Become a Creator today!Start creating today - Share your story with the world!
Start for free
00:00:00
00:00:01
#51 - Bubble.io App DSGVO-konform machen? Faktoren & Tipps
318 Plays3 years ago
"Wie mache ich meine Bubble App DSGVO konform?" - ist eine der häufigsten Fragen, die wir gestellt bekommen. Nach der gekippten Privacy Shield Vereinbarung der EU & USA ist das Verarbeiten und Speichern von personenbezogenen Daten auf US-Servern nicht mehr DSGVO-konform.
In dieser Folge möchten wir das Thema einmal aufgreifen und dir Möglichkeiten aufzeigen, wie du Bubble trotzdem für dich nutzen kannst.
Dabei geht es konkret um die Themen Datenbank, Authentifizierung und Tracking / Cookies.
Datenbanken:
MySQL & PostgreSQL:
https://cloud.ionos.de/managed/database
Anbieter für MSSQL:
Anbieter für MongoDB:
Mehr zu SeaTable: http://seatable.io
Mehr zu Ninox: http://ninox.com
Mehr zu Xano: http://xano.com
Mehr zu Backendless: http://backendless.com
Authentifizierung
Mehr zu Auth0:
Plugin: https://forum.bubble.io/t/new-plugin-auth0-integration/46458/16
https://auth0.com/blog/schrems-2-eu-us-privacy-shield-ruled-invalid/
Tracking Cookies:
Mehr zu usercentrics:*https://bit.ly/3zfYhNN
Mehr zu CookieFirst: http://cookiefirst.com
Mehr zu CookieBot: http://cookiebot.com
Fathom Analytics (DSGVO-konformes Website-Tracking)*:https://bit.ly/3JeRzMI
Make lernen bei VisualMakers: https://visualmakers.de/make
Bubble lernen bei VisualMakers: https://visualmakers.de/bubble
Tritt unserer kostenlosen No-Code Community bei: https://visualmakers.de
---
VisualMakers.de ist eine Lernplattform und Community für den Bereich NoCode. Lerne mit uns, wie du Webseiten, Web-Apps & Mobile-Apps bauen und Prozesse automatisieren kannst, ohne eine Zeile Programmiercode schreiben zu müssen.
Mit * gekennzeichnete Links sind Provisionslinks. Dein Kaufpreis bleibt unverändert. Nutze diese gerne, wenn du das Projekt VisualMakers unterstützen möchtest. Vielen Dank!
Recommended
Transcript
Einführung in DSGVO-konforme Bubble Apps
00:00:00
Speaker
Hey und herzlich willkommen zu einer neuen Podcast-Episode. Wie mache ich meine Bubble App DSGVO konform? Das ist so ziemlich eine der häufigsten Fragen, die wir gestellt bekommen und deswegen möchte ich das Thema heute mal aufgreifen und dir so ein paar Faktoren nennen, die wichtig sind zu beachten, also auch ein paar Tipps und Tricks in die Hand geben, die du direkt für deine Bubble App umsetzen kannst. An dieser Stelle noch ein kurzer Disclaimer, ich bin natürlich kein Rechtsexperte, dementsprechend ist das auch keine Rechtsberatung.
00:00:25
Speaker
Ich habe meine Recherche nach bestem Wissen und Gewissen getätigt, allerdings kann ich natürlich nicht garantieren, dass alles zu 100% vollständig und korrekt ist. Dementsprechend übernehme ich auch keine Haftung für die Inhalte.
Datenschutzbedenken und Privacy Shield
00:00:37
Speaker
Du solltest auf jeden Fall für deinen individuellen Fall von einem Rechtsexperten prüfen lassen, ob deine Anwendung DSGVO-konform betrieben werden kann.
00:00:46
Speaker
Also das Thema Datenschutz beschäftigt uns jetzt ungefähr seitdem das Privacy Shield Agreement zwischen den USA und der EU gekippt worden ist. Einfach aus dem Grund, dass diese Vereinbarung zu wenig Schutz gegenüber den US-Geheimdiensten geleistet hat. Der Grundhennor jetzt also, es dürfen keine persönlichen Daten auf US-Servern verarbeitet und gespeichert werden, was natürlich die Nutzung von Tools aus dem amerikanischen Raum sehr stark einschränkt.
