jQuery.com und das Problem mit dem Datenschutz

Logo: jQuery (mit Slogan «write less, do more»)jQuery ist eine freie JavaScript-Bibliothek und wird unter anderem von Content Management Systemen (CMS) wie Drupal, Joomla und WordPress verwendet.

Viele Websites verwenden jQuery nicht lokal, sondern binden jQuery direkt aus einer externen Quelle wie beispielsweise jQuery.com ein. Allerdings führt ein solches Einbinden insbesondere zu einem Problem mit dem Datenschutz.

Kein ersichtlicher Datenschutz bei jQuery.com

Bei jedem Aufruf einer Website, die jQuery via jQuery.com verwendet, erhält die amerikanische JS Foundation (ehemals jQuery Foundation) als Betreiberin von jQuery.com zwangsläufig Daten über die Besucherinnen und Besucher der betreffenden Website. Die jeweiligen Website-Betreiber müssten darüber in ihrer Datenschutzerklärung zumindest informieren, stehen aber vor dem Problem, dass sie nicht wissen, worüber genau sie informieren sollen.

Auf der jQuery.com-Website finden sich auf Anhieb weder eine Datenschutzerklärung (Privacy Policy) noch sonstige Informationen zum Datenschutz. Dabei wäre eine Datenschutzerklärung allein schon für die jQuery.com-Website erforderlich, denn die Website verwendet Tracking mit Google Analytics, bindet Schriftarten von Adobe Typekit ein und nutzt die Werbeplattform Adzerk («Build software that drives new online revenue»).

In jedem Fall finden sich bei jQuery.com keine Angaben über die Personendaten, welche die JS Foundation aufgrund der jQuery-Einbindung für welche Zwecke, wie und wo bearbeitet oder bearbeiten lässt. Auch IP-Adressen können Personendaten darstellen.

In der Privacy Shield-Liste sucht man vergeblich nach der JS Foundation. Auf diesem Weg zumindest ist bei jQuery.com kein angemessener Datenschutz aus Sicht der Europäischen Union (EU) und der Schweiz gewährleistet. Es ist auch nicht ersichtlich, dass die JS Foundation mit Standardvertragsklauseln einen angemessenen Datenschutz gewährleistet.

Im Ergebnis ist – auch mit Blick auf die neue Datenschutz-Grundverordnung (DSGVO) – davon abzuraten, jQuery direkt über jQuery.com einzubinden. Man riskiert damit, das Datenschutzrecht in der EU und in der Schweiz zu verletzen.

Alternativen zu jQuery.com

Als datenschutzfreundliche Alternative kann man jQuery lokal verwenden, das heisst herunterladen und auf der eigenen Server-Infrastruktur speichern.

Eine weitere – wenn auch nicht datenschutzfreundliche, aber bequeme – Alternative ist das Einbinden über eine Quelle, die sich sichtbar um den Datenschutz kümmert. Ein Beispiel dafür ist jQuery via «Google Hosted Libraries». Bei dieser Alternative erhält zwar Google zwangsläufig Daten über die Besucherinnen und Besucher der beteiligten Websites, aber immerhin finden sich bei Google die notwendigen Informationen über den Datenschutz (auch) in diesem Zusammenhang:

Google schreibt unter anderem, dass «Google Hosted Libraries» datensparsam betrieben wird, nur technische notwendige Cookies verwendet, Logdateien nur im erforderlichen Umfang geführt werden und dass die Zugriffe getrennt von anderen Google-Diensten erfolgen.

Ausserdem unterwirft sich Google sowohl dem amerikanisch-europäischen als auch dem amerikanisch-schweizerischen Privacy Shield, das heisst Google verpflichtet sich, einen angemessenen Datenschutz zu gewährleisten. Dazu kommt, dass Google wie kaum ein anderes Internet-Unternehmen in der Lage sein dürfte, die Datensicherheit zu gewährleisten.

Ein vergleichbares Angebot gibt es von Microsoft mit dem «Ajax Content Delivery Network».

Bild: JS Foundation.

2 Kommentare

  1. Wir müssen aufhören mit diesem Blödsinn. Wir nutzen das WWW (Schwerpunkt erste W) Nicht das DWW (Deutsche…) Oder SWW. jQuery ist eine Programmiersprache. Ohne jQuery würden heute mehr als 60% aller Internetseiten nicht mehr funktionieren! Was kann übermittelt werden? Die IP Adresse… Und? 90% aller Web Nutzer benutzen Google Search Engine. In Augenblick jemand Google besucht, ist die IP ist bereits übertragen. Oder wollen wir nun auch die Nutzung von Google verbieten? Dieser «Rechts-Irrsinn» geht zu weit! Persönliche Daten, Adresse, Telefon, Creditkarte etc. kein Problem. Aber IP Adressen? Da fällt mir nur noch ein Wort ein. VOLLIDIOTEN! Sorry.

  2. @Tom Steinczhorn: Nein, jQuery ist keine Programmiersprache … (steht auch oben im Text), und das Problem ist nicht jQuery per se, sondern der unerbetene Abruf … (steht auch oben im Text), und nein, bei einem Abruf von jQuery von einem US-Server wird keineswegs nur die IP-Adresse übertragen … und nein, Leute die von IT und Datenschutz Ahnung haben, sind gerade keine Vollidioten. Wenn Seiten ohne jQuery nicht funktionieren, hat der Programmierer böse Anfängerfehler gemacht (kein Testen auf Kompatibilität genutzter Features, kein Fallback). Wenn Sie keine Ahnung haben, was die Übermittlung der Daten für Folgen und Nebenwirkungen hat und im Einzelfall an Schaden verursachen kann, finden Sie im Web genug Lektüre. In Taschenbuchform z. B. «Permanent Record».

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Felder mit * sind Pflichtfelder.