Datenschutzbeauftragter mit Drittanbieter Content (Google)

Hallo,

ist das zulässig?
Wie kann es sein, dass eine kommerzielle Dienstleistung als Datenschutzbeauftragter mit einer Webseite mit Drittanbieter Content (Google) durchkommt?
https://webbkoll.dataskydd.net/ (kompletten Link wegen Privatspähre gekürzt. Gibt es einen Privacy-friendly URL Shortener, der hier fürs Forum zu empfehlen ist?)

Webseite von Datenschutzbeauftragtem
HTTPS als Voreinstellung: :white_check_mark: Ja
Content Security Policy: :x: fehlt
Referrer Policy: :x: Referrers werden übermittelt
Cookies: 3 (3 First-Party; 0 Third-Party)
Anfragen an Drittanbieter: 10 Anfragen an 4 einzigartige Hosts

Danke.

EDIT: Ergänzungen (wurde nachgefragt)
Es handelt sich um einen Anbieter für „Wirtschaftsberatung & Datenschutzberatung“. Als externer Datenschutzbeauftragter ist die Vermögensschaden-Haftpflichtversicherung für Versicherungssumme je Einzelfall: 100.000,- € bei diesem Dienstleister.
Keine Angaben zu einer Personengesellschaft, privatrechtlichen Körperschaft. Sieht nach kleinerem Anbieter aus.

Die Punkte fehlen in der Datenschutzerklärungauf der Webseite des Anbieters:
googletagmanager.com Ireland
google-analytics.com 2001:4860:4802:32::36 Country: United States (US)
Siehe Posting https://www.kuketz-forum.de/t/datenschutzbeauftragter-mit-drittanbieter-content-google/5550/3?u=obbi

In welchem Kontext ?

Welche Hinweise gibt es, dass „das“ (was auch immer hier gemeint ist) nicht „zulässig“ wäre ?
Werden Cookies, die technisch nicht notwendig sind, ohne Einwilligung gesetzt ?
Ist die Datenschutzerklärung in Bezug auf die eingebundenen Inhalte lückenhaft ?

Kontext wie in Überschrift „Datenschutzbeauftragter mit Drittanbieter Content (Google)“…
Aber ja es fehlte noch die Datenschutzerklärung, da steht zu Google nur:

Google Fonts
Art und Umfang der Verarbeitung
Wir verwenden Google Fonts von Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland, als Dienst zur Bereitstellung von Schriftarten für unser Onlineangebot. Um diese Schriftarten zu beziehen, stellen Sie eine Verbindung zu Servern von Google Ireland Limited her, wobei Ihre IP-Adresse übertragen wird.

Zweck und Rechtsgrundlage
Der Einsatz von Google Fonts erfolgt auf Grundlage Ihrer Einwilligung gemäß Art. 6 Abs. 1 lit. a. DSGVO und § 25 Abs. 1 TTDSG.

Speicherdauer
Die konkrete Speicherdauer der verarbeiteten Daten ist nicht durch uns beeinflussbar, sondern wird von Google Ireland Limited bestimmt. Weitere Hinweise finden Sie in der Datenschutzerklärung für Google Fonts: https://policies.google.com/privacy.

Die Punkte die webbkoll.dataskydd noch auflistet, fehlen in der Datenschutzerklärung:
googletagmanager.com Ireland
google-analytics.com 2001:4860:4802:32::36 Country: United States (US)

Irland ist datenschutzkonform, aber nicht USA, richtig?
Aber auch noch zur semantischen Frage: Was ist von einem Datenschutzbeauftragten zu halten
der Drittanbieter Content (Google)" einbindet?

Kannst du das Thema etwas präzisieren?
Im Eingangsbeitrag ist von „kommerzieller Dienstleistung als Datenschutzbeauftragter“ die Rede. Ich kann mir da so gar nichts drunter vorstellen was das sein soll. Und in Kombination mit dem nicht genannten Unternehmen bzw. der entsprechenden Seite ist unmöglich sich überhaupt ein Bild zu machen um deine Fragen zu erörtern.

Dass es sich bei der Seite um einen Anbieter von Services als Datenschutzbeauftragter handelt, ist für die rechtliche Beurteilung nicht von Belang. Es gelten die gleichen Regelungen, wie für jede andere Webseite mit gleichem anwendbaren Rechtsstatus.

In welcher Form fand denn die Einwilligung des Besuchers zur Verwendung von Google Fonts eigentlich statt ?

