von Dominic Ginda
Gefühlt alle WebseitenbetreiberInnen benutzen Inhalte von Dritten. Von Google Fonts, Google Maps und YouTube Videos bis hin zu Social Media Plugins wie dem Facebook “Like”-Button. Doch wie sieht das Ganze datenschutzrechtlich aus und wer haftet im Fall der Fälle? In diesem Blogbeitrag gehen wir der Sache auf den Grund.
Von der Pflicht zur Kür - wir bieten Ihnen wohlüberlegte Consent-Management-Lösungen für alle Bereiche und Branchen an.
Mehr ErfahrenDie Gründe für den starken Einsatz der Inhalte Dritter sind klar:
Und gerade beim letzten Punkt der Vorteile sollten sich die meisten denken: “Doch wo ist hier der Haken?”. Natürlich stellen Google, Facebook und Co. ihre Inhalte nicht völlig ohne Eigennutzen bzw. ohne Kosten zur Verfügung:
Über die zur Verfügung gestellten Inhalte werden Daten der Webseite-UserInnen gesammelt, mit denen wiederum individuell abgestimmte Werbung geschalten werden kann – das Hauptgeschäft von Google, Facebook und Co.
Die Inlineframes (Kurzform: Iframes) sind eigene Bereiche (Fenster) auf einer Webseite, welche Inhalte von einer anderen, dritten Webseite ausgeben. Das können nur kleine Bereiche der dritten Webseite sein, oder aber auch die komplette Seite.
Das sogenannte Iframe wird mit dem HTML-Tag <iframe> aufgerufen, in welchem sich die genaue Verlinkung zum angezeigten Inhalt befindet.
Die meisten Social Media Plugins, oder auch z.B. YouTube, arbeiten mit dieser Methode. Seit einiger Zeit hat Facebook ein neues Format (XFBML), jedoch nutzt die Mehrheit weiterhin die “Iframe”-Lösung.
Die Vorteile von Iframes sind groß, da sich ohne jeglichen Programmieraufwand tolle Funktionen auf einer Webseite einbinden lassen. Es muss lediglich der Iframe-Code eingebaut werden und schon können Videos, Rechner, komplexe Formulare oder andere Inhalte darüber abgerufen werden.
Aus datenschutzrechtlicher Sicht muss geprüft werden, ob das eingebundene Iframe Daten sammelt und weitergibt. Technisch gesehen ist es möglich, Daten wie die IP-Adresse des Users oder die URL der Zielseite zu erfassen und zu verarbeiten.
Über ein bereits zuvor gesetztes Cookie können Informationen ausgelesen werden. Hier ein kleines Beispiel, um es besser zu verdeutlichen:
Ein User sieht sich auf YouTube ein Video an. Von dort wird ein Cookie auf dem Rechner des Users gesetzt, was im Normalfall immer passiert. Wenn der User dann eine andere Webseite besucht und auf dieser ein YouTube-Video zu finden ist, können die Informationen aus dem Cookie abgerufen werden.
Rechtlich gesehen hat der EuGH den Begriff der Verantwortlichkeit weit ausgelegt, weshalb eine gemeinsame Verantwortlichkeit im Sinne von Artikel 26 DSGVO besteht.
Die gemeinsame Verantwortung endet jedoch dann, wenn der Betreiber der Webseite keinen Einfluss auf die Datenverarbeitung des Dritten hat.
Es sollte trotzdem immer geprüft werden, ob personenbezogene Daten von dem Drittanbieter bezogen werden und wenn ja, welche und wie diese genutzt werden.
Es ist also entscheidend zu wissen, ob die Iframes Informationen sammeln, verarbeiten oder weitergeben. Sollte das der Fall sein, müssen auf jeden Fall weitere Schritte unternommen werden:
Clientseitiger Skriptcode ist eine modernere Möglichkeit, externe Inhalte auf der Webseite einzubinden. Mit einem HTML-Fragment oder einem JavaScript-Code können Funktionen auf der Seite ausgespielt werden.
Ähnlich wie beim Iframe werden die Drittinhalte von einem anderen Webserver abgerufen, was diverse Vorteile mit sich bringt, wie z.B.:
Natürlich gibt man die Kontrolle über Teile der eigenen Webseite (die Drittinhalte) ab. Außerdem muss im Webbrowser JavaScript aktiviert sein, damit die Inhalte auch angezeigt werden. In diesem Fall kann Entwarnung gegeben werden, da bei lediglich ca. 1% JavaScript deaktiviert ist.
Die häufigsten Technologien, die über diese Methode eingebunden werden, sind Google Analytics, Google AdSense, Google Fonts, Google Maps und teilweise auch Videos von YouTube und Vimeo.
Google Fonts hat mittlerweile eine unfassbare Präsenz im Internet erlangt. Fast jede Webseite von Klein- und Mittelunternehmen nutzt den Dienst von Google. Warum Google Fonts so erfolgreich ist, ist einfach erklärt. Die Webseitenbetreiber bekommen einen riesigen Fundus an den verschiedensten Webschriften in allen möglichen Stärken und Styles (Fett, kursiv) und das kostenfrei.
