein. Hier hat Daniel Weihmann im Blogartikel "VG Wort unter SSL/ HTTPS nutzen" darauf hingweisen, dass die Zählmarken  per http eingebunden werden und es einer speziellen Subdomain benötigt um hier entsprechende sichere Verbindungen aufzubauen und auch die Zählpixel ordentlich einzubinden. Nun stellte sich für mich die Frage, ob auch die einzelnen URL zur jeweiligen Zählmarke aktualisiert werden muss und ob sowohl die HTTP als auch die HTTPS Variante angegeben werden muss.

Auf Rückfrage an die Verwertungsgesellschaft Wort habe ich dazu ebenfalls folgende Antwort erhalten:

Sehr geehrter Herr Unkelbach,
für eine Verwendung in einer SSL verschlüsselten Webseite, muss die Zähldomäne in der Zählmarke in der Tat durch https://ssl-vg03.met.vgwort.de/ ersetzt werden. Der Rest des IMG Tags bleibt identisch zur bisher verwendeten Fassung.

Bitte beachten Sie, dass hier NUR die vg03 Domäne verwendet werden kann, wie angegeben. Nur dort können die Zugriffe auf eine ssl - verschlüsselte Seite korrekt gezählt werden.

Nachlesen können Sie das auch unter https://tom.vgwort.de/Documents/pdfs/dokumentation/metis/DOC_Urhebermeldung.pdf im Kapitel 8.2.4

Und nein, ich kann bei der Korrektur von Meldungen damit umgehen, wenn sich nur das Zertifikat ändert, der Rest der URL aber weiterhin der gleich ist. Einen neuen Webbereich müssen Sie nur melden,wenn sich die URL als ganzes ändert.

Hier hätte auch ein Blick in die Dokumentation ausgereicht in der konkret steht, dass die Angabe einer URL nur dazu dient, die spätere Meldung zu erleichtern.“ die eigentliche Meldung ist von der Angabe der URL unabhängig.

Erfreuliches Update:
Die bis Mitte 2018 geltende Variante für den Einbau in SSL Seiten –https://ssl-vg03.met.vgwort.de kann auch nach der Umstellung weiter verwendet werden. Wer jedoch erstmals Zählmarken in eine SSL Seite einbaut, der verwendet bitte die neue, einfache Variante, die für alle Zähldomänen einsetzbar ist und sich nur durch das s nach dem http von der Variante für unverschlüsselte Seiten unterscheidet. Beide Varianten können parallel betrieben werden, so dass es möglich ist, die bisherigen Zählmarken ohne Veränderung zu belassen und neue Zählmarken in der vereinfachten Variante zu verwenden.

Update:
Für alle Zählmarken gilt, dass in eine SSL verschlüsselte Seite (https://...) der Einbau nur in der https Variante erfolgen darf und in eine unverschlüsselte Seite (http://...) in der http Variante erfolgen muss. Werden die Varianten vertauscht, funktioniert die Zählung nicht mehr korrekt. Damit können auch die bisherigen Domains beim Einbau genutzt weden und nicht mehr zwingend die ssl-v03 :-)

Eine weitere "Fehlerquelle" kann aber auch im Artikel "VG Wort Nicht gemeldete URLs deaktiviert - Mindestzugriff nicht mehr gegeben durch Referrer Links auf Zählpixel" entnommen werden.

Das Thema VG Wort an sich ist etwas ausführlicher unter: "Die Verwertungsgesellschaft Wort (VG Wort) als Autor und Blogger" inklusive Abschnitt zum Thema VG Wort und Steuer erläutert.




Somit spricht eigentlich nichts mehr gegen eine Verwendung von SSL bzw. der https:// Variante meiner Internetseite auch weil so aus Datenschutzgründen nicht mehr die übertragenen Daten mit ausgelesen werden können.

Dieses ist auch der Grund warum Google (aber auch andere Suchmaschinen) dazu übergehen mehr und mehr Seiten mit der https Variante zu indizieren.

Hierzu sind im Google Webmasterblog die Artikel " Standardmäßig HTTPS-Seiten indexieren " und "  HTTPS als Ranking-Signal " oder auch die Hilfeseite " Website mit HTTPS sichern " lesenswert.

Künftig soll auch der Browser Chrome (ebenfalls von Google) darauf hinweisen, dass eine Seite nicht mit SSL verschlüsselt ist (durch ein rotes X in der Adressleiste).

Bevorzugte Domain / Internetadresse in .htaccess festlegen

Nachdem ich meine Seite nun erfolgreich umgezogen habe biete ich bis zum 16. Januar sowohl eine http:// als auch eine https:// Variante meiner Seite an. Da ich aber ungern doppelt Inhalte ins Netz stelle werde ich dauerhaft meine Seite auf die Variante https://www.andreas-unkelbach.de umleiten. Leider scheint mit dieser Variante feedly etwas Probleme zu haben, daher oben auch der Hinweis dazu.

