ich habe eine Frage hinsichtlich dem Einbinden von einem externen Tooltip-Script.
Das Script wird von einer anderen Website angeboten, deren Sitz in den USA ist. Das Script ermöglicht es zu bestimmten Produkten, nützliche Tooltips mit Informationen anzuzeigen, sofern der Nutzer aktiv mit der Maus über einen Link steuert.
Dann wird die IP-Adresse des Seitennutzers an den Anbieter übertragen (keine Cookies werden gesetzt).
Wir verzichten auf den Einsatz dieses Scripts. Allerdings nutzen einige andere Webseiten dieses externe Script. In der Datenschutzerklärung weisen diese daraufhin, dass mit Maussteuerung über einen Link, die IP-Adresse an den externen Anbieter gesendet wird.
Wir sind uns unschlüssig ob ein einfacher Verweis in der Datenschutzerklärung ausreichend ist, da der Nutzer ja nicht wirklich eine Möglichkeit hat, dem Einsatz des Scripts zu widersprechen.
Wir haben hier eine Datenweitergabe an einen Dritten. Als Rechtsgundlage wird vermutlich ein berechtigtes Interesse vorgebracht, weil es dem Anwender die Nutzung der Seite bequemer macht und keine wesentlichen Risiken entgegen stehen, da nur die IP-Adresse übermittelt wird, die heutzutage für einen Empfänger schon fast anonym-Status besitzt, weil viele Adressen durch viele Anwender genutzt werden (öffentliche Hotspots, Unternehmen etc.) und private Anschlüsse oft täglich die IP-Adresse wechseln.
Das Thema Drittland-Transfer ist derzeit etwas unkritischer aufgrund dem Data Privacy Framework. Wenn das fällt, muss man hier nochmal neu denken - dann geht es ja vermutlich auch nicht mal mit der Einwilligung, weil die ja nur für Ausnahmefälle bei Drittland-Transfer zulässig ist (was aber einige in der zurückliegenden Zeit auch anders gesehen haben).
Meiner Meinung nach ist für die Einbindung von Drittanbietern (egal was) eine Einwilligung aufgrund §25 TTDSG erforderlich, d.h. der Nutzer muss vorher zustimmen.
Man könnte ggf. noch überlegen, ob man die Funktionalität auch lokal abdecken kann - analog zu Google Fonts. In diesem Fall würde das berechtigte Interesse als Rechtsgrundlage nicht möglich sein.
Aber da heißt es doch: “Falls weder ein Angemessenheitsbeschluss nach Artikel 45 Absatz 3 vorliegt …” - gilt das Data Privacy Framework denn nicht als solcher? Ich dachte, es wäre so. Kann mich aber auch irren.
Das DPF enthält den Passus, dass sich das entsprechende Unternehmen (hier also der Anbieter des Scriptes) sich zertifiziert!
Fraglich, ob es in diesem Fall so ist…
D., der gerade 2 Einträge von youtube-nocookie.com im Local und Session Storage gefunden hat. Auch kein Cookie, aber Speicherung auf der Endeinrichtung.
Zertifizierung wäre das letzte Steinchen. Vorher aber die übliche Kaskade:
Generelle Zuslässigkeit, pbDaten für Tooltips zu verarbeiten; z. B. berechtigtes Interesse, die Besucher damit zu unterstützen.
Selbst betreiben.
Oder an einen geeigneten Dienstleister auslagern. Mit Auftragsverarbeitungsvertrag und keinem eigenen Schnickschnack des Dienstes; auch nicht durch eingeschleppte Subunternehmen oder Einbindung der üblichen Verdächtigen.
Bei Auslagerung /Übermittlung in Drittländer geeignete Garantien prüfen. Z. B. Angemessenheitsbeschluss (ggf. DPFW-Zertifizierung), Standardklauseln.
D., der keine Helferlein ohne rechtliche Absicherun nicht mag. Auch wenn sie noch so klein sind. Da sind berechtigte Interessen schnell überstrapaziert.
Leider ist es nicht möglich das Script auf einem eigenen Server zu hosten, da es immer die Datenbank des Fremdanbieters (in den USA) anfragen muss, um eben die Informationen des Tooltips zu laden. Also die IP-Adresse des Seitennutzers wird immer übertragen werden, sofern er eben mit der Maus über einen Link fährt.
Die Frage ist halt, ob dieses berechtigte Interesse für Zusatzinformationen in einem Tooltip greifen.
Ich denke, dass wir auf der sicheren Seite bleiben und auf den Einsatz des Scripts weiterhin verzichten werden.
Na, das Interesse könnte höchstens der User haben (zB bei schlecht aufgesetzten Seiten). Aber nicht der Anbieter. Das “berechtigte Interesse” hat sich der EuGH in seinem Urteil Urteil vom 04.07.2023 - C‑252/21 zu Meta = Facebook etc mal im Detail vorgenommen.