00:01:18
Speaker
Eventuell gibt es Licht am Ende des Tunnels, denn aktuell arbeiten die EU und die USA an einem Transatlantic Data Privacy Framework als Neuauflage für das Privacy Shield. Das wird dann die Datentransfers in die USA unter bestimmten Auflagen wieder erlauben. Bis dahin vergehen aber sicherlich noch einige Monate, deswegen sind die Inhalte jetzt auf jeden Fall nach wie vor super relevant und wir hoffen einfach, dass das Thema in naher Zukunft geklärt wird.
Datenbanken und DSGVO-konforme Alternativen
00:01:49
Speaker
Also die drei Faktoren, die eine wichtige Rolle spielen, wenn es um das Thema Datenschutz geht. Wir haben einmal die Datenbank. Also Bubble bringt ja eine eigene PostgreSQL-Datenbank mit, die auf der Amazon Web Service Infrastruktur mitgehostet wird. Und da müssen wir uns dann natürlich auch nach Alternativen umschauen. Denn wie gesagt, wir wollen keine persönlichen Daten in einer Datenbank speichern, die auf einer US-Infrastruktur läuft.
00:02:17
Speaker
Dann haben wir das Thema Authentifizierung. Auch die Benutzer-Authentifizierung beinhaltet natürlich persönliche Daten, also sowas wie eine E-Mail-Adresse ist eine persönliche Date. Auch da müssen wir uns also nach Alternativen umschauen und können dementsprechend nicht die Variante von Bubble.io nutzen, wenn wir DSGvO-konform sein wollen.
00:02:38
Speaker
Dann noch das Thema Tracking und Cookies. Also wenn wir analysieren wollen, wie viele Seitenbesucher wir haben, welche Seiten besucht worden sind und so weiter, gibt es verschiedene Dienste, die wir einbinden können in unsere Applikation. Und da müssen wir natürlich auch überprüfen und sichergehen, dass solche Skripte nur geladen werden, wenn Nutzer zustimmen oder eben auch andere Alternativen auswählen, von denen ich dir auf jeden Fall auch eine mitgebracht habe.
00:03:04
Speaker
Lass uns mal reinstarten in das Thema Datenbanken und mit Bubble haben wir den Vorteil, dass wir alle möglichen Datenbanken anknüpfen können an unsere Bubble Anwendung. Das heißt, wir müssen gar nicht die integrierte Bubble Datenbank nutzen, sondern wir können über zum Beispiel das Plugin den
00:03:25
Speaker
dem SQL-Connector oder dem API-Connector-Plugin auch einfach andere Drittsysteme anbinden. Das können zum Beispiel andere SQL-Datenbanken sein. Wie gesagt, verwendet Bubble auch eine eigene SQL-Datenbank und SQL-Datenbanken basieren auf einem relationalen Datenbankenmodell. Das ist also eine einfache und intuitive Art, Daten in Tabellen zu speichern.
00:03:48
Speaker
Und es gibt verschiedenste Variationen von SQL Datenbanken. Es gibt sowas wie MySQL, es gibt PostgreSQL, das ist auch das, was Bubble nutzt. Es gibt MSSQL, also Microsoft SQL und andere Services, das sind so die beliebtesten.
00:04:04
Speaker
und die können wir selber aufsetzen und mit unserer Bubble App verbinden. Sowas wie MySQL oder PostgreSQL ist Open Source, da können wir sogar eigene Server bereitstellen, auf denen wir die Datenbanken installieren, um sie dann mit unserer Bubble Anwendung zu verknüpfen.
Nicht-SQL Datenbanken und Hosting-Optionen
00:04:19
Speaker
Ist allerdings natürlich nur empfehlenswert, wenn du auch die entsprechende Infrastruktur
00:04:23
Speaker
da bieten kannst mit einer entsprechenden Sicherheit und Performance, die dann eben gewährleistet ist. Ansonsten empfiehlt es sich, sich einfach einen Cloud-Anbieter zu suchen, wo man solche Datenbank-Systeme hosten kann und da einfach eine Datenbank zu buchen, zu erstellen und die dann an die eigene Bubble-Anwendung anzubinden.
