Einbindung von Drittanbieter-Diensten in Webseiten und Apps

Pressemitteilung des Hessischen Beauftragten für Datenschutz und Informationsfreiheit vom 14.11.2019.

Aufgrund einer Vielzahl an Anfragen, Beschwerden und Kontrollanregungen weist der Hessische Beauftragte für Datenschutz und Informationsfreiheit, Prof. Dr. Ronellenfitsch, auf Folgendes hin:

Hinsichtlich der rechtlichen Bewertung der Einbindung von Drittanbietern auf Webseiten und Apps haben sich die Aufsichtsbehörden des Bundes und der Länder in der Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien (https://www.datenschutzkonferenz-online.de/media/oh/20190405_oh_tmg.pdf) auf ein gemeinsames Rechtsverständnis geeinigt. Die Orientierungshilfe gilt grundsätzlich für sämtliche Datenverarbeitungen durch Produkte und Dienste, derer sich Webseiten- und App-Betreiber insbesondere auch zur Webseiten-Analyse sowie zur Vermarktung bedienen können.

In diesem Zusammenhang wird erneut darauf hingewiesen, dass ehemalige Veröffentlichungen, die unter Berücksichtigung der Rechtslage vor dem 25.05.2018 kommuniziert wurden, wie z. B. die „Hinweise des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit zum Einsatz von Google Analytics“, auch aufgrund dessen, dass die Verarbeitungsprozesse von Google Analytics fortlaufend angepasst wurden, überholt sind und von keiner Aufsichtsbehörde des Bundes oder der Länder mehr vertreten werden.

Webseiten- und App-Betreiber sind dazu verpflichtet, die Rechtmäßigkeit der Verarbeitung personenbezogener Daten bei der Einbindung von Drittanbietern nachzuweisen.

Bestimmte Produkte bzw. Dienste von Drittanbietern verarbeiten die für Zwecke des jeweiligen Webseiten- bzw. App-Anbieters erhobenen personenbezogenen Daten der Nutzer darüber hinaus auch zu ihren eigenen Zwecken. Der Einsatz solcher Dienste kann auf Grundlage der Kriterien, die in der Orientierungshilfe aufgestellt worden sind, regelmäßig (vorbehaltlich einer konkreten Prüfung im Einzelfall) nicht auf gesetzliche Rechtsgrundlagen gestützt werden. Vielmehr sind solche Produkte und Dienste nur auf Grundlage einer wirksamen Einwilligung der Nutzer datenschutzkonform einsetzbar. Hinsichtlich der Vorgaben, denen eine solche Einwilligung genügen muss, wird auf die Leitlinie des Europäischen Datenschutzausschusses zur Einwilligung (https://www.datenschutzkonferenz-online.de/media/wp/20180410_wp259_ rev01.pdf) sowie auf das aktuelle Urteil des EuGH im Verfahren „Planet49“ (EuGH, Urt. v. 01. Oktober 2019, C-673/17, http://curia.europa.eu/juris/document/document.jsf?text=&docid=21 8462&pageIndex=0&doclang=DE&mode=lst&dir=&occ=first&part=1&cid=497860) verwiesen.

Die Aufsichtsbehörden prüfen die eingehenden Beschwerden und Kontrollanregungen und werden die darin vorgebrachten Hinweise auf Verstöße gegen die DS-GVO nach pflichtgemäßem Ermessen verfolgen.

Die Pressemitteilungen des Hessischen Beauftragten für Datenschutz und Informationsfreiheit können hier abgerufen werden.