Hierzu wird eine Weiterleitung per 301 Moved Permanently empfohlen. Da ich selbst immer wieder zur Konfiguration solcher Weiterleitungen in die Hilfe schauen muss, kann ich hier tatsächlich die Seite www.htaccessredirect.de empfehlen in der die meisten Anwendungsfälle vorgestellt sind.

.HTACCESS Redirect und Rewrite Generator

Für umfangreichere Einstellungen isd er Konfigurationsdatei kann auch der online nutzbare "Simple Htaccess Redirects & Rewrite Generator" von Aleyda Solís hilfreich sein.

Sofern keine Weiterleitung eingestellt ist kann zum Beispiel dieser Artikel direkt über vier URL aufgerufen werden:

1. http://andreas-unkelbach.de/blog/?go=show&id=790
2. https://andreas-unkelbach.de/blog/?go=show&id=790
3. http://www.andreas-unkelbach.de/blog/?go=show&id=790
4. https://www.andreas-unkelbach.de/blog/?go=show&id=790

Auf der Seite seorch.de kann neben anderer SEO Website Check und OnPage SEO Tools auch dieses im Abschnitt "Seite unter mehreren URLs zu erreichen (Duplicate Content)" überprüft werden. Generell kann ich diese Seite als Test immer wieder mit guten Gewissen empfehlen.

Meine Weiterleitung per .HTACCESS sieht im übrigen wie folgt aus:

RewriteEngine On

RewriteCond %{HTTP_HOST} !^www.andreas-unkelbach.de$ [NC]
RewriteRule ^(.*)$ https://www.andreas-unkelbach.de/$1 [L,R=301]

RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]

Der erste Abschnitt sorgt dafür, dass die Domain immer mit www. aufgerufen wird (bevorzugt www-Domain verwenden) der zweite Abschnitt überprüft ob das HTTPS Protokoll ausgeschaltet ist und leitet sofern dieses der Fall ist auf die https Seite weiter.
 
Für obiges Beispiel erhalten die URL unter 1 bis 3 als HTTP Status Code 301 und die Weiterleitung auf die https Variane und die letzte URL wird per HTTP Status Code 200 als okay ausgeleifert.


Im Ergebnis ist damit die Seite immer in der Form https://www.andreas-unkelbach.de aufgerufen da alle anderen URL durch den 301 Status Code umgeleitet werden, während die gewünschte URL per 200 als okay zählt und die Daten werden immer verschlüsselt übertragen

Website Analytics - Meta tag referrer

Eine interessante Info für andere Seitenbetreibende dürfte noch sein, dass Links von einer mit https:// verlinkende Seite auf eine http:// Seite als direkter Aufruf gezählt werden, da hierdurch der Referrer-Link nicht übertragen wird.

Hier gibt es jedoch einen W3C-Spezifikation eines Meta-Tag durch das weiterhin auch der Referrer Link übergeben wird. Hier regelt "§ 3. Referrer Policies".

Über den, im HEAD Bereich befindlichen Metatag kann die Übertragung des Referrer eingestellt werden. Dabei sind mehrere Möglichkeiten vorhanden:

• <meta name="referrer" content="origin">
  Hierdurch wird zumindest die Domain als Referrer mit übergeben.
• <meta name="referrer" content="unsafe-url">
  Hierdurch wird die komplette URL mit übertragen
• <meta name="referrer" content="no-referrer-when-downgrade">
  Dieses ist die Vorbelegung der Spezifikation. Sofern eine https auf eine http Seite verweist wird kein Referrer übertragen, allerdings erfolgt eine Übertragung von https auf https ebenso wie von http auf https
• daneben gibt es noch weitere Möglichkeiten auf die ich durch die Spezifikation verweise.

Da ich persönlich es als wichtig empfinde zu sehen, woher Seiten verlinken habe ich bei Einzelseiten und Artikeln die Variante der Übertragung der Seite gewählt und bei Übersichtseiten die sich auch ändern können lediglich die Domain mit übertragen. Aktuelle Browser halten sich wohl auch an diesen Meta-Tag.
 

Fazit

Insgesamt war der ganze Umzug dann tatsächlich erfolgreich, wobei tatsächlich einige Einstellungen noch nachgebessert worden sind (sowohl durch PHP Code als auch was die Einführung von SSL anbelangt). Hier bin ich sehr dankbar, dass meine Frau ruhig und kompetent das entsprechende Coding angepasst hat aber auch der Transfer meiner Seiten recht problemlos funktionierte. Mittlerweile dürfte auch Mailempfang wieder funktionieren und selbst die Twitter-Integration (die tatsächlich etwas arg kompliziert war) hat problemlos funktioniert. Ich würde mich freuen, wenn auch weiterhin mein Blog interessant ist und die Umstellung keine Probleme macht. Bekannt ist mir tatsächlich nur, dass in manchen Feedreadern der RSS Feed erneut abonniert werden muss, daher ist ein Besuch auf dieser Seite sicherlich hilfreich :-)
  Blogartikel rund um das Thema VG Wort
Das Thema VG Wort hat mich auch in unterschiedlichen Blogartikeln beschäftigt.

