Hosting der Website<\/h3>\n\n\n\n
Hat eines der Unternehmen, das in irgendeiner Form mit der Hosting-Infrastruktur zu tun hat, seinen Sitz in einem unsicheren Drittstaat? Oder steht der Server, der die Website ausliefert, in einem unsicheren Drittstaat? Wie diese \u00dcberpr\u00fcfung funktioniert, erfahren Sie weiter unten.<\/p>\n\n\n\n
Betreiber externer Dienste<\/h3>\n\n\n\n
Analog zum Hosting der Website stellt sich f\u00fcr alle eingebundenen Dienste die Frage: Wo hat das Unternehmen, das den Dienst betreibt, seinen Hauptsitz? Und zus\u00e4tzlich: steht der Webserver des Dienstes in einem unsicheren Drittstaat, oder sind Unternehmen, die die Infrastruktur betreiben in einem unsicheren Drittstaat?<\/p>\n\n\n\n
Den Hauptsitz des Unternehmens zu ermitteln ist keine technische Aufgabe, daf\u00fcr reicht ein Blick ins Impressum oder (wenn nicht vorhanden) eine Recherche durch Google & Co. Ein Beispiel f\u00fcr die technische Pr\u00fcfung lernen Sie weiter unten kennen.<\/p>\n\n\n\n
Empf\u00e4nger von Formulardaten<\/h3>\n\n\n\n
Wenn \u00fcber ein Formular Daten abgeschickt werden, dann gehen sie m\u00f6glicherweise an einen externen Dienst \u2013 f\u00fcr diese gelten dann die gleichen Fragen wie oben. Wie diese Pr\u00fcfung funktioniert beschreiben wir in einem separaten Artikel (der sicher bald erscheint \ud83d\ude42<\/p>\n\n\n\n
Pr\u00fcfen des Server-Standorts und der Infrastruktur<\/h2>\n\n\n\n
Bei jedem der drei oben genannten Aspekte kann die Infrastruktur nach der gleichen Methodik \u00fcberpr\u00fcft werden. Zur Vorbereitung m\u00fcssen wir uns vorab die M\u00f6glichkeiten vor Augen halten, mit denen aktuelle Web-Anwendungen und die eingebundenen externen Dienste betrieben werden k\u00f6nnen.<\/p>\n\n\n\n
On-Premise-Hosting<\/h3>\n\n\n\n![\"\"](\"https:\/\/decareto.com\/wp-content\/uploads\/2023\/01\/on_premise.png\")
<\/figure>\n<\/div>\n\n\nBeim \u201cOn-Premise\u201d-Hosting handelt es sich um den Website-Betrieb in einem Rechenzentrum. Der Standort \u2013 oder zumindest das Land \u2013 des Webservers entspricht dabei dem des Rechenzentrums, und meist auch dem des Providers. Dabei ist mit \u201cWebserver\u201d nat\u00fcrlich kein einzelner Rechner gemeint, sondern die gesamte verbundene Infrastruktur (Router, Load-Balancer, Webserver-Cluster etc.).<\/p>\n\n\n\n
Meist ist auf den Servern des Providers ein Content-Management-System (wie etwa WordPress) oder ein Shopsystem installiert. Die meisten Unternehmen betreiben ihre Website auf diese Weise, auch decareto.<\/p>\n\n\n\n
Platform as a Service<\/h3>\n\n\n\n![\"\"](\"https:\/\/decareto.com\/wp-content\/uploads\/2022\/08\/paas-1024x433.png\")
<\/figure>\n<\/div>\n\n\nSeit einigen Jahren ist \u201cPlatform as a Service\u201d (PaaS), auch als Cloud-Hosting bezeichnet, sowohl bei Website-Betreibern als auch bei Anbietern von externen Diensten sehr popul\u00e4r. Der Grund ist die gro\u00dfe Flexibilit\u00e4t und leichte Skalierbarkeit dieses Verfahrens. Die gro\u00dfen Provider wie Amazon AWS, Microsoft Azure oder Google Cloud Platform betreiben weltweit Rechenzentren, und erm\u00f6glichen einen performanten und ausfallsicheren Betrieb auch bei sehr gro\u00dfen Besucherzahlen.<\/p>\n\n\n\n
Datenschutzrechtlich ist diese Option aber zumindest nicht v\u00f6llig unproblematisch, da sowohl das Rechenzentrum des Cloud-Anbieters als auch dessen Hauptsitz in einem unsicheren Drittstaat lokalisiert sein k\u00f6nnen. Da fast alle Anbieter aus den USA stammen ist letzteres sogar sehr wahrscheinlich.<\/p>\n\n\n\n
Software as a Service<\/h3>\n\n\n\n![\"\"](\"https:\/\/decareto.com\/wp-content\/uploads\/2022\/08\/saas-1024x493.png\")
<\/figure>\n<\/div>\n\n\nAnstatt selber eine Software wie WordPress in einem Rechenzentrum zu hosten, k\u00f6nnen Unternehmen mittlerweile auf Website-Bauk\u00e4sten wie Jimdo oder Cloud-Shopsysteme wie Shopify zur\u00fcckgreifen. Diese Unternehmen betreiben ihre SaaS-Anwendung meist auf gemieteter Infrastruktur, wie der von Amazon AWS oder Google. Hier sind also der Standort des Webservers, der Hauptsitz des SaaS-Unternehmens und der Hauptsitz des Infrastruktur-Betreibers relevant.<\/p>\n\n\n\n
Content-Delivery-Networks<\/h3>\n\n\n\n![\"\"](\"https:\/\/decareto.com\/wp-content\/uploads\/2023\/01\/cdn.png\")
<\/figure>\n<\/div>\n\n\nUm eine stark frequentierte Website bzw. einen Dienst ausfallsicherer, schneller und kosteng\u00fcnstiger zu betreiben setzen Unternehmen oft sogenannte \u201cContent Delivery Networks\u201d (CDNs) von Firmen wie Akamai, Cloudflare oder Fastly ein. Diese haben eine gro\u00dfe Zahl an Zwischenspeicher-Servern weltweit im Einsatz.<\/p>\n\n\n\n
Wenn ein Benutzer auf eine solche Website zugreift, dann baut er keine Verbindung zum eigentlichen Webserver auf, sondern zu einem Server des CDNs. Dieser hat die Daten vorab vom Ursprungs-Server geladen. Dadurch wird die Last auf dem Ursprungs-Server reduziert, und Daten k\u00f6nnen schneller zu Benutzern im jeweiligen Land ausgeliefert werden.<\/p>\n\n\n\n
CDNs k\u00f6nnen mit allen drei oben beschriebenen Varianten kombiniert werden, viele SaaS-Anbieter schalten ihrer Software ein CDN vor. So verwendet der deutsche Anbieter Jimdo bspw. die Infrastruktur von Amazon AWS und zus\u00e4tzlich das CDN des amerikanischen Anbieters Fastly.<\/p>\n\n\n\n
Sie sind aber auch ein potentielles Datenschutz-Risiko, das zeigte sich, als der Einsatz von Cookiebot in Verruf geriet, weil das (d\u00e4nische) Produkt den amerikanischen CDN-Dienstleister Akamai einsetzte (siehe unten).<\/p>\n\n\n\n
So ermitteln Sie Serverstandort und Provider<\/h2>\n\n\n\n
Es ist bemerkenswert einfach, Informationen \u00fcber einen Webserver zu erhalten. Dazu ben\u00f6tigt man lediglich die IP-Adresse des Servers \u2013 den Rest erledigen Online-Dienste, die entsprechende Datenbanken zur Verf\u00fcgung stellen. Diese Dienste werden bspw. f\u00fcr personalisierte Online-Werbung oder Betrugspr\u00e4vention eingesetzt \u2013 der bekannteste Anbieter ist Maxmind, aber es gibt eine gro\u00dfe Zahl derartiger Unternehmen.<\/p>\n\n\n\n
Um die IP-Adresse des Servers herauszufinden gehen Sie wie folgt vor:<\/p>\n\n\n\n
\n- \u00d6ffnen Sie die zu untersuchende Website, und daf\u00fcr dann den Netzwerk-Reiter der Chrome Entwickler-Tools.<\/li>\n\n\n\n
- Klicken Sie mit der rechten Maustaste auf die Spalten und w\u00e4hlen Sie \u201cRemote Address\u201d<\/li>\n\n\n\n
- Anschlie\u00dfend zeigt diese Spalte die IP-Adresse des Servers f\u00fcr jeden einzelnen Request an. Hinter dem Doppelpunkt wird die \u201cPort-Nummer\u201d angezeigt, sie ist 443 f\u00fcr verschl\u00fcsselte und 80 f\u00fcr unverschl\u00fcsselte Verbindungen. Sie ist f\u00fcr die Untersuchung aber nicht relevant und kann ignoriert werden.<\/li>\n\n\n\n
- F\u00fcr unseren Server decareto.de ist die IP-Adresse 83.138.88.57<\/li>\n<\/ul>\n\n\n\n
Online-Datenbanken zur Analyse der IP-Daten<\/h3>\n\n\n\n
Es gibt eine ganze Reihe von Diensten, die zu einer IP-Adresse weiterf\u00fchrende Informationen bereitstellen. F\u00fcr gelegentliche Online-Recherchen sind sie meist kostenfrei. Wir verwenden im n\u00e4chsten Schritt den Dienst \u201cip-api\u201d, er ist verf\u00fcgbar unter ip-api.com.<\/p>\n\n\n\n
Geben Sie dort im Eingabefeld die IP-Adresse ein und best\u00e4tigen Sie mit Klick auf \u201cSearch\u201d. Sie sollten dann folgendes sehen:<\/p>\n\n\n
\n![\"\"](\"https:\/\/decareto.com\/wp-content\/uploads\/2023\/01\/ip-api.png\")
<\/figure>\n<\/div>\n\n\n\n- Unter city und country sehen Sie den Standort des Servers, in diesem Fall Bremen.<\/li>\n\n\n\n
