Drücke „Enter”, um zum Inhalt zu springen.
Ausprobieren
Online Webseiten-Check
sofort das Ergebnis sehen
Auf meiner Webseite sind externe Links mit dem Symbol gekennzeichnet. Datenschutzhinweise · Wissensartikel

SoundCloud Audio Player: Verwendung auf Webseiten datenschutzkonform möglich?

Veröffentlicht am 2. Januar 2021 von Dr. DSGVO · Zuletzt aktualisiert am 10. Dezember 2021
2
Mikrofon, Junge, Studio, Schreiend, Schreien, Singen

Kategorien: Datenschutz

Der SoundCloud Audio Player kann in Webseiten eingebettet werden, um Audio-Dateien abzuspielen. Wie der Name des Dienstes sagt, handelt es sich um ein Abspiel-Tool für Audio-Dateien, wie etwa Hörbücher, Podcasts usw.

Eine Analyse zeigt, dass SoundCloud auf Webseiten nur nach Einwilligung verwendet werden darf. Aber auch hierbei ergeben sich rechtliche Fragen.

SoundCloud ist kein deutsches Konstrukt, sondern hat Wurzeln in UK und nutzt amerikanische Dienste.

Andererseits können Audio-Dateien einfach ohne SoundCloud abgespielt werden (außer, man möchte das SoundCloud Universum unterstützen). Stellt sich die Frage, warum SoundCloud überhaupt genutzt oder unterstützt werden soll.

Datenschutzprobleme mit SoundCloud

Datentransfer an amerikanische Firma

Durch das Einbinden des SoundCloud Scripts wird direkt beim Aufruf der Webseite eine Verbindung zur Domäne soundcloud.com hergestellt. Im Zuge dessen wird auch eine Datei von der Domäne sndcdn.com abgerufen. Das Script lädt außerdem weitere Dateien von soundcloud.com und Subdomänen nach.

Ein Nachschlagen bei ARIN, der American Registry for Internet Numbers, zeigt etwa, dass die IP-Adresse 65.9.66.6 zu folgender Firma gehört:

Inhaberschaft der IP-Adresse zur Adresse w.soundcloud.com

Somit findet potentiell ein Datentransfer in die USA statt oder zu einer Firma aus den USA, auf die wiederum amerikanische Behörden nach einem Presidential Executive Order Zugriff haben (als Stichworte seien Cloud Act, EO12333 und FISA genannt). Dies widerspricht bekanntlich der DSGVO (siehe EuGH Urteil zum Privacy Shield und Art. 44 DSGVO).

Cookies

SoundCloud setzt Cookies. Bereits beim Einbinden des Scripts wird das Cookie namens sc_anonymous_id mit einer Funktionsdauer von 10 Jahren gesetzt. Der Cookie-Name sollte nicht darüber hinwegtäuschen, dass es sich potentiell um ein Tracking-Cookie handelt. Ein beispielhafter Wert zeigt, was ich meine: 107222-829866-225395-88888.

Ein solcher Wert ist offensichtlich geeignete, einen Nutzer weltweit eindeutig zuzuordnen und zwar potentiell 10 Jahre lang.

Nach einer gewissen Abspielzeit setzt SoundCloud weitere Cookies, nämlich das eben genannte sowie weitere:

  • sc_anonymous_id (Funktionsdauer: 10 Jahre, Beispielwert: 107222-829866-225395-88888)
  • _pxvid (Funktionsdauer: 2 Jahre, Beispielwert: 0cb734d3-5d21-21eb-8320-0242ac220000)
  • sclocale (Funktionsdauer: 2 Jahre, Beispielwert: de)

Leider finden sich keine Informationen aus vertrauenswürdigen Quellen, wozu diese Cookies dienlich sein sollen. Derjenige, der den SoundCloud Audio Player auf seiner Webseite einbindet, kann es somit nicht ausreichend erklären. Dies widerspricht der DSGVO. Damit alleine ist m. E. ein rechtskonformer Einsatz des SoundCloud Players ausgeschlossen.

Warum diese Cookies einer Einwilligung bedürfen, ist in zahlreichen Beiträgen au Dr. DSGVO erklärt. Stichworte sind § 15 Abs. 3 TMG, Art. 5 Abs. 3 ePrivacy-Richtlinie, BGH-Urteil zu Planet49 und § 25 TTDSG (ab Dezember 2021)-

Unternehmenssitz

Sitz des Unternehmens laut Impressum der Webseite soundcloud.com ist Berlin, Deutschland. Rechtlich verantwortlich ist allerdings eine Firma mit der Adresse c/o Third Floor, 20 Old Bailey, London, EC4M 7AN, Vereinigtes Königreich.

Das Impressum von SoundCloud ist etwas merkwürdig und m.E. rechtswidrig verfasst, weil es Fragen offen lässt, die durch ein Impressum eigentlich beantwortet werden sollen. Beispielsweise: Welche Firma ist verantwortlicher für die Webseite? Wer ist der Kommanditist der SoundCloud Global Limited & Co. KG?

Gemäß WHOIS Abfrage ist der WHOIS Server whois.gandi.net in der Lage, Auskunft über den Registranten von soundcloud.com zu geben. Das Ergebnis stimmt mit der Angabe des Kontakts im Impressum von soudcloud.com überein. Registrant ist die SoundCloud Global Limited & Co. KG in Deutschland.

