DSGVO – drei offene Fragen (bisher)

Nachdem ich mich jetzt in den letzten 3 Tagen mehr oder weniger intensiv mit der DSGVO beschäftigt habe, sind mir ein paar Dinge noch unklar. Diese offenen Fragen möchte ich gerne hier kurz vorstellen und habe die Hoffnung, dass ich auf diese Weise brauchbare Informationen dazu finde.

Webfonts

In den letzten Jahren ist es immer mehr üblich geworden, bei der Gestaltung von Internetseiten auf WebFonts zurückzugreifen, insbesondere natürlich auf die Google-Fonts, aber auch auf die Icons von FontAwesome. Bei der Verwendung derartiger Fonts muss die betreffende Schriftart weder auf dem eigenen Server installiert sein, noch auf dem Rechner des Nutzers, sondern wird direkt von Servern des Fontanbieters geladen. Hierbei kommt es dann zu einer Übertragung von Daten, da der Browser des Nutzers von der besuchten Internetseite den Auftrag bekommt „Lad dir mal die Schriftart bei Google runter“ (mehr oder weniger). Dafür muss der Nutzer-PC dann mindestens seine IP-Adresse an Google übertragen, allerdings ohne dass der Browser vorher beim Nutzer um Erlaubnis bittet. Da die IP-Adresse nach meinem Verständnis der DSGVO aber zu den personenbezogenen Daten zählt, darf diese ohne Einwilligung nicht an Google, FontAwesome oder andere Dienste übertragen werden, vor allem, wenn diese Dienste außerhalb der EU liegen. Es gibt auch ein paar Blogeinträge, die sich mit dieser Problematik beschäftigen.

Nun habe ich über verschiedene DSGVO-Datenschutzerklärung-Generatoren verschiedene Texte gefunden, die sich mit diesem Problem befassen:

Um meine Inhalte browserübergreifend korrekt und grafisch ansprechend darzustellen, verwende ich auf dieser Website Scriptbibliotheken und Schriftbibliotheken wie z. B. Google Webfonts (https://www.google.com/webfonts/) und Font Awesome (https://fontawesome.com/). Google Webfonts werden zur Vermeidung mehrfachen Ladens in den Cache Ihres Browsers übertragen. Falls der Browser die Google Webfonts nicht unterstützt oder den Zugriff unterbindet, werden Inhalte in einer Standardschrift angezeigt.

Der Aufruf von Scriptbibliotheken oder Schriftbibliotheken löst automatisch eine Verbindung zum Betreiber der Bibliothek aus. Dabei ist es theoretisch möglich – aktuell allerdings auch unklar ob und ggf. zu welchen Zwecken – dass Betreiber entsprechender Bibliotheken Daten erheben. (Quelle: Datenschutzerklärungs-Generator der activeMind AG)

Oder auch:

Diese Seite nutzt zur einheitlichen Darstellung von Schriftarten sogenannte Web Fonts, die von Google bereitgestellt werden. Beim Aufruf einer Seite lädt dein Browser die benötigten Web Fonts in ihren Browsercache, um Texte und Schriftarten korrekt anzuzeigen. Zu diesem Zweck muss der von dir verwendete Browser Verbindung zu den Servern von Google aufnehmen. Hierdurch erlangt Google Kenntnis darüber, dass über deine IP-Adresse meine Website aufgerufen wurde. Die Nutzung von Google Web Fonts erfolgt im Interesse einer individuellen, einheitlichen und ansprechenden Darstellung meines Online-Angebots. Dies stellt ein berechtigtes Interesse im Sinne von Art. 6 Abs. 1 lit. f DSGVO dar. Wenn dein Browser Web Fonts nicht unterstützt, wird eine Standardschrift von deinem Computer genutzt. Weitere Informationen zu Google Web Fonts findest du unter: https://developers.google.com/fonts/faq und der Datenschutzerklärung von Google: https://www.google.com/policies/privacy/ (Quelle: https://materialwiese.blogspot.de/p/datenschutz.html)

Meine Frage nun: Was ist richtig? Darf ich es …

  • gar nicht mehr?
  • doch noch, weil unklar ist, welche Daten Google erhebt/speichert und ich in der Datenschutzerklärung darauf hinweise?
  • doch noch, weil ich ein berechtigtes Interessen habe, dass mein Blog schön aussieht?

