Relaunch der Website von NOYB – European Center for Digital Rights
NOYB (steht für “My Privacy is None Of Your Business”) ist eine NGO mit Sitz in Wien, die sich der Durchsetzung des Datenschutzes innerhalb der Europäischen Union verschrieben hat. Gegründet von u.a. Max Schrems (https://de.wikipedia.org/wiki/Max_Schrems) hat der Verein bereits erfolgreich Beschwerden gegen große Konzerne wie Google und Facebook wegen ihrer intransparenten Praxis bei der Verarbeitung personenbezogener Daten zu Werbezwecken erhoben.
Ein besonderer Grund für den Relaunch der Seite war der Wunsch, Inhalte möglichst schnell in möglichst vielen Sprachen veröffentlichen zu können. Darüber hinaus gab es besondere Anforderungen bzgl. dem Redaktions Workflow, Security, Privacy und Performance.
Die Website basiert auf einer Thunder.org Drupal Distribution. Diese wurde mit einigen Spezialentwicklungen ergänzt.
Mehrsprachigkeit und Redaktions Workflow
Eine besondere Vorgabe war, dass die Website in möglichst vielen Sprachen zur Verfügung stehen soll und die Inhalte wie zB News zeitnah in allen Sprachen übersetzt werden. Hierzu wurde außerhalb der üblichen Thunder-Workflows ein automatisierter Übersetzungsworkflow umgesetzt, dh. Artikel werden in englischer Sprache angelegt und dann mit Hilfe des Translation Management Moduls (tmgmt) in alle vorhandenen Sprachen automatisiert übersetzt. Das erfolgt über Google Translation für die griechische Sprache (tmgmt_google) und DeepL (tmgmt_deepl) für alle anderen Sprachen. Die Qualität dieser Übersetzungen ist inzwischen wirklich beeindruckend.
Die automatisiert übersetzten Inhalte sind sofort veröffentlicht, der Benutzer wird jedoch darauf hingewiesen, dass der Inhalt automatisiert übersetzt wurde (d.h. diese Inhalte erhalten einen besonderen Status).
Sobald ein Redakteur die Übersetzung kontrolliert hat, wird der Status entfernt und der Hinweis wird nicht mehr angezeigt. Es gibt eine eigene Benutzerrolle für diese Tätigkeit. Übersichtslisten geben einen Überblick über Inhalte, die kontrolliert werden müssen und Benutzer mit entsprechenden Sprachkenntnissen werden bei neuen Inhalten per E-Mail benachrichtigt.
Backend Usability
Das Backend ist intuitiv und kann auch von unerfahrenen ÜbersetzerInnen nach einer kurzen Einführung benutzt werden.
Security und Privacy
Aufgrund der Tätigkeit des Vereins gab es auch besondere Anforderungen bei Security und Datensicherheit. So wurde eine Zwei Faktor Authentifizierung für alle Logins umgesetzt und auf die Einbindung von Third Party Content komplett verzichtet. Die webfonts werden vom eigenen Server geladen und für anonyme Besucher-Statistiken wird eine selbst gehostete Matomo-Instanz verwendet. Die alte Website wurde vom Chaos Computer Club Wien (C3W) bzgl. Privacy und Security analysiert, inklusive notwendiger Verbesserungsmaßnahmen für den Relaunch. Wertvolle Dienste leistete hier u.a. das seckit module.
Performance
Aufgrund der tlw. Internationalen Berichterstattung über die Aktivitäten des Vereins kann es zu plötzlich sehr hohen Zugriffszahlen und Lastspitzen kommen. Die Website und der Server sollten deshalb möglichst gut darauf vorbereitet werden. Eine Analyse mit lighthouse ergibt eine deutlich erkennbare Verbesserung im Vergleich zur alten Seite.
Revisionen, Content Moderation und Automated Translations
Das Zusammenspiel von Content Moderation Workflows, Revisionen und den automatischen Übersetzungen war nicht so einfach zu bewerkstelligen. Konkret galt es einen Weg zu finden, automatische Übersetzungen im richtigen Moment anzustoßen und die richtigen Status-Felder zu setzen - und zwar nur dann, wenn die Übersetzung auch wirklich automatisiert erfolgt ist. Außerdem gab es einige Felder (states), die von der Übersetzung ausgenommen werden mussten.
Auch die Ausgestaltung der Redaktions Workflows selber war nicht so einfach, da viele Faktoren, Berechtigungen und Rollen berücksichtigt werden mussten.
Privacy: Kein Log von IP-Adressen
Beim Erstellen von Kontaktformular-Einträgen mittels webforms werden standardmäßig IP-Adressen mitgespeichert. Dieses Verhalten musste überschrieben werden.
Security: Two-Factor Logins
Mit Hilfe des Two-factor Authentication Modules (tfa) konnten die Anforderungen gut umgesetzt werden.
Security: Content Security Policy
Leider benötigt der CKEditor ein paar bestimmte Content Policy Directives. Die Vorgaben waren deshalb etwas mühselig umzusetzen.
Das Projekt ist eine schöne Fallstudie und zeigt, wie Open Software im allgemeinen und Drupal im speziellen eine NGO bestmöglich unterstützen und spezifische Anforderungen abdecken kann.
Die Website zeigt auch, dass Drupal eine sehr gute (wenn nicht die beste) Wahl ist wenn es um Data Privacy, Security und Performance geht.
