Mit seinem Urteil in der Rechtssache "FashionID" (C-40/17 vom 29.7.2019) konkretisiert der Europäische Gerichtshof (EuGH) seine bisherige Rechtsprechung zur gemeinsamen Verantwortlichkeit von Webseitenbetreibern und Social-Media-Anbietern. Auch wenn der EuGH die Verantwortlichkeit auf tatsächlich zurechenbare und kontrollierbare Vorgänge einschränkt, begründet dies im Ergebnis auch Handlungspflichten des Webseitenbetreibers.

Implementieren Webseiten Inhalte von Social-Media-Diensten wie Facebook, Twitter oder YouTube, so werden üblicherweise personenbezogene Daten der Webseitenbesucher von der Webseite an diese Dienste übermittelt. Im Falle des "Like-Buttons" von Facebook, der der EuGH-Entscheidung zugrunde lag, werden IP-Adresse, Browserinformationen und Informationen zum betroffenen Inhalt an Facebook Irland übermittelt, und zwar unabhängig davon, ob der Webseitenbesucher Mitglied bei Facebook ist und/oder den Button überhaupt anklickt.

Erhebung und Weitergabe personenbezogener Daten

Christian Kern ist Rechtsanwalt und Partner bei Preslmayr Rechtsanwälte und unter anderem auf Datenschutzrecht, Zivilrecht und Vertragsrecht spezialisiert. privat
Christian Kern ist Rechtsanwalt und Partner bei Preslmayr Rechtsanwälte und unter anderem auf Datenschutzrecht, Zivilrecht und Vertragsrecht spezialisiert. privat

Ähnlich verhält es sich mit anderen in Webseiten eingebetteten Inhalten wie YouTube-Videos oder Twitter-Posts. Da der Webseitenbetreiber damit dem Dienst erst ermöglicht, die Daten des Besuchers zu verarbeiten, führe dies laut EuGH zu einer gemeinsamen Verantwortlichkeit des Webseitenbetreibers und des Dienstes.

Der EuGH beschränkt die gemeinsame Verantwortlichkeit des Webseitenbetreibers allerdings auf jene Verarbeitungsvorgänge, bezüglich derer er tatsächlich über Zwecke und Mittel entscheidet, also in aller Regel nur für die Erhebung und Weitergabe der personenbezogenen Daten. Nicht seiner Verantwortlichkeit unterliegen daher vor- oder nachgelagerte Vorgänge, insbesondere die Datenverarbeitung beim Dienst selbst.

Unterschiedlicher Haftungsgrad möglich

Gleichzeitig lässt sich aus der Entscheidung des EuGH ableiten, dass die Verantwortlichkeit des Webseitenbetreibers und des Dienstes daher durchaus verschieden ausfallen kann; vor allem können sich aus dem unterschiedlichen Grad der Verantwortlichkeit auch unterschiedliche Zuständigkeiten und ein unterschiedlicher Haftungsgrad ergeben.

Die Zuständigkeit des Webseitenbetreibers erstreckt sich somit primär auf die Informationspflichten nach Art 13 und 14 DSGVO, die zum Zeitpunkt der Erhebung der Daten erfüllt werden müssen, sowie auf die Einholung einer allenfalls notwendigen Einwilligung des Webseitenbesuchers. Letztere ist etwa bei der Verwendung von Cookies erforderlich (§ 96 Abs 3 TKG 2003). Hinsichtlich anderer Daten kämen auch berechtigte Interessen (Art 6 Abs 1 lit f) DSGVO) zur Rechtfertigung der Datenverarbeitung in Betracht, die dann aber sowohl auf Seiten des Webseitenbetreibers als auch des Dienstes bestehen müssen.

Bezüglich eines eingebetteten Social-Media-Inhaltes können sich die Informationspflichten des Webseitenbetreibers nur auf die Erhebung und Übermittlung der Daten erstrecken, zumal er nur dahingehend über die Zwecke und Mittel entscheidet. Der Webseitenbetreiber hat den Besucher daher zumindest darüber zu informieren, unter welchen Umständen (also beispielsweise stets oder nur dann, wenn der Besucher bei diesem Dienst eingeloggt ist) welche Daten an welchen Social-Media-Dienst zu welchem Zweck übermittelt werden - und allenfalls auch darüber, welche geeigneten Garantien bei einer Übermittlung in ein Drittland vorliegen.

Ergänzend sollte - zusammen mit dem Hinweis, dass die weitere Datenverarbeitung durch den Dienst nicht bekannt und beeinflussbar ist - auf die Datenschutzerklärung des jeweiligen Social-Media-Dienstes verlinkt werden. Im Sinne der Grundsätze der EU-Datenschutzgrundverordnung (DSGVO) sollten überdies möglichst datenschutzfreundliche Grundeinstellungen getroffen und Daten nur dann übermittelt werden, wenn der betreffende Inhalt vom Besucher auch tatsächlich aufgerufen und dadurch "aktiviert" wird. Oder, wenn eine Einwilligung zur generellen Aktivierung von Social-Media-Inhalten und damit zur diesbezüglichen Datenerhebung und -übermittlung eingeholt wurde.