Einbindung externer Dienste auf der Website & Datenschutz
Helpdesk-Eintrag: Einbindung externer Dienste auf der Website & Datenschutz
1. Externe Schriftarten (z. B. Google Fonts)
❌ Problem: Automatische Verbindung zu Drittanbieter-Servern
• Bei der Einbindung von Google Fonts über externe Server wird eine Verbindung zu Google hergestellt.
• Dies kann zu einer Datenübermittlung in die USA führen (IP-Adresse des Nutzers wird übertragen).
✅ Empfohlene Lösung: Selbst gehostete Schriftarten
• Schriftarten sollten auf dem eigenen Webserver gehostet werden.
• So wird eine Datenübermittlung an Google oder andere Drittanbieter vermieden.
⚠ Falls externe Schriftarten verwendet werden:
• Drittlandübermittlung prüfen (Schrems-II-Urteil, Standardvertragsklauseln, zusätzliche Schutzmaßnahmen).
• Datenschutzerklärung anpassen und Nutzer informieren.
2. Kartendienste (z. B. Google Maps)
❌ Problem: Automatische Datenübermittlung an Google
• Beim Laden von Google Maps kann eine Datenübermittlung in die USA stattfinden.
• Dies erfordert die Erfüllung der Schrems-II-Anforderungen.
✅ Empfohlene Lösung: Opt-in-Verfahren
• Google Maps erst nach Zustimmung des Nutzers laden (z. B. durch einen Klick).
• Alternative Kartendienste prüfen, die datenschutzfreundlicher sind.
• Nutzer in der Datenschutzerklärung über die Datenverarbeitung informieren.
3. Captchas (z. B. Google reCAPTCHA)
❌ Problem: Verarbeitung personenbezogener Daten durch Google
• Google reCAPTCHA erfasst umfangreiche Nutzerdaten (z. B. IP-Adresse, Mausbewegungen, Verweildauer).
• Eine Datenübermittlung in die USA ist möglich.
✅ Empfohlene Lösung: Datenschutzfreundliche Alternativen nutzen
• hCaptcha oder Friendly Captcha als DSGVO-konforme Alternativen.
• Falls Google reCAPTCHA eingesetzt wird:
• Einwilligung der Nutzer einholen (Opt-in).
• Nachweis über die rechtmäßige Nutzung sicherstellen.
4. Social Plugins (z. B. Facebook, Twitter, Instagram)
❌ Problem: Tracking durch Social-Media-Anbieter
• Automatische Verbindung zu Drittanbieter-Servern kann IP-Adresse & Nutzerdaten übermitteln.
• In der Standardkonfiguration kann dies ohne Einwilligung nicht DSGVO-konform sein.
✅ Empfohlene Lösung: Zwei-Klick-Lösung verwenden
• Shariff Wrapper oder Embetty einsetzen, um Tracking ohne Interaktion zu verhindern.
• Vorherige Einwilligung über Cookie-Banner einholen.
• Transparente Information in der Datenschutzerklärung.
5. Google Analytics
❌ Problem: Datenverarbeitung in den USA & Nutzertracking
• Selbst mit IP-Anonymisierung ist Google Analytics ohne Einwilligung nicht zulässig.
✅ Erforderliche Maßnahmen für DSGVO-Konformität
• Einwilligung des Nutzers einholen (z. B. über Cookie-Banner).
• Datenschutzerklärung anpassen.
• Alternativen prüfen (z. B. Matomo als selbstgehostete Lösung).
📌 Beschluss der Datenschutzkonferenz (DSK):
🔗 Einsatz von Google Analytics nur mit Einwilligung
6. Allgemeine Empfehlungen für externe Dienste
📌 Prüfung vor der Einbindung erforderlich:
✔ Wo werden die Daten verarbeitet? (Drittlandübermittlung beachten)
✔ Sind Einwilligungen erforderlich? (Opt-in-Lösungen nutzen)
✔ Sind datenschutzfreundliche Alternativen verfügbar?
✔ Ist die Datenschutzerklärung aktuell? (Dienste & Datenverarbeitung angeben)
⚠ Schrems-II-Urteil beachten:
• USA gilt als unsicheres Drittland.
• Standardvertragsklauseln allein reichen nicht aus.
• Zusätzliche Schutzmaßnahmen erforderlich (z. B. Verschlüsselung).