- Unter isp sehen Sie den Namen des Hosting-Providers, \u201chostNet\u201d. Es handelt sich hier wie oben erw\u00e4hnt um ein On-Premise-Hosting bei einem deutschen Provider.<\/li>\n\n\n\n
- Das Feld org enth\u00e4lt manchmal weiterf\u00fchrende Informationen, in diesem Fall aber nicht.<\/li>\n<\/ul>\n\n\n\n
Lassen Sie uns eine weitere Website untersuchen:<\/p>\n\n\n\n\nhttps:\/\/www.justonewayticket.com\n<\/div><\/figure>\n\n\n\n\n- Die Entwickler-Tools zeigen hierf\u00fcr die IP 54.171.81.156<\/li>\n\n\n\n
- Eingabe bei ip-api.com ergibt folgendes Ergebnis:\n
\n- country: Irland<\/li>\n\n\n\n
- isp: Amazon.com, Inc.<\/li>\n\n\n\n
- org: AWS EC2 (eu-west-1)<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n\n\n\n
Hier handelt es sich offenbar um ein Cloud-Hosting mit Amazon Web Services. Ein Blick in die Request im Netzwerk-Reiter gibt zus\u00e4tzliche Anhaltspunkte:<\/p>\n\n\n
\n![\"\"](\"https:\/\/decareto.com\/wp-content\/uploads\/2023\/01\/justoneway.png\")
<\/figure>\n<\/div>\n\n\n\n- Es tauchen zwei Domains sehr h\u00e4ufig auf: assets.jimstatic.com und u.jimcdn.com. Wenn Sie die erste Domain im Browser aufrufen, sehen Sie nicht viel, aber genug um das dahinterstehende Unternehmen zu raten:<\/li>\n<\/ul>\n\n\n\n
![\"\"](\"https:\/\/decareto.com\/wp-content\/uploads\/2023\/01\/jimstatic.png\")
<\/figure>\n<\/div>\n\n\nDiese Website verwendet also den deutschen Website-Baukasten Jimdo, welcher wiederum (auch das haben wir oben schon erw\u00e4hnt) auf der Infrastruktur von Amazon Web Services l\u00e4uft. Der Serverstandort ist Irland. Amazon ist jedoch ein US-amerikanisches Unternehmen.<\/p>\n\n\n\n
Das Cookiebot-Problem<\/h2>\n\n\n\n
Das Verwaltungsgericht Wiesbaden hatte am 01.12.2021 den Einsatz des Consent-Tools Cookiebot als nicht zul\u00e4ssig eingestuft, weil es Daten in unsichere Drittstaaten \u00fcbertr\u00e4gt. Das Urteil wurde zwar vom Verwaltungsgerichtshof Hessen wieder kassiert, es hat aber in der Datensch\u00fctzer-Community f\u00fcr einige Aufregung gesorgt, weil es die Problematik von Hosting-Infrastrukturen im Ausland deutlich macht.<\/p>\n\n\n\n
Das Unternehmen Cookiebot sitzt in D\u00e4nemark. Was war also problematisch am Einsatz der Software? Und sind m\u00f6glicherweise auch andere Dienste europ\u00e4ischer Anbieter betroffen? Um das zu kl\u00e4ren, \u00f6ffnen wir die Website www.bkk24.de, die Cookiebot einsetzt, und identifizieren zun\u00e4chst die Netzwerk-Requests, die zum Dienst Cookiebot geh\u00f6ren.<\/p>\n\n\n
\n![\"\"](\"https:\/\/decareto.com\/wp-content\/uploads\/2023\/01\/cookiebot_1-1024x644.png\")
<\/figure>\n<\/div>\n\n\n\n- Der im Screenshot zu sehende Request https:\/\/consent.cookiebot.com\/uc.js geh\u00f6rt der Domain nach zu urteilen zu Cookiebot. Eine weitergehende Recherche diesbez\u00fcglich ersparen wir uns\u2026<\/li>\n\n\n\n
- Der Server consent.cookiebot.com hat die IP-Adresse 2.16.204.144<\/li>\n\n\n\n
- Wir \u00fcberpr\u00fcfen sie mit ip-api.com und erhalten folgendes Ergebnis:\n
\n- city, country: Hamburg \/ Germany<\/li>\n\n\n\n
- isp: Akamai Technologies<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n\n\n\n
Der Webserver geh\u00f6rt also zum US-Amerikanischen Content Delivery Network Akamai. Datenschutzrechtlich problematisch, auch wenn der physikalische Standort des Servers in Deutschland ist.<\/p>\n\n\n\n
Es handelt sich hier um ein Hosting wie oben im Abschnitt \u201cContent-Delivery-Networks\u201d beschrieben. Leider schirmt das CDN den Ursprungsserver ab, es ist also nicht m\u00f6glich, herauszufinden, wo Cookiebot tats\u00e4chlich gehostet wird. Es k\u00f6nnten Server in D\u00e4nemark sein, aber genauso gut eine Infrastruktur wie Amazon Web Services.<\/p>\n\n\n\n
Wen betrifft das noch?<\/h3>\n\n\n\n
Man k\u00f6nnte nun auf den Gedanken kommen, sich die Hosting-Infrastruktur anderer europ\u00e4ischer Dienste genauer anzuschauen, zum Beispiel die von Usercentrics. Der deutsche Platzhirsch im Bereich Consent-Management hat im Jahr 2021 mit Cookiebot fusioniert, verwendet man dort vielleicht auch Akamai?<\/p>\n\n\n\n
Die folgende Website verwendet Usercentrics, und wir erkennen im Netzwerkreiter die entsprechenden Requests des Dienstes:<\/p>\n\n\n
\n![\"\"](\"https:\/\/decareto.com\/wp-content\/uploads\/2023\/01\/usercentrics_1-1024x712.png\")
<\/figure>\n<\/div>\n\n\n\n- Im Screenshot zeigt der Pfeil auf Requests von zwei verschiedenen Domains, die offenbar zu Usercentrics geh\u00f6ren: api.usercentrics.eu und app.usercentrics.eu.<\/li>\n\n\n\n
- Wir untersuchen beispielhaft api.usercentrics.com mit der IP-Adresse 35.241.3.184\n
\n- Wir \u00fcberpr\u00fcfen sie mit ip-api.com und erhalten folgendes Ergebnis:<\/li>\n\n\n\n
- city, country: Kansas City \/ USA<\/li>\n\n\n\n
- isp: Google LLC<\/li>\n\n\n\n
- org: Google Cloud<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n\n\n\n
Usercentrics betreibt also sein Produkt auf der Infrastruktur der Google Cloud Platform, und der Serverstandort ist in den USA. Analog zu Cookiebot muss man schlussfolgern, dass das datenschutzrechtlich m\u00f6glicherweise problematisch ist, zumal Usercentrics ja eigentlich beim Einhalten von Datenschutzrichtlinien helfen sollte.<\/p>\n","protected":false},"excerpt":{"rendered":"
Der Themenkomplex \u201cDatenverarbeitung in unsicheren Drittstaaten\u201d hat bei Unternehmen zu einer massiven Rechtsunsicherheit gesorgt. Wenn man es 100% genau nimmt, dann d\u00fcrften Cloud-Dienste von Amazon oder Microsoft \u00fcberhaupt nicht mehr eingesetzt werden, mit unabsehbaren Auswirkungen auf die heimischen Unternehmen und die Verwaltung. Eine verl\u00e4ssliche Rechtsprechung dazu gibt es aber nicht, und so bleibt es vorerst […]<\/p>\n","protected":false},"author":2,"featured_media":2382,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"_seopress_robots_primary_cat":"none","_seopress_titles_title":"Check: Verarbeitet Website Daten im Ausland? > Test in 3 Schritten","_seopress_titles_desc":"Pr\u00fcfen Sie, ob Ihre Website Daten im Ausland verarbeitet: Daten\u00fcbertragungskriterien - Serverstandort und Infrastruktur pr\u00fcfen - Das Cookiebot-Problem","_seopress_robots_index":"","footnotes":""},"categories":[10],"tags":[],"class_list":["post-991","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tutorials-and-know-how"],"acf":[],"_links":{"self":[{"href":"https:\/\/decareto.com\/de\/wp-json\/wp\/v2\/posts\/991","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/decareto.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/decareto.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/decareto.com\/de\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/decareto.com\/de\/wp-json\/wp\/v2\/comments?post=991"}],"version-history":[{"count":5,"href":"https:\/\/decareto.com\/de\/wp-json\/wp\/v2\/posts\/991\/revisions"}],"predecessor-version":[{"id":2758,"href":"https:\/\/decareto.com\/de\/wp-json\/wp\/v2\/posts\/991\/revisions\/2758"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/decareto.com\/de\/wp-json\/wp\/v2\/media\/2382"}],"wp:attachment":[{"href":"https:\/\/decareto.com\/de\/wp-json\/wp\/v2\/media?parent=991"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/decareto.com\/de\/wp-json\/wp\/v2\/categories?post=991"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/decareto.com\/de\/wp-json\/wp\/v2\/tags?post=991"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
