Ist die Fokussierung der US-Übermittlung zielführend?
Gedanken zur Problematik von eingebetteten Inhalten Dritter im Code einer Website. Ein Kommentar, eine Standortbestimmung.
Im Winter 2021/22 gab es einige Gerichtsurteile gegen europäische Website-Betreiber. Ihnen wird vorgeworfen, sie hätten personenbezogene Daten ihrer Nutzer in die USA übermittelt, was in den konkreten Fällen unzulässig war. Es stehen Unterlassungsverfügungen und Schmerzensgeldzahlungen im Raum.
Was genau war passiert? In einem Fall ging es um einen Cookiebanner, in einem weiteren um in eine Website eingebettete Schriftzeichen, die jeweils online bzw. zur Laufzeit vom Sponser dieser Fonts abgerufen wurden (ein großer Suchmaschinenbetreiber). In beiden Fällen hat die Verwendung der Elemente auf den Websites zu einer Übermittlung von personenbezogenen Daten in die USA geführt.
Seit dem EuGH Urteil zum Privacy Shield (den meisten inzwischen besser bekannt als Schrems II) war eine Übermittlung von Daten in die USA damals generell problematisch (nunmehr seit 2023-07-10 durch Angemesseheitsbeschluss der EU-Kommission wieder unkomplizierter möglich). In beiden Fällen wurde die Unzulässigkeit anhand der Daten-Übermittlung in die USA argumentiert. Das erscheint plausibel. Dennoch stellt sich die Frage, ob das der richtige Fokus war. Wir denken nein; denn das eigentliche Problem liegt woanders – und existiert auch mit dem Angemessenheitsbeschluss fort!
Das eigentliche Problem liegt woanders!
Tatsächlich liegt bzw. lag das Problem nicht im Detail hinter der US-Übermittlung, sondern buchstäglich davor. Denn, bevor eine Übermittlung in die USA zu betrachten ist, wäre überhaupt die Übermittlung der Daten an einen Dritten zu betrachten. Wir vertreten die Auffassung, dass dies in den strittigen bzw. verhandelten Fällen bereits unzulässig war – und zwar völlig unabhängig davon, ob anschließend eine Übermittlung in die USA erfolgte oder nicht.
Was passiert jeweils auf den fraglichen Websites? Der Nutzer ruft die Site auf. Dass der Betreiber der Website die IP-Adresse des Nutzers erfahren, ist zwangsläufig gegeben und überrascht den geneigten Internet-Nutzer nicht. Wir klammern bei der weiteren Betrachtung mal Anonymisierungsdienste aus der Betrachtung aus, weil sie der gewöhnliche Nutzer nicht verwendet.
Wenn ein gewöhnlicher Nutzer also eine Website auf- bzw. abruft, dann muss er dem Webserver offenbaren, welche IP-Adresse sie/er hat. Anders kann der Webserver die angeforderten Inhalte nicht ausliefern. IP-Adressen gelten als personenbezogene Daten.
Websites setzen sich im Browser des Nutzers gewöhnlich nicht durch einen einzigen Abruf zusammen. Die meisten Sites werden also nicht als ein großer Block übertragen, sondern bauen sich durch viele verschachtelte Aufrufe von Inhalten im Browser des Nutzers auf. Hierüber erfolgt vielfach auch die Anpassung der Darstellung an den Browser, die mögliche Auflösung etc.. All das ist datenschutzrechtlich erst einmal unspektakulär, solange die Daten immer von der Stelle kommen, die der Nutzer aufgerufen hatte.
Genau das war bei den strittigen / verhandelten Fällen aber nicht der Fall. In einem Fall erfolgte ein Aufruf von Daten beim Hersteller eines Cookiebanners, im anderen Fall wurden Fonts eines Drittanbieters eingebunden. Der Websitebetreiber hat hier Daten an den Browser ausgeliefert, die diesen dann veranlasst haben, weitere Daten bei diesen Dritten für den Aufbau der Website abzufordern. Damit haben diese Dritte über den Referer potentiell von jedem Nutzer erfahren, dass diese die fraglichen Websites aufgerufen haben (wann, wie oft etc.).
Wären die Zulieferungen (Fonts, Cookiebanner) von einem Auftragsverarbeiter erfolgt, müsste dieser die Informationen strikt vertraulich behandeln und dürfte sie nicht für eigene Zwecke verwenden; die Verarbeitung wäre also de jure quasi so erfolgt, als hätte sie der Betreiber der aufgerufenen Site selbst erledigt. Die wenigsten Websitebetreiber machen alles selbst oder immer alles mit eigenem Personal. Auftragsverarbeiter einbinden, ist also Alltag und auch unproblematisch, wenn vertrauenswürdige Partner tätig werden.
Im Fall des Cookiebanners und der eingebundenen Fonts war das jedoch nicht der Fall – es waren keine eng geführten Auftragsverarbeiter, sondern selbstständige Dritte, die mit den verarbeiteten Daten durchaus eigene Zwecke verfolgen können. Ob sie es auch dürfen, ist datenschutzrechtlich bereits eine nachgelagerte Fragestellung. Problematisch ist, dass sie überhaupt die Daten erhalten haben, weil sie damit jeder wirksamen Kontrolle des Verantwortlichen entzogen sind.
Nach unserer Überzeugung fehlte es bereits bei der Verarbeitungstätigkeit der Übermittlung an einer Rechtsgrundlage; sie war deshalb bereits unzulässig. Die Frage, was die Dritten mit den Daten tun (dürfen) und ob sie in die USA übermittelt werden durften, stellt sich insofern eigentlich gar nicht (mehr)!
Die Übermittlung erfolgte durch den Websitebetreiber, der im Code seiner an den Nutzer ausgelieferten Seite Kommandos eingebaut hatte, die beim Nutzer Inhalte von den fraglichen Dritten abgefordert haben. Das klingt nach einem technisch komplexen und exotischen bzw. speziellen Vorgehen – ist es aber nicht. Sehr viele Websites rufen im Hintergrund Bestandteile von Dritten auf. Ob sie das dürfen, halten wir in den meisten Fällen für fraglich. Diese Aufrufe sind als Verarbeitungstätigkeiten dem Websitebetreiber zuzurechnen, der jeweils hierfür datenschutzrechtlich verantwortlich ist (unsere Einschätzung).
Dass dies nicht nur eine juristische Spitzfindigkeit ist, sondern ein wichtiges Datenschutzthema, erörtern wir hier.
as of 2022-04