Externe Inhalte und Cookies auf Webseiten
Das Einbinden externer Inhalte und die Nutzung von nicht notwendigen Cookies auf Webseiten ist mit einer Vielzahl von rechtlichen Fragen verbunden. Hier geben wir einen Überblick über das Thema.
Externe Inhalte
Von der direkten Einbindung externe Inhalte von nicht-hochschuleigenen Systemen ist abzuraten. Durch den Abruf der externen Inhalte wird eine Übermittlung personenbezogener Daten (u. a. der IP-Adresse) an Dritte durchgeführt für die keine geeignete Rechtsgrundlage besteht. Davon betroffen sind sowohl die Einbindung von Social-Media-Inhalten, wie Like-Buttons, Tweets oder Youtube-Videos, die Bereitstellung von Kartenmaterial (Apple/Bing/Google Maps), als auch die Einbindung von Schriftarten (Adobe/Google Fonts) oder Javascript-Bibliotheken (CDNs).
Für die Einbindung von externen Inhalten empfehlen wir zunächst zu prüfen, ob die externe Verwendung wirklich notwendig ist oder ob stattdessen hochschuleigene Dienste genutzt werden können (z. B. RUBcast). Ist die Einbindung nicht anders umzusetzen, ist eine Einwilligung der Nutzer:innen und die Bereitstellung weiterer Informationen erforderlich. Als Umsetzung empfehlen wir die Nutzung einer Zwei-Klick-Funktion (z. B. Shariff (externer Link)) oder einer Proxy-Lösung (z. B. embetty (externer Link)). Eine Verlinkung der externen Inhalte ist ebenfalls möglich, hierbei ist den Nutzer:innen anzuzeigen, dass sie auf das Angebot eines anderen Anbieters weitergeleitet werden, z. B. durch Kennzeichnung Links mit dem Hinweis „extern“, wenn das Link-Ziel nicht direkt erkennbar ist.
Von der Nutzung von CDNs raten wir grundsätzlich ab, da hier i.d.R. eine zusätzliche vertragliche Vereinbarung mit dem Anbieter notwendig wird (Auftragsverarbeitungsvertrag) und sich darüber hinaus Fragen des internationalen Datentransfers in unsichere Drittstaaten stellen. Wir empfehlen daher das Hosting auf hochschuleigenen Systemen für deren Nutzung sich diese Fragen nicht stellen.
Cookies
Grundsätzlich raten wir vom Einsatz nicht technisch erforderlicher Cookies ab. Die Zwecke, die Hochschulwebseiten, verfolgen sind i. d. R. ohne solche Cookies erreichbar. Insbesondere Tracking-Cookies (z. B. Google Analytics) die das Nutzungsverhalten von Webseite-Besucher:innen verfolgen sind grundsätzlich unzulässig und können, wenn überhaupt, nur verwendet werden, wenn eine zusätzliche Vereinbarung mit dem Betreiber geschlossen wurde und geeignete Schutzmaßnahmen bestehen.
Technisch notwendige Cookies sind z. B. (Session-) Cookies, die den Login für eine Webseite umsetzen und bedürfen keiner Zustimmung durch die Nutzenden.
Weitere Informationen
Eine umfangreiche Frage-Antwort-Sammlung (FAQ) mit Umsetzungshinweisen (externer Link) stellt der LfDI Baden-Württemberg bereit. Zusätzliche gibt es eine Orientierungshilfe der Datenschutzkonferenz (externer Link) zur Umsetzung der Anforderungen des TTDSG.