<\/figure>\n<\/div>\n\n\nBeim \u201cOn-Premise\u201d-Hosting handelt es sich um den Website-Betrieb in einem Rechenzentrum. Der Standort \u2013 oder zumindest das Land \u2013 des Webservers entspricht dabei dem des Rechenzentrums, und meist auch dem des Providers. Dabei ist mit \u201cWebserver\u201d nat\u00fcrlich kein einzelner Rechner gemeint, sondern die gesamte verbundene Infrastruktur (Router, Load-Balancer, Webserver-Cluster etc.).<\/p>\n\n\n\n
Meist ist auf den Servern des Providers ein Content-Management-System (wie etwa WordPress) oder ein Shopsystem installiert. Die meisten Unternehmen betreiben ihre Website auf diese Weise, auch decareto.<\/p>\n\n\n\n
Platform as a Service<\/h3>\n\n\n\n<\/figure>\n<\/div>\n\n\nSeit einigen Jahren ist \u201cPlatform as a Service\u201d (PaaS), auch als Cloud-Hosting bezeichnet, sowohl bei Website-Betreibern als auch bei Anbietern von externen Diensten sehr popul\u00e4r. Der Grund ist die gro\u00dfe Flexibilit\u00e4t und leichte Skalierbarkeit dieses Verfahrens. Die gro\u00dfen Provider wie Amazon AWS, Microsoft Azure oder Google Cloud Platform betreiben weltweit Rechenzentren, und erm\u00f6glichen einen performanten und ausfallsicheren Betrieb auch bei sehr gro\u00dfen Besucherzahlen.<\/p>\n\n\n\n
Datenschutzrechtlich ist diese Option aber zumindest nicht v\u00f6llig unproblematisch, da sowohl das Rechenzentrum des Cloud-Anbieters als auch dessen Hauptsitz in einem unsicheren Drittstaat lokalisiert sein k\u00f6nnen. Da fast alle Anbieter aus den USA stammen ist letzteres sogar sehr wahrscheinlich.<\/p>\n\n\n\n
Software as a Service<\/h3>\n\n\n\n<\/figure>\n<\/div>\n\n\nAnstatt selber eine Software wie WordPress in einem Rechenzentrum zu hosten, k\u00f6nnen Unternehmen mittlerweile auf Website-Bauk\u00e4sten wie Jimdo oder Cloud-Shopsysteme wie Shopify zur\u00fcckgreifen. Diese Unternehmen betreiben ihre SaaS-Anwendung meist auf gemieteter Infrastruktur, wie der von Amazon AWS oder Google. Hier sind also der Standort des Webservers, der Hauptsitz des SaaS-Unternehmens und der Hauptsitz des Infrastruktur-Betreibers relevant.<\/p>\n\n\n\n
Content-Delivery-Networks<\/h3>\n\n\n\n<\/figure>\n<\/div>\n\n\nUm eine stark frequentierte Website bzw. einen Dienst ausfallsicherer, schneller und kosteng\u00fcnstiger zu betreiben setzen Unternehmen oft sogenannte \u201cContent Delivery Networks\u201d (CDNs) von Firmen wie Akamai, Cloudflare oder Fastly ein. Diese haben eine gro\u00dfe Zahl an Zwischenspeicher-Servern weltweit im Einsatz.<\/p>\n\n\n\n
Wenn ein Benutzer auf eine solche Website zugreift, dann baut er keine Verbindung zum eigentlichen Webserver auf, sondern zu einem Server des CDNs. Dieser hat die Daten vorab vom Ursprungs-Server geladen. Dadurch wird die Last auf dem Ursprungs-Server reduziert, und Daten k\u00f6nnen schneller zu Benutzern im jeweiligen Land ausgeliefert werden.<\/p>\n\n\n\n
CDNs k\u00f6nnen mit allen drei oben beschriebenen Varianten kombiniert werden, viele SaaS-Anbieter schalten ihrer Software ein CDN vor. So verwendet der deutsche Anbieter Jimdo bspw. die Infrastruktur von Amazon AWS und zus\u00e4tzlich das CDN des amerikanischen Anbieters Fastly.<\/p>\n\n\n\n
Sie sind aber auch ein potentielles Datenschutz-Risiko, das zeigte sich, als der Einsatz von Cookiebot in Verruf geriet, weil das (d\u00e4nische) Produkt den amerikanischen CDN-Dienstleister Akamai einsetzte (siehe unten).<\/p>\n\n\n\n
So ermitteln Sie Serverstandort und Provider<\/h2>\n\n\n\n
Es ist bemerkenswert einfach, Informationen \u00fcber einen Webserver zu erhalten. Dazu ben\u00f6tigt man lediglich die IP-Adresse des Servers \u2013 den Rest erledigen Online-Dienste, die entsprechende Datenbanken zur Verf\u00fcgung stellen. Diese Dienste werden bspw. f\u00fcr personalisierte Online-Werbung oder Betrugspr\u00e4vention eingesetzt \u2013 der bekannteste Anbieter ist Maxmind, aber es gibt eine gro\u00dfe Zahl derartiger Unternehmen.<\/p>\n\n\n\n
Um die IP-Adresse des Servers herauszufinden gehen Sie wie folgt vor:<\/p>\n\n\n\n
\n- \u00d6ffnen Sie die zu untersuchende Website, und daf\u00fcr dann den Netzwerk-Reiter der Chrome Entwickler-Tools.<\/li>\n\n\n\n
- Klicken Sie mit der rechten Maustaste auf die Spalten und w\u00e4hlen Sie \u201cRemote Address\u201d<\/li>\n\n\n\n
- Anschlie\u00dfend zeigt diese Spalte die IP-Adresse des Servers f\u00fcr jeden einzelnen Request an. Hinter dem Doppelpunkt wird die \u201cPort-Nummer\u201d angezeigt, sie ist 443 f\u00fcr verschl\u00fcsselte und 80 f\u00fcr unverschl\u00fcsselte Verbindungen. Sie ist f\u00fcr die Untersuchung aber nicht relevant und kann ignoriert werden.<\/li>\n\n\n\n
- F\u00fcr unseren Server decareto.de ist die IP-Adresse 83.138.88.57<\/li>\n<\/ul>\n\n\n\n
Online-Datenbanken zur Analyse der IP-Daten<\/h3>\n\n\n\n
Es gibt eine ganze Reihe von Diensten, die zu einer IP-Adresse weiterf\u00fchrende Informationen bereitstellen. F\u00fcr gelegentliche Online-Recherchen sind sie meist kostenfrei. Wir verwenden im n\u00e4chsten Schritt den Dienst \u201cip-api\u201d, er ist verf\u00fcgbar unter ip-api.com.<\/p>\n\n\n\n
Geben Sie dort im Eingabefeld die IP-Adresse ein und best\u00e4tigen Sie mit Klick auf \u201cSearch\u201d. Sie sollten dann folgendes sehen:<\/p>\n\n\n
\n<\/figure>\n<\/div>\n\n\n\n- Unter city und country sehen Sie den Standort des Servers, in diesem Fall Bremen.<\/li>\n\n\n\n
- Unter isp sehen Sie den Namen des Hosting-Providers, \u201chostNet\u201d. Es handelt sich hier wie oben erw\u00e4hnt um ein On-Premise-Hosting bei einem deutschen Provider.<\/li>\n\n\n\n
- Das Feld org enth\u00e4lt manchmal weiterf\u00fchrende Informationen, in diesem Fall aber nicht.<\/li>\n<\/ul>\n\n\n\n
Lassen Sie uns eine weitere Website untersuchen:<\/p>\n\n\n\n\nhttps:\/\/www.justonewayticket.com\n<\/div><\/figure>\n\n\n\n\n- Die Entwickler-Tools zeigen hierf\u00fcr die IP 54.171.81.156<\/li>\n\n\n\n
- Eingabe bei ip-api.com ergibt folgendes Ergebnis:\n
\n- country: Irland<\/li>\n\n\n\n
- isp: Amazon.com, Inc.<\/li>\n\n\n\n
- org: AWS EC2 (eu-west-1)<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n\n\n\n
Hier handelt es sich offenbar um ein Cloud-Hosting mit Amazon Web Services. Ein Blick in die Request im Netzwerk-Reiter gibt zus\u00e4tzliche Anhaltspunkte:<\/p>\n\n\n
\n<\/figure>\n<\/div>\n\n\n\n- Es tauchen zwei Domains sehr h\u00e4ufig auf: assets.jimstatic.com und u.jimcdn.com. Wenn Sie die erste Domain im Browser aufrufen, sehen Sie nicht viel, aber genug um das dahinterstehende Unternehmen zu raten:<\/li>\n<\/ul>\n\n\n\n
<\/figure>\n<\/div>\n\n\nDiese Website verwendet also den deutschen Website-Baukasten Jimdo, welcher wiederum (auch das haben wir oben schon erw\u00e4hnt) auf der Infrastruktur von Amazon Web Services l\u00e4uft. Der Serverstandort ist Irland. Amazon ist jedoch ein US-amerikanisches Unternehmen.<\/p>\n\n\n\n
Das Cookiebot-Problem<\/h2>\n\n\n\n
Das Verwaltungsgericht Wiesbaden hatte am 01.12.2021 den Einsatz des Consent-Tools Cookiebot als nicht zul\u00e4ssig eingestuft, weil es Daten in unsichere Drittstaaten \u00fcbertr\u00e4gt. Das Urteil wurde zwar vom Verwaltungsgerichtshof Hessen wieder kassiert, es hat aber in der Datensch\u00fctzer-Community f\u00fcr einige Aufregung gesorgt, weil es die Problematik von Hosting-Infrastrukturen im Ausland deutlich macht.<\/p>\n\n\n\n
Das Unternehmen Cookiebot sitzt in D\u00e4nemark. Was war also problematisch am Einsatz der Software? Und sind m\u00f6glicherweise auch andere Dienste europ\u00e4ischer Anbieter betroffen? Um das zu kl\u00e4ren, \u00f6ffnen wir die Website www.bkk24.de, die Cookiebot einsetzt, und identifizieren zun\u00e4chst die Netzwerk-Requests, die zum Dienst Cookiebot geh\u00f6ren.<\/p>\n\n\n
