X
Digital
Datenschutz Digital Monitor News

Informationspflichten von Webseitenbetreibern bei Social-Media-Implementierungen

(Bild: © iStock/pressureUA) (Bild: © iStock/pressureUA)

Mit seinem Urteil in der Rechtssache „FashionID“ (C-40/17 vom 29.7.2019) konkretisiert der Europäische Gerichtshof (EuGH) seine bisherige Rechtsprechung zur gemeinsamen Verantwortlichkeit von Webseitenbetreiber und Social-Media-Anbieter. Auch wenn der EuGH die Verantwortlichkeit auf tatsächlich zurechenbare und kontrollierbare Vorgänge einschränkt, begründet dies im Ergebnis dennoch auch Handlungspflichten des Webseitenbetreibers.

Beschränkte gemeinsame Verantwortlichkeit

Implementieren Webseiten Inhalte von Social-Media-Diensten wie facebook, Twitter oder YouTube, so werden üblicherweise personenbezogene Daten der Webseitenbesucher von der Webseite an diese Dienste übermittelt.

Im Falle des facebook-„Like-Buttons“, der der EuGH-Entscheidung zugrunde lag, werden IP-Adresse, Browserinformationen und Informationen zum betroffenen Inhalt an facebook Irland übermittelt, und zwar unabhängig davon, ob der Webseitenbesucher Mitglied bei facebook ist und/oder den Button überhaupt anklickt.

Ähnlich verhält es sich mit anderen in Webseiten eingebetteten Inhalten wie YouTube-Videos oder Twitter-Posts. Da der Webseitenbetreiber damit dem Dienst erst ermöglicht, die Daten des Besuchers zu verarbeiten, führe dies laut EuGH zu einer gemeinsamen Verantwortlichkeit des Webseitenbetreibers und des Dienstes.

Der EuGH beschränkt die gemeinsame Verantwortlichkeit des Webseitenbetreibers allerdings auf jene Verarbeitungsvorgänge, bezüglich derer er tatsächlich über Zwecke und Mittel entscheidet, also in aller Regel nur für die Erhebung und Weitergabe der personenbezogenen Daten.

Nicht seiner Verantwortlichkeit unterliegen daher vor- oder nachgelagerte Vorgänge, insbesondere die Datenverarbeitung beim Dienst selbst. Gleichzeitig lässt sich aus der Entscheidung des EuGH ableiten, dass die Verantwortlichkeit des Webseitenbetreibers und des Dienstes daher durchaus verschieden ausfallen kann; insbesondere können sich aus dem unterschiedlichen Grad der Verantwortlichkeit auch unterschiedliche Zuständigkeiten und ein unterschiedlicher Haftungsgrad ergeben.

Pflichten des Webseitenbetreibers

Die Zuständigkeit des Webseitenbetreibers erstreckt sich somit primär auf die Informationspflichten nach Art 13 und 14 DSGVO, die zum Zeitpunkt der Erhebung der Daten erfüllt werden müssen, sowie auf die Einholung einer allenfalls notwendigen Einwilligung des Webseitenbesuchers.

Letztere ist etwa bei der Verwendung von Cookies erforderlich (§ 96 Abs 3 TKG 2003). Hinsichtlich anderer Daten kämen auch berechtigte Interessen (Art 6 Abs 1 lit f) DSGVO) zur Rechtfertigung der Datenverarbeitung in Betracht, die dann aber sowohl auf Seiten des Webseitenbetreibers als auch des Dienstes bestehen müssen.

Bezüglich eines eingebetteten Social-Media-Inhaltes können sich die Informationspflichten des Webseitenbetreibers nur auf die Erhebung und Übermittlung der Daten erstrecken, zumal er nur dahingehend über die Zwecke und Mittel entscheidet.

Der Webseitenbetreiber hat den Besucher daher zumindest darüber zu informieren, unter welchen Umständen (also bspw. stets oder nur dann, wenn der Besucher bei diesem Dienst eingeloggt ist, bzw. bereits bei Aufruf der (Sub-)Seite, auf der der Inhalt eingebettet ist, oder nur bei Anklicken des Inhalts) welche Daten an welchen Social-Media-Dienst zu welchem Zweck übermittelt werden und allenfalls welche geeigneten Garantien bei einer Übermittlung in ein Drittland vorliegen.

Ergänzend sollte – zusammen mit dem Hinweis, dass die weitere Datenverarbeitung durch den Dienst nicht bekannt und beeinflussbar ist – auf die Datenschutzerklärung des jeweiligen Social-Media-Dienstes verwiesen/verlinkt werden.

Im Sinne der Grundsätze der DSGVO sollten überdies möglichst datenschutzfreundliche Grundeinstellungen getroffen und Daten möglichst nur dann übermittelt werden, wenn der betreffende Inhalt vom Besucher auch tatsächlich aufgerufen und dadurch „aktiviert“ wird oder wenn eine Einwilligung zur generellen Aktivierung von Social-Media-Inhalten und damit zur diesbezüglichen Datenerhebung und -übermittlung eingeholt wurde.