Die Datenschutzgrundverordnung, kurz DSGVO, erlaubt keine Speicherung oder Verarbeitung von persönlichen Daten auf US-Servern. Das erschwert die Nutzung von Tools aus dem amerikanischen Raum, wie beispielsweise Bubble.io. Wir zeigen euch in diesem Artikel wie ihr Bubble.io DSGVO konform macht.

Anmerkung: Dieser Artikel stellt keine Rechtsberatung dar. Unsere Recherche ist nach bestem Wissen und Gewissen getätigt worden, kann aber natürlich nicht für hundertprozentige Korrektheit und Vollständigkeit garantieren. Wir übernehmen deswegen auch keine Haftung für die Inhalte. Bitte lass deinen eigenen individuellen Fall von einem Rechtsexperten prüfen.

Die drei wichtigsten Faktoren, auf die ihr im Hinblick auf die DSGVO besonders achten müsst, sind Datenbanken, Authentifizierungen und Tracking bzw. Cookies. An diesen 3 Stellen werden persönliche Daten verarbeitet. Im Folgenden stellen wir dir also verschiedene Alternativen vor, um sicherzugehen, dass entweder keine persönlichen Daten gespeichert und verarbeitet werden oder wenn, dann nur auf einer EU-Infrastruktur und Servern.

1. Faktor: Datenbank

Das Problem aus Datenschutzsicht bei Bubble ist die eigene PostgreSQL Datenbank in jedem angelegten Projekt. Diese Datenbank wird, wie Bubble selbst auch, auf der Amazon Web Services Infrastruktur gehostet. Verschiedenen Forenbeiträgen zufolge ist es die aws-us-west-2 Region, sprich in den USA.

Deshalb solltest du alternative Datenbanken nutzen

Applikationen, die DSGVO-konform betrieben werden, müssen auf Alternativen zurückgreifen. Der Vorteil ist, dass die Einbindung einer externen Datenbank in Bubble relativ einfach ist. Durch die kostenlosen SQL Connector und API Connector Plugins, die von Bubble bereitgestellt werden, kann eine Vielzahl von Backend Systemen verbunden werden.

Einbindung einer eigenen SQL Datenbank

SQL Datenbanken basieren auf einem relationalen Datenbankmodell, also einer einfachen und intuitiven Art, Daten in Tabellen zu speichern. Wenn du Bubble bereits für mehrere Projekte eingesetzt hast, kennst du das Prinzip bereits sehr gut.

Es gibt verschiedene Arten von SQL Datenbanken, die sich allesamt entweder selbst oder bei einem Cloud-Service betreiben lassen. Einen eigenen Datenbankserver sollte man nur in Betrieb nehmen, wenn man die entsprechende Infrastruktur, Sicherheit und Performance bereitstellen kann. Die beliebtesten SQL Datenbanksysteme sind unter anderem MySQL, PostgreSQL und MSSQL (Microsoft SQL).

Verwende hier am besten einen der folgenden Cloud-Dienste:

• MySQL: Strato
• PostgreSQL: Aiven.io und Clever Cloud
• MSSQL: Fritz GmbH und OVHcloud

Die Anbindung an deine Bubble App funktioniert mittels des SQL Connector Plugins. Dazu benötigt Bubble den Connection String zur Datenbank, sprich die Adresse, unter der deine Datenbank erreichbar ist. Es gibt unterschiedliche Authentifizierungsmethoden, wobei die häufig genutzte ein definierter Datenbanknutzer ist. Achte unbedingt auf eine verschlüsselte Übertragung deiner Daten.

Mehr über die Anbindung von SQL Datenbanken über das SQL Connector Plugin findest du hier.

Du verstehst nur Bahnhof? Dann schau doch mal in unsere kostenlose Preview unserer Bubble Masterclass rein!