\n<\/figure>\n<\/div>\n\n\n\n- Der im Screenshot zu sehende Request https:\/\/consent.cookiebot.com\/uc.js geh\u00f6rt der Domain nach zu urteilen zu Cookiebot. Eine weitergehende Recherche diesbez\u00fcglich ersparen wir uns\u2026<\/li>\n\n\n\n
- Der Server consent.cookiebot.com hat die IP-Adresse 2.16.204.144<\/li>\n\n\n\n
- Wir \u00fcberpr\u00fcfen sie mit ip-api.com und erhalten folgendes Ergebnis:\n
\n- city, country: Hamburg \/ Germany<\/li>\n\n\n\n
- isp: Akamai Technologies<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n\n\n\n
Der Webserver geh\u00f6rt also zum US-Amerikanischen Content Delivery Network Akamai. Datenschutzrechtlich problematisch, auch wenn der physikalische Standort des Servers in Deutschland ist.<\/p>\n\n\n\n
Es handelt sich hier um ein Hosting wie oben im Abschnitt \u201cContent-Delivery-Networks\u201d beschrieben. Leider schirmt das CDN den Ursprungsserver ab, es ist also nicht m\u00f6glich, herauszufinden, wo Cookiebot tats\u00e4chlich gehostet wird. Es k\u00f6nnten Server in D\u00e4nemark sein, aber genauso gut eine Infrastruktur wie Amazon Web Services.<\/p>\n\n\n\n
Wen betrifft das noch?<\/h3>\n\n\n\n
Man k\u00f6nnte nun auf den Gedanken kommen, sich die Hosting-Infrastruktur anderer europ\u00e4ischer Dienste genauer anzuschauen, zum Beispiel die von Usercentrics. Der deutsche Platzhirsch im Bereich Consent-Management hat im Jahr 2021 mit Cookiebot fusioniert, verwendet man dort vielleicht auch Akamai?<\/p>\n\n\n\n
Die folgende Website verwendet Usercentrics, und wir erkennen im Netzwerkreiter die entsprechenden Requests des Dienstes:<\/p>\n\n\n
\n<\/figure>\n<\/div>\n\n\n\n- Im Screenshot zeigt der Pfeil auf Requests von zwei verschiedenen Domains, die offenbar zu Usercentrics geh\u00f6ren: api.usercentrics.eu und app.usercentrics.eu.<\/li>\n\n\n\n
- Wir untersuchen beispielhaft api.usercentrics.com mit der IP-Adresse 35.241.3.184\n
\n- Wir \u00fcberpr\u00fcfen sie mit ip-api.com und erhalten folgendes Ergebnis:<\/li>\n\n\n\n
- city, country: Kansas City \/ USA<\/li>\n\n\n\n
- isp: Google LLC<\/li>\n\n\n\n
- org: Google Cloud<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n\n\n\n
Usercentrics betreibt also sein Produkt auf der Infrastruktur der Google Cloud Platform, und der Serverstandort ist in den USA. Analog zu Cookiebot muss man schlussfolgern, dass das datenschutzrechtlich m\u00f6glicherweise problematisch ist, zumal Usercentrics ja eigentlich beim Einhalten von Datenschutzrichtlinien helfen sollte.<\/p>\n","protected":false},"excerpt":{"rendered":"
Der Themenkomplex \u201cDatenverarbeitung in unsicheren Drittstaaten\u201d hat bei Unternehmen zu einer massiven Rechtsunsicherheit gesorgt. Wenn man es 100% genau nimmt, dann d\u00fcrften Cloud-Dienste von Amazon oder Microsoft \u00fcberhaupt nicht mehr eingesetzt werden, mit unabsehbaren Auswirkungen auf die heimischen Unternehmen und die Verwaltung. Eine verl\u00e4ssliche Rechtsprechung dazu gibt es aber nicht, und so bleibt es vorerst […]<\/p>\n","protected":false},"author":2,"featured_media":2382,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"_seopress_robots_primary_cat":"none","_seopress_titles_title":"Check: Verarbeitet Website Daten im Ausland? > Test in 3 Schritten","_seopress_titles_desc":"Pr\u00fcfen Sie, ob Ihre Website Daten im Ausland verarbeitet: Daten\u00fcbertragungskriterien - Serverstandort und Infrastruktur pr\u00fcfen - Das Cookiebot-Problem","_seopress_robots_index":"","footnotes":""},"categories":[10],"tags":[],"class_list":["post-991","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tutorials-and-know-how"],"acf":[],"_links":{"self":[{"href":"https:\/\/decareto.com\/de\/wp-json\/wp\/v2\/posts\/991","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/decareto.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/decareto.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/decareto.com\/de\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/decareto.com\/de\/wp-json\/wp\/v2\/comments?post=991"}],"version-history":[{"count":5,"href":"https:\/\/decareto.com\/de\/wp-json\/wp\/v2\/posts\/991\/revisions"}],"predecessor-version":[{"id":2758,"href":"https:\/\/decareto.com\/de\/wp-json\/wp\/v2\/posts\/991\/revisions\/2758"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/decareto.com\/de\/wp-json\/wp\/v2\/media\/2382"}],"wp:attachment":[{"href":"https:\/\/decareto.com\/de\/wp-json\/wp\/v2\/media?parent=991"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/decareto.com\/de\/wp-json\/wp\/v2\/categories?post=991"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/decareto.com\/de\/wp-json\/wp\/v2\/tags?post=991"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
<\/figure>\n<\/div>\n\n\nSeit einigen Jahren ist \u201cPlatform as a Service\u201d (PaaS), auch als Cloud-Hosting bezeichnet, sowohl bei Website-Betreibern als auch bei Anbietern von externen Diensten sehr popul\u00e4r. Der Grund ist die gro\u00dfe Flexibilit\u00e4t und leichte Skalierbarkeit dieses Verfahrens. Die gro\u00dfen Provider wie Amazon AWS, Microsoft Azure oder Google Cloud Platform betreiben weltweit Rechenzentren, und erm\u00f6glichen einen performanten und ausfallsicheren Betrieb auch bei sehr gro\u00dfen Besucherzahlen.<\/p>\n\n\n\n
Datenschutzrechtlich ist diese Option aber zumindest nicht v\u00f6llig unproblematisch, da sowohl das Rechenzentrum des Cloud-Anbieters als auch dessen Hauptsitz in einem unsicheren Drittstaat lokalisiert sein k\u00f6nnen. Da fast alle Anbieter aus den USA stammen ist letzteres sogar sehr wahrscheinlich.<\/p>\n\n\n\n
Software as a Service<\/h3>\n\n\n\n<\/figure>\n<\/div>\n\n\nAnstatt selber eine Software wie WordPress in einem Rechenzentrum zu hosten, k\u00f6nnen Unternehmen mittlerweile auf Website-Bauk\u00e4sten wie Jimdo oder Cloud-Shopsysteme wie Shopify zur\u00fcckgreifen. Diese Unternehmen betreiben ihre SaaS-Anwendung meist auf gemieteter Infrastruktur, wie der von Amazon AWS oder Google. Hier sind also der Standort des Webservers, der Hauptsitz des SaaS-Unternehmens und der Hauptsitz des Infrastruktur-Betreibers relevant.<\/p>\n\n\n\n
Content-Delivery-Networks<\/h3>\n\n\n\n<\/figure>\n<\/div>\n\n\nUm eine stark frequentierte Website bzw. einen Dienst ausfallsicherer, schneller und kosteng\u00fcnstiger zu betreiben setzen Unternehmen oft sogenannte \u201cContent Delivery Networks\u201d (CDNs) von Firmen wie Akamai, Cloudflare oder Fastly ein. Diese haben eine gro\u00dfe Zahl an Zwischenspeicher-Servern weltweit im Einsatz.<\/p>\n\n\n\n
Wenn ein Benutzer auf eine solche Website zugreift, dann baut er keine Verbindung zum eigentlichen Webserver auf, sondern zu einem Server des CDNs. Dieser hat die Daten vorab vom Ursprungs-Server geladen. Dadurch wird die Last auf dem Ursprungs-Server reduziert, und Daten k\u00f6nnen schneller zu Benutzern im jeweiligen Land ausgeliefert werden.<\/p>\n\n\n\n
CDNs k\u00f6nnen mit allen drei oben beschriebenen Varianten kombiniert werden, viele SaaS-Anbieter schalten ihrer Software ein CDN vor. So verwendet der deutsche Anbieter Jimdo bspw. die Infrastruktur von Amazon AWS und zus\u00e4tzlich das CDN des amerikanischen Anbieters Fastly.<\/p>\n\n\n\n
Sie sind aber auch ein potentielles Datenschutz-Risiko, das zeigte sich, als der Einsatz von Cookiebot in Verruf geriet, weil das (d\u00e4nische) Produkt den amerikanischen CDN-Dienstleister Akamai einsetzte (siehe unten).<\/p>\n\n\n\n
So ermitteln Sie Serverstandort und Provider<\/h2>\n\n\n\n
