Einbindung von externen Inhalten mithilfe von Drittanbietern

Wie kann ich externe Inhalten & (Medien-)Elemente DSGVO-konform auf meiner Webseite einbinden?

Webseiten können aus verschiedenen Elementen (z. B. Textteilen, Bildern, Schriftarten) zusammengesetzt sein. Diese Elemente können sowohl in der HTML-Datei des Anbieters vorhanden sein, als auch aus separaten Dateien geladen werden.

Mithilfe von Drittanbietern ist es möglich, Kartendienste einzubinden oder Posts aus sozialen Netzwerken wie Twitter oder Facebook, Links zu bestehenden sozialen Netzwerken, Videos, Zahlungsdienstleistern, Websites oder Schriftarten einzubinden.

Einbindung von externen Inhalten von Twitter, YouTube, Facebook und Co.

Bei der direkten Einbindung von Inhalten wie Twitter-Tweets, Facebook-Posts oder YouTube-Videos werden personenbezogene Daten und oft die genaue Identität der jeweiligen Nutzer an diese Dienste übermittelt.

Durch eine sogenannte Zwei-Klick-Lösung können externe Social-Media-Inhalte so eingebunden werden, dass zunächst nur eine Übersicht der externen Inhalte angezeigt wird – ohne Übermittlung von IP-Adresse, Anmeldeinformationen oder anderen Informationen zum Browsing oder anderen persönlichen Informationen an Drittanbieter. Erst wenn der Besucher aktiv auf ein Video klickt, um beispielsweise ein YouTube-Video anzusehen, werden Daten übertragen.

Betroffene Personen sollten über die Verarbeitung personenbezogener Daten im Zusammenhang mit der Einbindung externer Mittel informiert werden. Das bedeutet, dass der Nutzer vor Beginn der Wiedergabe beispielsweise beim Abspielen eines eingebetteten YouTube-Videos verstehen muss, dass personenbezogene Informationen an YouTube übermittelt werden.

Einbindung von externen Kartendiensten

Um jemandem den Standort eines Unternehmens, Vereins oder einer Organisation mitzuteilen, werden häufig externe Kartendienste wie Google Maps in Websites eingebunden. Aufgrund von Übermittlungen in Drittstaaten, ist auch hier eine Zwei-Klick-Lösung erforderlich, die Nutzer transparent über die Verarbeitung informiert, wenn personenbezogene Daten an den Betreiber dieser Kartendienste übermittelt werden.

Einbindung von externen Schriftarten

Die Einbindung externer Schriftarten erfordert die Übermittlung personenbezogener Daten wie die IP-Adresse des Nutzers an den Anbieter. Andererseits können Schriften auch  über die eigene Website eingebettet oder lokal verteilt werden.

Besonders beliebt sind die frei verfügbaren Schriftarten „Google Fonts“: Google hat ein Verzeichnis mit mehr als 1.300 Schriftarten verschiedener Designer zusammengestellt, die unter kostenlosen Lizenzen verfügbar sind und eine einfache Möglichkeit bieten, Schriftarten in die eigene Website einzubinden. Auch bei dieser Einbindung werden personenbezogene Daten an Google übermittelt. Um dies zu vermeiden, können Website-Betreiber ganz einfach Schriftarten vom eigenen Webspace bereitstellen. Schriftenarten über Google bereit zu stellen, bietet keinen Caching-Vorteil mehr, da mittlerweile alle gängigen Browser aus Sicherheitsgründen keinen gemeinsamen Cache mehr für unterschiedliche Webseiten unterhalten.

Was muss bei Anbietern beachtet werden, die Daten außerhalb der EU übermitteln (Drittstaatentransfer)?

Auch bei der Übermittlung personenbezogener Daten in Drittstaaten sind die Bestimmungen der DSGVO zu beachten. Liegen die Voraussetzungen der Art. 5 ff DSGVO nicht vor, ist die Nutzung des jeweiligen Dienstes nicht zulässig und die Anbieter der Website müssen eine solche Übermittlung unterbinden.

Dies gilt auch für Google Analytics, das bei vielen Website Betreibern standardmäßig eingesetzt wird. Aktuell (Februar 2022) haben Datenschutzbeauftragte in Österreich und Frankreich festgestellt, dass die Maßnahmen der jeweiligen Website-Betreiber zum Schutz personenbezogener Daten nicht ausreichen.