Einbindung einer Mongo Datenbank

Ein weiteres Datenbanksystem, das sich in deine Bubble App einbinden lässt, ist MongoDB. Dies ist ein dokumentenorientiertes Datenbanksystem, welches für extrem skalierbare Datenmengen geschaffen wurde. Das leitet sich bereits aus dem Namen ab: “Mongo” Abkürzung aus Humongous, zu Deutsch “gigantisch”. Gespeichert werden Daten in JSON Dokumenten. Javascript Object Notation ist ein kompaktes Datenformat mit leicht lesbarem Textinhalt, welches für den Austausch zwischen Anwendungen genutzt wird. Anders als in relationalen Datenbanken wie SQL Datenbanken, nutzt MongoDB ein flexibles Datenschema. Feste Datenstrukturen, wie man es aus SQL Tabellen kennt, sind also optional.

Die Anbindung an deine Bubble App funktioniert in diesem Fall mit dem API Connector Plugin. Die MongoDB stellt entsprechende API Endpoints für deine erstellten Collections zur Verfügung.

Anbieter von MongoDB findest du beim Entwickler direkt oder auch bei IONOS.

Cloud-Services als Alternative zu Datenbanksystemen

Neben den verschiedenen Datenbanksystem gibt es auch verschiedene Cloud-Services, die als Backend für deine Bubble Anwendung dienen können. Sie lassen sich allesamt über das API Connector Plugin an deine Anwendung anknüpfen.

• SeaTable ist die deutsche Alternative zu Airtable. Wenn du Airtable kennst, dann wirst du dich in SeaTable schnell zurechtfinden. Es handelt sich um einen Hybrid aus Spreadsheets und Datenbanken. Auf einer intuitiven Benutzeroberfläche lassen sich schnell Datenbanken und Tabellen anlegen, in denen du deine Daten speichern kannst. SeaTable stellt eine umfangreiche API zur Verfügung, mit der du deine Daten für Bubble bereitstellen kannst.
  
• Ninox ist ein tolles Tool um Arbeitsprozesse zu digitalisieren. Auch hier handelt es sich um eine visuelle Datenbank, die Tabellen, Ansichten, Formulare und Berichte bereitstellt.
  
• Xano ist eine No-Code Backend Plattform, die PostgreSQL verwendet.
  
• Bubble Dedicated Server ist ein eigener Bubble Server mit EU Hosting. Die Infrastruktur gehört nach wie vor einem US Unternehmen. Es ist also zu prüfen, ob die Anwendungen dann wirklich DSGVO konform sind.
  

2. Faktor: Authentifizierung

Die Authentifizierung sorgt dafür, dass die Identität eines Benutzers gegenüber einem System nachgewiesen und verifiziert werden kann. Dazu ist der Austausch sensibler Daten notwendig. Damit diese Daten nicht auf US Servern verarbeitet und gespeichert werden, gibt es folgende Möglichkeiten.

Auth0 (zero)

Die Daten von europäischen Kunden werden laut Auth0 ausschließlich auf EU-Servern verarbeitet, primär in Deutschland, mit Irland als Failover Alternative.
Über das Bubble Plugin oder den Bubble API Connector kannst du eine Verknüpfung zu Auth0 einrichten.

Die Nutzenden werden dann für die Authentifizierung zu einer Loginmaske von Auth0 geleitet. Dort können Sie sich registrieren oder anmelden, ein Access Token leitet die Daten dann an die Web-App weiter.

Xano

Eine weitere Möglichkeit für die Authentifizierung ist die Einbindung eines eigenen API Endpoints in Xano. Dazu brauchst du eine User Tabelle, in der die Benutzerdaten inkl. Passwort gespeichert werden.

In Bubble kannst du für die Einbindung von Xano ganz normal die Formulare für Registrierung und Login einbinden. Wenn der Nutzer dann auf den Button klickt, werden die Daten über die API an Xano geleitet und das Tool liefert einen Authentication Token zurück. Der wird dann als Cookie im Current User gespeichert, so lange wie die Session existiert.