Es ist bemerkenswert einfach, Informationen \u00fcber einen Webserver zu erhalten. Dazu ben\u00f6tigt man lediglich die IP-Adresse des Servers \u2013 den Rest erledigen Online-Dienste, die entsprechende Datenbanken zur Verf\u00fcgung stellen. Diese Dienste werden bspw. f\u00fcr personalisierte Online-Werbung oder Betrugspr\u00e4vention eingesetzt \u2013 der bekannteste Anbieter ist Maxmind, aber es gibt eine gro\u00dfe Zahl derartiger Unternehmen.<\/p>\n\n\n\n
Um die IP-Adresse des Servers herauszufinden gehen Sie wie folgt vor:<\/p>\n\n\n\n
\n- \u00d6ffnen Sie die zu untersuchende Website, und daf\u00fcr dann den Netzwerk-Reiter der Chrome Entwickler-Tools.<\/li>\n\n\n\n
- Klicken Sie mit der rechten Maustaste auf die Spalten und w\u00e4hlen Sie \u201cRemote Address\u201d<\/li>\n\n\n\n
- Anschlie\u00dfend zeigt diese Spalte die IP-Adresse des Servers f\u00fcr jeden einzelnen Request an. Hinter dem Doppelpunkt wird die \u201cPort-Nummer\u201d angezeigt, sie ist 443 f\u00fcr verschl\u00fcsselte und 80 f\u00fcr unverschl\u00fcsselte Verbindungen. Sie ist f\u00fcr die Untersuchung aber nicht relevant und kann ignoriert werden.<\/li>\n\n\n\n
- F\u00fcr unseren Server decareto.de ist die IP-Adresse 83.138.88.57<\/li>\n<\/ul>\n\n\n\n
Online-Datenbanken zur Analyse der IP-Daten<\/h3>\n\n\n\n
Es gibt eine ganze Reihe von Diensten, die zu einer IP-Adresse weiterf\u00fchrende Informationen bereitstellen. F\u00fcr gelegentliche Online-Recherchen sind sie meist kostenfrei. Wir verwenden im n\u00e4chsten Schritt den Dienst \u201cip-api\u201d, er ist verf\u00fcgbar unter ip-api.com.<\/p>\n\n\n\n
Geben Sie dort im Eingabefeld die IP-Adresse ein und best\u00e4tigen Sie mit Klick auf \u201cSearch\u201d. Sie sollten dann folgendes sehen:<\/p>\n\n\n
\n<\/figure>\n<\/div>\n\n\n\n- Unter city und country sehen Sie den Standort des Servers, in diesem Fall Bremen.<\/li>\n\n\n\n
- Unter isp sehen Sie den Namen des Hosting-Providers, \u201chostNet\u201d. Es handelt sich hier wie oben erw\u00e4hnt um ein On-Premise-Hosting bei einem deutschen Provider.<\/li>\n\n\n\n
- Das Feld org enth\u00e4lt manchmal weiterf\u00fchrende Informationen, in diesem Fall aber nicht.<\/li>\n<\/ul>\n\n\n\n
Lassen Sie uns eine weitere Website untersuchen:<\/p>\n\n\n\n\nhttps:\/\/www.justonewayticket.com\n<\/div><\/figure>\n\n\n\n\n- Die Entwickler-Tools zeigen hierf\u00fcr die IP 54.171.81.156<\/li>\n\n\n\n
- Eingabe bei ip-api.com ergibt folgendes Ergebnis:\n
\n- country: Irland<\/li>\n\n\n\n
- isp: Amazon.com, Inc.<\/li>\n\n\n\n
- org: AWS EC2 (eu-west-1)<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n\n\n\n
Hier handelt es sich offenbar um ein Cloud-Hosting mit Amazon Web Services. Ein Blick in die Request im Netzwerk-Reiter gibt zus\u00e4tzliche Anhaltspunkte:<\/p>\n\n\n
\n<\/figure>\n<\/div>\n\n\n\n- Es tauchen zwei Domains sehr h\u00e4ufig auf: assets.jimstatic.com und u.jimcdn.com. Wenn Sie die erste Domain im Browser aufrufen, sehen Sie nicht viel, aber genug um das dahinterstehende Unternehmen zu raten:<\/li>\n<\/ul>\n\n\n\n
<\/figure>\n<\/div>\n\n\nDiese Website verwendet also den deutschen Website-Baukasten Jimdo, welcher wiederum (auch das haben wir oben schon erw\u00e4hnt) auf der Infrastruktur von Amazon Web Services l\u00e4uft. Der Serverstandort ist Irland. Amazon ist jedoch ein US-amerikanisches Unternehmen.<\/p>\n\n\n\n
Das Cookiebot-Problem<\/h2>\n\n\n\n
Das Verwaltungsgericht Wiesbaden hatte am 01.12.2021 den Einsatz des Consent-Tools Cookiebot als nicht zul\u00e4ssig eingestuft, weil es Daten in unsichere Drittstaaten \u00fcbertr\u00e4gt. Das Urteil wurde zwar vom Verwaltungsgerichtshof Hessen wieder kassiert, es hat aber in der Datensch\u00fctzer-Community f\u00fcr einige Aufregung gesorgt, weil es die Problematik von Hosting-Infrastrukturen im Ausland deutlich macht.<\/p>\n\n\n\n
Das Unternehmen Cookiebot sitzt in D\u00e4nemark. Was war also problematisch am Einsatz der Software? Und sind m\u00f6glicherweise auch andere Dienste europ\u00e4ischer Anbieter betroffen? Um das zu kl\u00e4ren, \u00f6ffnen wir die Website www.bkk24.de, die Cookiebot einsetzt, und identifizieren zun\u00e4chst die Netzwerk-Requests, die zum Dienst Cookiebot geh\u00f6ren.<\/p>\n\n\n
\n<\/figure>\n<\/div>\n\n\n\n- Der im Screenshot zu sehende Request https:\/\/consent.cookiebot.com\/uc.js geh\u00f6rt der Domain nach zu urteilen zu Cookiebot. Eine weitergehende Recherche diesbez\u00fcglich ersparen wir uns\u2026<\/li>\n\n\n\n
- Der Server consent.cookiebot.com hat die IP-Adresse 2.16.204.144<\/li>\n\n\n\n
- Wir \u00fcberpr\u00fcfen sie mit ip-api.com und erhalten folgendes Ergebnis:\n
\n- city, country: Hamburg \/ Germany<\/li>\n\n\n\n
- isp: Akamai Technologies<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n\n\n\n
Der Webserver geh\u00f6rt also zum US-Amerikanischen Content Delivery Network Akamai. Datenschutzrechtlich problematisch, auch wenn der physikalische Standort des Servers in Deutschland ist.<\/p>\n\n\n\n
Es handelt sich hier um ein Hosting wie oben im Abschnitt \u201cContent-Delivery-Networks\u201d beschrieben. Leider schirmt das CDN den Ursprungsserver ab, es ist also nicht m\u00f6glich, herauszufinden, wo Cookiebot tats\u00e4chlich gehostet wird. Es k\u00f6nnten Server in D\u00e4nemark sein, aber genauso gut eine Infrastruktur wie Amazon Web Services.<\/p>\n\n\n\n
Wen betrifft das noch?<\/h3>\n\n\n\n
Man k\u00f6nnte nun auf den Gedanken kommen, sich die Hosting-Infrastruktur anderer europ\u00e4ischer Dienste genauer anzuschauen, zum Beispiel die von Usercentrics. Der deutsche Platzhirsch im Bereich Consent-Management hat im Jahr 2021 mit Cookiebot fusioniert, verwendet man dort vielleicht auch Akamai?<\/p>\n\n\n\n
Die folgende Website verwendet Usercentrics, und wir erkennen im Netzwerkreiter die entsprechenden Requests des Dienstes:<\/p>\n\n\n
\n<\/figure>\n<\/div>\n\n\n\n- Im Screenshot zeigt der Pfeil auf Requests von zwei verschiedenen Domains, die offenbar zu Usercentrics geh\u00f6ren: api.usercentrics.eu und app.usercentrics.eu.<\/li>\n\n\n\n
- Wir untersuchen beispielhaft api.usercentrics.com mit der IP-Adresse 35.241.3.184\n
\n- Wir \u00fcberpr\u00fcfen sie mit ip-api.com und erhalten folgendes Ergebnis:<\/li>\n\n\n\n
- city, country: Kansas City \/ USA<\/li>\n\n\n\n
- isp: Google LLC<\/li>\n\n\n\n
- org: Google Cloud<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n\n\n\n
Usercentrics betreibt also sein Produkt auf der Infrastruktur der Google Cloud Platform, und der Serverstandort ist in den USA. Analog zu Cookiebot muss man schlussfolgern, dass das datenschutzrechtlich m\u00f6glicherweise problematisch ist, zumal Usercentrics ja eigentlich beim Einhalten von Datenschutzrichtlinien helfen sollte.<\/p>\n","protected":false},"excerpt":{"rendered":"