• "CSV der VG Wort Zählmarken für den Bereich Texte im Internet (METIS) in Tabelle mit öffentlichen und privaten Identifikationscode der Zählmarken umwandeln"
• "Webhosterwechsel und Umstellung von http:// auf https:// (SSL Verschlüsselung) und VG Wort Zählmarken" (also der derzeitige Artikel)
• "VG Wort Nicht gemeldete URLs deaktiviert - Mindestzugriff nicht mehr gegeben durch Referrer Links auf Zählpixel"

 

---

Hinweis:

Mehr zum Thema #Autorenleben findet sich im Artikel "Autorenleben - Steuern und Selbstständigkeit, Verwertungsgesellschaft Wort (VG Wort), Autorenleben in Nebentätigkeit"  und wird von mir regelmäßig aktualisiert.

---

Während ich normalerweise relativ konstant wenige Gigabyte an Webtraffic auf dieser Internetseite habe konnte ich diesen Monat plötzlich hohe zweistellige Zugriffsmengen verzeichnen. Dieses ist schon dadurch erstaunlich, da meine Seite (und besonders Blogartikel) in der Hauptsache aus Text und sehr selten aus Bildern bestehen.

Entsprechend erstaunt war ich, dass dann eine einzelne IP plötzlich fast 1 Gigabyte an Datenmengen durch Zugriff und Senden verursacht hat und es sich dabei nicht um einen Proxy-Server einer Hochschule handelt. Letzteres wäre ja erklärbar, da ich doch die Vermutung habe, dass einige Besuchende dieser Seite aus den Hochschulumfeld kommen.

Ein intensiverer Blick ins Serverlogfile offenbarte dann auch noch, dass diese IP immer wieder ein und dieselbe Seite aufgerufen hatte um hier möglicherweise Kommentare zu einen Blogartikel abzusetzen.

Datenschutz bei IP Adressen in Logfiles

Wie in der Datenschutzerklärung zu dieser Seite festgehalten, werden beim Besuch auf dieser Seite grundsätzlich Daten sehr sparsam und wenn möglich anonymisiert erfasst. Eine Ausnahme stellen hier die Logfiles des Servers da (siehe Abschnitt "V. Allgemeine Daten".

Die tatsächlichen Logfiles werden seitens des Webhoster regelmäßig gelöscht und die zugrundeliegenden Daten aus technischen aber auch abrechnungstechnischen Gründen zur Verfügung gestellt.

Somit werden diese Daten gem. § 37 BDSG nur zu Zwecken Sicherheit (bspw. Vermeidung von DDOS Angriffen oder Spamvermeidung) aber auch zu Abrechnungszwecken gegenüber meinen Webhoster erhoben.

Eine dauerhafte Zuordnung von Person und IP (Profilerstellung) ist daher hier nicht möglich und in der Statistik erhalte ich für Daten außerhalb des Zeitraums der Logfiles (nach wenigen Tagen) nur den vorhandenen Traffic der Seite. Eine Auswertung wer welche Seite besucht hat ist mir hier nicht möglich.

Für eine ausführliche Analyse der Besuchendendaten nutze ich eine anonymisierte Version von Google Analytics (siehe Datenschutzerklärung zum Punkt "VII. Google Analytics")

 

Maßnahmen gegen Kommentarspam im Blog

Da ich hier tatsächlich Schutzmaßnahmen gegen Blogkommentarspam ergriffen habe werden hier allerdings keine Kommentare abgesetzt sondern die IP oder das Skript scheitert immer wieder beim Versuch eben solche abzusetzen. Im Artikel des ctMagazin "Was Ihr so meint - Mit Kommentaren im eigenen Blog umgehen" sind einige Möglichkeiten des Verhinderns von Spam-Kommentaren auf technischer Ebene vorgestellt. Einen Teil dieser Anregung hat mir Claudia (gerne nutze ich hier die Gelegenheit das Buch  "PHP für dich" zu empfehlen) glücklicherweise auch in diesen Blog umgesetzt :-).
 
Taschenbuch 383915409X

Für etwa 17,90 € bei Amazon bestellen

ebook/Kindle B00BYIPZDY

Für etwa 10,99 € bei Amazon bestellen  

Trafficanalyse einzelner IP

Trotzdem bleibt hier der ansteigende Traffic auf der Seite, so dass ich mich entschlossen habe diese IP entsprechend einen Zugriff aufs Blog zu sperren.

Hierzu musste ich jedoch als erstes sehen um welche IP es sich handelt und ob diese tatsächlich mit SPAM in Verbindung steht oder tatsächlich einen berechtigten Grund hat regelmäßig auf der Seite nachzusehen. Ein Blick in die Serverstatistik ist hier sehr hilfreich. Alternativ könnte man per Excel oder anderen Tools das Logfile des Servers auswerten.

Am frühen Nachmittag sah meine Statistik wie folgt aus:

Hier hatten also einzelne IP (oder Server) eine Datenmenge von rund um die 700 MB an einen Tag abgerufen. Das entspricht (wie in der Statistik angegeben) etwa 11.215 Seiten und entsprechend viele Zugriffe.

IP Sperren okay, aber bitte nicht FEEDLY :-)

Nun stellts ich allerdings die Frage, wo eine ebensolche IP zuzuordnen ist und ob es sich dabei um eine gute oder eher weniger gute URL handelt. Als Beispiel möchte ich natürlich nicht Feedly als RSS Reader (siehe meinen Artikel "Infotainment oder Nachrichtenapps für Android" davon abhalten meine Seite zu besuchen.

Hier gibt Feedly selbst zur Auskunft, dass sich die IP Adresse ihres Crawler von Zeit zu Zeit ändert, so dass dieser eher am Useragent "user-agent: Feedly/1.0." zu identifizieren ist.

Glücklicherweise sind obige IP Adressen nicht mit Feedly in Verbindung zu setzen , was der Blick in ein aktuell vorliegendes Logfile offenbart.



Entsprechend stellt sich die Frage, was hinter obiger IP Adresse steckt.

Hier kann ich dann tatsächlich die von Heise Netze betriebene IP Spam Listenabfrage empfehlen. Auf der URL heise.de/netze/tools/spam-listen/ können mehrere Listen abgefragt werden, ob die entsprechend kritische URL schon bekannt ist.

Zugriffsperre für einzelne IP Ranges

Danach können in der .httaccess Datei des Webspace diese IP durch folgende Regeln gesperrt werden.

order allow,deny
Deny from BADIP
allow from all

Dabei können konkrete IP Adressen oder auch Bereiche gesperrt werden. Als Beispiel könnte die Uni Gießen durch 134.176.247.... vom Zugriff auf dieser Seite komplett gesperrt werden...was ich aus hoffentlich nachvollziehbaren Gründen nicht möchte.

Die Pflege einer solchen umfangreichen httaccess Einstellung kann sehr umfangreich sein. Daher empfinde ich es als einen großartigen Service dass die Firma "BeforeSunrise Internetagentur e.K."  auf der Seite ip-bannliste.de einen Service betreibt in der eine umfangreiche Bannlist für sogenannte "bad bots" betrieben wird.

Die Liste beinhaltet IP-Adressen und Adressbereiche (IP Ranges), die über das simple einzubinden einer .htaccess-Datei keinen Zutritt zu Ihren Onlineangeboten mehr erhalten.  Interessant dabei ist, dass die Liste als Service auch eine Autoupdate Funktion beinhaltet, so dass diese regelmäßig aktualisiert werden kann.

Daneben kann im Angebot aber auch die aktuelle Liste direkt eingesehen werden um diese im eigenen Angebot zu nutzen.

Heutzutage ist das Betreiben einer Internetseite (oder auch eines Blogs) mit einer Vielzahl von rechtlichen Besonderheiten verbunden, so dass es eigentlich kein Wunder ist, dass zum Beispiel das Thema Impressumspflicht, Datenschutzerklärung und mittlerweile auch EU Recht einen Eintrag ins Pflichtenheft diverser Seitenbetreiber gefunden hat.

Wie stark Recht und Netz miteinander verknüpft sind kann schon der verschiedenen Veröffentlichungen in letzter Zeit durch die c't sowohl anhand der FAQ zum Thema "Rechtssicheres Blog" als auch zur "Impressumspflicht bei Websites" und zum Thema "Datenschutz auf Websites".

Durch eine Rundmail von Google wurde das Thema nochmals ins Bewustsein von Seitenbetreibenden gesetzt, so dass es kein Wunder ist, dass immer mehr Seiten nun einen Cookiehinweis integriert haben und sich teilweise auch die Seiten zu diesen Thema häufen. Aus Interesse habe ich mich ebenfalls damit auseinander gesetzt und möchte in diesen Artikel hilfreiche Seiten empfehlen und gleichzeitig die von mir genutzte Lösung (sowie etwaige Anpassungen) beschreiben. Ich denke, dass die verlinkten Seite die aktuelle Lage sehr gut darstellen und mir bei der Umsetzung auf dieser Seite sehr geholfen haben.

Rechtlicher Hintergrund

Der rechtliche Hintergrund zu dieser Systematik wurde schon von Rechtsanwalt Dr. Bahr im Aufsatz "Die EU-Cookie-Richtlinie & Datenschutz im Social Media" recht ausführlich beschrieben. Auch wenn die Umsetzung der als "Cookie-Richtlinie" bezeichneten EU Richtlinie 2009/136/EG (2009/136/EC (ePrivacy Directive)) mit entsprechenden Cookiehinweis nicht zwingend in Deutschland erforderlich war, schildert Rechtsanwalt Thomas Schwenke dankenswerterweise in seinen Artikel "Google macht Cookie-Hinweise zur Pflicht – Handlungsempfehlung für Website- und Appanbieter" warum ein solcher Hinweis bei Nutzung von Google Produkten wie Google AdSense, DoubleClick for Publishers und DoubleClick Ad Exchange sinnvoll und von Google mittlerweile auch aktiv eingefordert wird. Ein entsprechender Hinweis ist auch im Google Adsense Blog unter "Neue Richtlinie zur Nutzereinwilligung" zu finden.

Aktueller Nachtrag (EU-DSGVO):

Weitere Informationen zu diesen Thema sind auch im Artikel "EU DSGVO - Info- bzw. Link-Sammlung mit Schwerpunkt auf die Umsetzung bei Blogs oder der eigenen Website (hier: Autorenwebsite, Blogger, KMU)" zu finden.

Dieses war auch der Grund, warum ich ergänzend zum Impressum sowie der Datenschutzerklärung auch diesen Hinweis mit eingebaut habe.

Technische Umsetzung Cookie Hinweis

Ich hatte mich daran erinnert, dass Google selbst hier eine Skriptlösung angeboten hatte und ging davon aus, dass diese auch auf der Seite cookiechoices.org angeboten hatte. Allerdings sind hier zwischenzeitlich nur noch externe Projekte verlinkt die eine entsprechende Lösung anbieten (immerhin darunter auch eine Informationsseite der Europäischen Kommission).

Die eigentlich von mir in Erinnerung befindliche Google Lösung war auf den ersten Blick hier nicht ersichtlich. Glücklicherweise hatte hier das Blog von Herr Yeah Ende 2014 die Lösung im Artikel "Google bietet Tool zum Einholen der Zustimmung für Cookies" ausführlicher beschrieben, so dass auch ein Link auf das entsprechende Skript und eine Einbauanleitung problemlos möglich ist.

Für Internetseiten erkläre ich weiter unten (im Abschnitt "Anpassungen Code und Datenschutzerklärung") wie ich diese Lösung entsprechend für meine Bedürfnisse angepasst habe.

Positiv an dieser Lösung ist in meinen Augen, dass diese auch mobil funktioniert.

Wie zu sehen, kommt es hier zum Zeilenumbruch. Daher ist es sicherlich sinnvoll nicht allzuviel Text als Hinweis zu schreiben.

Im Beispiel wird hier das Menü der Seite überschrieben. Dieses ist auch der Grund, weswegen ich den Text auf "Die Seite nutzt Cookies.Mit Nutzung erklären Sie sich einverstanden." sowie "Info+OptOut" und "OK" geändert habe. Dieses ist auch in kleinster Auflösung so wenig Text, dass weiterhin das Menü eingeblendet wird aber gleichzeitig alle notwendigen Informationen (sogar ein Hinweis auf OptOut) mit aufgeführt wird. Weitere Informationen sind ja auch im hinterlegten Link "Info+OptOut" aufgeführt, der sowohl mobil als auch bei großer Auflösung dargestellt werden kann.Damit ist zwar immer noch ein Zeilenumbruch vorhanden, jedoch kann weiterhin das Menü aufgerufen werden.

Derzeit liegt der Anteil der Smartphonenutzer auf dieser Seite bei etwa 8 %, daher sollen auch diese trotz EU Hinweis weiterhin auf dieser Seite navigieren können.
Eine andere Alternative wäre es gewesen den Cookiehinweis ans Ende der Seite zu stellen, dieses erschien mir aber aus verschiedenen Gründen nicht richtig, so dass mir der verkürzte Text als eine pragmatische aber aussagekräftige Lösung erscheint.

Amüsantes am Rande

Eine kreative Lösung bezüglich des Cookiehinweis hat hier Amazon gefunden. Der Hinweistext lautet "Amazon nutzt Cookies" und als Link "Was sind Cookies?" :-) Ich glaube viel kürzer ist es gar nicht möglich und regt tatsächlich dazu an, hier ebenfalls eine solche Lösung zu erstellen.

 

Anpassungen Code und Datenschutzerklärung

Auch wenn die Datenschutzerklärung an und für sich schon recht ausführlich ist, habe ich mich dazu entschlossen basierend auf  den angebotenen " template to create your own cookie notice page" der EU Kommission (siehe Cookie Consent Kit) nochmals ausführlicher zu beschreiben, wozu Cookies auf dieser Seite eingsetzt werden und was Cookies eigentlich sind. Da der Aufwand der Anpassung bzgl. Datenschutzerklärung für Google Analytics und Google Adsense ohnehin schon betrieben wurde war es dann relativ einfach auf die entsprechenden Bereiche der Datenschutzerklärung zu verlinken.

