Die meisten Websites funktionieren nicht alleine. Hinter den Kulissen stützt sich Ihre Website wahrscheinlich auf eine lange Liste von Drittanbieterdiensten: Analysetools, Werbeplattformen, eingebettete Inhalte, Chat-Widgets, Zahlungsabwickler und vieles mehr.
Die Herausforderung? Selbst ein einziges Tool eines Drittanbieters kann Tracking, Datenaustausch oder grenzüberschreitende Datenübertragungen mit sich bringen, die Datenschutzrisiken verursachen, wenn sie nicht ordnungsgemäß offengelegt oder verwaltet werden.
In diesem Artikel beschreibe ich die gängigsten Dienste von Drittanbietern, die auf Websites verwendet werden, und die damit verbundenen Datenschutzrisiken.
Sie werden sehen, wie Tools wie Analysen, Werbeplattformen, Einbettungen und Infrastrukturdienste die Datenerfassung und -weitergabe beeinflussen können und warum sie ein wesentlicher Bestandteil des gesamten Datenschutzkonzepts einer Website sind.
Was sind Dienste von Drittanbietern auf Websites?
Das Konzept eines „Dritten“ variiert je nach Datenschutzgesetz. Gemäß der DSGVO fungieren viele Websites als Datenverarbeiter, die im Auftrag des Website-Eigentümers handeln.
Gemäß Datenschutzgesetzen wie dem California Consumer Privacy Act (CCPA) können Website-Tools je nach Art der Verarbeitung personenbezogener Daten in verschiedene rechtliche Kategorien fallen.
Ein Dienstleister ist eine Einrichtung, die personenbezogene Daten im Auftrag eines Unternehmens gemäß einem schriftlichen Vertrag mit bestimmten Einschränkungen verarbeitet. Ein Dritter ist eine Einrichtung, die personenbezogene Daten für eigene kommerzielle Zwecke erhält.
Diese Unterscheidungen sind wichtig, da sie unterschiedliche Offenlegungspflichten und Nutzerrechte auslösen.
Diese Dienste werden üblicherweise über Skripte, Plugins, Tags, APIs oder eingebettete Inhalte zu Websites hinzugefügt. Sie werden für folgende Funktionen verwendet:
- Webhosting
- Analysen und Leistungsüberwachung
- Werbung
- Kundensupport
- Zahlungsabwicklung
- E-Mail-Marketing
- Website-Optimierung
Da externe Anbieter Dienste von Drittanbietern betreiben, können sie Nutzerdaten entweder im Auftrag des Website-Betreibers oder in einigen Fällen für ihre eigenen Zwecke sammeln oder verarbeiten, je nach Dienstkonfiguration, Vertragsbedingungen und geltendem Recht, sobald sie auf einer Website aktiv sind.
Viele dieser Dienste werden möglicherweise automatisch geladen, wenn jemand Ihre Website besucht.
Je nach ihrer Konfiguration können sie technische Daten, Online-Identifikatoren oder Verhaltensinformationen sammeln, wobei Website-Betreiber manchmal keinen klaren Überblick darüber haben, welche Daten zu welchem Zweck erfasst und wohin sie übertragen werden.
Dies macht sie zu einem wichtigen Bestandteil des gesamten Datenökosystems einer Website und zu einem entscheidenden Faktor bei der Bewertung von Datenschutzrisiken und Transparenzverpflichtungen.
Warum Dienste von Drittanbietern Datenschutzrisiken bergen
Dienste von Drittanbietern können Datenschutzrisiken mit sich bringen, da sie häufig Nutzerdaten außerhalb der direkten Kontrolle des Website-Betreibers erfassen oder verarbeiten.
Sobald ein Skript, Plugin oder eine Einbettung eines Drittanbieters aktiv ist, kann es Informationen sammeln, wie zum Beispiel:
… manchmal bevor ein Benutzer sich dessen überhaupt bewusst wird.
Wenn diese Dienste nicht ordnungsgemäß offengelegt werden, können Unternehmen gegen Datenschutzgesetze verstoßen.