Der Themenkomplex \u201cDatenverarbeitung in unsicheren Drittstaaten\u201d hat bei Unternehmen zu einer massiven Rechtsunsicherheit gesorgt. Wenn man es 100% genau nimmt, dann d\u00fcrften Cloud-Dienste von Amazon oder Microsoft \u00fcberhaupt nicht mehr eingesetzt werden, mit unabsehbaren Auswirkungen auf die heimischen Unternehmen und die Verwaltung. Eine verl\u00e4ssliche Rechtsprechung dazu gibt es aber nicht, und so bleibt es vorerst […]<\/p>\n","protected":false},"author":2,"featured_media":2382,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"_seopress_robots_primary_cat":"none","_seopress_titles_title":"Check: Verarbeitet Website Daten im Ausland? > Test in 3 Schritten","_seopress_titles_desc":"Pr\u00fcfen Sie, ob Ihre Website Daten im Ausland verarbeitet: Daten\u00fcbertragungskriterien - Serverstandort und Infrastruktur pr\u00fcfen - Das Cookiebot-Problem","_seopress_robots_index":"","footnotes":""},"categories":[10],"tags":[],"class_list":["post-991","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tutorials-and-know-how"],"acf":[],"_links":{"self":[{"href":"https:\/\/decareto.com\/de\/wp-json\/wp\/v2\/posts\/991","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/decareto.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/decareto.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/decareto.com\/de\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/decareto.com\/de\/wp-json\/wp\/v2\/comments?post=991"}],"version-history":[{"count":5,"href":"https:\/\/decareto.com\/de\/wp-json\/wp\/v2\/posts\/991\/revisions"}],"predecessor-version":[{"id":2758,"href":"https:\/\/decareto.com\/de\/wp-json\/wp\/v2\/posts\/991\/revisions\/2758"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/decareto.com\/de\/wp-json\/wp\/v2\/media\/2382"}],"wp:attachment":[{"href":"https:\/\/decareto.com\/de\/wp-json\/wp\/v2\/media?parent=991"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/decareto.com\/de\/wp-json\/wp\/v2\/categories?post=991"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/decareto.com\/de\/wp-json\/wp\/v2\/tags?post=991"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
<\/figure>\n<\/div>\n\n\nAnstatt selber eine Software wie WordPress in einem Rechenzentrum zu hosten, k\u00f6nnen Unternehmen mittlerweile auf Website-Bauk\u00e4sten wie Jimdo oder Cloud-Shopsysteme wie Shopify zur\u00fcckgreifen. Diese Unternehmen betreiben ihre SaaS-Anwendung meist auf gemieteter Infrastruktur, wie der von Amazon AWS oder Google. Hier sind also der Standort des Webservers, der Hauptsitz des SaaS-Unternehmens und der Hauptsitz des Infrastruktur-Betreibers relevant.<\/p>\n\n\n\n
Content-Delivery-Networks<\/h3>\n\n\n\n<\/figure>\n<\/div>\n\n\nUm eine stark frequentierte Website bzw. einen Dienst ausfallsicherer, schneller und kosteng\u00fcnstiger zu betreiben setzen Unternehmen oft sogenannte \u201cContent Delivery Networks\u201d (CDNs) von Firmen wie Akamai, Cloudflare oder Fastly ein. Diese haben eine gro\u00dfe Zahl an Zwischenspeicher-Servern weltweit im Einsatz.<\/p>\n\n\n\n
Wenn ein Benutzer auf eine solche Website zugreift, dann baut er keine Verbindung zum eigentlichen Webserver auf, sondern zu einem Server des CDNs. Dieser hat die Daten vorab vom Ursprungs-Server geladen. Dadurch wird die Last auf dem Ursprungs-Server reduziert, und Daten k\u00f6nnen schneller zu Benutzern im jeweiligen Land ausgeliefert werden.<\/p>\n\n\n\n
CDNs k\u00f6nnen mit allen drei oben beschriebenen Varianten kombiniert werden, viele SaaS-Anbieter schalten ihrer Software ein CDN vor. So verwendet der deutsche Anbieter Jimdo bspw. die Infrastruktur von Amazon AWS und zus\u00e4tzlich das CDN des amerikanischen Anbieters Fastly.<\/p>\n\n\n\n
Sie sind aber auch ein potentielles Datenschutz-Risiko, das zeigte sich, als der Einsatz von Cookiebot in Verruf geriet, weil das (d\u00e4nische) Produkt den amerikanischen CDN-Dienstleister Akamai einsetzte (siehe unten).<\/p>\n\n\n\n
So ermitteln Sie Serverstandort und Provider<\/h2>\n\n\n\n
Es ist bemerkenswert einfach, Informationen \u00fcber einen Webserver zu erhalten. Dazu ben\u00f6tigt man lediglich die IP-Adresse des Servers \u2013 den Rest erledigen Online-Dienste, die entsprechende Datenbanken zur Verf\u00fcgung stellen. Diese Dienste werden bspw. f\u00fcr personalisierte Online-Werbung oder Betrugspr\u00e4vention eingesetzt \u2013 der bekannteste Anbieter ist Maxmind, aber es gibt eine gro\u00dfe Zahl derartiger Unternehmen.<\/p>\n\n\n\n
Um die IP-Adresse des Servers herauszufinden gehen Sie wie folgt vor:<\/p>\n\n\n\n
\n- \u00d6ffnen Sie die zu untersuchende Website, und daf\u00fcr dann den Netzwerk-Reiter der Chrome Entwickler-Tools.<\/li>\n\n\n\n
- Klicken Sie mit der rechten Maustaste auf die Spalten und w\u00e4hlen Sie \u201cRemote Address\u201d<\/li>\n\n\n\n
- Anschlie\u00dfend zeigt diese Spalte die IP-Adresse des Servers f\u00fcr jeden einzelnen Request an. Hinter dem Doppelpunkt wird die \u201cPort-Nummer\u201d angezeigt, sie ist 443 f\u00fcr verschl\u00fcsselte und 80 f\u00fcr unverschl\u00fcsselte Verbindungen. Sie ist f\u00fcr die Untersuchung aber nicht relevant und kann ignoriert werden.<\/li>\n\n\n\n
- F\u00fcr unseren Server decareto.de ist die IP-Adresse 83.138.88.57<\/li>\n<\/ul>\n\n\n\n
Online-Datenbanken zur Analyse der IP-Daten<\/h3>\n\n\n\n
Es gibt eine ganze Reihe von Diensten, die zu einer IP-Adresse weiterf\u00fchrende Informationen bereitstellen. F\u00fcr gelegentliche Online-Recherchen sind sie meist kostenfrei. Wir verwenden im n\u00e4chsten Schritt den Dienst \u201cip-api\u201d, er ist verf\u00fcgbar unter ip-api.com.<\/p>\n\n\n\n
Geben Sie dort im Eingabefeld die IP-Adresse ein und best\u00e4tigen Sie mit Klick auf \u201cSearch\u201d. Sie sollten dann folgendes sehen:<\/p>\n\n\n
\n<\/figure>\n<\/div>\n\n\n\n- Unter city und country sehen Sie den Standort des Servers, in diesem Fall Bremen.<\/li>\n\n\n\n
- Unter isp sehen Sie den Namen des Hosting-Providers, \u201chostNet\u201d. Es handelt sich hier wie oben erw\u00e4hnt um ein On-Premise-Hosting bei einem deutschen Provider.<\/li>\n\n\n\n
- Das Feld org enth\u00e4lt manchmal weiterf\u00fchrende Informationen, in diesem Fall aber nicht.<\/li>\n<\/ul>\n\n\n\n
Lassen Sie uns eine weitere Website untersuchen:<\/p>\n\n\n\n\nhttps:\/\/www.justonewayticket.com\n<\/div><\/figure>\n\n\n\n\n- Die Entwickler-Tools zeigen hierf\u00fcr die IP 54.171.81.156<\/li>\n\n\n\n
- Eingabe bei ip-api.com ergibt folgendes Ergebnis:\n
\n- country: Irland<\/li>\n\n\n\n
- isp: Amazon.com, Inc.<\/li>\n\n\n\n
- org: AWS EC2 (eu-west-1)<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n\n\n\n
Hier handelt es sich offenbar um ein Cloud-Hosting mit Amazon Web Services. Ein Blick in die Request im Netzwerk-Reiter gibt zus\u00e4tzliche Anhaltspunkte:<\/p>\n\n\n
\n<\/figure>\n<\/div>\n\n\n\n- Es tauchen zwei Domains sehr h\u00e4ufig auf: assets.jimstatic.com und u.jimcdn.com. Wenn Sie die erste Domain im Browser aufrufen, sehen Sie nicht viel, aber genug um das dahinterstehende Unternehmen zu raten:<\/li>\n<\/ul>\n\n\n\n
<\/figure>\n<\/div>\n\n\nDiese Website verwendet also den deutschen Website-Baukasten Jimdo, welcher wiederum (auch das haben wir oben schon erw\u00e4hnt) auf der Infrastruktur von Amazon Web Services l\u00e4uft. Der Serverstandort ist Irland. Amazon ist jedoch ein US-amerikanisches Unternehmen.<\/p>\n\n\n\n
Das Cookiebot-Problem<\/h2>\n\n\n\n
Das Verwaltungsgericht Wiesbaden hatte am 01.12.2021 den Einsatz des Consent-Tools Cookiebot als nicht zul\u00e4ssig eingestuft, weil es Daten in unsichere Drittstaaten \u00fcbertr\u00e4gt. Das Urteil wurde zwar vom Verwaltungsgerichtshof Hessen wieder kassiert, es hat aber in der Datensch\u00fctzer-Community f\u00fcr einige Aufregung gesorgt, weil es die Problematik von Hosting-Infrastrukturen im Ausland deutlich macht.<\/p>\n\n\n\n
Das Unternehmen Cookiebot sitzt in D\u00e4nemark. Was war also problematisch am Einsatz der Software? Und sind m\u00f6glicherweise auch andere Dienste europ\u00e4ischer Anbieter betroffen? Um das zu kl\u00e4ren, \u00f6ffnen wir die Website www.bkk24.de, die Cookiebot einsetzt, und identifizieren zun\u00e4chst die Netzwerk-Requests, die zum Dienst Cookiebot geh\u00f6ren.<\/p>\n\n\n
