Die Zentralvereinigung des Kraftfahrzeug-Gewerbes zur Aufrechterhaltung lauteren Wettbewerbs (ZLW) gibt Grundsätzliche Hinweise zur Einbindung externer Dienste auf die eigene Webseite:
1. Externe Medien (z.B. YouTube-Videos) generell auf dem eigenen Server einbetten
Wie bei Google Fonts schon beschrieben, kann die Einbindung eines Mediums (z.B. Video) aus einer externen Quelle wie YouTube auch dadurch erfolgen, dass dessen Auslieferung direkt über die eigene Webpräsenz vorgenommen wird. Voraussetzung wäre natürlich, dass hierfür genug Speicherplatz und Bandbreite zur Verfügung steht. Alternativ kann auf eine externe Videoquelle auch ohne Einbindung einfach verlinkt werden, jedoch sollte dann die Cookie-Erklärung angepasst werden.
2. Cookie-Datenschutzbanner unter Aufnahme externer Dienste
Möchten Webseitenbetreiber entweder Informationen (z.B. Cookies) in einem Endgerät (z.B. Smartphone oder PC) speichern oder auf die bereits auf diesem Endgerät gespeicherten Informationen zugreifen, dann bedarf es nach dem vor kurzem in Kraft getretenen § 25 Abs. 1 Satz 1 TTDSG grundsätzlich der Einwilligung des Users. Insoweit wurde mit diesem Gesetz die vorhergehende BGH- und EuGH-Rechtsprechung umgesetzt. Verwenden integrieren Webseiten-Betreiber zudem Elemente, welche das Nutzerverhalten insbesondere über Website- oder Geräte-Grenzen hinweg (also z.B. über verschiedene Domains verschiedener Anbieter) zusammenfassen, dann benötigen sie auch nach der DS-GVO die aktive, ausdrückliche, informierte, freiwillige und vorherige Einwilligung (Artikel 6 Abs. 1 Buchstabe a DS-GVO) der Nutzer.
Werden solche Cookies zum Auslesen oder Ablegen nicht auf dem Endgerät des Users gespeichert, ist somit auch keine Einwilligung erforderlich. Dagegen muss der Webseiten-Betreiber aufgrund obiger Vorschriften bereits zum Zeitpunkt des Aufrufs der Webseite unbedingt eine Einwilligung des Users bzw. Nutzers einholen, wenn die von ihm selbst oder einem Dritten (als externer Diensteanbieter wie z.B. Google oder YouTube) eingesetzten und nicht unbedingt zum Betreiben der Webseite erforderlichen Cookies genau dieses Ziel haben.
Das Einholen der Einwilligung des Nutzers für diese nicht unbedingt erforderlichen Cookies (Hinweis: Erforderlich sind z.B. Warenkorb-Cookies) erfolgt in der Praxis i.d.R. über die vorgeschaltete Einblendung eines sog. Cookie-Banners. Mit diesem Banner oder einem ähnlichen grafischen Element werden Schaltflächen angezeigt, mit denen der Einsatz von Cookies und ähnlichen Technologien zugestimmt sowie abgelehnt werden kann oder mit der ganz individuelle Cookie-Einstellungen für den Nutzer aufgerufen werden können.
Da bei der direkten Einbettung von externen Inhalten (z.B. Twitter-Tweets, Facebook-Beiträge, YouTube-Videos etc.) ebenfalls immer personenbezogene Daten und ggf. die genaue Identität des Users an diese externen Dienste übermittelt werden, benötigt man auch hier auf jeden Fall die Einholung einer diesbezüglichen Einwilligung und damit ein korrektes Cookie-Banner. Sofern bei eingebetteten Medien wie externen Videos nicht noch vor dem Abspielen (bzw. dem Cookie-Einsatz des externen Dienstes) eine zusätzliche explizite Einwilligung eingeholt wird (vgl. Ziffer 3c) zur „2-Klick-Lösung“), muss sichergestellt sein, dass bei Ablehnung der entsprechenden Cookies im Cookie-Banner auch der eingebettete Medieninhalt nicht angezeigt wird.
