Drücke „Enter”, um zum Inhalt zu springen.
Ausprobieren
Online Webseiten-Check
sofort das Ergebnis sehen
Auf meiner Webseite sind externe Links mit dem Symbol gekennzeichnet. Datenschutzhinweise · Wissensartikel

Einwilligungspflicht für ausgesuchte Website Tools: Rechtslage

1

Zahlreiche Tools dürfen erst eingesetzt werden, nachdem eine Einwilligung durch den Nutzer erteilt wurde. Für welche der bekannteren Tools ein sogenannter Consent erforderlich ist, zeigt die folgende Übersicht.

Immer wieder stellt sich die Frage, ob ein bestimmtes Tool, wie beispielsweise Google Maps, auf einer Webseite einfach so eingesetzt werden darf.

Im Wesentlichen gibt es drei Rechtsgrundlagen, anhand derer entschieden werden kann, ob ein Consent abgefragt werden muss:

  1. Werden personenbezogene Daten ohne berechtigtes Interesse verarbeitet?
  2. Werden personenbezogene Daten an unsichere Drittländer wie die USA übertragen?
  3. Werden Cookies, die nicht notwendig sind, vom Dienst genutzt oder ist der Dienst nicht funktional notwendig?

Die unter 1. genannte Verarbeitung ist in den meisten Fällen mit einer Datenübertragung gleichzusetzen. Ein berechtigtes Interesse kann insbesondere dann nicht angenommen werden, wenn der Datentransfer vermeidbar war. Eindeutig vermeidbar ist ein Datentransfer beispielsweise beim Abruf von externen Schriftarten.

Da bereits die IP-Adresse ein personenbezogenes Datum ist, ist jeder Abruf einer Datei (Bild, Script, Video, Schriftart etc.) von einer externen Adresse ein datenschutzrechtlich relevanter Vorgang.

Ob unsichere Drittländer im Spiel sind, kann selbst mit einer WHOIS-Abfrage nicht zuverlässig beantwortet werden. Weil aber der Verantwortliche für eine Webseite beweisen muss, das nicht mit unsicheren Drittländern kommuniziert wird, sollte man vomSchlimmsten ausgehen.

Sobald nichtfunktionale Cookies (oder deren Werte) übertragen werden könnten, gilt die ePrivacy Richtlinie. Sie schreibt eine Einwilligung vor, egal, ob personenbezogene Daten im Cookie gespeichert sind oder nicht. Die ePrivacy Richtlinie gilt auch für Deutschland, wie der Bundesgerichtshof festgestellt hat. Dass die Art der Daten für die Einwilligungserfordernis unerheblich ist, hat der EuGH im Urteil zu Planet49 festgestellt.

Die Übersicht zeigt, welche Tools für einen rechtskonformen Einsatz eine Einwilligung benötigen und woraus man dies u.a. ableiten kann. Für einige Tools gibt es spezielle Artikel, die noch mehr Informationen liefern. Diese Tools sind in der Tabelle mit einem Link versehen.

ToolEinwilligung notwendig?
Google AnalyticsJa, siehe Konfigurationen von Google Analytics (ePrivacy sowie Art. 5 und 6 DSGVO)
Google MapsJa, weil Cookies im Spiel sind (ePrivacy)
Google SchriftenJa, weil der Datentransfer vermeidbar ist und weil Daten potentiell weltweit verteilt werden (Art. 5 und 6 DSGVO sowie weitere)
Google reCAPTCHAJa, weil Cookies im Spiel sind (ePrivacy)
Fast Fonts (Fonts.com)Ja, weil ein Zählpixel eingebaut werden muss und weil der Anbieter in den USA sitzt (Art. 6 und 44ff. DSGVO)
Google Tag ManagerJa, weil Cookies im Spiel sind (auch wenn viele es nicht glauben wollen. Mein Beitrag zum Tag Manager beweist es) und weil der Datentransfer vor Einwilligung vermeidbar ist (ePrivacy sowie Art. 5 und 6 DSGVO)
Externe BilderJa, weil der Datentransfer leicht vermeidbar ist (Art. 5 DSGVO)
SoundCloud Audio PlayerJa, weil Cookies im Spiel sind (ePrivacy)
YouTube VideoJa, weil entweder Cookies im Spiel sind oder extensives Tracking ohne Cookies (ePrivacy und Art. 6 DGSVO)
Vimeo VideosJa, weil vermeidbare Datentransfers statfinden und weil der Anbieter in den USA sitzt (Art. 6 und 44ff. DSGVO)
OneTrustJa, weil der Anbieter dieses Consent Tools in den USA sitzt (Art. 44ff. DSGVO)
Cloudflare DateienJa, weil der Betreiber dieses Content Delivery Networks Datenschutz nicht ernst nimmt und weil der Datentransfer vermeidbar ist bzw. weil es datenschutzfreundliche Rechenzentren gibt (Art. 6 und 44ff. DSGVO)
Font AwesomeJa, weil ein vermeidbarer Datentransfer statfindet und weil der Anbieter in den USA sitzt (Art. 5 und 6 sowie 44ff. DSGVO)
Facebook PixelJa, weil .. alles aus Datenschutzsicht dagegen spricht. Gleiches gilt für Facebook Plugins, Twitter Plugins. Pinterest Plugins etc. Konkret: Für Tracking gilt an sich das Einwilligungserforsdernis (Art. 5 und 6 DSGVO). Bei Einsatz von Cookies greift weiterhin die ePrivacy Richtlinie.
Übersicht von Website Tools und deren Einwilligungserfordernis

Wer über eine Einwilligungslösung nachdenkt, sollte meine umfangreiche Untersuchung zu Consent Tools lesen. Demnach sind sie alle in der Praxis unbrauchbar, weil sie rechtswidrige Webseiten hinterlassen. Das ganze habe ich Cookiegeddon genannt, weil das Ergebnis so beschämend ist.

Wer immer noch ein Consent Tool einsetzen sollte, bekommt viel Arbeit. Meine Checkliste für Einwilligungsabfragen verrät, warum.

Besser ist folgendes Vorgehen:

  1. Nicht benötigte Tools entfernen. So einfach kann das Leben manchmal sein (wer jetzt wütend wird, sollte sich ernsthaft mit dem Nutzen mancher Tools beschäftigen, beispielsweise mit Google Maps oder Google Analytics)
  2. Alternativen verwenden, siehe auch meine Artikel zu den Tools in der Tabelle (Beispiel: Google Schriften können lokal eingebunden werden, Videos können durch eine lokale Kopie oder ein Vorschaubild mit externer Verlinkung ersetzt werden)

Unter allen Abonnenten meines Newsletters verschenke ich von Zeit zu Zeit kostenfreie Webseiten-Checks. Wenn Sie eine erste Einschätzung haben möchten, schreiben Sie mir kurz. Ich gebe Ihnen ein kurzes, hilfreiches Feedback zu Ihrer Webseite.

Dieser Beitrag wird in anderen Beiträgen erwähnt

Schreiben Sie einen Kommentar

Ihre Mail-Adresse wird nicht veröffentlicht.

Nächster Beitrag

Google Universal Analytics: Rechtskonform nur mit Einwilligung