\n<\/figure>\n<\/div>\n\n\n\n- Der im Screenshot zu sehende Request https:\/\/consent.cookiebot.com\/uc.js geh\u00f6rt der Domain nach zu urteilen zu Cookiebot. Eine weitergehende Recherche diesbez\u00fcglich ersparen wir uns\u2026<\/li>\n\n\n\n
- Der Server consent.cookiebot.com hat die IP-Adresse 2.16.204.144<\/li>\n\n\n\n
- Wir \u00fcberpr\u00fcfen sie mit ip-api.com und erhalten folgendes Ergebnis:\n
\n- city, country: Hamburg \/ Germany<\/li>\n\n\n\n
- isp: Akamai Technologies<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n\n\n\n
Der Webserver geh\u00f6rt also zum US-Amerikanischen Content Delivery Network Akamai. Datenschutzrechtlich problematisch, auch wenn der physikalische Standort des Servers in Deutschland ist.<\/p>\n\n\n\n
Es handelt sich hier um ein Hosting wie oben im Abschnitt \u201cContent-Delivery-Networks\u201d beschrieben. Leider schirmt das CDN den Ursprungsserver ab, es ist also nicht m\u00f6glich, herauszufinden, wo Cookiebot tats\u00e4chlich gehostet wird. Es k\u00f6nnten Server in D\u00e4nemark sein, aber genauso gut eine Infrastruktur wie Amazon Web Services.<\/p>\n\n\n\n
Wen betrifft das noch?<\/h3>\n\n\n\n
Man k\u00f6nnte nun auf den Gedanken kommen, sich die Hosting-Infrastruktur anderer europ\u00e4ischer Dienste genauer anzuschauen, zum Beispiel die von Usercentrics. Der deutsche Platzhirsch im Bereich Consent-Management hat im Jahr 2021 mit Cookiebot fusioniert, verwendet man dort vielleicht auch Akamai?<\/p>\n\n\n\n
Die folgende Website verwendet Usercentrics, und wir erkennen im Netzwerkreiter die entsprechenden Requests des Dienstes:<\/p>\n\n\n
\n<\/figure>\n<\/div>\n\n\n\n- Im Screenshot zeigt der Pfeil auf Requests von zwei verschiedenen Domains, die offenbar zu Usercentrics geh\u00f6ren: api.usercentrics.eu und app.usercentrics.eu.<\/li>\n\n\n\n
- Wir untersuchen beispielhaft api.usercentrics.com mit der IP-Adresse 35.241.3.184\n
\n- Wir \u00fcberpr\u00fcfen sie mit ip-api.com und erhalten folgendes Ergebnis:<\/li>\n\n\n\n
- city, country: Kansas City \/ USA<\/li>\n\n\n\n
- isp: Google LLC<\/li>\n\n\n\n
- org: Google Cloud<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n\n\n\n
Usercentrics betreibt also sein Produkt auf der Infrastruktur der Google Cloud Platform, und der Serverstandort ist in den USA. Analog zu Cookiebot muss man schlussfolgern, dass das datenschutzrechtlich m\u00f6glicherweise problematisch ist, zumal Usercentrics ja eigentlich beim Einhalten von Datenschutzrichtlinien helfen sollte.<\/p>\n","protected":false},"excerpt":{"rendered":"
Der Themenkomplex \u201cDatenverarbeitung in unsicheren Drittstaaten\u201d hat bei Unternehmen zu einer massiven Rechtsunsicherheit gesorgt. Wenn man es 100% genau nimmt, dann d\u00fcrften Cloud-Dienste von Amazon oder Microsoft \u00fcberhaupt nicht mehr eingesetzt werden, mit unabsehbaren Auswirkungen auf die heimischen Unternehmen und die Verwaltung. Eine verl\u00e4ssliche Rechtsprechung dazu gibt es aber nicht, und so bleibt es vorerst […]<\/p>\n","protected":false},"author":2,"featured_media":2382,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"_seopress_robots_primary_cat":"none","_seopress_titles_title":"Check: Verarbeitet Website Daten im Ausland? > Test in 3 Schritten","_seopress_titles_desc":"Pr\u00fcfen Sie, ob Ihre Website Daten im Ausland verarbeitet: Daten\u00fcbertragungskriterien - Serverstandort und Infrastruktur pr\u00fcfen - Das Cookiebot-Problem","_seopress_robots_index":"","footnotes":""},"categories":[10],"tags":[],"class_list":["post-991","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tutorials-and-know-how"],"acf":[],"_links":{"self":[{"href":"https:\/\/decareto.com\/de\/wp-json\/wp\/v2\/posts\/991","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/decareto.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/decareto.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/decareto.com\/de\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/decareto.com\/de\/wp-json\/wp\/v2\/comments?post=991"}],"version-history":[{"count":5,"href":"https:\/\/decareto.com\/de\/wp-json\/wp\/v2\/posts\/991\/revisions"}],"predecessor-version":[{"id":2758,"href":"https:\/\/decareto.com\/de\/wp-json\/wp\/v2\/posts\/991\/revisions\/2758"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/decareto.com\/de\/wp-json\/wp\/v2\/media\/2382"}],"wp:attachment":[{"href":"https:\/\/decareto.com\/de\/wp-json\/wp\/v2\/media?parent=991"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/decareto.com\/de\/wp-json\/wp\/v2\/categories?post=991"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/decareto.com\/de\/wp-json\/wp\/v2\/tags?post=991"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
<\/figure>\n<\/div>\n\n\nUm eine stark frequentierte Website bzw. einen Dienst ausfallsicherer, schneller und kosteng\u00fcnstiger zu betreiben setzen Unternehmen oft sogenannte \u201cContent Delivery Networks\u201d (CDNs) von Firmen wie Akamai, Cloudflare oder Fastly ein. Diese haben eine gro\u00dfe Zahl an Zwischenspeicher-Servern weltweit im Einsatz.<\/p>\n\n\n\n
Wenn ein Benutzer auf eine solche Website zugreift, dann baut er keine Verbindung zum eigentlichen Webserver auf, sondern zu einem Server des CDNs. Dieser hat die Daten vorab vom Ursprungs-Server geladen. Dadurch wird die Last auf dem Ursprungs-Server reduziert, und Daten k\u00f6nnen schneller zu Benutzern im jeweiligen Land ausgeliefert werden.<\/p>\n\n\n\n
CDNs k\u00f6nnen mit allen drei oben beschriebenen Varianten kombiniert werden, viele SaaS-Anbieter schalten ihrer Software ein CDN vor. So verwendet der deutsche Anbieter Jimdo bspw. die Infrastruktur von Amazon AWS und zus\u00e4tzlich das CDN des amerikanischen Anbieters Fastly.<\/p>\n\n\n\n
Sie sind aber auch ein potentielles Datenschutz-Risiko, das zeigte sich, als der Einsatz von Cookiebot in Verruf geriet, weil das (d\u00e4nische) Produkt den amerikanischen CDN-Dienstleister Akamai einsetzte (siehe unten).<\/p>\n\n\n\n
So ermitteln Sie Serverstandort und Provider<\/h2>\n\n\n\n
Es ist bemerkenswert einfach, Informationen \u00fcber einen Webserver zu erhalten. Dazu ben\u00f6tigt man lediglich die IP-Adresse des Servers \u2013 den Rest erledigen Online-Dienste, die entsprechende Datenbanken zur Verf\u00fcgung stellen. Diese Dienste werden bspw. f\u00fcr personalisierte Online-Werbung oder Betrugspr\u00e4vention eingesetzt \u2013 der bekannteste Anbieter ist Maxmind, aber es gibt eine gro\u00dfe Zahl derartiger Unternehmen.<\/p>\n\n\n\n
Um die IP-Adresse des Servers herauszufinden gehen Sie wie folgt vor:<\/p>\n\n\n\n
- \n
- \u00d6ffnen Sie die zu untersuchende Website, und daf\u00fcr dann den Netzwerk-Reiter der Chrome Entwickler-Tools.<\/li>\n\n\n\n
- Klicken Sie mit der rechten Maustaste auf die Spalten und w\u00e4hlen Sie \u201cRemote Address\u201d<\/li>\n\n\n\n
- Anschlie\u00dfend zeigt diese Spalte die IP-Adresse des Servers f\u00fcr jeden einzelnen Request an. Hinter dem Doppelpunkt wird die \u201cPort-Nummer\u201d angezeigt, sie ist 443 f\u00fcr verschl\u00fcsselte und 80 f\u00fcr unverschl\u00fcsselte Verbindungen. Sie ist f\u00fcr die Untersuchung aber nicht relevant und kann ignoriert werden.<\/li>\n\n\n\n
- F\u00fcr unseren Server decareto.de ist die IP-Adresse 83.138.88.57<\/li>\n<\/ul>\n\n\n\n
Online-Datenbanken zur Analyse der IP-Daten<\/h3>\n\n\n\n
Es gibt eine ganze Reihe von Diensten, die zu einer IP-Adresse weiterf\u00fchrende Informationen bereitstellen. F\u00fcr gelegentliche Online-Recherchen sind sie meist kostenfrei. Wir verwenden im n\u00e4chsten Schritt den Dienst \u201cip-api\u201d, er ist verf\u00fcgbar unter ip-api.com.<\/p>\n\n\n\n
