gekennzeichnet. 
Zahlreiche Tools dürfen erst eingesetzt werden, nachdem eine Einwilligung durch den Nutzer erteilt wurde. Für welche der bekannteren Tools ein sogenannter Consent erforderlich ist, zeigt die folgende Übersicht.
Immer wieder stellt sich die Frage, ob ein bestimmtes Tool, wie beispielsweise Google Maps, auf einer Webseite einfach so eingesetzt werden darf.
Im Wesentlichen gibt es drei Rechtsgrundlagen, anhand derer entschieden werden kann, ob ein Consent abgefragt werden muss:
- Werden personenbezogene Daten ohne berechtigtes Interesse verarbeitet?
- Werden personenbezogene Daten an unsichere Drittländer wie die USA übertragen?
- Werden Cookies, die nicht notwendig sind, vom Dienst genutzt oder ist der Dienst nicht funktional notwendig?
Die unter 1. genannte Verarbeitung ist in den meisten Fällen mit einer Datenübertragung gleichzusetzen. Ein berechtigtes Interesse kann insbesondere dann nicht angenommen werden, wenn der Datentransfer vermeidbar war. Eindeutig vermeidbar ist ein Datentransfer beispielsweise beim Abruf von externen Schriftarten.
Da bereits die IP-Adresse ein personenbezogenes Datum ist, ist jeder Abruf einer Datei (Bild, Script, Video, Schriftart etc.) von einer externen Adresse ein datenschutzrechtlich relevanter Vorgang.
Ob unsichere Drittländer im Spiel sind, kann selbst mit einer WHOIS-Abfrage nicht zuverlässig beantwortet werden. Weil aber der Verantwortliche für eine Webseite beweisen muss, das nicht mit unsicheren Drittländern kommuniziert wird, sollte man vomSchlimmsten ausgehen.
Sobald nichtfunktionale Cookies (oder deren Werte) übertragen werden könnten, gilt die ePrivacy Richtlinie. Sie schreibt eine Einwilligung vor, egal, ob personenbezogene Daten im Cookie gespeichert sind oder nicht. Die ePrivacy Richtlinie gilt auch für Deutschland, wie der Bundesgerichtshof festgestellt hat. Dass die Art der Daten für die Einwilligungserfordernis unerheblich ist, hat der EuGH im Urteil zu Planet49 festgestellt.
Die Übersicht zeigt, welche Tools für einen rechtskonformen Einsatz eine Einwilligung benötigen und woraus man dies u.a. ableiten kann. Für einige Tools gibt es spezielle Artikel, die noch mehr Informationen liefern. Diese Tools sind in der Tabelle mit einem Link versehen.
| Tool | Einwilligung notwendig? |
|---|---|
| Google Analytics | Ja, siehe Konfigurationen von Google Analytics (ePrivacy sowie Art. 5 und 6 DSGVO) |
| Google Maps | Ja, weil Cookies im Spiel sind (ePrivacy) |
| Google Schriften | Ja, weil der Datentransfer vermeidbar ist und weil Daten potentiell weltweit verteilt werden (Art. 5 und 6 DSGVO sowie weitere) |
| Google reCAPTCHA | Ja, weil Cookies im Spiel sind (ePrivacy) |
| Fast Fonts (Fonts.com) | Ja, weil ein Zählpixel eingebaut werden muss und weil der Anbieter in den USA sitzt (Art. 6 und 44ff. DSGVO) |
| Google Tag Manager | Ja, weil Cookies im Spiel sind (auch wenn viele es nicht glauben wollen. Mein Beitrag zum Tag Manager beweist es) und weil der Datentransfer vor Einwilligung vermeidbar ist (ePrivacy sowie Art. 5 und 6 DSGVO) |
| Externe Bilder | Ja, weil der Datentransfer leicht vermeidbar ist (Art. 5 DSGVO) |
| SoundCloud Audio Player | Ja, weil Cookies im Spiel sind (ePrivacy) |
| YouTube Video | Ja, weil entweder Cookies im Spiel sind oder extensives Tracking ohne Cookies (ePrivacy und Art. 6 DGSVO) |
| Vimeo Videos | Ja, weil vermeidbare Datentransfers statfinden und weil der Anbieter in den USA sitzt (Art. 6 und 44ff. DSGVO) |
| OneTrust | Ja, weil der Anbieter dieses Consent Tools in den USA sitzt (Art. 44ff. DSGVO) |
| Cloudflare Dateien | Ja, weil der Betreiber dieses Content Delivery Networks Datenschutz nicht ernst nimmt und weil der Datentransfer vermeidbar ist bzw. weil es datenschutzfreundliche Rechenzentren gibt (Art. 6 und 44ff. DSGVO) |
| Font Awesome | Ja, weil ein vermeidbarer Datentransfer statfindet und weil der Anbieter in den USA sitzt (Art. 5 und 6 sowie 44ff. DSGVO) |
| Facebook Pixel | Ja, weil .. alles aus Datenschutzsicht dagegen spricht. Gleiches gilt für Facebook Plugins, Twitter Plugins. Pinterest Plugins etc. Konkret: Für Tracking gilt an sich das Einwilligungserforsdernis (Art. 5 und 6 DSGVO). Bei Einsatz von Cookies greift weiterhin die ePrivacy Richtlinie. |
Wer über eine Einwilligungslösung nachdenkt, sollte meine umfangreiche Untersuchung zu Consent Tools lesen. Demnach sind sie alle in der Praxis unbrauchbar, weil sie rechtswidrige Webseiten hinterlassen. Das ganze habe ich Cookiegeddon genannt, weil das Ergebnis so beschämend ist.
Wer immer noch ein Consent Tool einsetzen sollte, bekommt viel Arbeit. Meine Checkliste für Einwilligungsabfragen verrät, warum.
Besser ist folgendes Vorgehen:
- Nicht benötigte Tools entfernen. So einfach kann das Leben manchmal sein (wer jetzt wütend wird, sollte sich ernsthaft mit dem Nutzen mancher Tools beschäftigen, beispielsweise mit Google Maps oder Google Analytics)
- Alternativen verwenden, siehe auch meine Artikel zu den Tools in der Tabelle (Beispiel: Google Schriften können lokal eingebunden werden, Videos können durch eine lokale Kopie oder ein Vorschaubild mit externer Verlinkung ersetzt werden)
Unter allen Abonnenten meines Newsletters verschenke ich von Zeit zu Zeit kostenfreie Webseiten-Checks. Wenn Sie eine erste Einschätzung haben möchten, schreiben Sie mir kurz. Ich gebe Ihnen ein kurzes, hilfreiches Feedback zu Ihrer Webseite.
Kommentare von Lesern