Allgemeine Datenschutzverordnung (DSGVO)
Die DSGVO verlangt von Unternehmen eine rechtmäßige Grundlage für die Verarbeitung personenbezogener Daten gemäß Artikel 6, darunter:
- Zustimmung
- Vertragliche Notwendigkeit
- Rechtliche Verpflichtung
- Lebenswichtige Interessen
- Öffentliche Aufgabe
- Berechtigte Interessen
Wenn bei Dienstleistungen von Drittanbietern Datenverarbeiter beteiligt sind, müssen Unternehmen mit diesen ebenfalls eine Datenverarbeitungsvereinbarung (DPA) abschließen, die den Anforderungen von Artikel 28 entspricht.
Gemäß Artikel 13 und 14 müssen Unternehmen die Nutzer eindeutig über die Datenerhebung durch Dritte informieren und, sofern dies der Fall ist, auch eine gültige Einwilligung einholen, bevor sie nicht essentielle Cookies oder ähnliche Tracking-Technologien verwenden, wie sie beispielsweise für folgende Zwecke eingesetzt werden:
- Analytik,
- Werbung oder
- Personalisierung
Es sei denn, es gilt eine enge Ausnahmeregelung gemäß den geltenden Leitlinien.
In der Praxis erfordern viele Analyse-, Werbe- und Personalisierungstools in der EU eine gültige Einwilligung.
Es ist auch wichtig zu beachten, dass bei der Übermittlung personenbezogener Daten durch Drittanbieter außerhalb der EU/des EWR oder des Vereinigten Königreichs zusätzliche Schutzmaßnahmen gemäß Kapitel V DSGVOerforderlich sind.
Nach dem Schrems-II-Urteil müssen Unternehmen zunächst eine Transfer-Auswirkungsanalyse (Transfer Impact Assessment, TIA) durchführen, um zu beurteilen, ob der Datenschutz im Zielland im Wesentlichen den EU-Standards entspricht.
Die TIA wird aufzeigen, ob zusätzlich zu den gemeinsamen Standardvertragsklauseln, die eine Sicherheitsvorkehrung für internationale Übermittlungen darstellen, weitere Maßnahmen erforderlich sein könnten.
ePrivacy-Richtlinie (EU-Cookie-Gesetz)
Die ePrivacy-Richtlinie schreibt vor, dass vor der Speicherung oder dem Zugriff auf Informationen auf dem Gerät des Nutzers dessen Zustimmung eingeholt werden muss. Dies gilt auch für viele Cookies von Drittanbietern und Tracking-Technologien.
Diese Anforderung gilt zusätzlich zu den oben genannten DSGVO .
Kalifornisches Verbraucherschutzgesetz (CCPA)
Der CCPA verpflichtet Unternehmen, die Kategorien von Dritten, an die personenbezogene Daten verkauft oder weitergegeben werden, sowie den Zweck dieser Weitergabe offenzulegen, gegebenenfalls die erforderlichen Widerspruchsrechte zu gewähren und zu erläutern, wie diese Daten verwendet werden.
Unternehmen sollten auch in der Lage sein, zwischen „Verkauf“ (Weitergabe gegen Geld oder andere wertvolle Gegenleistungen) und „Weitergabe“ (Weitergabe für kontextübergreifende verhaltensbasierte Werbung) zu unterscheiden. Beide Fälle lösen das Recht auf Widerspruch aus.
Viele der Werbe- oder Analysetools können unter diesen weit gefassten Definitionen einen „Verkauf“ oder eine „Weitergabe“ darstellen, weshalb ein Link „Meine personenbezogenen Daten nicht verkaufen oder weitergeben“ erforderlich ist.
Andere Datenschutzgesetze der U.S.-Bundesstaaten
Gesetze wie der Virginia Consumer Data Protection Act (VCDPA) und der Colorado Privacy Act (CPA) verlangen eine klare Benachrichtigung über die Weitergabe von Daten an Dritte und definierte Verarbeitungszwecke.
Über die Offenlegungspflichten hinaus können Dienste von Drittanbietern auch Probleme im Zusammenhang mit internationalen Datenübertragungen, Datenaufbewahrung und Lieferantenverantwortung auslösen, insbesondere wenn mehrere Tools auf einer einzigen Website miteinander verknüpft sind.
Ohne angemessene Transparenz und Dokumentation können selbst häufig genutzte Dienste das rechtliche und operative Risiko erhöhen.