Das letzte Argument finde ich persönlich am schwächsten, weil es ja durchaus Wege gibt, die Fonts auf dem eigenen Server zu speichern und damit datenschutzkonform einzubinden. Außerdem wurde meine IP ja zu dem Zeitpunkt, an dem ich Datenschutzerklärung gelesen habe, schon längst übertragen, die diese ja mit besagter schöner Schrift erstellt wurde.

Einbindungen

Bis heute sind auf vielen Internetseiten Inhalte anderer Seiten eingebunden: Tweets und Youtube-Videos, aber auch LearningApps, Padlets, Prezis und so weiter. In den allermeisten Fällen erfolgt dies als sogenannter IFrame (Inline-Frame). Dabei öffnet man auf seiner Seite ein Fenster mit einer bestimmter Größe, in dem dann wiederum der Inhalt der fremden Seite angezeigt wird. Dabei wird, wie auch schon bei den Fonts, mindestens die IP-Adresse übertragen. Allerdings fängt sich der Nutzer bei IFrames auch die Cookies der geframten Seite ein, sowie alle Tracker, die auf der Zielseite eingebaut sind (Google Analytics, Amazon, ….). Der Nutzer hat aber hierzu ggf. gar nicht seine Zustimmung erteilt bzw. wurde er vorher nicht gefragt. Der Nutzer konnte ja beim Öffnen einer bestimmten Seite nicht wissen, welche externen Inhalte eingebunden sind und welche Daten damit übertragen werden. Nach meinem Verständnis der DSGVO ist also das Framing nicht mehr erlaubt, bzw. so begrenzt, dass die Inhalte der Zielseite in der EU liegen müssen und die Zielseite wiederum keine Daten weiterreicht. Ein Beispiel: LearningApps liegt auf einem deutschen Server (was gut ist), hat aber Google Analytics im Schlepptau (was schlecht ist).

Meine Frage nun: Wie geht man damit um?

  • Auf Iframes ganz verzichten?
  • Sichere Iframes einbinden und auf das Framing in der Datenschutzerklärung verweisen?
  • IFrames mit einer Zweiklicklösung einbinden (die es derzeit nicht für alle Dienste gibt)? Ein Beispiel für Youtube ist hier zu finden: www.youngdata.de/google/facts

Der Verzicht auf Iframes würden den Workflow vieler Seiten bremsen, da z.B. im Wiki der ZUM zahlreiche Inhalte mit dieser Technik eingebunden sind.

Besonderer Schutz für Kinder

An einigen Stellen der DSGVO findet sich der besondere Schutz von Kindern, z.B. hier oder hier oder hier oder hier. Nun betreibt unsere Schule einen kleinen Blog, der sich speziell an die SchülerInnen richtet, mit Links zu Lernspielen, die die Themen des Unterrichts aufgreifen usw.. Einige Schulen haben ähnliche Seiten oder haben Informationen für die Schüler auf ihrer Schulhomepage. Auch wenn (in unserem Fall) keine personenbezogenen Daten erhoben werden, die Schüler kein Nutzerkonto oder ähnliches haben, so wird ja technisch bedingt die IP-Adresse erfasst.

Meine Frage nun: Wie viel enger ist denn der besondere Schutz der Kinder gefasst?

Auf IFrames, Webfonts usw. werde ich vorerst komplett verzichten, aber eine Datenschutzerklärung in Kindersprache formulieren? Wie soll das gehen?

 

Soweit meine Fragen: Ich freue mich auf Kommentare und Links!

Das könnte Dich auch interessieren...

1 Antwort

  1. FrauS sagt:

    Wenn die Schulhomepage nur normale Verlinkungen zu z.B. Kindersuchmaschinen enthält, dann dürfte dies doch kein Problem sein, oder muss dann bei jeder Verlinkung auch wieder darauf hingewiesen werden, welche Daten die entsprechende Seite erhebt.

    Und was mir auch noch nicht ganz klar ist, ob z.B. ein Kontaktformular für das Einsenden von Knobelaufgaben (mit entsprechender Checkbox) dann auch bedenklich ist, da ich damit ja speziell die „unwissenden“ Kinder auffordere Daten anzugeben. Ich kann ja nicht unbedingt davon ausgehen, dass die Kinder verstehen, was es bedeutet, wenn sie mit Hilfe der Checkbox zustimmen.
    Ergo muss das Kontaktformular vermutlich aufgrund des besonderen Schutzes der Kinder weichen und wir gehen zurück zu good old Zettelwirtschaft…

    Grüße Tanja

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.