Das Einbinden von Fremdressourcen, Drittanbieter-Tools etc. in eine Website erfreut sich großer Popularität: Facebook- oder Instagram-Widgets und Pixels, Google Fonts oder Youtube-Videos. Dies ist jedoch rechtlich nicht ganz risikofrei. In allen Fällen wird, wenn die Ressource beim Aufruf der Website geladen wird, die IP-Adresse des Benutzers an den jeweiligen Dienst weitergegeben. Der weiß dann genau, dass dieser Nutzer die entsprechende Website besucht hat. Wenn der User bei dem Dienst, etwa Facebook, eingeloggt ist, kennt der Konzern die Benutzerdaten und kann ein Großteil seiner Webaktivitäten nachzeichnen. Ob Facebook, Google etc. dies wirklich tun, weiß man nicht. Es ist möglich und wahrscheinlich. Rechtlich ist die Einbindung von Fremdressourcen vor allem durch das gescheiterte Privacy Shield Abkommen mit den USA und den dort geltenden Cloud Act brisant.
Bisherige Diskussionen über die DSGVO haben sich vor allem auf Cookies bezogen. In Bezug auf den Datenschutz sind aber diese Fremdressourcen weit gefährlicher. Die allerwenigsten Websites fragen vor Besuch die Nutzung dieser Ressourcen wirklich ab. Ob sie sie bei Abwahl wirklich deaktivieren, ist dann auch nicht sicher. Folgende Strategien bieten sich hier an:
- Kalkuliertes Risiko (häufigster Fall): So lange die Datenschützer sich nicht wirklich einig sind, was sie wollen, bleibt man bei der rituellen (und meist wirkungslosen) Cookie-Abfrage, oder verzichtet auch auf diese. Beispiel: e-recht24.de, sie haben zahlreiche First Party-Cookies und eine Fremdressource: cdn.sitesearch360.com, zahlreiche Bundesministerien haben Session-Cookies und europäische Fremdressourcen und keine Cookie-Abfrage. Nach unserem Eindruck ist es vielen Unternehmen nicht bewusst, dass sie hier ein Risiko eingehen.
- Ausführliche Abfrage des Einverständnisses zu Cookies und Fremdressourcen: In einem Popup werden Cookie-Typen und seltener auch Fremdressourcen abgefragt. Hier wäre ein Unterschied Europa/Weltweit noch wichtig, wird aber kaum beachtet. Beispiel: welt.de oder borlabs.io, die selbst ein solches Popup für WordPress anbieten.
- Covering der Fremdressourcen: Ein Twitter- oder Facebook-Widget oder ein Youtube-Video wird verdeckt und erst sichtbar, wenn der Benutzer auf eine Bestätigungsbutton geklickt hat, dass er mit dem Senden seiner Daten einverstanden ist. Beispiel: fast alle Tageszeitungen
- Caching aller Ressourcen: Man kann, etwa über einen Cron-Job, regelmäßig alle externen Ressourcen cachen, so dass beim aktuellen Seitenaufruf keine Verbindung zu dieser hergestellt wird. Bleiben allerdings die Cookies. Die meisten CMS brauchen für einen normalen Website-Besuch nicht wirklich Cookies, erst bei Login, Kauf etc. In den Bundesministerien sieht man offenbar Session-Cookies, die nach Verlassen der Site gelöscht werden, nicht als „wirkliche“ Cookies an und fragt deren Gebrauch nicht ab. Einige Ressourcen wie Google Fonts kann man relativ einfach lokal verfügbar machen.
- Privacy Proxy: Die wirkliche IP-Adresse des Website-Besuchers wird nicht an den Drittanbieter weitergegeben. Mehr hierzu: Heise zu Privacy Proxies
Ausführlichere Informationen: Heise: DSGVO-Risiken beim Einsatz von Drittanbieter-Tools
Nachtrag (29.06.2021): Die Datenschutzbehörden der Bundesländer starten eine Prüfung zum Drittlandtransfer von personenbezogenen Daten: https://www.activemind.de/magazin/pruefung-drittlandtransfer/
Nachtrag 02.02.2022: Das Landgericht München hat etwa die Einbindung von Google Fonts für rechtswidrig erklärt und dafür Strafen verhängt: https://t3n.de/news/google-fonts-illegal-urteil-dsgvo-1447698/
Nachtrag 19.11. 2022: Es gibt zahlreiche Abmahnungen wegen der Google Fonts. Das ist, nach dem Inhalt des Beitrages nur der Anfang. Alle Fremdressourcen sind eigentlich abmahnbar, auch CDN-s, die nicht in Europa arbeiten, Hotjar, https://www.cookielaw.org, und viele andere. Man kann den Ort einer Domain leicht herausfinden unter: https://www.iplocation.net/ip-lookup
Nachtrag vom 19.07. 2024: Seit vorigem Jahr gibt es ein neues Abkommen über Datenschutz von EU und USA, das „EU-U.S. Data Privacy Framework“. Nachdem zwei vorherige Abkommen gescheitert sind, scheint dieses zunächst zu halten. US-Unternehmen müssen sich selbst zertifizieren und kommen dann die die Liste der datensicheren Unternehmen, für die USA: https://www.dataprivacyframework.gov/list . Mit diesen Unternehmen (Google gehört dazu) kann man Daten austauschen, etwa Google Fonts laden oder Google Analytics verwenden.
Dieser Beitrag beabsichtigt eine technische Erklärung, keine Rechtsberatung.