Die häufigsten Dienste von Drittanbietern auf Websites
Heutzutage sind Websites auf eine Vielzahl von Drittanbieterdiensten angewiesen, um effizient zu arbeiten, ihre Leistung zu messen und Nutzer zu binden.
Obwohl diese Tools oft einen bedeutenden geschäftlichen Mehrwert bieten, gibt es bei jedem Typ Datenschutzaspekte zu beachten, je nachdem, wie Daten erfasst, weitergegeben und verarbeitet werden.
1. Analytik und Leistungsüberwachung
Analyse- und Leistungsüberwachungstools helfen Website-Betreibern zu verstehen, wie Besucher ihre Websites finden und nutzen.
Sie werden häufig verwendet, um Traffic-Volumen, Seitenaufrufe, Nutzerwege, Konversionsraten und die Gesamtleistung einer Website zu messen. Diese Erkenntnisse können in Designentscheidungen, Content-Strategien und Marketingmaßnahmen einfließen.
Zu den gängigen Anbietern gehören:
Da diese Tools häufig auf Cookies oder ähnliche Tracking-Technologien zurückgreifen und Identifikatoren wie IP-Adressen oder Gerätedaten erfassen können, erfordern sie in der Regel eine klare Offenlegung und in einigen Regionen die Zustimmung des Nutzers.
Je nach Anbieter und Konfiguration können Analysetools als Verarbeiter oder unabhängige Verantwortliche fungieren.
Wenn Daten außerhalb der EU übertragen werden, müssen Website-Betreiber auch internationale Übertragungsmechanismen prüfen, wie beispielsweise verfügbare Angemessenheitsbeschlüsse der Europäischen Kommission oder geeignete Schutzmaßnahmen (z. B. Standardvertragsklauseln).
2. Werbe- und Retargeting-Netzwerke
Werbe- und Retargeting-Netzwerke ermöglichen es Unternehmen, Produkte oder Dienstleistungen zu bewerben, die Leistung von Kampagnen zu verfolgen und Nutzer auf verschiedenen Plattformen zu erreichen.
Diese Tools werden verwendet, um personalisierte Anzeigen basierend auf dem Surfverhalten oder früheren Interaktionen anzuzeigen.
Zu den gängigen Anbietern gehören:
Aufgrund ihrer Abhängigkeit von Verhaltensverfolgung, Profilerstellung und Datenaustausch innerhalb von Werbeökosystemen unterliegen diese Dienste häufig strengeren Anforderungen hinsichtlich Einwilligung und Opt-out.
3. Social-Media-Plugins und Einbettungen
Social-Media-Plugins und eingebettete Inhalte ermöglichen es Websites, Videos, Beiträge, Kommentar-Feeds oder Teilen-Buttons direkt auf einer Seite anzuzeigen.
Diese Funktionen können das Engagement steigern und Inhalte für Besucher interaktiver gestalten.
Zu den gängigen Anbietern gehören:
Selbst wenn Nutzer nicht auf eingebettete Inhalte klicken oder mit ihnen interagieren, laden diese Tools möglicherweise dennoch Skripte von Drittanbietern, die automatisch Daten sammeln. Dies kann zu Transparenzproblemen oder Datenschutzrisiken führen, da:
- Die Daten werden vor jeder Benutzerinteraktion übertragen; oder
- Benutzer sind sich möglicherweise nicht bewusst, dass ihre Daten von Dritten erfasst oder verarbeitet werden.
In einigen Fällen haben Gerichte und Aufsichtsbehörden eine gemeinsame Kontrolle zwischen Website-Betreibern und Social-Media-Plattformen für die anfängliche Erhebung von Daten durch eingebettete Inhalte festgestellt.
4. Kundensupport und Chat-Tools
Kundensupport- und Chat-Tools ermöglichen es Unternehmen, in Echtzeit mit Besuchern zu kommunizieren, Fragen zu beantworten und während der gesamten Customer Journey Unterstützung zu bieten.
Sie werden häufig auf Verkaufsseiten, Checkout-Bildschirmen und Support-Portalen verwendet.
Zu den gängigen Anbietern gehören:
Da diese Tools möglicherweise personenbezogene Daten erfassen und Gesprächsverläufe speichern, sollten Unternehmen klar darlegen, wie Chat-Daten verwendet, gespeichert und weitergegeben werden.