00:04:44
Speaker
Gleiches gilt auch für Microsoft SQL Datenbanken. Auch hier gibt es verschiedene Dienste, die es eben anbieten einen Microsoft Server bereitzustellen, auf den dann dieser Datenbank Service läuft. Ich verlinke dir dafür alles unten in der Beschreibung, also sowohl Anbieter für MySQL, PostgreSQL oder MSSQL. Neben den SQL Datenbanken gibt es noch
00:05:05
Speaker
Die MongoDB. MongoDB funktioniert anders als ein relationales Datenbanksystem. MongoDB ist nämlich ein dokumentenorientiertes Datenbanksystem, welches für extrem skalierbare Datenmengen geschaffen wurde. Das zeigt schon der Name. Mongo wird nämlich abgeleitet von Umongus, was auf Deutsch heißt gigantisch.
00:05:28
Speaker
Also gespeichert werden Daten dort in JSON-Dokumenten, also in JavaScript Object Notation. Das ist ein kompaktes Datenformat mit einfach lesbarem Textinhalt, welches für den Austausch von Anwendungen genutzt wird.
00:05:44
Speaker
Anders als bei relationalen Datenbanken wie SQL-Datenbanken nutzt MongoDB ein flexibles Datenschema. Also feste Datenstrukturen, wie man es aus einer SQL-Tabelle kennt, die gibt es dort eben optional und so kann man sich also flexible Datenstrukturen dort aufbauen.
00:06:03
Speaker
MongoDBs lassen sich ganz einfach über APIs integrieren. Das heißt also, du kannst für die Anwendung einfach das Bubble API Connector Plugin verwenden, um dann deine Datenbank anzusteuern und dort genau diese verschiedenen Endpoints einzurichten. Das heißt, wir können also dort Daten reinschreiben, lesen und so weiter. Auch für MongoDB habe ich dir mal in die Beschreibung ein paar Links reingepackt. Da kannst du dir mal anschauen, was das Ganze kostet.
00:06:30
Speaker
und wie du das Ganze auch an deine Anwendung anbinden kannst. Neben den SQL-Datenbanken und MongoDBs können wir natürlich auch andere Cloud-Services nutzen, die in Deutschland oder in der EU gehostet werden und eine Datenbank bereitstellen. Wir können zum Beispiel sowas wie C-Table nutzen. C-Table ist quasi ein Hybrid aus Datenbanken und Tabellenkalkulationen. Wer R-Table schon mal gesehen hat und kennt,
00:06:55
Speaker
Der wird auch leicht mit C-Table zurechtkommen. Das ist quasi die deutsche R-Table Alternative. Und C-Table stellt eine Schnittstelle bereit, mit der man eben auch einfach Daten schreiben und lesen kann und dementsprechend seine eigene Bubble-Anwendung über den API-Connector anbinden kann. Ähnlich sieht es aus bei Ninox. Ninox ist auch ein Datenbank-Management-System, also eine visuelle Datenbank, mit der man verschiedenste Use-Cases aufsetzen kann. Es gibt auch ein grafisches Interface bei Ninox.
00:07:25
Speaker
mit dem man relativ schnell solche Geschichten erstellt. Und auch Ninox kann man über die API an Bubble anbinden. Dann gibt es noch drei weitere Möglichkeiten, die ich nochmal anschneiden wollen würde. Das ist einmal Xano. Xano ist ein amerikanischer Anbieter, der allerdings ein EU-Hosting anbietet. Das heißt, Xano ist quasi ein komplettes Backend für deine Anbindung. Stellt also eine Datenbank bereit,
00:07:54
Speaker
oder mehrere Datenbanken, so wie die entsprechenden API Endpoints. Das heißt, auch hier wieder können wir die Datenbank über den API-Connector ansprechen. Xeno bietet explizites EU-Hosting an, also in Frankfurt. Und so gäbe es hier eben auch die Möglichkeit, die Daten rein auf europäischen Servern verarbeiten und speichern zu lassen.
