SPD, Grüne, FDP: nicht alles ganz astrein

Das sagt das Wahlprogramm: Die SPD bekennt sich in ihrem Wahlprogramm (PDF) zur europäischen Datenschutz-Grundverordnung als "wichtigem Meilenstein" und setzt sich dafür ein, dass "ihre Durchsetzung praxisnah verbessert" wird. Die Aufsichtsbehörden sollen daher "gut ausgestattet" werden und "effektiv arbeiten" können.

Das Internet soll anonym und pseudonym genutzt werden können - eine Klarnamenpflicht lehnen die Sozialdemokraten ab. Eine "technisch sichere Ende-zu-Ende-Verschlüsselung" ist für sie "selbstverständlich". Gleichwohl sollen verdächtige Straftäter bei "hinreichenden tatsächlichen Anhaltspunkten" identifiziert werden können.

Das macht die Website: Nicht ganz astrein ist die SPD-Partei-Website. Eine Webkoll-Analyse zeigt, dass es immerhin Ansätze für eine Content Security Policy gibt. Die SPD ist damit die einzige der hier untersuchten Parteien, die an dieser Stelle etwas Sensibilität zeigt.

Die Übermittlung von Referrern wird jedoch nicht blockiert. Von fünf gesetzten Cookies werden drei intern an spd.de übermittelt, zwei an die Fundraising-Website altruja.de. Von diesen zwei externen Cookies ist im eingeblendetem Pop-up-Banner über die eigene Cookie-Policy keine Rede. Altruja wird zwar in den ausführlichen Datenschutzhinweisen erwähnt, doch nicht in Zusammenhang mit den Cookies. Die Drittanfragen erfolgen übrigens auch durch Altrjua.

Die Website-Betreiber der SPD zeigen sich allerdings wie die der CDU lernfähig: Der von Fefes erwähnte Fehler bei der Cookie-Setzung ist inzwischen korrigiert. Gleichwohl sollte jede Website-Änderung mit einem erneuten Check der Datenschutz-Policy einhergehen, dann wäre etwa auch die Sache mit den Altruja-Cookies aufgefallen. Hier gibt es noch Verbesserungspotenzial in der Praxis.

Grüne: Drittanfragen aus den USA

Das sagt das Wahlprogramm: Die Grünen haben erst im vergangenen Jahrzehnt den Datenschutz als Politikfeld aktiv erschlossen - und das sehr prominent über den damaligen Europaabgeordneten Jan Philipp Albrecht, damals federführender Berichterstatter für die Datenschutz-Grundverordnung im Europaparlament.

In ihrem Wahlprogramm (PDF) betonen die Grünen den hohen Stellenwert des Datenschutzes für den Verbraucherschutz. Datenschutz-Aufsichtsbehörden sollen künftig auch bei der Regulierung der Techkonzerne gemeinsam mit den Kartellämtern eine stärkere Rolle spielen. Kleine und mittlere Unternehmen sollen durch ein Beratungsnetzwerk besser unterstützt werden.

Das macht die Website: Ein Blick auf die Website der Grünen zeigt: Wirklich DSGVO-konform ist auch hier der Cookie-Banner nicht: Mit einem Häkchen kann man die Cookies akzeptieren - "nicht akzeptieren" wird nicht angeboten, es bleibt unklar, ob kein Häkchen gleich bedeutend mit "nicht akzeptieren" ist. Zwar fehlt auch bei den Grünen eine Content Security Policy, dafür blockieren sie aktiv die Übermittlung der Referrer.

Die Website setzt drei Cookies - eines über die eigene Domain, zwei über die Domain actionnetwork.org. Die IP-Abfrage von Webkoll für die Dienste, die Drittabfragen vornehmen, zeigt, dass die Domain in den USA gehostet wird, genauso wie die Domain gruene.matomo.cloud für die Website-Statistik und die gruene.vercel.app.

FDP greift zu Google-Schutzschild

Das sagt das Wahlprogramm: Die FDP hat sich in den vergangenen Jahrzehnten mit internetfreundlichen Standpunkten profiliert - auch im Datenschutz. Dieser nimmt im aktuellen FDP-Wahlprogramm (PDF) vergleichsweise viel Raum ein.

Die Liberalen setzen sich für noch mehr praktischen Datenschutz ein. Unter anderem soll die informationelle Selbstbestimmung im AGB-Recht gestärkt werden. Gleichzeitig will die Partei jedoch den bürokratischen Aufwand gerade für kleine und mittlere Unternehmen reduzieren. Die FDP setzt sich außerdem für den Grundsatz "Privacy by Design" ein, wonach Datenschutz bei den Herstellern beginnt. Auch betont sie sehr stark die informationellen Grundrechte gegenüber staatlichen Sicherheitsbehörden.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Das macht die Website: Auf ihrer Website begrüßt die FDP ihre Besucherinnen mit einem fetten, nicht zu übersehenden Cookie-Banner. Wie viele andere präferiert sie allerdings durch ein farbliches Hervorheben das Akzeptieren aller Cookies - nach Vorstellungen der Datenschutzaufsicht müsste die Auswahl "akzeptieren" oder "nicht akzeptieren" ohne farbliche Präferenz erfolgen.

Wie bei der CDU ignorieren auch die Admins der FDP-Website die Möglichkeiten einer Content Security Policy komplett, die ja eigentlich in ihrem eigenen Interesse wären. Auch ihre Website übermittelt Referrer-Links.

Die in der öffentlichen Debatte prominenten Cookies hat die FDP auf ein einziges reduziert, das von ihr selbst gesetzt wird. Die Drittanfragen gehen an einen eigenen Statistikdienst bei liberale.de sowie für eine Videoeinbindung an den in Schweden gehosteten Dienst Cloudinary. Den Serverstandort für die FDP-Website verortet Webkoll aber dann in den USA, als Provider wird Google angegeben.

Die FDP-Pressestelle teilt dazu mit, dass alle Server in einem Berliner Rechenzentren auf eigener Hardware betrieben würden. Da beim letzten Bundesparteitag die Infrastruktur massiv angegriffen worden sei, schütze die Partei ihre Website fdp.de im Vorfeld des Bundesparteitags und der Bundestagswahl mit einem Reverse Proxy gegen umfangreiche DDoS-Angriffe. Dazu verwende man den Dienst Google Shield.