5. Zahlungs- und Checkout-Dienste
Zahlungs- und Checkout-Dienste unterstützen Online-Transaktionen durch die Abwicklung von Zahlungen, die Erkennung von Betrugsfällen und die Verwaltung von Abrechnungsworkflows.
Diese Tools sind für E-Commerce-Websites und abonnementbasierte Unternehmen unverzichtbar.
Zu den gängigen Anbietern gehören:
Da diese Dienste sensible Finanz- und Identitätsdaten verarbeiten, ist Transparenz hinsichtlich der Datenverarbeitung und der Beteiligung Dritter besonders wichtig.
E-Mail-Marketing- und CRM-Tools
E-Mail-Marketing- und Customer Relationship Management (CRM)-Tools helfen Unternehmen dabei, Kontaktlisten zu verwalten, Marketingkampagnen zu versenden, das Engagement zu verfolgen und Kundenbeziehungen langfristig zu organisieren.
Diese Plattformen lassen sich häufig in Websites, E-Commerce-Tools und Analysedienste integrieren.
Zu den gängigen Anbietern gehören:
Da diese Tools häufig Daten aus mehreren Quellen kombinieren, können sie Datenschutzrisiken in Bezug auf Einwilligung, Profiling und langfristige Datenspeicherung mit sich bringen, wie zum Beispiel:
- Gemäß DSGVO ist für Marketingmitteilungen in der Regel eine vorherige Einwilligung (Opt-in) erforderlich, mit begrenzten Ausnahmen für bestehende Kundenbeziehungen (Soft-Opt-in).
- Gemäß CAN-SPAM (USA) müssen kommerzielle E-Mails über Opt-out-Mechanismen und eine genaue Absenderidentifizierung verfügen.
- Profiling und Segmentierung können die Schutzmaßnahmen für automatisierte Entscheidungsfindung gemäß Artikel 22 oder DPIA-Anforderungen auslösen.
- Diese Plattformen aggregieren Daten aus mehreren Quellen (Website-Formulare, Kaufhistorie, Integrationen von Drittanbietern) und erfordern Transparenz hinsichtlich aller Datenquellen.
- Die Rechte der betroffenen Personen (Zugriff, Löschung, Übertragbarkeit, Widerspruch) müssen umgesetzt werden, einschließlich der Möglichkeit, Teilnehmerdaten zu exportieren oder zu löschen.
7. Hosting-, CDN- und Infrastrukturanbieter
Hosting-, CDN- und Infrastrukturanbieter bilden das technische Rückgrat einer Website. Sie unterstützen die Verfügbarkeit, Leistung, Sicherheit und Bereitstellung von Inhalten der Website in verschiedenen Regionen.
Zu den gängigen Anbietern gehören:
Obwohl diese Dienste größtenteils auf Infrastrukturebene operieren, können sie regelmäßig personenbezogene Daten wie IP-Adressen oder Serverprotokolle verarbeiten, was Überlegungen hinsichtlich der Offenlegung und Datenübertragung auslösen kann.
8. UX, A/B-Tests und Personalisierungstools
UX-Tests und Personalisierungstools helfen Websites dabei, mit Layouts, Inhalten und Funktionen zu experimentieren, um die Benutzererfahrung und die Konversionsraten zu verbessern.
Sie werden häufig verwendet, um verschiedene Seitenversionen zu vergleichen oder Inhalte auf bestimmte Zielgruppen zuzuschneiden.
Zu den gängigen Anbietern gehören:
Da diese Tools detaillierte Benutzerinteraktionen wie Klicks, Bildläufe oder Sitzungsaktivitäten verfolgen können, erfordern sie oft eine sorgfältige Abwägung hinsichtlich Einwilligung und Offenlegung.
So verwalten Sie Datenschutzrisiken durch Dritte auf Ihrer Website
Die Nutzung von Drittanbieterdiensten ist oft unvermeidbar, aber nicht verwaltete Tools können das Datenschutzrisiko schnell erhöhen.
Der Schlüssel liegt darin, zu verstehen, was auf Ihrer Website läuft, welche Daten diese Dienste sammeln und wie diese Daten offengelegt und kontrolliert werden.
