AMP und der Datenschutz - Accelerated Mobile Pages - DSGVO

AMP und der Datenschutz - AMP steht für Accelerated Mobile Pages und ist ein von Google unterstütztes Projekt, welches das Ziel verfolgt das Laden von Webseiten auf mobilen Geräten zu beschleunigen.

Erreicht wird das beschleunigte Laden dadurch, dass bestimmte Ressourcen der AMP-Webseite nicht auf dem ursprünglichen Server sondern auf „Google-Servern“ liegen. Einige Ressourcen werden auf dem Gerät des Users zwischengespeichert (im Browser-Cache abgelegt) und müssen nur sporadisch (nach Ablauf der Cachedauer) erneut aus dem Web geladen werden.

AMP und der Datenschutz – Einbindung des Frameworks mittels JavaScript

Um AMP auf der eigenen Webseite nutzen zu können, werden die externen Ressourcen – das AMP-Framework – mittels JavaScript Einbindung in das HTML-Dokument geladen. Bei bestehenden Webseiten müssen einige Anpassungen vorgenommen werden um AMP-konform genutzt werden zu können. Zum Beispiel werden Bilder nicht mehr per Image-Tag sondern als „amp-img“ geladen und interne JavaScripts sind gänzlich verboten.

AMP und der Datenschutz – JavaScript Einbindung sendet Daten an Google

Die Idee – das Ziel – des AMP-Projektes ist unumwunden als GUT zu bewerten, da durch das Ressourcenmanagement kürzere Ladezeiten – speziell bei geringer Bandbreite – erreicht werden und der Webseitenbesucher so schneller zu seinen gesuchten Informationen kommt.

AMP und der Datenschutz – so lautet der Titel dieses Beitrages, denn durch das Einbinden des externen JavaScripts werden personenbezogene Daten – die IP-Adresse des privaten Webseitennutzers sowie eventuelle Formulardaten – an Google in den USA übermittelt. Die Europäische Datenschutzgrundverordnung – DSGVO – schreibt im Fall der Übermittlung personenbezogener Daten an einen Auftragsverarbeiter vor, dass ein AVV (ein Vertrag zur Auftragsverarbeitung) geschlossen werden muss.

Darüber hinaus darf die Verarbeitung personenbezogener Daten ohne Rechtsgrundlage nur mit der ausdrücklichen Einwilligung des Betroffenen erfolgen. Im Fall einer AMP-Verarbeitung müsste also beim Laden der Webseite (vor der Datenübermittlung) eine Zustimmung eingeholt werden.

Auch andere Ressourcen im Web sind betroffen

Das zuvor beschriebene Problem gilt nicht nur für AMP-Pages sondern auch für andere Ressourcen, die aus dem Web geladen – auf der eigenen Webseite eigebunden werden. Neben Google-Fonts, Google-Maps, YouTube-Videos und Facebook-PlugIns muss man im Grunde bei allen externen JavaScript-Ressourcen eine datenschutzkonforme Lösung finden.

Generell gilt es in einem solchen Fall:

  • eventuell Auftragsverarbeitungsvertrag abschließen
  • Hinweis auf den externen Service muss in der Datenschutzerklärung stehen
  • Einwilligung zur Nutzung externer Services mit Link zur Datenschutzerklärung anzeigen
  • OptOut-Lösungen schaffen
  • im Fall von TrackingTools muss gemäß DSGVO ein OptIn erfolgen

Fazit zur datenschutzkonformen Nutzung von AMP-Pages

Wenn man aktuell eine AMP-Page zum einen valide und zugleich datenschutzkonform nutzen möchte, so gestaltet sich das recht schwierig – ist im Grunde nicht möglich. Da vor der Datenübermittlung – vor dem Laden des AMP-Frameworks – die Zustimmung eingeholt werden muss und dies nur auf der JavaScript-Ebene erfolgen könnte, eigene JavaScript-Routinen vom AMP-Validator moniert werden, hat man aktuell ein unlösbares Problem.

Google – das AMP-Project – ist am Zug

Um eine datenschutzkonforme Lösung zu schaffen bedarf es der Umsetzung durch die Entwickler des AMP-Projektes. Eine rechtskonforme Lösung wäre durch die Lockerung der Restriktionen zur Einbindung eigener JavaScripte möglich - eine Cookie-basierte OptIn-Lösung müsste umgesetzt werden. Unabhängig der technischen Realisierung bleibt das AVV-Problem – hier sollte Google einen entsprechenden Vertrag im Rahmen des AMP-Projektes zur Verfügung stellen.