Ansprechend gestaltete Webseiten bedienen sich häufig zusätzlicher Tools, welche den eigenen Programmieraufwand erheblich verringern. Was für den Entwickler ein klarer Vorteil ist, kann aus Sicht des Datenschutzes eine arge Falle werden. Achten Sie daher unbedingt auf die hier aufgeführten Punkte.

Google Web Fonts – bequem, aber abmahnfähig

Die größte Hürde auf dem Weg zum datenschutzkonformen Einbau von Drittanbieter-Tools in die eigene Website ist die Bequemlichkeit. Klassisches Beispiel, heutzutage aber immer noch anzutreffen: Die Nutzung von Google Web Fonts. Hierbei laden sich beim Besuch einer Website die anzuzeigenden Schriftarten live von einem Google Server herunter. Der Browser des Besuchers nutze die Schriften für die Anzeige von Texten. Das heißt konkret: Ohne, dass der Besucher einer Website eine Einflussmöglichkeit hat, wird eine Verbindung zu einem Google Server aufgebaut. Dabei werden personenbezogene Daten des Nutzers – mindestens seine IP-Adresse – ohne die Einwilligung des Nutzers an Dritte (in diesem Fall Google) weitergegeben. Dies ist unter den Aspekten der DSGVO eine unzulässige Weitergabe personenbezogener Daten an Dritte, da die Einwilligung des Betroffenen fehlt. 

Für die Nutzung von Schriftarten gibt es eine einfache Lösung: Laden Sie als Betreiber einer Website die für die Darstellung von Texten notwendigen Schriftarten auf Ihren Server herunter. Google stellt Ihnen sämtliche Schriftarten auch für den Download zur Verfügung. Nutzen Sie dies und stellen Sie Ihren Besuchern der eigenen Website somit die notwendigen Schriftarten selbst zur Verfügung. Damit wird der Umweg über Google vermieden und Sie können datenschutzrechtlich an dieser Stelle beruhigt sein. 

Google Maps – nie ohne Nachfrage

Gleiches gilt, wenn man als Betreiber einer Website eine Google Maps Karte einbaut, die sich ohne weiteres Zutun direkt beim Besuch der Website aktiviert. Auch hier gibt es das gleiche Problem mit der unberechtigten Weitergabe personenbezogener Daten an Google ohne eine vorherige Erlaubnis durch den Betroffenen, also den Besucher der Website. 

Für die datenschutzkonforme Verwendung von Google Maps gibt es zwei Möglichkeiten: Die erste ist die, dass Sie die Google Maps Karte nicht sofort laden lassen. Informieren stattdessen im in einem Abfragefeld in Größe der gewünschten Karte darüber, was Sie mit welchem Zweck darstellen wollen. Erst, wenn der Nutzer aktiv in das Feld klickt (und dabei idealerweise ein Feld wie “Zustimmen” anwählt), lädt die Karte nach. Somit umgehen Sie das Problem der ungefragten Nutzung personenbezogener Daten durch Dritte. Zur 2. Lösung kommen wir gleich beim Punkt “Cookie Consent Tool”.

Wieso Google und Co. solche Tools anbieten

Es ist bekannt, dass Google die Verwendung von online Schriftarten “belohnt”, etwa durch ein besseres Ranking bei den Suchergebnissen. Auch die Verwendung weiterer Tools wie Google Maps erhöht die Beliebtheit der Website bei der “hauseigenen” Suchmaschine. Hier haben wir es aus der Sicht eines Marketeers theoretisch mit einer klassischen Win-Win-Situation zu tun: nutze meine Tools und ich belohne Dich dafür.

Letztlich verdienen Google / Alphabet und weitere Anbieter entsprechender Tools ihr Geld damit, dass man als Website-Betreiber ihre Tools in die eigene Website integriert und diese Tools von den Besuchern genutzt werden. Konkret bezahlt man als Besucher mit seinen Daten: Welche Website habe ich wann weshalb besucht? Wo kam ich her, was hat mich interessiert? Mit diesen und weiteren Fragen können diese Anbieter Nutzerprofile erstellen und z.B. besonders interessante Werbung schalten (also Werbefläche verkaufen). Jeder Besucher bekommt individuell dann genau das zu sehen, was ihn oder sie aufgrund der Website-Nutzung interessieren könnte / sollte. Das ist eine extrem wertvolle Information, im wahrsten Wortsinn.

Information und Einwilligung sicherstellen

Allerdings sind die möglichen Konsequenzen bei der Kontrolle seitens einer Datenschutzbehörde oder eines unliebsamen Wettbewerbers mit an Sicherheit grenzender Wahrscheinlichkeit strenger als die Vorteile, die man als Website-Betreiber aus der ungeregelten Nutzung dieser Tools zieht. Aber der Datenschutz hat nicht das Ziel, die Nutzung solcher Tools grundsätzlich zu unterbinden. Im Gegenteil geht es vielmehr darum, dass man sowohl als Website-Betreiber als auch als Besucher genau informiert wird. Darüber, was da gerade geschieht und was für mögliche Konsequenzen das haben kann. Wenn man als Besucher bereit ist, seine personenbezogenen Daten zur Verfügung zu stellen (also seine Einwilligung erteilt), so hat auch ein Datenschützer etwas dagegen. Entscheidend sind dabei allerdings zwei Punkte:

  • Die Einwilligung muss vor der Nutzung von Diensten / Tools erfolgen
  • Die Einwilligung muss tatsächlich freiwillig erfolgen und eine umfassende Information des Betroffenen voraussetzen.

Cookie Consent Tools – Die bewiesene Einwilligung

Wie können Website-Betreiber nachweisen, dass ein Besucher in die Nutzung seiner personenbezogenen Daten eingewilligt hat? Eine einfache und zugleich die von den Datenschutzbehörden geforderte Variante ist die Einrichtung eines Cookie Consent Tools. Dabei handelt es sich um Banner, über die man die Aktivierung von Tools steuern kann, welche personenbezogene Daten des Website-Besuchers erhalten. Der Besucher bekommt beim erstmaligen Besuch der Website diesen Banner angezeigt und kann – eine datenschutzkonforme Einrichtung des Banners vorausgesetzt – selbst entscheiden, welche Tools aktiviert werden und welche nicht. Wichtig ist dabei, dass alle nicht zwingend notwendigen Tools zu Beginn deaktiviert sind und vom Besucher aktiviert werden müssen. Nur so ist gewährleistet, dass der Besucher aktiv in die Nutzung dieser Tools – und damit in die Weitergabe seiner Daten – einwilligt.