Im Folgenden finden Sie einige Maßnahmen, mit denen Website-Betreiber die Datenschutzrisiken durch Dritte besser kontrollieren können.
Überprüfen Sie die Dienste von Drittanbietern auf Ihrer Website
Beginnen Sie damit, alle auf Ihrer Website aktiven Dienste von Drittanbietern zu identifizieren, darunter Analysetools, Werbenetzwerke, eingebettete Medien, Chat-Widgets und Zahlungsabwickler.
Einige Dienste sind leicht zu erkennen, während andere im Hintergrund über Skripte oder Plugins laufen, die im Laufe der Zeit hinzugefügt wurden.
Tools wie Cookie Scanner Termly Cookie Scanner dabei helfen, die auf Ihrer Website gesetzten Cookies und Tracking-Technologien zu identifizieren.
Dies kann besonders nützlich sein, um Cookies aufzuspüren, deren Ausführung Ihnen möglicherweise nicht bewusst ist, und eine genauere Überprüfung der dafür verantwortlichen Tools oder Integrationen von Drittanbietern anzuregen.
Verstehen Sie, welche Daten jeder Dienst sammelt
Nicht alle Tools von Drittanbietern erfassen dieselben Arten von Daten.
Einige verarbeiten möglicherweise nur technische Informationen wie IP-Adressen, während andere Verhaltensdaten, Präferenzen oder Interaktionsdetails erfassen.
Die Überprüfung der Dokumentation jedes Anbieters kann dabei helfen, zu klären, welche personenbezogenen Daten erfasst werden, wie sie verwendet werden und ob sie weitergegeben werden.
Dienste von Drittanbietern in Ihren Richtlinien klar offenlegen
Datenschutzgesetze verlangen von Unternehmen in der Regel, dass sie darlegen, wie sie personenbezogene Daten erheben und weitergeben.
Ihre Datenschutzerklärung sollte die Kategorien der auf Ihrer Website verwendeten Drittanbieter klar offenlegen und deren Zwecke beschreiben.
Die Verwendung eines Tools wie Datenschutzerklärung Generator Termly Datenschutzerklärung Generator dazu beitragen, dass diese Angaben klar dokumentiert und leichter zu aktualisieren sind, wenn sich die Dienste von Drittanbietern im Laufe der Zeit ändern.
Einholen und Beachten der Einwilligung der Nutzer, wo erforderlich
Bestimmte Dienste von Drittanbietern, insbesondere solche, die für Analysen, Werbung und Personalisierung verwendet werden, erfordern möglicherweise die Zustimmung des Benutzers, bevor sie aktiviert werden können.
Die Verwaltung des Ladezeitpunkts dieser Tools auf Grundlage der Benutzerauswahl trägt dazu bei, die Datenerfassung mit den geltenden Datenschutzgesetzen und den Erwartungen der Benutzer in Einklang zu bringen.
Überprüfen Sie Lieferantenvereinbarungen und Datenpraktiken
Drittanbieter haben oft ihre eigenen Bedingungen für den Umgang mit Daten, Aufbewahrungsfristen und Sicherheitspraktiken.
Die Überprüfung von Lieferantenverträgen kann zur Klärung der Verantwortlichkeiten beitragen, insbesondere wenn Dienstleister in Ihrem Auftrag personenbezogene Daten verarbeiten oder in mehreren Rechtsordnungen tätig sind.
Geschrieben von Hanna De La Garza
Hanna De La Garza ist Autorin für Datenschutz bei Termly einen Bachelor-Abschluss in Journalismus von der University of Florida. Sie erstellt interessante Ressourcen zu Datenschutz, Einwilligungsmanagement, regulatorischen Aktualisierungen und vielem mehr.
Alle Beiträge von Hanna De La Garza lesen
Überprüft von Teodor Stanciu, CIPP/E, CIPM
Teodor Stanciu ist Rechtskoordinator und Datenschutzbeauftragter mit einem Bachelor-Abschluss in Rechtswissenschaften der Universität Bukarest und einem Master-Abschluss in EU- und internationalem Wirtschaftsrecht der Radboud-Universität.
Alle Beiträge lesen, die von Teodor Stanciu, CIPP/E, CIPM, geprüft wurden