Für die Nutzung des Dienstes muss der Verantwortliche erklären, wer Anbieter des Dienstes ist sowie welches die Datenempfänger sind.

Empfehlung

Aufgrund des vom SoundCloud Player bereits beim Laden des Scripts gesetzten Cookies, das funktionell absolut unnötig ist, ist eine Einwilligungsabfrage vor Einbinden des Scripts sehr zu empfehlen.

Aufgrund der beiden anderen nach dem Abspielen gesetzten Cookies empfiehlt sich eine Einwilligungsabfrage spätestens vor dem Abspielen des Audio-Files. Weil der Audio-Player aber nach dem Laden keine Kontrolle vom außen zulässt, muss eine Abfrage einer Einwilligung vor dem Laden des Scripts stattfinden. Zu Einwilligungsabfrage bitte ich zu beachten, dass gängige Consent Tools wie von Cookiebot, UserCentrics, Borlabs Cookie, consent manager, OneTrust, CCM19 oder Klaro! gemäß meiner Tests nicht geeignet sind, um rechtssichere Webseiten zu erhalten.

Weil das Impressum der SoundCloud Webseite aus meiner Sicht so schlampig gestaltet ist, kann man der Firma meines Erachtens kein großes Vertrauen hinsichtlich dem Datenschutz entgegenbringen. Ich rate daher allgemein vom Verwenden dieses Tools ab.

Auch der Firmensitz des Registranten von SoundCloud Adressen spricht dafür, SoundCloud nicht mehr zu verwenden. Es sei denn, man möchte die heimische Wirtschaft schädigen und Amazon noch mehr Daten zuspielen.

SoundCloud einfach ablösen

Es gibt eine einfache Alternative für SoundCloud: Mit dem HTML Befehl audio kann eine Abspielmöglichkeit für MP3-Dateien angeboten werden, die keine Datenschutzfragen aufwirft. Dafür sollte die Audio-Datei lokal auf dem eigenen Server vorhanden sein. Beispiel:

<audio id="audio_with_controls" controls src="/audiodatei.mp3" type="audio/mp3" ></audio>

HTML-Befehl audio zum Abspielen von Sound-Dateien.

Der Player sieht dann so aus:

Audio-Player mit HTML Standardmitteln.

Wie man sieht, hat das Abspielelement alles, was ein Audio-Player haben muss. Verschönerungen, etwa durch Hinzufügen eines Bildes oder von Text, sollten heutzutage kein Problem sein.

Wer eigene Buttons für das Abspielen und Stoppen der Audio-Datei hinzufügen will, kann das mit folgendem JavaScript Code machen:

var player = document.getElementById("audioPlayer");

function playAudio() {  player.play(); }

function pauseAudio() {  player.pause(); }

Datenschutzprobleme sind mit SoundCloud vorprogrammiert, weil selbst eine Einwilligungsabfrage aufgrund fehlender Informationen rechtssicher nicht möglich erscheint.

Statt SoundCloud kann in vielen Fällen eine ganz einfache, datenschutzkonforme Lösung eingesetzt werden.

Wer schreibt hier?
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. In IT & Datenschutz bin ich auch als Sachverständiger tätig. Mir sind juristische Gegebenheiten nicht fremd. Meine Ergebnisse gewinne ich durch Betrachtung von Technik und Recht. Das scheint mir absolut notwendig, wenn es um digitalen Datenschutz geht. Über Ihre Unterstützung für meine Arbeit würde ich mich besonders freuen. Als Geschäftsführer der IT Logic GmbH berate ich Kunden und biete Webseiten-Checks an.
Bitte nutzen Sie bei Verwendung meiner Ergebnisse die Quellenangabe oder verlinken Sie gut wahrnehmbar auf diesen Artikel:
Quelle: Klaus Meffert, Dr. DSGVO Blog, Link: https://dr-dsgvo.de/soundcloud-audio-player
Einen Kurzlink oder eine Bestätigung für Ihre Quellenangabe erhalten Sie kurzfristig auf Anfrage. Ein Teilen oder Verteilen dieses Beitrags ist natürlich ohne weiteres möglich und gewünscht.
Schlagworte zu diesem Artikel:

Kommentare von Lesern

Die Kommentare drücken die Meinungen der jeweiligen Kommentargeber aus
  1. Michael Z.

    Lieber Dr. DSGVO,

    wie wäre es, wenn man die MP3-Datei von einer externen Datei verwenden würde? Was müsste man da beachten und wie könnte man das lösen?

    Danke und Gruß!

    Antworten
    • Dr. DSGVO

      Im Beitrag ist diese Möglichkeit genannt:
      "Es gibt eine einfache Alternative für SoundCloud: Mit dem HTML Befehl audio kann eine Abspielmöglichkeit für MP3-Dateien angeboten werden, die keine Datenschutzfragen aufwirft. Dafür sollte die Audio-Datei lokal auf dem eigenen Server vorhanden sein. Beispiel:"
      Dann folgt ein Beispiel, wie es technisch gelöst werden kann.

      Da MP3-Dateien klein sind, können Sie lokal gehostet werden. Fertig.

      Antworten

Schreiben Sie einen Kommentar

Ihre Mail-Adresse wird nicht veröffentlicht.

Nächster Beitrag

Artikel 14 DSGVO: Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden