Datenweitergabe von Inhalten Dritter – wer haftet?

Gefühlt alle WebseitenbetreiberInnen benutzen Inhalte von Dritten. Von Google Fonts, Google Maps und YouTube Videos bis hin zu Social Media Plugins wie dem Facebook “Like”-Button. Doch wie sieht das Ganze datenschutzrechtlich aus und wer haftet im Fall der Fälle? In diesem Blogbeitrag gehen wir der Sache auf den Grund. Die Gründe für den starken Einsatz der Inhalte Dritter sind klar: 

  • Die Inhalte sind einfach und schnell einzupflegen.
  • Es ist fast kein Programmieraufwand für teilweise recht komplexe Inhalte nötig.
  • Sie verbrauchen wenig Ressourcen der Seite. Dadurch wird die Webseite schneller geladen.
  • Durch das schnellere Laden der Seite erhält man einen positiven Effekt auf die Suchmaschinenoptimierung.
  •  Die Inhalte Dritter sind technisch und optisch schon optimiert, sodass eine eigene Entwicklung solcher Inhalte meist zu aufwändig und dadurch nicht rentabel wäre.
  •  In den meisten Fällen sind diese Inhalte kostenfrei nutzbar.
Und gerade beim letzten Punkt der Vorteile sollten sich die meisten denken: “Doch wo ist hier der Haken?”. Natürlich stellen Google, Facebook und Co. ihre Inhalte nicht völlig ohne Eigennutzen bzw. ohne Kosten zur Verfügung: Über die zur Verfügung gestellten Inhalte werden Daten der Webseite-UserInnen gesammelt, mit denen wiederum individuell abgestimmte Werbung geschalten werden kann – das Hauptgeschäft von Google, Facebook und Co.

Welche Möglichkeiten gibt es, Inhalte durch Dritte einzupflegen?

Und wie sieht das aus datenschutzrechtlicher Sicht aus? 

Iframes

Die Inlineframes (Kurzform: Iframes) sind eigene Bereiche (Fenster) auf einer Webseite, welche Inhalte von einer anderen, dritten Webseite ausgeben. Das können nur kleine Bereiche der dritten Webseite sein, oder aber auch die komplette Seite. 

Das sogenannte Iframe wird mit dem HTML-Tag <iframe> aufgerufen, in welchem sich die genaue Verlinkung zum angezeigten Inhalt befindet. 

Die meisten Social Media Plugins, oder auch z.B. YouTube, arbeiten mit dieser Methode. Seit einiger Zeit hat Facebook ein neues Format (XFBML), jedoch nutzt die Mehrheit weiterhin die “Iframe”-Lösung. 

Die Vorteile von Iframes sind groß, da sich ohne jeglichen Programmieraufwand tolle Funktionen auf einer Webseite einbinden lassen. Es muss lediglich der Iframe-Code eingebaut werden und schon können Videos, Rechner, komplexe Formulare oder andere Inhalte darüber abgerufen werden. 

Aus datenschutzrechtlicher Sicht muss geprüft werden, ob das eingebundene Iframe Daten sammelt und weitergibt. Technisch gesehen ist es möglich, Daten wie die IP-Adresse des Users oder die URL der Zielseite zu erfassen und zu verarbeiten. 

Über ein bereits zuvor gesetztes Cookie können Informationen ausgelesen werden. Hier ein kleines Beispiel, um es besser zu verdeutlichen: 

Ein User sieht sich auf YouTube ein Video an. Von dort wird ein Cookie auf dem Rechner des Users gesetzt, was im Normalfall immer passiert. Wenn der User dann eine andere Webseite besucht und auf dieser ein YouTube-Video zu finden ist, können die Informationen aus dem Cookie abgerufen werden. 

Rechtlich gesehen hat der EuGH den Begriff der Verantwortlichkeit weit ausgelegt, weshalb eine gemeinsame Verantwortlichkeit im Sinne von Artikel 26 DSGVO besteht.

Die gemeinsame Verantwortung endet jedoch dann, wenn der Betreiber der Webseite keinen Einfluss auf die Datenverarbeitung des Dritten hat. Es sollte trotzdem immer geprüft werden, ob personenbezogene Daten von dem Drittanbieter bezogen werden und wenn ja, welche und wie diese genutzt werden. 

Es ist also entscheidend zu wissen, ob die Iframes Informationen sammeln, verarbeiten oder weitergeben. Sollte das der Fall sein, müssen auf jeden Fall weitere Schritte unternommen werden: 

  • Es sollte in jedem Fall die Datenschutzerklärung angepasst werden, damit man den User der Seite in Kenntnis setzt, dass Inhalt von Dritten genutzt werden und dieser auch eventuell Daten sammelt.
  • Mit einer CMP (Consent Management Platform) sollte die Einwilligung für die Datenerhebung eingeholt werden. Wird die Einwilligung nicht gegeben, sollten alle Drittinhalte nicht geladen werden, sodass auch keine Daten gesammelt werden können. 
  • Vertrag über die gemeinsame Verantwortung nach Artikel 26 DSGVO
 

HTML-Fragment bzw. clientseitigen Skriptcode

Clientseitiger Skriptcode ist eine modernere Möglichkeit, externe Inhalte auf der Webseite einzubinden. Mit einem HTML-Fragment oder einem JavaScript-Code können Funktionen auf der Seite ausgespielt werden. 

Ähnlich wie beim Iframe werden die Drittinhalte von einem anderen Webserver abgerufen, was diverse Vorteile mit sich bringt, wie z.B.: 
  • Nutzung von tollen Funktionen ohne eigenen Programmieraufwand
  • Schonung der eigenen Webserver-Ressourcen
  • Immer wieder Updates und neue Funktionen
  • Schnelleres Laden der Webseite durch optimierten Code
Natürlich gibt man die Kontrolle über Teile der eigenen Webseite (die Drittinhalte) ab. Außerdem muss im Webbrowser JavaScript aktiviert sein, damit die Inhalte auch angezeigt werden. In diesem Fall kann Entwarnung gegeben werden, da bei lediglich ca. 1% JavaScript deaktiviert ist. 

Die häufigsten Technologien, die über diese Methode eingebunden werden, sind Google Analytics, Google AdSense, Google Fonts, Google Maps und teilweise auch Videos von YouTube und Vimeo. 

Bekannteste Dienste und Empfehlungen

 

Google Fonts

Google Fonts hat mittlerweile eine unfassbare Präsenz im Internet erlangt. Fast jede Webseite von Klein- und Mittelunternehmen nutzt den Dienst von Google. Warum Google Fonts so erfolgreich ist, ist einfach erklärt. Die Webseitenbetreiber bekommen einen riesigen Fundus an den verschiedensten Webschriften in allen möglichen Stärken und Styles (Fett, kursiv) und das kostenfrei. 

Noch dazu ist Google Fonts sehr einfach einzubinden. Dabei unterscheidet man zwischen der “online” Variante und der “offline” Variante. 

Der einfachere und schnellere Weg ist die online Variante. Hier muss nur eine beliebige Schrift gewählt und danach auf der Webseite mit einem <link> oder einem @import Tag eingefügt werden. Damit wird die Schrift vom Google Server abgerufen und somit online eingebunden. 

Beim zweiten Weg lädt man die Datei von der Google Fonts Webseite herunter und bindet diese, wie jede andere Webfont, auf der eigenen Webseite ein. Mit dieser Methode wird die Font direkt vom eigenen Webserver geladen.

e-dialog Blogbeitrag Google FontsIn diesem Bild sieht man in dem roten Rahmen den Download der gewünschten Font und im blauen Rahmen die online Variante mit den zwei Embed-Optionen.

  Aus datenschutzrechtlicher Sicht ist Google Fonts besonders zu behandeln. Google sammelt Daten von den Nutzern der Webseite und außerdem wird Google Fonts in den meisten Fällen schon vor der Einwilligung geladen. Ein gerichtliches Urteil gibt es dazu noch nicht, jedoch ist stark zu empfehlen, die offline Variante zu nutzen, da die Schriften dann vom eigenen Webserver geladen werden. 

Wenn man unbedingt die online Variante nutzen möchte, sollte man auf jeden Fall einen Hinweis in der Datenschutzerklärung hinzufügen und zusätzlich versuchen, mit der CMP die Google Fonts vor der Einwilligung zu blockieren. 

Google Maps

Um Google Maps zu nutzen, kann man entweder die Iframe-Variante wählen (siehe oben) oder man bindet sie über die Google Maps API ein. Bei der API-Methode werden über einen API-Schlüssel die Kartenzugriffe von Google ermittelt. Bei einer bestimmten Anzahl von Aufrufen ist der Service von Google nämlich kostenpflichtig.

Unbedingt zu unterlassen sind Screenshots von Google Maps Karten. Dies ist strengstens untersagt und wird von Google auch rechtlich geahndet. 

Aus datenschutzrechtlicher Sicht ist es ebenso wie bei Google Fonts. Google sammelt auch hier Daten der Nutzer, die sich auf der Webseite befinden. Aus diesem Grund sollte auch hier mittels der CMP zuerst eine Zustimmung eingeholt werden. Außerdem sollte ein Hinweis in der Datenschutzerklärung gegeben werden, dass Google Daten sammelt. Dadurch, dass es hier keine offline Methode gibt, sind die oben genannten Schritte stark empfohlen. 

YouTube

Wie auch bei den zwei oben genannten Beispielen von Google Maps und Google Fonts ist die Problematik hier, dass YouTube Daten sammelt, sobald sich der Nutzer auf einer Webseite befindet, in der YouTube Videos eingebunden sind. Es gibt nun mehrere Möglichkeiten das Sammeln der Daten zu unterbinden bzw. es zu erschweren:

Erweiterter Datenschutzmodus

Um den erweiterten Datenschutzmodus zu aktivieren, muss man einfach das gewünschte Video auf YouTube öffnen. Danach auf “Teilen” klicken und im nächsten Schritt die “Einbetten”-Funktion auswählen. Nun muss ein wenig gescrollt werden. Bei den “Optionen zum Einbetten” findet man den gewünschten “erweiterten Datenschutzmodus”, der aktiviert werden muss. Mit dieser Option ändert sich der Link des Iframes von “www.youtube.com” auf “www.youtube-nocookie.com”. 

e-dialog Blogbeitrag Datenschutz Youtube In diesem Bild sind die drei nötigen Schritte von links nach rechts noch einmal dargestellt. Die erforderlichen Punkt sind mit einem roten Rahmen versehen. 

Mit dieser Methode werden zwar noch Daten an YouTube übertragen, jedoch keine personenbezogenen Daten. Diese Option muss bei jedem Video auf der Webseite aktiviert werden. 

Zustimmung für YouTube

Mit dieser Methode kann man die Videos wie gewohnt einbinden, jedoch muss wieder über die CMP eine Zustimmung für YouTube eingeholt werden. Hat man keine Zustimmung, darf das Video auch nicht geladen werden. 

Nur eine Verlinkung einfügen

Die letzte Methode und eine eher uncharmante Lösung, ist das Einfügen einer Verlinkung. Damit wird der Nutzer zum gewünschten Video auf YouTube geleitet. Das hat allerdings den großen Nachteil, dass der Nutzer die Seite verlässt und die Verlinkung auch sehr leicht übersehen werden kann.  In den ersten beiden Fällen (erweiterter Datenschutzmodus und Zustimmung für YouTube), ist es stark empfohlen, einen Hinweis in der Datenschutzerklärung hinzuzufügen

Fazit

Wie man sehen kann, muss man die verschiedenen Tools sehr ähnlich behandeln und es werden im Grunde auch immer die gleichen Schritte empfohlen: 
  • Korrekte Nutzung einer CMP
  • Hinweise in der Datenschutzerklärung
  • Wenn möglich alles über den eigenen Webserver zu laden
In den meisten Fällen besteht eine gemeinsame Verantwortlichkeit im Sinne von Artikel 26 DSGVO. Diese kann aber zum einen sehr unterschiedlich ausgelegt werden und zum anderen möchte man sich nicht mit Google & Co. anlegen. Auch aus dem Grund, dass sich diese Dienste mit diversen Verträgen absichern.

Bei allen Fragen zu datenschutzrechtlichen Themen helfen Ihnen unsere Experten gerne weiter: kontakt@e-dialog.at

Hinterlassen Sie einen Kommentar:

4 Kommentare zu “Datenweitergabe von Inhalten Dritter – wer haftet?

    • Hallo Michael,
      vielen Dank für dein Feedback. Das freut mich sehr, dass dir der Artikel einen Überblick geben konnte.
      LG Dominic

  • 2 Gedanken dazu:
    1) es ist kein “empfohlen” es ist rechtlich ein MUSS, das Senden personenbezogener Daten an Dritte so lange zu unterbinden, bis ein user zugestimmt hat.
    2) ergänzen solltet ihr hier die “2-click-Lösungen” für YouTube, Google Maps etc, die zwar lästig sind, jedoch erstens sauber in datenschutzrechtlicher Hinsicht und zweitens den User nicht von der eigenen Seite wegleiten.
    lg, Wolfgang

    • Hallo Wolfgang,
      vielen Dank für deine Gedankenanstöße.
      Wir werden den Artikel um die 2 Click Lösung ergänzen.
      LG Dominic