Nach EuGH-Urteil Website auf Drittinhalte überprüfen
Wer eine Website betreibt, sollte überprüfen, ob seine Website Inhalte von fremden Servern lädt. Das empfiehlt Matthias Bergt, Partner bei von BOETTICHER Rechtsanwälte und renommierter Datenschutzrechtler. Der Europäische Gerichtshof hatte am Dienstag, 5. Juni 2018 entschieden, dass Betreiber von Facebook-Fanpages für die Datenverarbeitungen durch Facebook mitverantwortlich sind. „Die Begründung des Gerichts passt aber auch eins zu eins auf fast jeden anderen Dritt-Inhalt – von eingebetteten Videos über Web-Schriftarten bis JavaScript-Frameworks“, warnt Bergt. Für den Facebook-Like- Button hatte schon der Generalanwalt beim EuGH betont, dass kein Unterschied zur Fanpage besteht. Der EuGH ist dieser Ansicht jetzt gefolgt, auch wenn er das nicht ausdrücklich sagt. „Wer eine Website hat, sollte jetzt handeln, bevor Massenabmahner das Thema entdecken“, empfiehlt Datenschutzrechtler Bergt mit Blick auf die Datenschutz-Grundverordnung DSGVO, die neue Klagerechte vorsieht.
Wer eine Facebook-Fanpage betreibt, ist für die Datenverarbeitungen von Facebook mitverantwortlich – und kann beispielsweise auf Schmerzensgeld für Datenschutzverletzungen verklagt werden. Das hat der EuGH am 5. Juni 2018 entschieden (Rs. C-210/16). „Wenn Facebook nicht entscheidend ändert, wie es die personenbezogenen Daten seiner Nutzer verarbeitet, sollte man um Facebook-Fanpages einen großen Bogen machen“, warnt Anwalt Bergt. Auch müssten Facebook und der Fanpage-Betreiber nach der DSGVO einen Vertrag abschließen, wer welche Datenschutz-Pflichten erfüllt: „Wer das nicht tut, riskiert nach der Datenschutz-Grundverordnung eine Geldbuße von zehn Millionen Euro oder bei großen Unternehmen noch mehr.“
Doch das Urteil betrifft nicht nur Facebook-Fanpages: Der EuGH bestätigt indirekt die Rechtsansicht des Generalanwalts, wonach auch die Nutzer des Facebook-Like-Buttons für die Datenverarbeitungen von Facebook mitverantwortlich sind. „Nach dem Wortlaut des EuGH-Urteils gilt das auch für fast jeden anderen Inhalt, der von einem fremden Server geladen wird“, sagt Bergt. Und das sei sehr häufig der Fall: „Viele Webseiten-Verwaltungs- Programme wie Wordpress laden Schriften von Google Fonts, Videos von YouTube und Skripte von anderen Servern. Der Betreiber dieses anderen Servers erhält damit personenbezogene Daten der Besucher der Website, kann diese verfolgen und vieles mehr.“
„Der EuGH hat betont, dass die Verantwortung des Seitenbetreibers noch höher sei, wenn das bloße Aufrufen der Fanpage durch Besucher automatisch die Verarbeitung ihrer personenbezogenen Daten auslöst“, sagt Bergt. „Wenn wir in dem Satz das Wort Fanpage durch Website ersetzen, haben wir den Standard-Fall im heutigen WWW, wenn sich der Website-Betreiber über das Thema Datenschutz keine Gedanken gemacht hat.“ Das müsse aber nicht sein, denn fast alle Schriften und Skripte könnten als Open-Source-Software einfach auf dem eigenen Server abgelegt werden. Für Videos und anderes gebe es Zwei-Klick-Lösungen, bei denen die Datenübertragung an den Dritt-Anbieter nur mit Zustimmung des Besuchers erfolge.
