Skip to content

Ist die Fokussierung der US-Übermittlung zielführend?

Gedanken zur Problematik von eingebetteten Inhalten Dritter im Code einer Website. Ein Kommentar, eine Standortbestimmung.

Im Winter 2021/22 gab es einige Gerichtsurteile gegen europäische Website-Betreiber. Ihnen wird vorgeworfen, sie hätten personenbezogene Daten ihrer Nutzer in die USA übermittelt, was in den konkreten Fällen unzulässig war. Es stehen Unterlassungsverfügungen und Schmerzensgeldzahlungen im Raum.

Was genau war passiert? In einem Fall ging es um einen Cookiebanner, in einem weiteren um in eine Website eingebettete Schriftzeichen, die jeweils online bzw. zur Laufzeit vom Sponser dieser Fonts abgerufen wurden (ein großer Suchmaschinenbetreiber). In beiden Fällen hat die Verwendung der Elemente auf den Websites zu einer Übermittlung von personenbezogenen Daten in die USA geführt.

Seit dem EuGH Urteil zum Privacy Shield (den meisten inzwischen besser bekannt als Schrems II) war eine Übermittlung von Daten in die USA damals generell problematisch (nunmehr seit 2023-07-10 durch Angemesseheitsbeschluss der EU-Kommission wieder unkomplizierter möglich). In beiden Fällen wurde die Unzulässigkeit anhand der Daten-Übermittlung in die USA argumentiert. Das erscheint plausibel. Dennoch stellt sich die Frage, ob das der richtige Fokus war. Wir denken nein; denn das eigentliche Problem liegt woanders – und existiert auch mit dem Angemessenheitsbeschluss fort!

Das eigentliche Problem liegt woanders!

Tatsächlich liegt bzw. lag das Problem nicht im Detail hinter der US-Übermittlung, sondern buchstäglich davor. Denn, bevor eine Übermittlung in die USA zu betrachten ist, wäre überhaupt die Übermittlung der Daten an einen Dritten zu betrachten. Wir vertreten die Auffassung, dass dies in den strittigen bzw. verhandelten Fällen bereits unzulässig war – und zwar völlig unabhängig davon, ob anschließend eine Übermittlung in die USA erfolgte oder nicht.

Nach unserer Überzeugung fehlte es bereits bei der Verarbeitungstätigkeit der Übermittlung an einer Rechtsgrundlage; sie war deshalb bereits unzulässig. Die Frage, was die Dritten mit den Daten tun (dürfen) und ob sie in die USA übermittelt werden durften, stellt sich insofern eigentlich gar nicht (mehr)!

Die Übermittlung erfolgte durch den Websitebetreiber, der im Code seiner an den Nutzer ausgelieferten Seite Kommandos eingebaut hatte, die beim Nutzer Inhalte von den fraglichen Dritten abgefordert haben. Das klingt nach einem technisch komplexen und exotischen bzw. speziellen Vorgehen – ist es aber nicht. Sehr viele Websites rufen im Hintergrund Bestandteile von Dritten auf. Ob sie das dürfen, halten wir in den meisten Fällen für fraglich. Diese Aufrufe sind als Verarbeitungstätigkeiten dem Websitebetreiber zuzurechnen, der jeweils hierfür datenschutzrechtlich verantwortlich ist (unsere Einschätzung).

Dass dies nicht nur eine juristische Spitzfindigkeit ist, sondern ein wichtiges Datenschutzthema, erörtern wir hier.

as of 2022-04