🔎 Fragen? Wenden Sie sich an den Datenschutzbeauftragten oder die IT-Abteilung. 🚀
1. Externe Schriftarten (z. B. Google Fonts)
❌ Problem: Automatische Verbindung zu Drittanbieter-Servern
• Bei der Einbindung von Google Fonts über externe Server wird eine Verbindung zu Google hergestellt.
• Dies kann zu einer Datenübermittlung in die USA führen (IP-Adresse des Nutzers wird übertragen).
✅ Empfohlene Lösung: Selbst gehostete Schriftarten
• Schriftarten sollten auf dem eigenen Webserver gehostet werden.
• So wird eine Datenübermittlung an Google oder andere Drittanbieter vermieden.
⚠ Falls externe Schriftarten verwendet werden:
• Drittlandübermittlung prüfen (Schrems-II-Urteil, Standardvertragsklauseln, zusätzliche Schutzmaßnahmen).
• Datenschutzerklärung anpassen und Nutzer informieren.
2. Kartendienste (z. B. Google Maps)
❌ Problem: Automatische Datenübermittlung an Google
• Beim Laden von Google Maps kann eine Datenübermittlung in die USA stattfinden.
• Dies erfordert die Erfüllung der Schrems-II-Anforderungen.
✅ Empfohlene Lösung: Opt-in-Verfahren
• Google Maps erst nach Zustimmung des Nutzers laden (z. B. durch einen Klick).
• Alternative Kartendienste prüfen, die datenschutzfreundlicher sind.
• Nutzer in der Datenschutzerklärung über die Datenverarbeitung informieren.
3. Captchas (z. B. Google reCAPTCHA)
❌ Problem: Verarbeitung personenbezogener Daten durch Google
• Google reCAPTCHA erfasst umfangreiche Nutzerdaten (z. B. IP-Adresse, Mausbewegungen, Verweildauer).
• Eine Datenübermittlung in die USA ist möglich.
✅ Empfohlene Lösung: Datenschutzfreundliche Alternativen nutzen
• hCaptcha oder Friendly Captcha als DSGVO-konforme Alternativen.
• Falls Google reCAPTCHA eingesetzt wird:
• Einwilligung der Nutzer einholen (Opt-in).
• Nachweis über die rechtmäßige Nutzung sicherstellen.
4. Social Plugins (z. B. Facebook, Twitter, Instagram)
❌ Problem: Tracking durch Social-Media-Anbieter
• Automatische Verbindung zu Drittanbieter-Servern kann IP-Adresse & Nutzerdaten übermitteln.
• In der Standardkonfiguration kann dies ohne Einwilligung nicht DSGVO-konform sein.
✅ Empfohlene Lösung: Zwei-Klick-Lösung verwenden
• Shariff Wrapper oder Embetty einsetzen, um Tracking ohne Interaktion zu verhindern.
• Vorherige Einwilligung über Cookie-Banner einholen.
• Transparente Information in der Datenschutzerklärung.
5. Google Analytics
❌ Problem: Datenverarbeitung in den USA & Nutzertracking
• Selbst mit IP-Anonymisierung ist Google Analytics ohne Einwilligung nicht zulässig.
✅ Erforderliche Maßnahmen für DSGVO-Konformität
• Einwilligung des Nutzers einholen (z. B. über Cookie-Banner).
• Datenschutzerklärung anpassen.
• Alternativen prüfen (z. B. Matomo als selbstgehostete Lösung).
📌 Beschluss der Datenschutzkonferenz (DSK):
🔗 Einsatz von Google Analytics nur mit Einwilligung
6. Allgemeine Empfehlungen für externe Dienste
📌 Prüfung vor der Einbindung erforderlich:
✔ Wo werden die Daten verarbeitet? (Drittlandübermittlung beachten)
✔ Sind Einwilligungen erforderlich? (Opt-in-Lösungen nutzen)
✔ Sind datenschutzfreundliche Alternativen verfügbar?
✔ Ist die Datenschutzerklärung aktuell? (Dienste & Datenverarbeitung angeben)
⚠ Schrems-II-Urteil beachten:
• USA gilt als unsicheres Drittland.
• Standardvertragsklauseln allein reichen nicht aus.
• Zusätzliche Schutzmaßnahmen erforderlich (z. B. Verschlüsselung).
🔎 Fragen? Wenden Sie sich an den Datenschutzbeauftragten oder die IT-Abteilung. 🚀
Aktualisiert am: 25/02/2025
Danke!