IITR Datenschutz Blog
02
Mrz

Datenschutzkonforme Einbindung verschiedener Tools auf Webseiten

IITR Information[IITR – 02.03.22] Die datenschutzkonforme Gestaltung von Webseiten steht derzeit im Focus der Datenschutz-Aufsichtsbehörden. Während bereits das „Ob“ der Einbindung eines bestimmten Tools äußerst umstritten ist, ändert sich das keineswegs im folgenden Schritt bei der Frage nach dem „Wie“. Die unterschiedliche Handhabe, Ausgestaltung und komplexe Einsatzmöglichkeit derzeitig eingesetzter Anwendungen birgt einige Stolpersteine und führt zu kniffligen datenschutzrechtlichen Problemstellungen, die im folgenden beschrieben werden.

TTDSG: „Je Eingriff, desto Einwilligung“

Das neue Telekommunikation-Telemedien-Datenschutz-Gesetz, kurz TTDSG, das am 1. Dezember 2021 in Kraft getreten ist, schützt insbesondere die Integrität der Hardware von Endnutzern. Cookies stellen durch ihre Funktion einen Eingriff in eben diese Endgeräte dar, so dass grundsätzlich eine Einwilligung erforderlich wird. Seltene Ausnahmen sind in § 25 Abs. 2 TTDSG dargelegt, so kann beispielsweise bei „unbedingt erforderlichen“ Cookies von einer Einwilligung abgesehen werden.

Im Umkehrschluss gilt also, dass ein Tracking ohne Einwilligung dann möglich erscheint, wenn kein Eingriff ins Endgerät notwendig ist, dieses Tracking also beispielsweise „cookielos“ erfolgt. Zusätzlich muss zur Datenanalyse unweigerlich zunächst anonymisiert werden, da ansonsten eine Einwilligung nach DSGVO erforderlich würde (vertiefend hier).

DSGVO: „Je Datentransfer, desto Einwilligung“

Die DSGVO schützt die Seitennutzer des Weiteren davor, dass personenbezogene Daten ungehindert übermittelt werden können. Oftmals werden bestimmte Verfahren – weit über das Tracking hinaus – durch Drittanbieter vorgenommen, so dass eine Übermittlung der personenbezogenen Daten an diese unerlässlich wird. Dies gilt allerdings nicht für anonymisierte – sehr wohl aber für pseudonymisierte – Daten.

Häufig werden in Webseiten Codes von solchen Dritt-Dienstleistern verbaut, die einen Datenfluss der Nutzerdaten automatisiert auslösen. Bei vielen dieser Tools ist es durch technische Anpassungen möglich, diesen Datenfluss zu unterbinden, so dass die Tools einwilligungsfrei eingesetzt werden können (vertiefend hier).

Externe Schriftarten (wie Google Fonts)

„Grundsätzlich ist es rechtlich begründbar, externe Schriftarten auf seiner Webseite einzubinden. Jedoch empfehlen wir, diese über den eigenen Webserver einzubinden und selbst zu hosten. Bei Aktivierung des Tools wird ansonsten eine Verbindung zu den Servern der Drittanbieter hergestellt, welche bei solchen Diensten oft zu einer Übermittlung personenbezogener Daten in Drittländer führt. Dies gilt z.B. bei Google Fonts, da bei Aufruf der Webseite der Browser des Nutzers die benötigten Webfonts lädt und zu diesem Zweck zu den Google-Servern Kontakt aufnimmt, so dass eine Datenübermittlung in die USA stattfinden kann.“ (BayLDA in seinem FAQ zu „Internet“)

Soweit eine externe Schriftart auf der Webseite verwendet werden soll, muss diese von externen Servern – wie Google – geladen werden. Es wird automatisch eine Verbindung aufgebaut und so fließen personenbezogene Daten des Seitennutzers in Drittländer, wozu es einer Einwilligung bedarf. Um nun einen solchen Datentransfer – und damit gleichzeitig die Anforderung einer Einwilligung – zu umgehen, besteht die Möglichkeit, die ausgewählte Schriftart auf die eigenen Server zwischenzuladen. Eine vertiefende Darstellung finden Sie hier.

Kartendienst-Anbieter (wie Google Maps)

„Zunächst sollten die Inhalte von Google Maps erst dann geladen werden, wenn der Nutzer aktiv den Kartendienst in Anspruch nimmt, z.B. durch einen extra Klick. Außerdem sind Kartendienste Dritter im Rahmen der Datenschutzerklärung der Webseite zu berücksichtigen. Da beim Aktivieren des Tools eine Verbindung zu den Servern der Drittanbieter hergestellt wird, führen solche Dienste oft zu einer Übermittlung personenbezogener Daten in Drittländer. Dies ist etwa der Fall bei der Einbindung von Google Maps.“ (BayLDA in seinem FAQ zu „Internet“)

Es soll also zunächst unbedingt verhindert werden, dass bereits mit Aufrufen der Webseite Inhalte des Kartendienstleisters geladen werden, weil dies grundsätzlich nur mit Einwilligung zulässig ist.

So könnte hier eine „Vorschalt-Funktion“ eingebaut werden, die darauf hinweist, dass die Kartenfunktion lediglich mit Einwilligung erfolgen kann und somit ein „Zustimmen“ des Seitennutzers verlangt wird oder man integriert eine rein statische Karte als Link zum Anbieter, so dass keinerlei Übermittlung stattfindet, die Karte aber auch letztlich nicht mehr eingebettet ist. – Alternativ kann natürlich auch auf andere Maps-Anbieter zurückgegriffen werden (mögliche Alternative: „OpenStreetMap“).

Video-Einbindung (insb. YouTube)

Analog zu der Einbindung von Kartendienst-Anbietern ist auch bei der Einbindung von Videos (insb. von YouTube) darauf zu achten, dass nicht bereits mit Aufrufen der Webseite Daten des Webseiten-Besuchers an YouTube/Google übermittelt werden bzw. von YouTube/Google Cookies gesetzt werden. YouTube bietet hierzu einen “privacy-enhanced mode” bei der Video-Einbindung an. Alternativ kann auch bei den Videos mit einer Vorschalt-Funktion gearbeitet oder mit einem alternativen europäischen Video-Dienstanbieter/eigenem Hosting der Videos gearbeitet werden.

Social Plugins (z.B. von Twitter, Facebook, Instagram)

„Die Einbindung ist rechtmäßig möglich, soweit vorher eine Einwilligung des Nutzers eingeholt und in der Datenschutzerklärung über den Einsatz informiert wird. Hierzu kommen Zwei-Klicklösungen in Betracht beispielsweise von Shariff Wrapper und Embetty in Betracht.“ (BayLDA in seinem FAQ zu „Internet“)

Ähnlich wie bei Kartendienstanbietern ist sicherzustellen, dass ein personenbezogener Datentransfer nicht bereits mit Aufrufen der Webseite erfolgt. Dies gelingt beispielsweise mit dem Einsatz von „c‘t Shariff“. Soweit hier jedoch aktiv mit dem Sozialen Medium interagiert werden soll, ist eine Einwilligung unumgänglich. Es kann wiederum nur darauf verzichtet werden, sollte lediglich ein Button, der ausschließlich als Link fungiert, eingesetzt werden.

Im Übrigen ist es derzeit nicht möglich, eine „Fanpage“ datenschutzkonform zu betreiben, weil „Fanpage-Betreiber ihre Rechenschaftspflicht gem. Art. 5 Abs. 1, 2 DS-GVO nicht erfüllen können.“ (BayLDA in seinem FAQ zu „Internet“). – Es müssten nämlich die verschiedenen Aspekte der Datenverarbeitung hinsichtlich der Fanpage dokumentiert dargestellt werden, was mangels ausreichender Angaben der verschiedenen Social-Media-Anbieter derzeit nach Auffassung der Datenschutz-Aufsichtsbehörde praktisch unmöglich ist.

Captcha-Dienste (wie Google reCAPTCHA)

„Website-Betreiber sollten unbedingt Alternativen prüfen. Wird dennoch Google reCAPTCHA eingebunden, muss sich der Verantwortliche im Klaren sein, dass er den rechtmäßigen Einsatz gem. Art. 5 Abs. 1, 2 DS-GVO nachweisen können muss. Wer nicht darlegen kann, wie Google die Nutzerdaten verarbeitet, kann den Nutzer nicht transparent informieren und den rechtmäßigen Einsatz nicht nachweisen.“ (BayLDA in seinem FAQ zu „Internet“)

Der hier angesprochenen Informationspflicht nachzukommen, erweist sich in der Praxis oftmals als Sisyphus-Aufgabe und wir so zumeist nicht gelingen. Hier ist es also ratsam, sich nach Alternativen wie „friendlycaptcha“ umzusehen.

Analyse-Tools (wie Google Analytics)

Kaum ein Webseiten-Tool ist datenschutzrechtlich so heiß diskutiert und umstritten wie „Google Analytics“. Grund dafür ist, dass bei einem standardmäßigen Einsatz ein Cookie gesetzt wird, personenbezogene Daten (wie IP-Adressen) erhoben werden und diese Daten in die USA transferiert werden. Für jeden genannten Aspekt bedarf es einzeln betrachtet einer Einwilligung des Seitennutzers. Nach Datenschutzgrundverordnung müsste ein Seitennutzer zur wirksamen Einwilligung jeweils ausführlich informiert worden sein. Soweit dies dem Webseitenbetreiber gelingt, lässt sich Google Analytics mit Einwilligung weiterhin einsetzen (vertiefend: Hinweise der Datenschutzkonferenz zu Google Analytics).

Alternativ ist es möglich, Google Analytics zu einer cookielosen Variante umzugestalten und einen Proxy auf dem eigenen Server vorzuschalten, der die IP-Adressen vor der Übermittlung an Google anonymisiert. Das entspricht jedoch einem gewissen technischen Aufwand, dadurch ließe sich aber Google Analytics – in einem etwas kleineren Umfang – einwilligungsfrei verwenden.

Eine weniger aufwendige Alternative stellt datenschutzfreundlichere Tracking-Technik dar, die standardmäßig ohne Cookies funktioniert. Beispiele (in entsprechender technischer Konfiguration) dafür sind „etracker“, „econda“ oder „matomo“.

Es ist im Übrigen auch möglich mehrere Tracking-Tools zu kombinieren, so dass trotz nicht erfolgter Einwilligung ein Basis-Datensatz zur Analyse immer gegeben ist.

Einwilligungsbanner: zwei Themen im Blick halten

Bei der Nutzung von “Einwilligungsbannern” sollten bei der korrekten Konfiguration insbesondere folgende Themen im Blick gehalten werden:

  • Der Knopf zum “Ablehnen” von Tracking-Tools muss aus Sicht der Aufsichtsbehörden in der gleichen Ebene wir der “Zustimmen”-Knopf verfügbar sein (und darf nicht in Unter-Ebenen “versteckt” werden; Quelle).
  • Der Begriff der für die Seitenanzeige “erforderlichen Werkzeuge” ist eng im Hinblick auf die für die Seitenanzeige notwendigen Werkzeuge auszulegen (so ist beispielsweise für den Google Tag Manager davon auszugehen, dass er analog zu Google Fonts als nicht erforderlich für die Seitenanzeige anzusehen ist und der vorherigen Einwilligung bedarf; in dieser Richtung auch das LG München I).

Fazit

Viele Tools lassen sich trotz aller – oftmals auch berechtigten – Kritik mit den richtigen Anpassungen und Einstellungen weiterhin nutzen. Bei der Auswahl der richtigen Tools für die eigene Webseite allerdings sollte es einem Unternehmen primär nicht darauf ankommen, was man alles datenschutzkonform umzusetzen vermag, sondern was man tatsächlich benötigt. Der Aufwand bestimmte Anwendungen einzurichten sollte hierbei den letztlichen Nutzen keinesfalls übersteigen.

Diese Frage nach dem eigentlichen Vorteil sollte sich jedes Unternehmen zunächst stellen, bevor man zur Frage der tatsächlichen Umsetzbarkeit kommt.

Autor: Michael Wehowsky

Michael Wehowsky

Über den Autor - Datenschutzbeauftragter Michael Wehowsky

Herr Michael Wehowsky ist zertifizierter Datenschutzbeauftragter (udis) und Certified Information Privacy Professional Europe (CIPP/E, iapp). In seiner Funktion als externer Datenschutzbeauftragter und Berater unterstützt er Unternehmen verschiedenster Ausrichtung und Größe im Datenschutz in deutscher, englischer und italienischer Sprache.

Beitrag teilen:

2 Kommentare zu diesem Beitrag:

Peter Feige

Sehr schöne Zusammenfassung der aktuellen Situation, vielen Dank!

Kommentar schreiben:

Ihre E-Mail-Adresse wird nicht veröffentlicht.

https://www.iitr.de/blog/wp-content/uploads/2020/10/chatbot-load.png https://www.iitr.de/blog/wp-content/uploads/2020/10/loading.gif