EuGH zu Drittanbieterdiensten 

Beitrag von

Anwalt Dirk Lindloff, Koblenz

Rechtsanwalt Dr. jur. Dirk Lindloff

Rufen Sie mich an: 0261 - 404 99 45
E-Mail:

Inhalte von Servern Dritter auf der eigenen Webseite - eine Abgrenzung der Verantwortlichkeiten*

von Rechtsanwalt Dr. Dirk Lindloff, Fachanwalt für IT-Recht, Stand 29.07.2019

Ausgangslage

Viele Webseitenbetreiber lassen nicht alle Inhalte der Webseite von dem eigenen Webserver laden. Vielmehr werden Drittanbieterdienste so eingebunden, dass der Browser des Webseitenbesuchers einige Inhalte direkt von Servern Dritter lädt.

Beispiele:

  • Schriftartendateien von Google Fonts oder Adobe Fonts
  • Landkarten mittels Google Maps, Bing Maps oder Apple Maps
  • Social-Media-Buttons wie Facebook-Gefällt-Mir-Button
  • Statistik-Tools wie Google Analytics
  • .... vieles mehr

Warum ist dies IMMER ein Datenschutzthema?

Damit der Webbrowser des Besuchers die Daten von dem Server des Dritten laden kann, muss er sich dort unter Nutzung der IP-Adresse des Internetanschlusses des Besuchers melden und die IP-Adresse wird auf dem Server des Dritten mindestens verarbeitet, um die gewünschten Daten auszuliefern. Die IP-Adresse ist eine personenbeziehbare Information und unterfällt daher den Datenschutzgesetzen, dh. der DSGVO (Datenschutzgrundverordnung). Der Browser des Besuchers sendet außerdem noch weitere Daten. Zudem verwenden viele Drittanbieter Cookies, um Besucher über mehrere Webseiten wiederzuerkennen.

Welcher Dienst war Gegenstand des Urteils?

Der EuGH hat nunmehr am 29.07.2019 zum Facebook Gefällt-Mir-Button entschieden, auch wenn die Bedeutung von Facebook immer mehr zurückgeht und insofern das Urteil nicht mehr ganz rechtzeitig kommt. Es lassen sich dem Urteil aber viele Anhaltspunkte für andere Drittanbieterdienste entnehmen.

Verantwortlichkeit - für was ist das wichtig?

Um das EuGH-Urteil zu verstehen, muss man wissen, für was das Thema "Verantwortlichkeit" im Datenschutz wichtig ist.

Der Verantwortliche ist nicht nur Herr der Datenverarbeitung und er kann bei Rechtsverstößen in Anspruch genommen werden, sondern ihn treffen insbesondere die folgenden Pflichten:

  • Beurteilung der Rechtmäßigkeit des Datenverarbeitungsvorgangs, ggfs. Einholung von Einwilligungen
  • Belehrungspflichten der Betroffenen

EuGH Urteil zur Verantwortlichkeit

Der EuGH hat in seinem Urteil zur Sache C-40/17 eine differenzierte Betrachtung entwickelt:

Der Webseitenbetreiber ist immer für die Datenübertragung an den Drittanbieter mitverantwortlich. Er ist außerdem für alles mitverantwortlich, was beim Drittanbieter anschließend passiert, wenn er dies beeinflussen kann.

Mitverantwortlich heißt dabei, dass sowohl der Drittanbieter als auch der Webseiteanbieter eine gemeinsame Verantwortung haben. Hieraus folgt, dass diese Beiden einen Vertrag zur gemeinsamen Verantwortung nach Art. 26 DSGVO abschließen müssen. Die wesentlichen Inhalte dieses Vertrages müssen dann auch den Betroffenen mitgeteilt werden, gehören also in die Datenschutzerklärung der Webseite, die den Drittanbieterdienst einbindet.

Auswirkungen für die Praxis

Der Webseitenbetreiber muss zumindest immer die Rechtsmäßigkeit der Datenübermittlung an den Drittanbieter prüfen, sicherstellen und hierüber belehren.

Er beginnt somit bei Art. 6 Abs. 1 DSGVO und ermittelt eine Rechtsgrundlage. Vorsicht vor: Art. 6 Abs. 1 S. 1 lit. f DSGVO - dem überwiegenden berechtigten Interesse des Webseitenanbieters. In der Regel wird dies keine taugliche Rechtsgrundlage sein, wie die Datenschutzkonferenz im März 2019 herausgearbeitet hat.  Häufig bleibt nur die Einholung einer Einwilligung vor der ersten Übertragung von Daten an den Drittanbieter. Bei der Einwilligung wird häufig nicht beachtet, wie detailliert die Datenverarbeitung beschrieben werden muss und das diese nicht einfach durch einen Passus in der Datenschutzerklärung erledigt werden kann. Die typischen Cookie-Banner sind in ihrer aktuell anzutreffenden Form jedenfalls nicht zur Einholung einer Einwilligung geeignet. Technisch wird auch kaum die zeitliche Reihenfolge - erst Einwilligun einholen, dann Drittanbieterdienst ausführen - beachtet.

Bei der Rechtsgrundlage muss man dann auch noch prüfen, wo die Daten überhaupt technisch verarbeitet werden. Die Welt als Cloud ist nicht die Sichtweise der Datenschutzgrundverordnung. Erfolgt eine Datenübermittlung oder -verarbeitung außerhalb der EU ist dies nur unter strengen Voraussetzungen möglich.

Über die Datenverarbeitung zumindest bei der Übermittlung muss der Webseitenbetreiber auch in seiner Datenschutzerklärung belehren und hierbei eine ganze Menge Einzelangaben bereit halten. Immerhin muss er nach dem Urteil des EuGH nicht mehr darüber belehren, wie der Drittanbieter dann (nur noch in eigenem Interesse) weiter mit den Daten umgeht - es sei denn, der Webseitebetreiber hat auch hierauf Einfluss.

Zunehmend müssen Vereinbarungen nach Art. 26 DSGVO abgeschlossen werden, denn die gemeinsame Verantwortung ist etwas, was die großen Internetanbieter auch rund ein Jahr nach dem Urteil des EuGH zu Facebook Fanpages noch scheuen.

Abschlussbewertung

Es ist etwas einfacher geworden, Drittanbieterdienste auf die eigenen Webseite zu integrieren, aber ein Freibrief ist durch das Urteil des EuGH nicht erteilt worden.

 

* Die Ausführungen stellen eine erste Information dar, die zum Zeitpunkt der Erstveröffentlichung aktuell war. Die Rechtslage kann sich seitdem geändert haben. Zudem können die Ausführungen eine individuelle Beratung zu einem konkreten Sachverhalt nicht ersetzen. Bitte nehmen Sie dazu Kontakt mit uns auf.

 
  zum Seitenanfang  -  vorherige Seite  -  Startseite  -  Impressum  -  Datenschutz  -  Kontakt  -  Feedback zu unserer Arbeit