Spätestens seit der letzten „Google Fonts Abmahnwelle“ Mitte/Ende 2022 (hier geht es zu unserem Blogbeitrag) ist die DSGVO-konforme Darstellung von Websites wieder stärker in den Fokus der Website-Betreibenden gerückt.
Vergleichbar mit der dynamischen Einbindung von Google Fonts werden externe Medien bzw. Dienste, wie zum Beispiel Videos von Youtube und Vimeo oder Google Maps innerhalb der eigenen Website eingebunden und somit die IP-Adresse der Besuchenden an den Diensteanbieter übertragen. Für das Ein- und Ausblenden von externen Medien wird oftmals die Funktion von den bestehenden Cookie-Consent-Manager Diensten (wie zum Beispiel Cookiebot, Cookiefirst, usercentrics) verwendet. Ein DSGVO konformer Einsatz ist dadurch aber nicht immer gegeben. Das nachfolgende Beispiel soll dies verdeutlichen:
Beispiel: Einbindung eines YouTube-Videos per iFrame
Bei der Einbindung eines YouTube-Videos wird auch in der datenschutzkonformen Variante (beispielhafte URL: www.youtube-nocookie.com/embed/UOWwTz3kaIs ) mindestens ein Cookie vom Diensteanbieter gesetzt.
Cookie-Consent-Manager identifizieren und klassifizieren diesen Youtube-Cookie. Erst nach Einwilligung der entsprechenden Klassifizierung (z.B. Marketing-Cookies) durch die Besuchenden wird das Video geladen.
Bei der Steuerung von externen Inhalten über Cookie-Consent-Manager gibt es jedoch mehrere Konstellationen, die nicht zu einer DSGVO-konformen Einbindung des Videos führen:
- Sofern die extern geladenen Medien keinen Cookie setzen, findet dies in der Regel auch keine Beachtung bei den Cookie-Consent-Manager Diensten. Die externen Inhalte werden beim Seitenaufruf somit automatisch geladen (quasi die Problematik, welche bei der dynamischen Einbindung von Google Fonts abgemahnt wurde).
- Cookie basierte, externe Inhalte werden zwar von Cookie-Consent-Manager Diensten verwaltet und erst nach Einwilligung von zum Beispiel Marketing-Cookies geladen. Es fehlt jedoch der Hinweis und die Einwilligung von den Besuchenden, dass personenbezogene Daten an den Dienst übermittelt werden dürfen. Denn durch das Laden des Videos wird automatisch die IP-Adresse der Besuchenden an YouTube übermittelt.
Lösung für die DSGVO-konforme Einbindung von externen Inhalten/Medien
Viele Content Management Systeme (CMS) bieten mittlerweile zusätzlich Extensions bzw. Plugins für die DSGVO-konforme Einbindung von externen Inhalten bzw. Medien an.
Das CMS WordPress stellt neben „DSGVO All in one for WP“ oder „DSGVO YouTube“ noch viele weitere Plugins für die Einbindung von externen Medien zur Verfügung.
TYPO3 – Extension „mediaconsent“ und „media2click“
Auch TYPO3 stellt mit der Extension „mediaconsent“ eine smarte Lösung für die aktuelle TYPO3 LTS Version zur Verfügung.
Nach der Installation der Extension haben TYPO3-Backend-Benutzende das neue Inhaltselement „Medien Inhalt Opt-in“ zur Auswahl.
Für die Einbindung eines externen YouTube-Videos oder einer Google Map ist nur die Content-Quelle sowie das iFrame-Script anzugeben. Fertig!
Innerhalb der Website wird beim Aufruf der Seite zunächst nur ein Hinweistext und eine Checkbox zur Einwilligung aufgeführt. Erst nach der Einwilligung werden die externen Daten geladen und somit die IP-Adresse des Besuchenden an den Diensteanbieter übermittelt.
Die TYPO3-Extension media2click stellt ebenfalls aktuell eine gute Option für das Handling externer Dienste dar. Sie bietet viele Zusatzfunktionen, wie zum Beispiel das Hinterlegen von Hintergrundgrafiken bei den Hinweismeldungen, und berücksichtigt auch Videos die über das Inhaltselement „Text & Medien“ eingebunden sind.
Fazit
Cookie-Consent-Manager prüfen und steuern vorrangig das Cookie-Handling auf Websites. Das Einblenden von Hinweistexten sowie das Abfragen von erforderlichen Einwilligungen zur Übermittlung von personenbezogenen Daten an externe Diensteanbieter werden dabei oftmals nicht berücksichtigt. Hierfür bieten Content Management Systeme spezielle Extensions oder Plugins an, die von den Website-Betreibenden zur DSGVO konformen Einbindung externer Medien eingesetzt werden können.
Hinweis: Der Artikel stellt keine Rechtsberatung dar. Das Thema sollte daher abschließend mit den Datenschutzverantwortlichen im Unternehmen abgestimmt werden.
Michael Weber
Seit über 20 Jahren beschäftige ich mich mit dem Internet - und es fasziniert mich immer noch. Aktuelle und zukünftige Technologien machen vieles einfacher aber auch komplexer zugleich. An dieser Stelle versuche ich im Rahmen meines Jobs mit dem Team effiziente Lösungen zu schaffen. Mobilität? ja - Online zu jeder Zeit? nein. Freizeit und Entspannung mit der Familie in der "realen" Welt ist für mich sehr wichtig.