Fanpages, PlugIns und iframes – Gemeinsame Verantwortlichkeit für alle Drittinhalte?

Fachbeitrag

Sharing is caring, heißt es so schön. Doch das Einbinden fremder Inhalte ist datenschutzrechtlich problematisch. Dies betrifft nicht nur Social PlugIns, sondern jede Form von Embedded Content. Warum, erfahren Sie in diesem Beitrag.

iframes & Co: Wo ist das Problem?

Das Einbinden fremder Inhalte ist im Netz beliebt: Ohne eigenen Programmieraufwand können Webseiten schnell und einfach um Funktionalität und Inhalte erweitert werden. Werbebanner, Widgets, Videos, sogar Shops werden als iframe in Webseiten eingebunden.

Vor- und Nachteile von iframes hatten wir vor einiger Zeit bereits in diesem Blog betrachtet. Die grundsätzliche Frage ist gleichgeblieben: Aus datenschutzrechtlicher Sicht ist entscheidend, ob mittels des eingebundenen fremden Inhalts der Dritte in die Lage versetzt wird, personenbezogene Informationen zu sammeln.

Werden die fremden Inhalte bei Aufruf der Webseite geladen, wird jedenfalls die IP-Adresse des Webseitenbesuchers an einen Dritten weitergegeben. Dies ist technisch unvermeidbar: Die Inhaltsdaten werden direkt vom Server des Drittanbieters geladen. Darüber hinaus werden gegebenenfalls weitere Daten wie der User Agent String weitergegeben und ausgewertet sowie Cookies des Dritten auf dem Endgerät des Webseitenbesuchers gespeichert und ausgelesen.

Das Problem des – durch den Nutzer oft unbemerkten – Datensammelns bei der Nutzung fremder Inhalte bleibt also bestehen. Zusätzlich werfen die beiden EuGH-Urteile vom 05.06.2018 – C-210/16 (zu Facebook Fanpages) und 29. Juli 2019 -C‑40/17 (zu Social PlugIns) lange Schatten in Sachen gemeinsame Verantwortung voraus.

Der EuGH und Drittinhalte

Auch über das Verfahren „Fashion-ID“ C-40/17 hatten wir zusammenfassend bereits berichtet. Vorlagefrage Nr. 2 in dem Verfahren lautete:

„Ist in einem Fall wie dem vorliegenden, bei dem jemand einen Programmcode in seine Webseite einbindet, der den Browser des Benutzers veranlasst, Inhalte von einem Dritten anzufordern und hierzu personenbezogene Daten an den Dritten zu übermitteln, der Einbindende „für die Verarbeitung Verantwortlicher“ im Sinne von Art. 2 Buchst. d der Richtlinie 95/46, wenn er selber diesen Datenverarbeitungsvorgang nicht beeinflussen kann?“

Der EuGH erklärte darauf, dass der Begriff der Verantwortlichkeit weit auszulegen sei und sowohl der Einbindende als auch der Drittanbieter bei der Einbindung von Drittinhalten verantwortlich sein können. Es besteht dann eine gemeinsame Verantwortlichkeit im Sinne von Artikel 26 DSGVO, die insoweit beschränkt ist, als der jeweilige Verantwortliche tatsächlich über die Zwecke und Mittel der Datenverarbeitung entscheidet.

Der EuGH antwortete zwar bezogen auf den konkreten Vorlagefall, also hinsichtlich der Einbindung des Facebook-Like-Buttons, die Ausführungen sind aber grundsätzlich auf jede Art von Einbindung von Drittinhalten (PlugIns, iframes, Pixel etc.) anwendbar. Es sind daher alle in die eigene Webseite eingebundenen Drittinhalte darauf zu überprüfen

  • ob und falls ja, welche personenbezogenen Daten übertragen werden.
  • wer in welchem Maß über die Zwecke und Mittel der Datenverarbeitung entscheidet.

IP-Adressen, Cookie-IDs und andere Online-Kennungen gelten jedenfalls dann als personenbezogenes Datum, wenn der Dritte, an die die Kennung übermittelt wird – z.B. Facebook, Twitter, Adobe, Google, etc. – faktisch die Möglichkeit hat, über Zusatzinformationen einen Personenbezug herzustellen. Dies trifft jedenfalls auf alle Plattformform mit eigenen Nutzerkonten zu.

iframes: Wie weit reicht der Einfluss des Einbindenden

Zur Verdeutlichung ein Beispiel:
Entscheidet sich der Webseitenbetreiber dafür das Shop-System eines bestimmten Anbieters zu nutzen und mittels iframe in seine Website einzubinden, fördert er sowohl eigene als auch werbliche Interessen des Shop-Anbieters. Diese sind zwar nicht deckungsgleich, gleichwohl ergänzen sie sich. Der Webseiteninhaber, der den Drittinhalt einbindet, entscheidet (in gewissem Rahmen) auch über das Mittel: Er setzt zumindest den Anlass dafür, dass Daten an einen Dritten, den Shop-Anbieter, übertragen werden. Darüber hinaus ist die gemeinsame Verantwortung fraglich: Oft wird es bei der reinen Ermöglichung der Verarbeitung durch den einbindenden Webseiteninhaber bleiben. Je nach Ausgestaltung im Einzelfall kann es sich um eine gemeinsame Verantwortung oder ggf. auch um eine Auftragsverarbeitung handeln, wenn der Einbindende allein über die Zwecke und Mittel der Datenverarbeitung entscheidet. In beiden Fällen besteht eine Informationspflicht des Webseitenbetreibers der den Drittinhalt einbindet: Die Betroffenen sind im Zeitpunkt der Datenerhebung zu informieren, dies kann nur der einbindende Webseitenbetreiber erfüllen.

Wichtig zu merken: Die gemeinsame Verantwortung endet, wo der Einbindende keinerlei Einfluss mehr auf die Datenverarbeitung hat. Diese Beschränkung wirkt sich auch auf den Umfang von Einwilligungen und Informationspflichten aus. Der Webseitenbetreiber muss also nicht über eine Datenverarbeitung informieren, deren Mittel und Zwecke er in keiner Weise bestimmt.

Bedeutung für die Praxis

Praktisch bedeutet dies:

  1. Anpassung der Datenschutzerklärung durch den Webseitenbetreiber, um die Nutzer über die die Einbindung des Drittinhaltes und die zu verantwortende Datenverarbeitung zu informieren
  2. Sofern eine Einwilligung des Nutzers für die Datenerhebung/-übertragung erforderlich ist: Blockieren des Nachladens von Drittinhalten bis zu Einwilligung des Nutzers (mittels Consent-Management oder Zwei-Klick-Lösungen)
  3. Vertrag über die gemeinsame Verantwortung nach Artikel 26 DSGVO

Der letzte Punkt wird letztlich – wie auch bei Facebook Fanpages – von den Anbietern der Drittinhalte erfüllt werden (müssen), dennoch sollten Webseitenbetreiber, die die Drittinhalte nutzen wollen, aktiv beim Drittinhalteanbieter nachhaken und nach einer solchen Vereinbarung fragen.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Marketing und Datenschutz

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.