Geben Sie dort im Eingabefeld die IP-Adresse ein und best\u00e4tigen Sie mit Klick auf \u201cSearch\u201d. Sie sollten dann folgendes sehen:<\/p>\n\n\n
\n<\/figure>\n<\/div>\n\n\n- \n
- Unter city und country sehen Sie den Standort des Servers, in diesem Fall Bremen.<\/li>\n\n\n\n
- Unter isp sehen Sie den Namen des Hosting-Providers, \u201chostNet\u201d. Es handelt sich hier wie oben erw\u00e4hnt um ein On-Premise-Hosting bei einem deutschen Provider.<\/li>\n\n\n\n
- Das Feld org enth\u00e4lt manchmal weiterf\u00fchrende Informationen, in diesem Fall aber nicht.<\/li>\n<\/ul>\n\n\n\n
Lassen Sie uns eine weitere Website untersuchen:<\/p>\n\n\n\n
\nhttps:\/\/www.justonewayticket.com\n<\/div><\/figure>\n\n\n\n- \n
- Die Entwickler-Tools zeigen hierf\u00fcr die IP 54.171.81.156<\/li>\n\n\n\n
- Eingabe bei ip-api.com ergibt folgendes Ergebnis:\n
- \n
- country: Irland<\/li>\n\n\n\n
- isp: Amazon.com, Inc.<\/li>\n\n\n\n
- org: AWS EC2 (eu-west-1)<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n\n\n\n
Hier handelt es sich offenbar um ein Cloud-Hosting mit Amazon Web Services. Ein Blick in die Request im Netzwerk-Reiter gibt zus\u00e4tzliche Anhaltspunkte:<\/p>\n\n\n
\n<\/figure>\n<\/div>\n\n\n- \n
- Es tauchen zwei Domains sehr h\u00e4ufig auf: assets.jimstatic.com und u.jimcdn.com. Wenn Sie die erste Domain im Browser aufrufen, sehen Sie nicht viel, aber genug um das dahinterstehende Unternehmen zu raten:<\/li>\n<\/ul>\n\n\n\n<\/figure>\n<\/div>\n\n\n
Diese Website verwendet also den deutschen Website-Baukasten Jimdo, welcher wiederum (auch das haben wir oben schon erw\u00e4hnt) auf der Infrastruktur von Amazon Web Services l\u00e4uft. Der Serverstandort ist Irland. Amazon ist jedoch ein US-amerikanisches Unternehmen.<\/p>\n\n\n\n
Das Cookiebot-Problem<\/h2>\n\n\n\n
Das Verwaltungsgericht Wiesbaden hatte am 01.12.2021 den Einsatz des Consent-Tools Cookiebot als nicht zul\u00e4ssig eingestuft, weil es Daten in unsichere Drittstaaten \u00fcbertr\u00e4gt. Das Urteil wurde zwar vom Verwaltungsgerichtshof Hessen wieder kassiert, es hat aber in der Datensch\u00fctzer-Community f\u00fcr einige Aufregung gesorgt, weil es die Problematik von Hosting-Infrastrukturen im Ausland deutlich macht.<\/p>\n\n\n\n
Das Unternehmen Cookiebot sitzt in D\u00e4nemark. Was war also problematisch am Einsatz der Software? Und sind m\u00f6glicherweise auch andere Dienste europ\u00e4ischer Anbieter betroffen? Um das zu kl\u00e4ren, \u00f6ffnen wir die Website www.bkk24.de, die Cookiebot einsetzt, und identifizieren zun\u00e4chst die Netzwerk-Requests, die zum Dienst Cookiebot geh\u00f6ren.<\/p>\n\n\n
\n<\/figure>\n<\/div>\n\n\n- \n
- Der im Screenshot zu sehende Request https:\/\/consent.cookiebot.com\/uc.js geh\u00f6rt der Domain nach zu urteilen zu Cookiebot. Eine weitergehende Recherche diesbez\u00fcglich ersparen wir uns\u2026<\/li>\n\n\n\n
- Der Server consent.cookiebot.com hat die IP-Adresse 2.16.204.144<\/li>\n\n\n\n
- Wir \u00fcberpr\u00fcfen sie mit ip-api.com und erhalten folgendes Ergebnis:\n
- \n
- city, country: Hamburg \/ Germany<\/li>\n\n\n\n
- isp: Akamai Technologies<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n\n\n\n
Der Webserver geh\u00f6rt also zum US-Amerikanischen Content Delivery Network Akamai. Datenschutzrechtlich problematisch, auch wenn der physikalische Standort des Servers in Deutschland ist.<\/p>\n\n\n\n
Es handelt sich hier um ein Hosting wie oben im Abschnitt \u201cContent-Delivery-Networks\u201d beschrieben. Leider schirmt das CDN den Ursprungsserver ab, es ist also nicht m\u00f6glich, herauszufinden, wo Cookiebot tats\u00e4chlich gehostet wird. Es k\u00f6nnten Server in D\u00e4nemark sein, aber genauso gut eine Infrastruktur wie Amazon Web Services.<\/p>\n\n\n\n
Wen betrifft das noch?<\/h3>\n\n\n\n
Man k\u00f6nnte nun auf den Gedanken kommen, sich die Hosting-Infrastruktur anderer europ\u00e4ischer Dienste genauer anzuschauen, zum Beispiel die von Usercentrics. Der deutsche Platzhirsch im Bereich Consent-Management hat im Jahr 2021 mit Cookiebot fusioniert, verwendet man dort vielleicht auch Akamai?<\/p>\n\n\n\n
Die folgende Website verwendet Usercentrics, und wir erkennen im Netzwerkreiter die entsprechenden Requests des Dienstes:<\/p>\n\n\n
\n<\/figure>\n<\/div>\n\n\n- \n
- Im Screenshot zeigt der Pfeil auf Requests von zwei verschiedenen Domains, die offenbar zu Usercentrics geh\u00f6ren: api.usercentrics.eu und app.usercentrics.eu.<\/li>\n\n\n\n
- Wir untersuchen beispielhaft api.usercentrics.com mit der IP-Adresse 35.241.3.184\n
- \n
- Wir \u00fcberpr\u00fcfen sie mit ip-api.com und erhalten folgendes Ergebnis:<\/li>\n\n\n\n
- city, country: Kansas City \/ USA<\/li>\n\n\n\n
- isp: Google LLC<\/li>\n\n\n\n
- org: Google Cloud<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n\n\n\n
Usercentrics betreibt also sein Produkt auf der Infrastruktur der Google Cloud Platform, und der Serverstandort ist in den USA. Analog zu Cookiebot muss man schlussfolgern, dass das datenschutzrechtlich m\u00f6glicherweise problematisch ist, zumal Usercentrics ja eigentlich beim Einhalten von Datenschutzrichtlinien helfen sollte.<\/p>\n","protected":false},"excerpt":{"rendered":"
Der Themenkomplex \u201cDatenverarbeitung in unsicheren Drittstaaten\u201d hat bei Unternehmen zu einer massiven Rechtsunsicherheit gesorgt. Wenn man es 100% genau nimmt, dann d\u00fcrften Cloud-Dienste von Amazon oder Microsoft \u00fcberhaupt nicht mehr eingesetzt werden, mit unabsehbaren Auswirkungen auf die heimischen Unternehmen und die Verwaltung. Eine verl\u00e4ssliche Rechtsprechung dazu gibt es aber nicht, und so bleibt es vorerst […]<\/p>\n","protected":false},"author":2,"featured_media":2382,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"_seopress_robots_primary_cat":"none","_seopress_titles_title":"Check: Verarbeitet Website Daten im Ausland? > Test in 3 Schritten","_seopress_titles_desc":"Pr\u00fcfen Sie, ob Ihre Website Daten im Ausland verarbeitet: Daten\u00fcbertragungskriterien - Serverstandort und Infrastruktur pr\u00fcfen - Das Cookiebot-Problem","_seopress_robots_index":"","footnotes":""},"categories":[10],"tags":[],"class_list":["post-991","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tutorials-and-know-how"],"acf":[],"_links":{"self":[{"href":"https:\/\/decareto.com\/de\/wp-json\/wp\/v2\/posts\/991","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/decareto.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/decareto.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/decareto.com\/de\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/decareto.com\/de\/wp-json\/wp\/v2\/comments?post=991"}],"version-history":[{"count":5,"href":"https:\/\/decareto.com\/de\/wp-json\/wp\/v2\/posts\/991\/revisions"}],"predecessor-version":[{"id":2758,"href":"https:\/\/decareto.com\/de\/wp-json\/wp\/v2\/posts\/991\/revisions\/2758"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/decareto.com\/de\/wp-json\/wp\/v2\/media\/2382"}],"wp:attachment":[{"href":"https:\/\/decareto.com\/de\/wp-json\/wp\/v2\/media?parent=991"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/decareto.com\/de\/wp-json\/wp\/v2\/categories?post=991"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/decareto.com\/de\/wp-json\/wp\/v2\/tags?post=991"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
- Es tauchen zwei Domains sehr h\u00e4ufig auf: assets.jimstatic.com und u.jimcdn.com. Wenn Sie die erste Domain im Browser aufrufen, sehen Sie nicht viel, aber genug um das dahinterstehende Unternehmen zu raten:<\/li>\n<\/ul>\n\n\n