Es bleibt hier erstmal festzuhalten, dass beim Aufruf der Seite zwei Verbindungen zu Dritten hergestellt werden, über die in der Datenschutzerklärung nicht aufgeklärt wird. Dies kann man entsprechend beanstanden und Auskunft einfordern.

Ob die gewählte technische Lösung für den Betreiber nun speziell in Anbetracht der angebotenen Services unbedingt reputationsförderlich ist, sei mal dahingestellt.

Habs im Eingangpost nachgeholt.

Mit JavaScript an, kam Cookibanner Abfrage, aber bei Klick auf Einstellungen verschwand alles. (uBlock = on)

Die Frage ist hier, wenn ein Mittelständiges Unternehmen mit 1000 Mitarbeitern, oder Verein mit 2000 Mitgliedern, so einen Anbieter wählt, was sagt das über das Unternehmen/Verein?
Wären das nicht schon Gründe für z.B. ein Mitglied, die Inanspruchnahme von dem externer Datenschutzbeauftragter zu kritisieren?

Nein, den gibt es nicht, weil hier bewusst mit offenen Karten äh, Links „gespielt“ wird: leider finde ich nun die Stelle nicht mehr, wo das früher auch noch nachzulesen war …

Wie sieht es mit MagLit aus?

An encrypted and privacy respecting Link Shortener service that also supports Magnet Links.

Also erstmal komme ich persönlich mit diesen Gitxxx-Seiten nicht klar und würde es schon deswegen nicht beurteilen können.
Dann habe ich dort einen auffälligen Link zu https://maglit.me entdeckt und ausgecheckt: Da sagt der Malwarebytes Browser Guard:

Website blockiert aufgrund von riskware

Website Blocked: maglit.me

v2.6.13 | Riskware: 2.0.202311021917

Malwarebytes Browser Guard hat diese Seite blockiert, weil sie möglicherweise bösartige Aktivitäten enthält.

Also lasse ich das mal lieber. Aber grundsätzlich ist es doch eben die Aufgabe von URL-Shortenern, lange (und transparente) URLs in kurze intransparente Links zu verwandeln.

Das heißt, der geneigte Leser weiß eben nicht, wo er da hingelangt und das ist tückisch und hier nicht gewollt, was ich durchaus nachvollziehbar finde.

Es ist auch gar nicht notwendig, denn lange und transparente Links können ja durchaus indirekt sein und nehmen dann im Beitragstext nicht mehr Platz weg, als man eh’ benötigte.

Beispiel: Nichts zu verbergen?
Das ist transparent, weil man hovern kann, dann zeigt der eigene Rechner den Pfad zum PDF ohne daß man ihn gehen muss.

Shortlinks sind eben nicht transparent (so ihr Zweck) und auch der implizierte Zweck in Obbis Frage im Ursprungsposting zeigte genau das: Er wollte den kompletten Link wegen Privatsphäre kürzen. Eben: das ist intransparent.

Dann kann er ihn ja beschreiben, ohne ihn zu verlinken. Was ihm auch vorbildlich gelang. :grin:

Was der Verkürzungsdienst mit dem Original-URL macht (die Frage nach der Privatshärefreundlichkeit), ist ein weiteres Thema, aber bis dahin kommen wir gar nicht.
Außer, man machte dafür ein separates Thema auf, welche URL-Shortener allgemein wie zu beurteilen sind – unabhängig von der Verwendung in diesem Forum.

Warum arbeitest du dich da ab?

Die rechtlichen Bestimmungen gelten auch für einen DSB. Dein Beispiel führt zumindest zu einer starken Abschwächung des Dienstleisters; mehr aber auch nicht, erst einmal. Muss schon jede und jeder selbst schauen, ob sie so einen Dienstleister einen Job geben und man seine Verantwortung in diese Hände gibt.

Die müssen nicht erfüllt sein. Denn ob diese Techniken Anwendung finden, hängt doch stark davon ab, ob und welche personenbezogenen Daten auf der Website verarbeitet werden und welches IT-Sicherheitsniveau man benötigt. Angemessenheit und Risiko …

Und die Betreiber der Website direkt mal konfrontiert mit deiner Wahrnehmung?

Das sagt erst mal gar nichts aus und Spekulationen darüber sind auch nicht zielführend. Ich sehe darüber hinaus auch keinen pauschalen zwingenden Kausalzusammenhang zwischen der technischen Ausgestaltung des Webauftrittes eines Dienstleisters und der Qualität einer zu erbringenden Leistung.

