Laut Team Datenschutz ist es datenschutzrechtlich geboten, dass externe Inhalte auf ISIS grundsätzlich geblockt werden, sofern mit den Anbietern der externen Dienste keine datenschutzkonforme Verarbeitung vereinbart wurde. (Eine detaillierte Erklärung dazu, was genau mit externen Inhalten gemeint ist, gibt es auf der Seite Was sind externe Inhalte?)
Die Begründung für diese Regelung ist, dass Nutzerinnen und Nutzer
von ISIS andernfalls durch das bloße Aufrufen einer ISIS-Seite gezwungen
werden, automatisch (im Hintergrund) Verbindungen zu externen Domains
aufzubauen, um externe Daten zu beziehen, sofern sie dies nicht selbst
mit entsprechenden Instrumenten (z.B. Browser-Plugins wie NoScript) aktiv verhindern. Beim Laden von eingebetteten
externen Inhalten, wird somit zumindest die IP Adresse der Nutzerinnen
und Nutzer an den Betreiber der externen Quelle übertragen;
möglicherweise werden aber auch noch deutlich mehr Informationen
übermittelt. Diese Datenübertragung soll unterbunden werden.
Auswirkungen
Die Konsequenz ist, dass solche Inhalte auf ISIS ab dem 4. Oktober
2022 nicht mehr darstellbar sind. Das bedeutet, diese Elemente können
zwar nach wie vor eingebettet werden, aber die Browser der Nutzerinnen
und Nutzer werden sie nicht laden und nicht anzeigen.
Einige konkrete beispielhafte Auswirkungen:
Bei Elementen wie Video-
oder Bilddateien wird sich dies für gewöhnlich dadurch äußern, dass die
Stelle der Seite, an der das Element eingebettet wurde, leer bleibt.
Bei
Skripten führt dies dazu, dass diese nicht ausgeführt werden.
Texte, für
die externe Schriftarten eingestellt wurden, werden stattdessen in der
Standardschriftart von ISIS oder einer alternativen Schriftart
angezeigt.
Dinge wie Social-Media-Buttons werden nicht sichtbar
sein.
Technische Umsetzung
Bewerkstelligt wird das Blockieren externer Inhalte mittels der
sogenannten Content Security Policy (CSP), welche für die gesamte Website festgeschrieben
wird. Bei jeder Verbindung mit ISIS, überträgt die
Website diese CSP im HTTP Header. Alle modernen Browser (Chromium,
Firefox, Saferi, etc.) respektieren die CSP automatisch und setzen diese
um. Sind also auf einer Seite Inhalte eingebunden, die von der CSP nicht
genehmigt sind, blockiert der Browser diese automatisch. Die Seite und
alle ISIS-Inhalte werden wie gewohnt angezeigt, aber die darin
befindlichen externen Inhalte werden vom Browser gar nicht erst
geladen.
Wichtig ist an dieser Stelle, dass diese technische Regelung
unweigerlich auch dann greift, wenn die externen Inhalte erst durch den
Browser selbst, also vom Client (bspw. durch ein Browser-Plugin) in die
Seite eingefügt werden. Das bedeutet, der Browser blockiert dann unter
Umständen auch vom Nutzer selbst gewünschte Elemente, solange dieser die
ISIS Website besucht. (Dies kann z.B. Übersetzungsplugins oder eigene
Schriftarten auf ISIS deaktivieren.)
Mehr technische Informationen zum CSP Konzept gibt es unter anderem
in ausführlicher Form auf der offiziellen Seite des entsprechenden Arbeitsentwurfs des W3C sowie in
übersichtlicher Form auf den Mozilla
Developer Seiten.
Verantwortliche und
Ausnahmen
Diese Regelung gilt grundsätzlich für alle Inhalte von nicht-TU
Domains, jedoch gibt es eine Ausnahmenliste, die stets nach Absprache mit dem Team Datenschutz durch das ISIS Team verwaltet wird. Falls Sie als Lehrende also unsicher sind,
ob Ihre Inhalte den Anforderungen entsprechen oder eine Ausnahmeregelung
einholen möchten, wenden Sie sich zuerst bitte direkt an das Team
Datenschutz. Bei Zustimmung von dieser Seite wenden Sie sich damit gerne an das ISIS Team zur Aufnahme einer neuen Ausnahmeregelung.