00:08:16
Speaker
Ähnlich sieht es aus bei Backendless. Es ist quasi ein ähnliches Service wie Xano. Auch das komplette Backend für deine No-Code-Anwendung funktioniert genauso. Über die API können wir einfach Daten schreiben und lesen. Als weitere Alternative
00:08:32
Speaker
kann man bei Bubble auch einen Dedicated Server buchen. Das heißt, du bekommst quasi einen eigenen Bubble Server bereitgestellt, der wahlweise auch in der EU gehostet werden kann. Bei den drei Optionen Xano, Backendless und Bubble ist allerdings zu beachten, dass die Infrastruktur natürlich trotzdem von einem US-Unternehmen bereitgestellt wird.
Kosten und Authentifizierungsdienste
00:08:52
Speaker
Und dementsprechend müsste man dann nochmal prüfen, ob diese Anwendungen dann DSGVO konform sind oder eben nicht, auch wenn die Daten in der EU verarbeitet und gespeichert werden.
00:09:04
Speaker
Kleiner Nachtrag zum Bubble Dedicated Server. Der geht erst los ab 3500 Dollar im Monat. Das heißt, da musst du auf jeden Fall ein entsprechendes Budget mitbringen. Okay, schauen wir uns die Authentifizierung an. Also auch die Registrierung und der Login von Nutzern birgt natürlich das Risiko, dass wir hier mit persönlichen Daten arbeiten müssen, so was wie der E-Mail-Adresse.
00:09:30
Speaker
Neben der Babel-eigenen Authentifizierung können wir aber auch Drittanbieter-Authentifizierungsdienste benutzen. Und sowas gibt es schon über Google Firebase. Auch Xano bietet so einen Service an. Und da möchte ich mit dir nochmal kurz einen Überblick schaffen, was es da für Alternativen gibt. Also Xano haben wir gerade schon angesprochen.
00:09:53
Speaker
Genau wie Backendless auch, beide Applikationen stellen dir einen Authentication Service bereit. Das heißt, die Authentifizierung findet auch über eigene API Endpoints statt. Bedeutet also, du hast in beiden Systemen eine User-Tabelle.
00:10:11
Speaker
Und dort werden die Benutzerdaten inklusive Passwort gespeichert. Dann müssen die Endpoints für Registrierung und Login und Logout eingerichtet werden. Das passiert zum Großteil automatisch bei den Anbietern. Und in Bubble richtest du dann ein ganz normales Registrierungs- und Login-Formular ein.
00:10:26
Speaker
Und beim Klick auf den Button steuerst du dann eben die API Endpoints der Anbieter an und übermittelst dann die Daten. Die werden dann validiert bei den jeweiligen Anbietern und du bekommst dann zurück einen Access Token. Und dieser Access Token, der wird dann eben zum Benutzer gespeichert und solange der dann existiert, hat der Nutzer quasi eine aktive Session und ist autorisiert, die Anwendung zu nutzen.
00:10:50
Speaker
Wenn der jetzt verworfen wird, durch den Logout oder durch das Zurücksetzen von Cookies, dann würde die Session enden und der Nutzer müsste sich naher authentifizieren.
00:11:02
Speaker
Eine zweite Methode ist noch über einen Service, der nennt sich Auth0. Auch das ist also ein Authentifizierungsanbieter. Die Daten von EU-Kunden werden laut Auth0 ausschließlich auf EU-Servern verarbeitet, also primär in Deutschland mit einem Failover in Irland. Das heißt also, wenn irgendwann mal was schief läuft und Server nicht erreichbar sind, dann werden die Daten eben nach Irland weitergeleitet. Und das Ganze lässt sich über einen
00:11:28
Speaker
Bubble-Plugin einbinden. Das heißt, es gibt bereits vorgebaute Plugins von der Community, die diesen Service einbinden. Alternativ ging aber auch die Möglichkeit, das über den API-Connector von Bubble einzurichten. Das Ganze funktioniert dann so, dass du auf deiner Bubble-Anwendung einen Login-Button oder einen Registrier-Button einrichtest und mit dem Klick auf den Button wird der Nutzer quasi zu einer Auth0-Seite weitergeleitet, wo er dann das Registrierungs- oder das Login-Formular findet.