Zu den im Webauftritt festgestellten Unstimmigkeiten ließe sich als davon direkt betroffener Person unmittelbar von Dir selbst eine Aufklärung einfordern. Alles, was das Vertragsverhältnis zwischen Dienstleister und „Unternehmen / Verein“ angeht, wäre, soweit belastbare begründete Zweifel an der konkret erbrachten Dienstleistung vorgebracht werden können, innerhalb dieser Ebene mit den entsprechenden Verantwortlichen zu klären.

@Obbi
Bitte entschuldige aber deine neuerlichen Einlassungen machen den Nebel in dem ich stehe nicht weniger durchdringbar. Ich hab noch immer keinen Plan von welchem Unternehmen bzw. von welcher Seite du genau sprichst. Vielleicht bin ich aber auch zu dämlich, um das „zwischen den Zeilen geschriebene“ zu verstehen.
Wird dann halt zukünftig blöd für mich wenn das jetzt hier Schule macht und Threads zum Intelligenztest mutieren :slightly_frowning_face:

Danke für die Rückmeldungen, …Indeedee, fbnixgut usw.

Ok, gosch, noch ein Versuch.
Zum Kontext der Fragen über den Auftritt des Dienstleisters als externer Datenschutzbeauftragter.

Stellt euch vor:
Ihr seit in einer beratenden Position einer Firma, oder Verein etc. und ihr seht Datenschutzprobleme… Datenschutz ist aber auch nur ein Hobby von euch, auch wenn ihr viel aufmerksamer als viele andere seit.

Es handelt sich um eine Organisation mit Anzahl Personen mittlerer/oberer vierstelliger Bereich. (Arbeitsgebiete auch Berufsgeheimnisträger, § 203 StGB. Zusätzlich Ehrenamtliche ohne Fachkenntnisse…)

Ihr seht, dass dort – wie oft der Fall – Leute arbeiten, die von Datenschutz nicht so viel Ahnung haben. Und für die das ein lästiges Thema ist, wo kein Kläger da kein Richter…

Ihr seit dabei zu evaluieren, was, an welcher Stelle, mit welcher Diskretion am besten kommuniziert und getan werden könnte/sollte, damit sich entsprechende Missstände ändern.

Ihr schaut euch mal um und seht beim Auftritt des externer Datenschutzbeauftragten, dass dessen Webauftritt ein Stirnrunzelnd erzeugt.

Ihr dachtet, dort sitzt jemand, der sein Handwerk versteht und nicht nur § schubst (ist die IP in Irland = ok, wenn IP in USA = nicht ok…). Und wenn der Datenschutzbeauftragten schon Google bei sich einbindet, das auch tadellos DSGVO Konform macht. Warum verzichtet der Datenschutzdienstleister nicht ganz auf US Drittanbieter und minimiert damit das Risiko?

Ihr fragt euch, ob der Datenschutzdienstleister eine Adresse für Berufsgeheimnisträger ist?

Oder kennt ihr jemand, der zu einem Zahnarzt geht, der keine guten Zähne hat?

Ihr fragt euch, ob das Beste ist, bevor man anfängt im eigenen Haus die Missstände zu kritisieren, der Wechsel des Datenschutzdienstleister ist?

So viel zu diesem Thema, Eindruck vom Webauftritt des externen Datenschutzbeauftragten.

Kennst Du das?

Der Schuster hat die schlechtesten Schuhe

Ich habe noch nie die Zähne meines Zahnarztes kontrolliert.

Als wenn der DSB in seiner Website Google-Fonts hat, dann ist dieser nicht auf der Höhe der Zeit.
Einfach mal den DSB von außerhalb anschreiben und fragen, wieso auf seiner Website noch in 2023 Google-Fonts eingesetzt werden und wie sich das verträgt mit DSGVO etc.; nach 30 Tagen meldest du das der Behörde.

Entscheidend ist aber für ein Unternehmen, was bei sich selbst passiert und nicht was ein externer DSB an Risiko bei sich eingeht. Der DSB prüft, berät und unterrichtet proaktiv bei Problemen. Tut er das? Ist die eigene Außendarstellung des Unternehmens bei Webserver und Mailservern ok und ggf. sogar noch darüber hinaus besser? Was hat der DSB intern auf Reihe gebracht, Trainings, Schulungen, Infos? Usw usf.