Ferner habe ich auf die Opt-Out Möglichkeiten von Google Adsense und Google Analytics hingewiesen.

Dieses dürfte nun auch der Grund sein, warum oberhalb der Seite (nicht nur im Blog) der Cookiehinweisbalken eingeblendet ist und erst verschwindet, wenn mittels Zustimmen ein Cookie gesetzt wird, dass man den Hinweis gelesen hat.

Das Cookie "displayCookieConsent" mit Wert y bleibt dabei für 12 Monate gespeichert und verhindert damit das Einblenden des oberen Hinweisbalken.

Grundsätzlich ist es zur Nutzung des Cookiehinweis damit getan sich das Skript unter https://www.cookiechoices.org/cookiechoices.zip herunterzuladen und innerhalb des BODY der HTML Seite den entsprechenden Code mit einzufügen.

Hierzu ist die Datei cookiechoices.js aus der ZIP Datei in das Hauptverzeichnis der Internetseite zu speichern und im HTML Code der Seite nach
<body> der folgende Code (siehe zweiten folgenden Absatz) einzubinden.

Die Benachrichtigungsleiste kann über die Anweisung showCookieConsentBar entsprechend eingeblendet werden. Ich empfinde diese als mittlere Lösung bezeichnete Variante sehr angenehm und besser geeignet als die Option des Splashscreens, der die gesamte Seite bedeckt.

Entsprechend ist folgender Code bei mir in der Seite eingefügt;

<script src="/cookiechoices.js"></script>
<script>
  document.addEventListener('DOMContentLoaded', function(event) {
    cookieChoices.showCookieConsentBar('Diese Seite verwendet Cookies. 
Mit der Nutzung  erklären Sie sich damit einverstanden, dass Cookies genutzt werden.'
,'Zustimmen', 'Mehr erfahren (inkl. Opt-Out)', 
'/impressum.php#cookies');
  });
</script>

 

Cookie-Hinweis ans Ende der Seite

Nun gibt es aber Seiten, auf denen ein Einblenden am oberen Rand der Seite die Navigation bedeckt oder auch aus anderen Gründen eher ungeschick erscheint. Da der Code den Hinweisbalken fixiert (er ist auch beim Scrollen immer betrachtbar) kann die Datei cookiechoices.js noch passend angepasst werden.

Durch die Codeanweisung top:0 wird der entsprechende Balken am Anfang der Seite eingebunden. Sofern eine Anzeige am Ende der Seite gewünscht ist, kann hier top:0 durch bottom:0 ersetzt werden.

Vielleicht ist es keine elegante aber immerhin eine funktionale Anpassung des Skriptes... :-)

Kein Cookiehinweis in der Druckausgabe

Sofern der Cookiehinweis nicht in der Druckausgabe erscheinen soll besteht die Möglichkeit diesen per CSS auszublenden.

Vorraussetzung dafür ist, dass eine extra format.css für die Druckausgabe erstellt wird.

Diese kann im Header der Seite bspw. per:

<link rel="stylesheet" type="text/css" media="print" href="druckausgabe.css" />

eingebunden werden.

Innerhalb der CSS Datei, in unseren Fall "druckausgabe.css" , kann nun das Element #cookieChoiceInfo die Eigenschaften erhalten nicht ausgegeben zu werden.

#cookieChoiceInfo
{
  display: none;
}

Damit erscheint der Cookiehinweis in der Webversion, aber nicht mehr in der Druckausgabe. Dieses kann gerne anhand der Blogartikel auf dieser Seite getestet werden ;-)
 

Fazit - Bedeutung der Cookierichtline für diese Seite

Da mir das Thema Datenschutz wichtig ist und durchaus ein Interesse an neuen Themen vorhanden ist, ist auf dieser Seite nicht nur ein datenschutzfreundliches Einbinden der social web Empfehlungen vorhanden (siehe hierzu auch Blog: 2 Klicks für mehr Datenschutz ) sondern auch der Einsatz der beiden erwähnten Google Dienste sind entsprechend umgesetzt.

Gerade was Werbung im Netz anbelangt ist für den informierten Verbraucher sicherlich auch die Möglichkeit der Deaktivierung von personenbezogener Werbung interessant (siehe Abschnitt XI. Google Adsense in der Datenschutzerklärung) aber auch die anonyme Erfassung der Besuchenden dieser Seite und entsprechende datenschutzkonforme Analyse (siehe Abschnitt VII. Google Analytics) sind mir wichtig. Die meisten Dienste bieten auch schon entsprechende datenschutzkonforme Lösungen an (siehe zum Beispiel der Abschnitt VI. VG Wort Zählpixel), so dass es auch im Interesse der Seitenbetreiber liegen kann hier einen entsrechenden Hinweis anzubieten.