00:11:57
Speaker
Dort meldet sich der Nutzer dann an und dann findet danach die Weiterleitung mit einem Access-Token zurück in deiner Bubble-Anwendung statt. Ich verlinke dir das Plugin und die Vorgangsweise hier auch einmal in der Beschreibung.
Tracking-Dienste und DSGVO
00:12:11
Speaker
Okay, drittes Thema. Tracking und Cookies. Beim Aufruf einer Bubble-App werden standardmäßig Cookies im Nutzer des Browsers
00:12:21
Speaker
Das sind einerseits funktionale Cookies, aber auch optionale Cookies. Zum Beispiel gibt es das Cookie für einen temporären Nutzer, der automatisiert angelegt wird, wenn du eine Bubble-Seite besuchst. Laut Bubble ist die Aussage, dass es einfach um eine reichere User Experience geht, wenn der Nutzer diese Bubble-Anwendung verwendet.
00:12:45
Speaker
Das heißt also, wenn die Bubble App im Browser gestartet wird, wird eine User-Session angelegt und bei dieser User-Session wird ein temporärer Nutzer erstellt. Dieser wird dann mit dem Status not logged in versehen. Dieser temporäre Nutzer verhält sich wie ein registrierter Nutzer, also in dem Sinne, dass du seine Attribute verändern kannst oder Informationen zu ihm speichern kannst. Sagen wir also im Registrierungsflow,
00:13:15
Speaker
fragst du, bevor der Nutzer seinen eigenen Account erstellt, zum Beispiel das Alter ab. Und das Alter wird dann im temporären Benutzer gespeichert. Im Bubble Webflow speichert du den Wert also einfach nur zum Current User. Also bevor der Nutzer überhaupt im System existiert, kannst du bereits Daten zu ihm speichern. Und wenn der Nutzer dann also später auf die Seite zurückkommt und zwischenzeitlich keine Cookies gelöscht hat, dann ist das Attribut nach wie vor in seinem Account gesichert.
00:13:43
Speaker
Wenn ein Nutzer sich dann registriert, dann kannst du quasi den Wert übertragen vom temporären Nutzer auf den registrierten Benutzeraccount.
00:13:52
Speaker
Bubble löscht diese temporäre Nutzer automatisch nach drei Tagen. Das heißt also, wenn der Nutzer anschließend auf deine Seite zurückkommt, dann wird ein neuer temporärer Nutzer angelegt, weil die alten Daten bereits verworfen sind. Diese Cookies, die Bubble dafür setzt, die kannst du in den Eigenschaften deaktivieren. Also geh einfach mal in den Settings-Bereich in den Reiter General
00:14:13
Speaker
Und da gibt es eine Do Not Set Cookies by Default Option, die du einmal anhaken musst. Die ist standardmäßig deaktiviert. Die musst du also bewusst aktivieren, damit eben diese Cookies nicht gesetzt werden. Wenn du jetzt einen Analytics Service einbindest, wie zum Beispiel Google Analytics oder Facebook Pixel, dann brauchst du natürlich auch zwingenderweise einen Cookie Banner. Da gibt es verschiedene Lösungen. Es gibt sowas wie Cookie Bot. Es gibt sowas wie Cookie First. Beide bieten eine gute, kostenlose Version an, mit der du erstmal starten kannst.
00:14:42
Speaker
Wenn du dann mehrere Service eingebunden hast, dann lohnt sich vielleicht auch mal ein Upgrade auf User-Centrics, auch ein sehr gutes Cookie-Constant-Management-System. Aber am besten ist natürlich, wenn du überhaupt keine Cookies brauchst. Und da möchte ich dir noch mal eine Lösung vorstellen und zwar ist das Fathom Analytics. Fathom Analytics ist ein kanadisches Unternehmen.
