Gibt es tatsächlich Ausnahmen für externe URLs?

Hallo zusammen,

im Zuge der TTDSG ist das Datenschutz-Thema bei unseren Kunden gerade wieder heiß diskutiert.

Jetzt habe ich die DSGVO und eben auch die TTDSG immer so verstanden, dass generell jede Anfrage an eine URL (Adresse), die nicht zur Domain meines Kunden gehört, durch den Benutzer erlaubt werden muss.

Somit ist mein-kunde. de/mein-script.js erlaubt (solange es nicht wiederum eine andere URL aufruft),
sowas wie irgendein-anderer-server. de/script.js aber nicht.

Wie sieht es jetzt aber aus mit solchen Anbietern wie usercentrics. Diese stellen sich ja hin und verkaufen sich als Lösung für Datenschutzfragen, damit sich nicht jedes Unternehmen damit rumschlagen muss.

Aber das sieht dann letzten Endes ja so aus, dass der Besucher von mein-kunde. de gleichzeitig auch noch usercentrics. com mitlädt, ohne jemals danach gefragt worden zu sein. Das ist doch ein Verstoß in sich oder verstehe ich das falsch? Ich habe vorhin den Beitrag zu Cookiebot gelesen und da kam dann noch das Drittländer-Thema dazu. Aber selbst wenn das Unternehmen in Deutschland sitzt, so ist es doch trotzdem ein externes Skript von einem Drittunternehmen, oder?

Danke schon mal,
würde mich hier sehr über eine Erläuterung freuen.

Hey

erstmal willkommen im Forum.

Also man muss hier paar Punkte unterscheiden.

  1. Ist etwas für den Betrieb der Website/App erforderlich. Dies sind erstmal Features wie Warenkorb, Login, Security Themen und in meinen Augen auch in einigen Brachen die rechtliche Umsetzung von Barrierefreiheit. Hierzu zählen auch die Notwendigkeit den rechtskonformen Betrieb und damit den Status der Einwilligung zu dokumentieren (die machen Cookiebot und Usercentrics als Dienstleister - natürlich kann man es alternativ auch selbst betrieben/entwickeln)
  2. Dann gibt es Themen die nicht erforderlich sind, dies sind in der Regel Werbe/Marketing und Statistik Cookies und Co. Also häufig Drittdaten (z.B. Google Analytics, Youtube, Facebook und co um die großen zu nennen)

Die Katgorie 1 (auch wenn externe Scripte) bedarf nur einer Information aber keiner Einwilligung. Daher wäre usercentrics ohne Auslandstransfer OK weil eben rechtlich für den Betrieb erforderlich.

Wenn ich nun aber ein Youtube Video habe, dass tausend Werbecookies zur NAchverfolgung nutzt ist es nicht notwendig, denn die Website funktioniert auch ohne Tracking und Werbung bzw. Verkauf deiner Daten.

Es kommt also auf den Zweck der Skripte an, nicht ob sie Dritten gehören oder nicht.

Vielen Dank (sowohl für deine ausführliche Antwort als auch für das herzliche Willkommen) :slight_smile:

Die Grundregeln habe ich damit verstanden, die Notwendigkeit von Cookiebot/Usercentrics aber noch nicht direkt. Es gibt ja schließlich Möglichkeiten, es auch ohne einen externen Anbieter zu machen, somit würde die Website ja auch ohne Usercentrics & Co funktionieren. Es ist ja eher die Bequemlichkeit des Website-Betreibers, der hier auf externe Anbieter setzen möchte.

Ist das Konsens oder aktuell noch Auslegungssache?

Mir hat kürzlich auch ein Kunde erklärt, dass der Google Tag Manager ja letztlich auch ein Tool wäre, um vorab Datenschutzthemen zu klären (ich glaube, das ist inhaltlich schon nicht korrekt, aber selbst wenn es das wäre - dann hätten wir ja gar nichts gewonnen, weil die Daten dann trotzdem wieder bei Google landen würden).

Bei der Argumentation zu den “notwendigen Techniken” würde ich differenzieren:
Wie joeDS geschrieben hat, sind manche Techniken für den Betrieb der Webseite erforderlich, weil sie sonst nicht funktionieren würde (z. B. Anmeldungen, Warenkörbe, Einstellung der Sprache usw.).