„Die Datenschutz-Grundverordnung gibt den Betroffenen weit mehr Rechte als das bisherige Recht“, erläutert Rechtsanwalt Bergt, der unter anderem die DSGVO-Regeln zu Schadensersatz und Geldbußen kommentiert. „So können sie Schmerzensgeld für Datenschutzverletzungen verlangen, der auch noch eine abschreckende Höhe haben muss – das ist viel lukrativer als bisher, wo man nur auf Unterlassung klagen konnte.“ Auch wenn die befürchteten Massenabmahnungen bisher wohl ausgeblieben sind, solle sich niemand sicher fühlen: „Wer aktuell Datenschutzverstöße begeht, kann immerhin noch sagen, er habe das Gesetz nicht gekannt, von der mehr als zweijährigen Übergangsfrist nichts gewusst und nicht schnell genug reagieren können. In zwei Monaten wird es aber schwierig, einen Richter zu finden, den das beeindruckt“, meint Bergt. „Es gilt daher, schnell zumindest die offensichtlichen Probleme zu beseitigen. Dazu gehören Dritt-Inhalte auf der Website und die Datenschutzerklärung. Das Ergebnis muss nicht immer sein, dass der Dritt-Inhalt entfernt werden muss – aber die Einbindung muss rechtlich korrekt erfolgen.“
Wer eine Facebook-Fanpage betreibt, ist für die Datenverarbeitungen von Facebook mitverantwortlich – und kann beispielsweise auf Schmerzensgeld für Datenschutzverletzungen verklagt werden. Das hat der EuGH am 5. Juni 2018 entschieden (Rs. C-210/16). „Wenn Facebook nicht entscheidend ändert, wie es die personenbezogenen Daten seiner Nutzer verarbeitet, sollte man um Facebook-Fanpages einen großen Bogen machen“, warnt Anwalt Bergt. Auch müssten Facebook und der Fanpage-Betreiber nach der DSGVO einen Vertrag abschließen, wer welche Datenschutz-Pflichten erfüllt: „Wer das nicht tut, riskiert nach der Datenschutz-Grundverordnung eine Geldbuße von zehn Millionen Euro oder bei großen Unternehmen noch mehr.“
Doch das Urteil betrifft nicht nur Facebook-Fanpages: Der EuGH bestätigt indirekt die Rechtsansicht des Generalanwalts, wonach auch die Nutzer des Facebook-Like-Buttons für die Datenverarbeitungen von Facebook mitverantwortlich sind. „Nach dem Wortlaut des EuGH-Urteils gilt das auch für fast jeden anderen Inhalt, der von einem fremden Server geladen wird“, sagt Bergt. Und das sei sehr häufig der Fall: „Viele Webseiten-Verwaltungs- Programme wie Wordpress laden Schriften von Google Fonts, Videos von YouTube und Skripte von anderen Servern. Der Betreiber dieses anderen Servers erhält damit personenbezogene Daten der Besucher der Website, kann diese verfolgen und vieles mehr.“
„Der EuGH hat betont, dass die Verantwortung des Seitenbetreibers noch höher sei, wenn das bloße Aufrufen der Fanpage durch Besucher automatisch die Verarbeitung ihrer personenbezogenen Daten auslöst“, sagt Bergt. „Wenn wir in dem Satz das Wort Fanpage durch Website ersetzen, haben wir den Standard-Fall im heutigen WWW, wenn sich der Website-Betreiber über das Thema Datenschutz keine Gedanken gemacht hat.“ Das müsse aber nicht sein, denn fast alle Schriften und Skripte könnten als Open-Source-Software einfach auf dem eigenen Server abgelegt werden. Für Videos und anderes gebe es Zwei-Klick-Lösungen, bei denen die Datenübertragung an den Dritt-Anbieter nur mit Zustimmung des Besuchers erfolge.
„Die Datenschutz-Grundverordnung gibt den Betroffenen weit mehr Rechte als das bisherige Recht“, erläutert Rechtsanwalt Bergt, der unter anderem die DSGVO-Regeln zu Schadensersatz und Geldbußen kommentiert. „So können sie Schmerzensgeld für Datenschutzverletzungen verlangen, der auch noch eine abschreckende Höhe haben muss – das ist viel lukrativer als bisher, wo man nur auf Unterlassung klagen konnte.“ Auch wenn die befürchteten Massenabmahnungen bisher wohl ausgeblieben sind, solle sich niemand sicher fühlen: „Wer aktuell Datenschutzverstöße begeht, kann immerhin noch sagen, er habe das Gesetz nicht gekannt, von der mehr als zweijährigen Übergangsfrist nichts gewusst und nicht schnell genug reagieren können. In zwei Monaten wird es aber schwierig, einen Richter zu finden, den das beeindruckt“, meint Bergt. „Es gilt daher, schnell zumindest die offensichtlichen Probleme zu beseitigen. Dazu gehören Dritt-Inhalte auf der Website und die Datenschutzerklärung. Das Ergebnis muss nicht immer sein, dass der Dritt-Inhalt entfernt werden muss – aber die Einbindung muss rechtlich korrekt erfolgen.“