Was du noch zum Thema Authentifizierung wissen solltest

• Weitere Interessante Authentication Provider sind MojoAuth und Purple Auth
• ‍Artikel zu manuellen Token-Integrationo mit Auth0

3. Faktor: Tracking und Cookies

Für die DSGVO-Konformität der Tracking Funktionalität und der Cookie Banner gibt es einige verschiedene Möglichkeiten, die ich dir im folgenden vorstellen möchte:

“Do no set cookies”-Option in Bubble

Wenn eine Bubble App im Browser gestartet wird, wird eine User Session angelegt. Bei dieser User Session wird ein temporärer Nutzer erstellt. Dieser wird mit dem Status “not logged in” versehen.

Dieser temporäre Nutzer verhält sich wie ein registrierter Nutzer, er kann Attribute verändern und speichern.

Die Abfrage des Alter eines Benutzers beispielsweise kann vor der Registrierung gestellt werden. Wenn sich dieser Nutzer später einen Account erstellt, wird das Alter im temporären Benutzer gespeichert. Im Bubble Workflow speicherst du den Wert einfach für den “Current user”.

Wenn dieser sich dann registriert, kannst du den Wert vom temporären Nutzer an den erstellten Account im Hintergrund übergeben.

Wenn der Nutzer also später wieder auf deine Seite zurückkommt und zwischenzeitlich keine Cookies gelöscht hat, hat der Nutzer alle Eigenschaften wie in seiner letzten Session, in diesem Beispiel das Alter. Bubble löscht diese temporären Nutzer automatisch nach 3 Tagen. Wenn der Nutzer anschließend auf deine Seite zurückkommt, wird ein neuer temporärer Nutzer angelegt.

• Google Analytics ist das Trackingtool, das von Google entwickelt wird.
• ‍Cookie Consent Management Plattformen wie CookieFirst, Cookiebot bzw. Usercentrics bieten einen vollumfängliche Plattform zur Verwaltung, Individualisierung von Cookies als auch deren statistischen Auswertungen.
• ‍DIY Cookie Banner können mit Bubble.io erstellt werden. Dafür müsst ihr in deiner Datenbank eine zusätzliche Spalte anlegen, in der die Opt-In Einstellung gespeichert wird. Mit den Bubble Actions “Opt-in / Opt-out to cookies” könnt ihr dann die Auswahl des Nutzers berücksichtigen.
• ‍Fathom Analytics ist ein Tool eines kanadischen Unternehmens, bei dem alle Daten von EU-Kunden ausschließlich auf EU-Servern verarbeitet werden. Zudem werden keinerlei persönliche Daten protokolliert, sodass du deinen Cookie Banner theoretisch weglassen kannst. Vorausgesetzt du verwendest neben Fathom keine anderen Tracking Services! Fun fact nebenbei: Einer der Gründer, Paul Jarvis, hat ein sehr gutes Buch geschrieben namens “Company of one - why staying small is the next big thing”. Also wenn du Selbstständig oder Gründer:in eines Unternehmens und dementsprechend auf deine eigenen Kapazitäten beschränkt bist, kann ich dir das Buch sehr empfehlen.

Fazit

Mit den genannten Wegen, bist du auf dem richtigen Weg. Wenn Daten nur auf EU-Servern gespeichert werden und den Cookiebanner korrekt arbeitet, sollte deine Webanwendung DSGVO-konform sein. Du solltest dir aber in jedem Fall immer eine Beratung von einem Rechtsexperten einholen, um sicher zu gehen.

Ausblick

Die EU und die USA arbeiten aktuell am Trans Atlantic Data Privacy Framework als Neuauflage des Privacy Shield Agreements. Datentransfers in die USA sollen dann mit einem neuen Regelwerk und verbindlichen Schutzmaßnahmen möglich sein. Bis es so weit ist, wird es allerdings noch ein bisschen dauern.

Möchtest du Bubble.io lernen?

Starte jetzt deine gratis Bubble Masterclass Preview und lerne deine eigenen Websites und Webanwendungen zu entwickeln.

‍