Noch dazu ist Google Fonts sehr einfach einzubinden. Dabei unterscheidet man zwischen der “online” Variante und der “offline” Variante.
Der einfachere und schnellere Weg ist die online Variante. Hier muss nur eine beliebige Schrift gewählt und danach auf der Webseite mit einem <link> oder einem @import Tag eingefügt werden. Damit wird die Schrift vom Google Server abgerufen und somit online eingebunden.
Beim zweiten Weg lädt man die Datei von der Google Fonts Webseite herunter und bindet diese, wie jede andere Webfont, auf der eigenen Webseite ein. Mit dieser Methode wird die Font direkt vom eigenen Webserver geladen.
Aus datenschutzrechtlicher Sicht ist Google Fonts besonders zu behandeln. Google sammelt Daten von den Nutzern der Webseite und außerdem wird Google Fonts in den meisten Fällen schon vor der Einwilligung geladen. Ein gerichtliches Urteil gibt es dazu noch nicht, jedoch ist stark zu empfehlen, die offline Variante zu nutzen, da die Schriften dann vom eigenen Webserver geladen werden.
Wenn man unbedingt die online Variante nutzen möchte, sollte man auf jeden Fall einen Hinweis in der Datenschutzerklärung hinzufügen und zusätzlich versuchen, mit der CMP die Google Fonts vor der Einwilligung zu blockieren.
Um Google Maps zu nutzen, kann man entweder die Iframe-Variante wählen (siehe oben) oder man bindet sie über die Google Maps API ein. Bei der API-Methode werden über einen API-Schlüssel die Kartenzugriffe von Google ermittelt. Bei einer bestimmten Anzahl von Aufrufen ist der Service von Google nämlich kostenpflichtig.
Unbedingt zu unterlassen sind Screenshots von Google Maps Karten. Dies ist strengstens untersagt und wird von Google auch rechtlich geahndet.
Aus datenschutzrechtlicher Sicht ist es ebenso wie bei Google Fonts. Google sammelt auch hier Daten der Nutzer, die sich auf der Webseite befinden. Aus diesem Grund sollte auch hier mittels der CMP zuerst eine Zustimmung eingeholt werden. Außerdem sollte ein Hinweis in der Datenschutzerklärung gegeben werden, dass Google Daten sammelt. Dadurch, dass es hier keine offline Methode gibt, sind die oben genannten Schritte stark empfohlen.
Wie auch bei den zwei oben genannten Beispielen von Google Maps und Google Fonts ist die Problematik hier, dass YouTube Daten sammelt, sobald sich der Nutzer auf einer Webseite befindet, in der YouTube Videos eingebunden sind. Es gibt nun mehrere Möglichkeiten das Sammeln der Daten zu unterbinden bzw. es zu erschweren:
Um den erweiterten Datenschutzmodus zu aktivieren, muss man einfach das gewünschte Video auf YouTube öffnen. Danach auf “Teilen” klicken und im nächsten Schritt die “Einbetten”-Funktion auswählen. Nun muss ein wenig gescrollt werden. Bei den “Optionen zum Einbetten” findet man den gewünschten “erweiterten Datenschutzmodus”, der aktiviert werden muss. Mit dieser Option ändert sich der Link des Iframes von “www.youtube.com” auf “www.youtube-nocookie.com”.
Mit dieser Methode werden zwar noch Daten an YouTube übertragen, jedoch keine personenbezogenen Daten. Diese Option muss bei jedem Video auf der Webseite aktiviert werden.
Mit dieser Methode kann man die Videos wie gewohnt einbinden, jedoch muss wieder über die CMP eine Zustimmung für YouTube eingeholt werden. Hat man keine Zustimmung, darf das Video auch nicht geladen werden.
Die letzte Methode und eine eher uncharmante Lösung, ist das Einfügen einer Verlinkung. Damit wird der Nutzer zum gewünschten Video auf YouTube geleitet. Das hat allerdings den großen Nachteil, dass der Nutzer die Seite verlässt und die Verlinkung auch sehr leicht übersehen werden kann.
In den ersten beiden Fällen (erweiterter Datenschutzmodus und Zustimmung für YouTube), ist es stark empfohlen, einen Hinweis in der Datenschutzerklärung hinzuzufügen.
Wie man sehen kann, muss man die verschiedenen Tools sehr ähnlich behandeln und es werden im Grunde auch immer die gleichen Schritte empfohlen:
In den meisten Fällen besteht eine gemeinsame Verantwortlichkeit im Sinne von Artikel 26 DSGVO. Diese kann aber zum einen sehr unterschiedlich ausgelegt werden und zum anderen möchte man sich nicht mit Google & Co. anlegen. Auch aus dem Grund, dass sich diese Dienste mit diversen Verträgen absichern.
Wir freuen uns auf Ihre Anfrage und beraten Sie gerne unverbindlich! Füllen Sie dazu einfach das Kontaktformular aus oder rufen uns direkt an.
Jetzt kontaktierenNewsletter
Holen Sie sich unsere Online Marketing-Insights und Trends direkt in Ihr Postfach!