Persönlich muss ich allerdings sagen, dass mir die Hinweise auf Cookies auf vielen Seiten eher als störend als aufklärend erscheinen und es ist schon eine gewiße Ironie, dass durch das Setzen eines Cookies die Information über Cookies abgenickt wird.

Optisch bin ich jedoch froh, dass der Balken durch ein einfaches "ZUSTIMMEN" zumindest für einige Zeit ausgeblendet wird. Gerade bei vielen mobilen Seiten raubt ein solcher Hinweis oftmals dann doch das Lesevergnügen.....
 

Bisher war es hier immer möglich über den Permalink eines Artikels interessante Blogbeiträge weiterzugeben. In Zeiten wie diesen gibt es aber auch die Möglichkeit über Dienste wie Facebook, Twitter oder auch Google+ Seiten zu empfehlen. Hier ist bislang der Datenschutz allerdings ein Problem, da auch bei Nichtempfehlungen Daten an das entsprechende "soziale Netzwerk" weiter gegeben werden. Entsprechend ist es möglich hier Surfprofile über eingelogte Nutzer zu erstellen und diese Daten dann auch zu verarbeiten.

Dieses ist auch für mich ein Grund die "2 Klicks für mehr Datenschutz" - Methode von heise online einzubinden. Wird ein Artikel direkt aufgerufen (Permalink oder als Suchergebnis) besteht unter diesen Artikel die Möglichkeit die deaktivierten Buttons von Facebook, Twitter oder Google+ zu aktivieren und darüber dann die Seite zu empfehlen.

Nähere Informationen zum HIntergrund sind im Artikel 2 Klicks für mehr Datenschutz zu finden. Das Einbinden in der eigene Seite ist ebenfalls sehr gut verständlich auf der Projektseite erläutert.

Insgesamt bin ich von der Lösung unheimlich begeistert und nur mit einer Kleinigkeit etwas am Hadern. In der Datei "jquery.socialshareprivacy.min" habe ich den Part
a href="'+a.info_link+'"
durch
a target="_blank" href="'+a.info_link+'"
ersetzt. Grds. sollte nun die Infoseite von Heise in einen Extrafenster geöffnet werden. Allerdings lädt die Infoseite auch weiterhin im gleichen Browsertab. Nunja, ich denke, dass man damit sehr gut leben kann.

Ansonsten bin ich mit dieser Lösung sehr zufrieden und neugierig, ob diese auch angenommen wird.

Am Rande interessant ist allerdings, dass von der Planung im Januar bis zur tatsächlichen Umsetzung Anfang August doch relativ Zeit verstrichen ist. Allerdings bestätigt sich darin einmal wieder, dass Datenschutz auch eine Frage der Zeit ist ;-).

Handhabung des Social Share Plugins
Unter jeden Artikel findet sich eine Symbolleiste mit ausgeblendeten Funktionen der drei sozialen Webdienste (Facebook, Twitter und Google+).



Sofern nun auf den Schalter oder das Icon geklickt wird, wird der entsprechende Dienst aktiviert.



Durch einen erneuten Klick können diese Daten dann in das jeweilige "soziale" Netzwerk als Posting / Tweet geteilt werden.


Update:

Zur Änderungen bei jQuery 1.9 und einer kompatiblen Version von socialshareprivacy ist unter In eigener Sache: Updates der Seite (Technik und Design) ein entsprechender Hinweis zu finden! Ferner wird in der Version 1.5 des socialshareprivacy Addon die Facebook Funktion von LIKE auf SHARE umgestellt.

Ausgangslage:

Bei Bewertungen von Google Apps innerhalb Google Play wird automatisch der Alias-Name verwendet, welcher in den Google Accounteinstellungen hinterlegt ist. Dieser Name kann auch im Dashboard unter Konto angezeigt werden. Während bei Groups und Mail dieser Name in den Einzelanwendungen (so zum Beispiel in jeder Newsgroup einzeln oder auch in Google Mail) geändert werden kann, ist dieses innerhalb Google Play etwas versteckter zu finden.


Anzeigename für Bewertungen ändern:
Unter Konto verwalten (zu finden rechts oben beim Zahnrad bzw. Useravatar/Profilbild) kann über E-Mail-Adressen und Nutzernamen nicht nur die Mailadresse verwaltet werden sondern auch der Alias verändert werden. Sofern dieser geändert wird, erscheint dieser dann auch bei Bewertungen von Apps.

Ein Problem bei den unterschiedlichen Google Anwendungen ist unter anderem, dass diese Einstellungen oftmals sehr unterschiedlich hinterlegt sind (teilweise global im Google Konto oder auch in den Anwendungen selbst).

Allgemein ist auch ein Blick auf die Google Hilfe sehr hilfreich um zu sehen, an welchen Stellen unterschiedliche Namen genutzt werden, da nicht nur zwischen den bekannten Diensten wie beispielsweise Youtube sondern auch durchaus ältere Dienste wie Picasa oder Google Talk unterschieden werden.