Bei Cookiebot und Co sehe ich hingegen keine Notwendigkeit:

  1. Könnte man die Seite so betreiben, dass ein Banner überhaupt nicht erforderlich wird.
  2. Könnte man sich einen Anbieter suchen, der keine Übertragungen in Drittländer vornimmt.

Das gleich gilt natürlich auch für andere Tools :wink:

Danke für deine Perspektive, so hätte ich es auch eher gesehen. Aber das wird wahrscheinlich auch weiterhin so bleiben, dass es immer auch eine Interpretationssache ist.

Gefühlt hat auch fast keine Website bisher etwas umgestellt, werde permanent mit Websites konfrontiert, die ein einziger Verstoß sind :wink:

Hallo damun,
Spielraum für Interpretationen sehe ich nicht:
Entweder ist eine eingesetzte Technik notwendig für den Betrieb oder eben nicht.

Leider machen es sich Aussenstehende oft sehr leicht, die “Notwendigkeit von Technologien” auf Webseiten zu bewerten - ohne die geringste Ahnung von den wirtschaftlichen Erwägungen des Verantwortlichen zu haben. Und mit diesen Erwägungen meine ich nicht “den Datenhandel”. Viele Webseiten sind das Eingangstor zu komplexen Geschäftsabläufen und müssen diese unterstützen. D.h. dass die Funktion der Webseite nicht mit dem Anzeigen von Webseiten-Inhalten erschöpft ist. Deshalb kann man oft die Erforderlichkeit verbauter Technologien nicht allein an der Webseiten-Darstellung festmachen.
Jeder will genau seine Information blitzartig geliefert bekommen - dann aber jederzeit reglementierend eingreifen wollen, wie diese Information herbeigeführt und bereitgestellt werden darf. Diese Information verbirgt sich nicht irgendwo auf der Webseite, sondern muss aus Geschäftsprozessen rausgeholt werden, die sich nur aus dem steuern müssen, was die Webseite hergibt.
Also, wer bitte möchte das abschließend beurteilen, der nicht in die Geschäftsprozesse eingeweiht ist?

Ja, aber wo zieht man da die Grenze? Wenn man aus unternehmerischer Sicht (bzw. beispielsweise aus der Sicht des Verantwortlichen des Marketings) darauf schaut, dann sagt der sich bestimmt “Ich kann ohne Google Analytics nicht arbeiten, weil ich sonst meinem Chef nicht die Zahlen und damit meinen Erfolg nachweisen kann”.

Ich denke, in den wenigsten Fällen ist Datenhandel das Motiv des Website-Betreibers. Es ist eher so, dass der Website-Betreiber Tools einsetzen möchte, deren Anbieter wiederum Datenhandel betreiben bzw. unklar ist, was mit den Daten passiert.

1 „Gefällt mir“

Wenn die Anbieter mit den Nutzungsdaten wahrscheinlich Datenhandel betreiben, dann muss der Seitenbetreiber die Übermittlung für diesen Zweck rechtfertigen können. (Nicht allein aufgrund der Verquickung mit seinem selbst verfolgten Zweck, sondern einzeln.)

Wenn der Seitenbetreiber zusätzlichen Verarbeitungszwecke der Anbieter nicht kennt, dann kann er seine Übermittlung für diese Zwecke nicht betrachten und ist nicht in der Lage, die Zulässigkeit in seiner Verantwortung festzustellen.

D., der von jedem Anbieter erwartet, dass der seine Zwecke abschließend festlegt. Wer nicht alles andere ausschließen kann darf nicht eingebunden werden. Kein Drumrumgerede wie “wir verkaufen die Daten nicht” oder “wir setzen sie nicht für Werbung ein”, “wir verwenden sie für erlaubte Zwecke” bzw. “wo es uns vorgeschrieben ist”. (Aber wir würden sie tauschen, verschenken, andere damit Profile bilden oder werben lassen, bei uns heißt das nicht “Werbung”, wir unterliegen problematischen Vorschriften…). Stattdessen die Zusage, dass sonst nichts damit passieren wird. Am besten automatisch mit Auftragsverarbeitung, SCC usw.; bei problematischen Drittländern mit einer Übersicht der erhobenen Datenkategorien, ihrer Speicherdauer und den landesspezifischen Risiken. Nur so wären sie handhabbar.