Da der User laut Gesetz vor der Einwilligung ausreichend informiert sein muss, sind betroffene Personen bei der Einbindung eben dieser externen Medien im Rahmen der Einwilligung gleichzeitig auch über die dort beabsichtigte Verarbeitung personenbezogener Daten zu informieren.
Den Nutzern muss deshalb verständlich gemacht werden, dass durch das uneingeschränkt eingebettete Medium (z.B. YouTube-Video) bspw. die Information über den Nutzer der gerade aufgerufenen Webseite an den Dritten (z.B. YouTube) übermittelt werden. Ebenso ist dem Nutzer verständlich zu machen, dass dann eine Verkettung mit bereits beim Drittanbieter vorhandenen Daten möglich ist.
An dieser Stelle kann aber kein Muster für ein allgemeines Cookie-Banner samt Belehrung zur Verfügung gestellt werden. Gleiches gilt natürlich auch für ein spezielles Cookie-Banner, welches auch Verwendung externer Dienste mit umfasst. Denn die Ausgestaltung eines solchen Banners hängt ganz individuell von der Ausgestaltung der Website des Unternehmens und der dort verwendeten unterschiedlichen Cookies ab. Zudem gibt es auch bei Aufsichtsbehörden und Gerichten unterschiedliche Sichtweisen über gerade noch zulässige Formulierungen. So ist auch bislang keine Aufsichtsbehörde in der Lage gewesen, ein Muster für ein Banner zu veröffentlichen.
Insoweit gibt es aber in den beiden Unterlagen der Datenschutzkonferenz (DSK) und des Landesbeauftragten für den Datenschutz Baden-Württemberg viele Hinweise für die Erstellung von Cookie-Bannern. Letzterer sieht dabei insbesondere dann kaum lösbare Probleme mit der Einwilligung in Cookies, wenn externe Dienste aus dem Drittland eingebunden werden. Beide Anlagen können auf www.kfz-bw.de unter Mitglieder / Unser Service für Mitglieder / Downloads / Monatsdienst heruntergeladen werden.
3. „2-Klick-Lösung“
Wie dargestellt, werden bei der direkten Einbindung von externen Inhalten personenbezogene Daten an externe Dienste übermittelt. Die datenschutzrechtlichen Probleme mit diesen externen Inhalten kann auch mittels der sogenannten „2-Klick-Lösung“ (z.B. Embetty8 der c‘t) begegnet werden. Damit lassen sich externe Inhalte von sozialen Medien so einbetten, dass zunächst nur eine Vorschau der externen Inhalte angezeigt wird, ohne dabei die IP-Adresse, Browser-Informationen oder andere persönliche Informationen an den Drittanbieter zu übermitteln. Erst wenn der Besucher aktiv auf die Vorschau klickt, um z.B. ein YouTube-Video tatsächlich anzusehen, werden Daten übermittelt.
Allerdings müssen die jeweiligen User dann auch über die mit der Einbindung externer Medien einhergehenden Verarbeitungen personenbezogener Daten informiert werden. Das bedeutet, dass den Usern auch hier vor Beginn des Abspielens die Informationsweitergabe an den Dritten mit den vorstehend schon dargestellten Konsequenzen verständlich gemacht werden muss. In Anlehnung an den bereits vom berühmten „Facebook-gefällt-mir-Button“ bekannte Lösung eines Vorschaubildes inklusive Belehrung, könnte die folgende dort bekannte Formulierung hilfreich sein, die dann auf den verwendeten externen Dienst abzuändern ist und für deren Akzeptanz durch die Gerichte oder Aufsichtsbehörden jedoch keine Haftung übernommen werden kann:
„2 Klicks für mehr Datenschutz: Erst wenn Sie hier klicken, wird der Button aktiv und Sie können Ihre Empfehlung an Facebook senden. Schon beim Aktivieren werden Daten an Dritte übertragen – weitere Informationen finden Sie unter Datenschutz.“
(288-00/Julia Cabanis)