noyb.eu

Non-Profit

Zusammenfassung

Relaunch der Website von NOYB – European Center for Digital Rights

Projektbeschreibung

NOYB (steht für “My Privacy is None Of Your Business”) ist eine NGO mit Sitz in Wien, die sich der Durchsetzung des Datenschutzes innerhalb der Europäischen Union verschrieben hat. Gegründet von u.a. Max Schrems (https://de.wikipedia.org/wiki/Max_Schrems) hat der Verein bereits erfolgreich Beschwerden gegen große Konzerne wie Google und Facebook wegen ihrer intransparenten Praxis bei der Verarbeitung personenbezogener Daten zu Werbezwecken erhoben.

Ein besonderer Grund für den Relaunch der Seite war der Wunsch, Inhalte möglichst schnell in möglichst vielen Sprachen veröffentlichen zu können. Darüber hinaus gab es besondere Anforderungen bzgl. dem Redaktions Workflow, Security, Privacy und Performance.

Projektziele und -ergebnisse

Die Website basiert auf einer Thunder.org Drupal Distribution. Diese wurde mit einigen Spezialentwicklungen ergänzt.

Mehrsprachigkeit und Redaktions Workflow
Eine besondere Vorgabe war, dass die Website in möglichst vielen Sprachen zur Verfügung stehen soll und die Inhalte wie zB News zeitnah in allen Sprachen übersetzt werden. Hierzu wurde außerhalb der üblichen Thunder-Workflows ein automatisierter Übersetzungsworkflow umgesetzt, dh. Artikel werden in englischer Sprache angelegt und dann mit Hilfe des Translation Management Moduls (tmgmt) in alle vorhandenen Sprachen automatisiert übersetzt. Das erfolgt über Google Translation für die griechische Sprache (tmgmt_google) und DeepL (tmgmt_deepl) für alle anderen Sprachen. Die Qualität dieser Übersetzungen ist inzwischen wirklich beeindruckend.

Die automatisiert übersetzten Inhalte sind sofort veröffentlicht, der Benutzer wird jedoch darauf hingewiesen, dass der Inhalt automatisiert übersetzt wurde (d.h. diese Inhalte erhalten einen besonderen Status).

Sobald ein Redakteur die Übersetzung kontrolliert hat, wird der Status entfernt und der Hinweis wird nicht mehr angezeigt. Es gibt eine eigene Benutzerrolle für diese Tätigkeit. Übersichtslisten geben einen Überblick über Inhalte, die kontrolliert werden müssen und Benutzer mit entsprechenden Sprachkenntnissen werden bei neuen Inhalten per E-Mail benachrichtigt.

Backend Usability
Das Backend ist intuitiv und kann auch von unerfahrenen ÜbersetzerInnen nach einer kurzen Einführung benutzt werden.

Security und Privacy
Aufgrund der Tätigkeit des Vereins gab es auch besondere Anforderungen bei Security und Datensicherheit. So wurde eine Zwei Faktor Authentifizierung für alle Logins umgesetzt und auf die Einbindung von Third Party Content komplett verzichtet. Die webfonts werden vom eigenen Server geladen und für anonyme Besucher-Statistiken wird eine selbst gehostete Matomo-Instanz verwendet. Die alte Website wurde vom Chaos Computer Club Wien (C3W) bzgl. Privacy und Security analysiert, inklusive notwendiger Verbesserungsmaßnahmen für den Relaunch. Wertvolle Dienste leistete hier u.a. das seckit module.

Performance
Aufgrund der tlw. Internationalen Berichterstattung über die Aktivitäten des Vereins kann es zu plötzlich sehr hohen Zugriffszahlen und Lastspitzen kommen. Die Website und der Server sollten deshalb möglichst gut darauf vorbereitet werden. Eine Analyse mit lighthouse ergibt eine deutlich erkennbare Verbesserung im Vergleich zur alten Seite.

Herausforderungen

Revisionen, Content Moderation und Automated Translations
Das Zusammenspiel von Content Moderation Workflows, Revisionen und den automatischen Übersetzungen war nicht so einfach zu bewerkstelligen. Konkret galt es einen Weg zu finden, automatische Übersetzungen im richtigen Moment anzustoßen und die richtigen Status-Felder zu setzen - und zwar nur dann, wenn die Übersetzung auch wirklich automatisiert erfolgt ist. Außerdem gab es einige Felder (states), die von der Übersetzung ausgenommen werden mussten.

Auch die Ausgestaltung der Redaktions Workflows selber war nicht so einfach, da viele Faktoren, Berechtigungen und Rollen berücksichtigt werden mussten.

Privacy: Kein Log von IP-Adressen
Beim Erstellen von Kontaktformular-Einträgen mittels webforms werden standardmäßig IP-Adressen mitgespeichert. Dieses Verhalten musste überschrieben werden.

Security: Two-Factor Logins
Mit Hilfe des Two-factor Authentication Modules (tfa) konnten die Anforderungen gut umgesetzt werden.

Security: Content Security Policy
Leider benötigt der CKEditor ein paar bestimmte Content Policy Directives. Die Vorgaben waren deshalb etwas mühselig umzusetzen.

Community-Beiträge

Wir glauben an Open Source und tragen seit 2005 aktiv zur Drupal-Gemeinschaft bei. Wir steuern nicht nur Code bei, sondern wir versuchen auch, Drupal in der DACH Region zu fördern und die lokale Gemeinschaft durch die Organisation von Meetups oder Camps zu unterstützen.

Die acolono GmbH ist unterstützendes Mitglied der österreichischen Drupal-Association und ihre Gründer Christian Ziegler und Nico Grienauer sind im Vorstand des Vereins und eine der treibenden Kräfte von Veranstaltungen wie dem DrupalCamp Vienna, Drupal Austria Roadshow, den Open Minds (Open Source) Award oder dem DrupalCon Vienna Community Day.

Wie bei allen Projekten der acolono GmbH werden im Zuge der Entwicklung notwendige Verbesserungen und Fixes für Drupal Core und Contrib Module auf drupal.org der Community zur Verfügung gestellt. Einige projekt-spezifische Beispiele sind die folgenden Issues auf drupal.org:

https://www.drupal.org/project/tmgmt/issues/3063547
https://www.drupal.org/project/shariff/issues/3040508

Uns ist Datenschutz und data privacy sehr wichtig, auch deshalb haben wir die Drupal-Integration der datenschutzkonformen shariff sharing buttons von heise.de auf drupal.org veröffentlicht und warten seitdem das Modul mit Unterstützung der Community: https://www.drupal.org/project/shariff

U.a. für den Einsatz in diesem Projekt haben wir ein weiteres spezielles Modul entwickelt, das datenschutzkonformes Einbetten von Webseiten- und Social-Media-Elementen erlaubt: https://www.drupal.org/project/betterembed

Während der Entwicklung dieses Projektes wurden auch Übersetzungen von für dieses Projekt relevante Module und Drupal Core auf http://localize.drupal.org/ erstellt, freigegeben und in Rocketchat diskutiert.

Warum sollte dieses Projekt die Splash Awards gewinnen?

Das Projekt ist eine schöne Fallstudie und zeigt, wie Open Software im allgemeinen und Drupal im speziellen eine NGO bestmöglich unterstützen und spezifische Anforderungen abdecken kann.

Die Website zeigt auch, dass Drupal eine sehr gute (wenn nicht die beste) Wahl ist wenn es um Data Privacy, Security und Performance geht.

Und nicht zuletzt leistet NOYB wertvolle Arbeit bzgl. Datensicherheit und Datenschutz. Das sollte man unterstützen!

Projekt-Video