00:15:06
Speaker
Also gegründet in einem Land, wo ähnliche Datenschutzregulierungen herrschen, wie hierzulande. Und mit Fathom kannst du die kompletten Website Analytics deiner Applikation messen. Du weißt also, wie viele Pageviews es gibt, wie lange die Nutzer durchschnittlich auf deiner Seite verbringen, auf welchen Unterseiten sie sind und so weiter. Also alles das, was ein
00:15:25
Speaker
Google Analytics kann zum Beispiel, kann Fathom eben auch, du kannst auch so was wie Events messen und Conversions zu berechnen und so weiter. Also da fehlt es eigentlich an nichts und der Vorteil eben, dass Fathom absolut keine persönlichen Daten speichert und du das Ganze so ohne Cookie-Banner
00:15:41
Speaker
nutzen kannst. Und Fathom verarbeitet also Daten von EU-Kunden explizit auf einer Infrastruktur, die auch in der EU verankert ist.
Abschlussgedanken und Datenschutzvereinbarungen
00:15:52
Speaker
Also von daher komplett DSGVO konform. Den Link findest du auch unten in der Beschreibung. Kleine Nachricht, Fun fact am Rande. Einer der Gründer, Paul Jarvis, hat ein sehr gutes Buch geschrieben namens Company of One. Why staying small is the next big thing. Also wenn du selbstständig oder Gründer eines Unternehmens bist,
00:16:10
Speaker
und dementsprechend auf deine eigene Kapazität beschränkt bist, dann kann ich dir das Buch auf jeden Fall sehr empfehlen. Okay, zu guter Letzt solltest du natürlich noch ein Data Processing Agreement bzw. einen Auftragsverarbeitungsvertrag mit Bubble abschließen. Den Link findest du auch unten in der Videobeschreibung.
00:16:28
Speaker
Also mein persönliches Fazit zu der ganzen Thematik. Mit den genannten Wegen näherst du dich auf jeden Fall schon der DSG-VO-Konformität an. Ob deine Anwendung tatsächlich hundertprozentig DSG-VO-konform ist, das kann dir nur ein Rechtsexperte sagen, also lass dich da gerne beraten. Ansonsten ist das Thema hoffentlich bald geklärt. Datenschutz ist wichtig, gar keine Frage. Es wird allerdings schwierig, wenn Dinge so stark reguliert sind, dass sie jegliche Innovation quasi direkt im Keim erstickt.
Werbung für den Bubble Masterclass-Kurs
00:16:57
Speaker
Von daher, lasst uns die Daumen drücken, dass das Thema bald vom Tisch ist und mit dem neuen Agreement zwischen den EU und der USA, Transfers in die USA, also Datentransfers in die USA wieder möglich sind. Und wir dann eben Tools wie Bubble auch wieder vollumfänglich und uneingeschränkt nutzen können.
00:17:14
Speaker
Wenn du noch tiefer in das Thema Bubble einsteigen möchtest, dann möchte ich dir an dieser Stelle nochmal unsere Bubble-Masterclass ans Herz legen. Wir haben nämlich ein vollumfängliches Bubble-Training entwickelt, in dem wir dich zum von uns zertifizierten Bubble-Experten ausbilden. Und darin behandeln wir alle Grundlagen, Fortgeschrittene und Expertenwissen, zeigen dir, wie du den API-Connector unter anderem nutzt, um deine Lieblingstools zu verknüpfen oder eben auch im externe Datenbanksystem anzubinden.
00:17:38
Speaker
Außerdem bauen wir quasi vollumfängliche Use Cases, wie zum Beispiel ein komplettes Projektmanagement Tool. Und wir können dir natürlich auch Praxiswissen mit an die Hand geben, weil wir auch schon diverse Kundenprojekte mit Bubble umgesetzt haben. Das Ganze kannst du natürlich auch kostenlos testen. Das verlinke ich dir hier einfach in der Videobeschreibung und dann kannst du gerne mal reinschauen. Das war es erstmal für heute. Vielen Dank fürs Zuhören und wir sehen uns in der nächsten Episode wieder.
00:18:02
Speaker
Wenn dir diese Folge gefallen hat, dann freuen wir uns sehr, wenn du uns ein paar Sternchen in der Apple Podcast App dalässt oder uns eine Review schreibst. Das hilft uns nämlich, gefunden zu werden. Und wenn du mehr über No-Code erfahren möchtest, dann schau doch gerne auf unsere Website visualmakers.de vorbei. Ansonsten freuen wir uns, wenn du auch in der nächsten Folge wieder dabei bist. Bis zum nächsten Mal.