Datenschutz:
Positiv hervorzuheben ist allerdings, dass die einzelnen Google Dienste zumindest in der Datenschutzübersicht recht gut zusammengefasst sind.

Neben der Ansicht aller zum Konto gehörigen Informationen im Dashboard kann unter Kontoaktivität eine monatliche Übersicht aller gespeicherten Informationen (so aktiviert) abgerufen werden und unter Autorisierter Zugriff auf Ihr Google-Konto können diverse Dienste angezeigt werden, welche Google als Authentifizierung nutzen.

Für andere Webdienste (beispielsweise Dropbox) ist hier die Seite mypermissions.org empfehlenswert.


Nachtrag
Seit 05.03.2014 werden die Seite "Google Kontoaktivität" und das "Google Dashboard" kombiniert, so dass diese Informationen auf einer Seite zusammengefasst werden.

Die vorhandenen Aktivitätsberichte (siehe Kontoaktivität) sind noch bis zum 31.05.2014 verfügbar.

Nachtrag 08/2017:
Es scheint so, dass bei Bewertungen im Playstore nicht länger mehr ein alternativer Anzeigename mehr möglich ist. Dank des Hinweis von Opernfreund (siehe Kommentare am Ende dieses Artikels) wird der Nickname von Google mittlerweile ignoriert, so dass nur der echte Name bzw. Google Konto Name verwendet wird.

Damit unterscheidet sich Google von bspw. Amazon die weiterhin für Rezensionen eine alternative Bezeichnung erlauben bzw. wo der öffentliche Profilname abweichend zum Amazon Kundenkonto sein kann.

Denkbar wäre nun für die "alternative" Bewertung von Apps ein eigenes Google Konto anzulegen, unter richtigen Namen eine Bewertung abzugeben oder alternativ gar keine Bewertung mehr abzugeben.

Golem.de berichtet über eine Möglichkeit bei Google Browser Chrome die "browserbezogene" ID des Browsers zu entfernen.

(Google Chrome: Eindeutige Nummer des Browsers abschalten). Inwieweit dieses durch Updates seitens google noch weiterhin möglich sein wird ist jedoch offen.

Carsten Knobloch aus Bremerhaven hat nun auch eine Portable Version von Chrome für Windows.

Das OfficeBlog berichtet über die "Clean Desk Policy" und verlinkt hierbei ein Suchbild zum Thema mit einen besonderen Schwerpunkt auf Datenschutz.

Nachtrag:
Der Artikel wurde aktualisiert und die Originallinks sind leider offline.
Aber immerhin eine Quelle gibt es noch:
What's wrong with this picture? The NEW clean desk test

Die Umsetzung der Datenschutzbestimmungen hat innerhalb Deutschlands die Gesetzgebung bspw. innerhalb des BDSG geschafft.

Bundesdatenschutzgesetz

Insbesondere ist hier die Anlage zu § 9 BDSG interessant.

Eine Umsetzung auf Landesebene ist unter
hessenrecht in Form des HDSG zu finden.

Weitere Informationen:

Bundesbeauftragten für den Datenschutz

Der DSTV informiert über die Pflicht der Anstellung eines Datenschutzbeauftragten, wenn die Arbeitnehmerzahl über 4 Personen zählt.

Weitere Infos:
Steuerberaterverband Hessen

Erforderlich ist hierbei eine Abstellung auf den Begriff des Beschäftigten, der Umgang mit Daten hat, dieses ist vergleichbar mit der alten Formulierung des Arbeitnehmerbegriffes.

Somit sind Aushilfen, die nicht mit der Datenverarbeitung zu tun haben, nicht zu den Beschäftigten zu zählen, wenn ich die gesetzlichen Kommentare richtig deute.

Hierbei beziehe ich mich auf folgende Ausführung.

Zusammenfassung:
Auch Aushilfen, die mit personenbezogenen Daten arbeiten, zählen bei der 4-Personen-Grenze gem. §4f BDSG mit!

Vieleicht will der Ein oder Andere ja noch schnell die inverse Suche der Telefonauskunft kündigen.

Das ist die Suche nach Name und Anschrift des Teilnehmers an Hand einer Telefonnummer.
Dies wird ab Oktober 2004 datenschutzrechtlich möglich werden und nicht Jeder hat so was gern.
Wenn du erst Mal in den Verzeichnissen drin stehst wird es warscheinlich nicht gerade einfach sein
wieder rauszukommen. Deswegen bei Bedarf noch im September 2004 kündigen.

Wie gehts? Ganz einfach.

Man rufe von dem Festnetzanschluß der nicht an dieser Suche teilnehmen soll einfach

01375-103300

an, wartet bis der Piepston kommt, löhnt mir der nächsten Telefonrechnung 12ct und fertig.

PS: Wenn du dies Info gut findest sende Sie weiter an deine Freunde, wenn du dich belästigt fühlst lösch sie einfach. :-)