Drücke „Enter”, um zum Inhalt zu springen.
Ausprobieren
Online Webseiten-Check
sofort das Ergebnis sehen
Auf meiner Webseite sind externe Links mit dem Symbol gekennzeichnet. Datenschutzhinweise · Wissensartikel

Externe Links auf Webseiten: Datenschutzproblem oder nicht?

Veröffentlicht am 28. April 2021 von Dr. DSGVO · Zuletzt aktualisiert am 1. Mai 2021
0
Verantwortung für externe Links

Kategorien: Datenschutz und Recht

Auf nahezu jeder Webseite existieren Verlinkungen auf andere Webseiten. Beim Anklicken eines Links durch den Besucher einer Webseite werden zwangsläufig personenbezogene Daten übertragen. Ist das ein Datenschutzproblem? Wie sieht es mit Linkzielen in unsicheren Drittländern wie den USA aus?

Einleitung

Ein Link oder eine Verlinkung ist ein Hyperlink, der auf HTML-Seiten möglich ist. Eine HTML-Seite ist das, was viele unter dem Begriff "Webseite" verstehen. HTML steht für HyperText Markup Language.

In HTML gibt es sogannte Tags. Ein Tag ist eine Anweisung. Ein Tag steuert das Aussehen oder Verhalten eines Textes. Mit dem Tag <b> kann beispielsweise der Fettdruck für eine Textpassage aktiviert werden. Der Tag <a> hingegen definiert einen Link. Beispiel für eine Linkdefinition:

<a href="https://www.ein-linkziel.de">Hier klicken, um zur anderen Webseite zu gelangen</a>

Der Tag wird definiert durch ein Linkziel, also eine Zieladresse (URL) und einen mit dem a-Tag eingeschlossenen Text. Klickt der Nutzer auf den Text, wird die Zieladresse aufgerufen.

Datentransfer bei Klick auf einen Link

Erst wenn ein Nutzer von sich aus auf einen Link klickt, findet ein Datentransfer statt. Erst dann findet also eine Datenerhebung statt. Eine Datenerhebung liegt vor, sobald aufgrund eines Angebots eines Verantwortlichen Daten beim Anbietenden oder einem Dritten empfangen und faktisch zur Kenntnis gelangen können.

Ein Verantwortlicher ist im Fall eines externen Links der Linkgeber, also der verantwortliche für die Webseite, die den externen Link enthält.

Die beim Klick auf einen Link transferierten Daten sind technisch notwendig und durch das Internet Protokoll TCP bedingt. TCP steht für Transmission Control Protokol.

Die transferierten Daten enthalten die IP-Adresse des Nutzers. Die IP-Adresse als Netzwerkadresse ist ein personenbezogener Wert. Dies haben EuGH und BGH festgestellt. Das gilt sogar für dynamische IP-Adressen, also solche, die regelmäßig neu vergeben werden. Auch wenn ein Nutzer jeden Tag von seinem Internet-Dienstleister eine neue IP-Adresse zugewiesen bekommt, gilt diese demnach als personenbezogen.

Bei jedem Klick auf einen externen Link werden personenbezogene Daten an einen Dritten übertragen

Konsequenz aus dem Internet Protokoll TCP

Datenverarbeitung beim Linkziel

Der Linkgeber ist nicht für die Datenverarbeitung verantwortlich, die das Linkziel in Eigeninitiative vornimmt. Etwas anderes wäre es, wenn eine Weisung durch den Linkgeber vorläge. Auch eine gemeinsame Verantwortlichkeit von Linkgeber und Linkziel, die über einen Vertrag zustande kommen kann, ist ein anderer Fall.

Das Linkziel ist also selbst für die Verarbeitung der Daten verantwortlich, die es aufgrund des Klicks auf den externen Link auf der Webseite des Linkgebers erhält.

Linkziel in sicherem Drittland

In einem sicheren Drittland, ist ein der DSGVO vergleichbares Datenschutz-Niveau sichergestellt,

Ist das Linkziel in einem sicheren Drittland, ist der Linkgeber nur für den Datentransfer und die Datenerhebung verantwortlich, den er selbst veranlasst hat. Der Datentransfer ist technisch erforderlich. Hierfür gibt es nichts, wofür jemand verantwortlich sein könnte. Eine Verantwortlichkeit mag vorhanden sein. Für nichts verantwortlich zu sein, ist faktisch das gleiche, wie nicht verantwortlich zu sein.

Die Datenerhebung beim Linkziel darf nur soweit erfolgen, wie dies aufgrund der DSGVO erlaubt ist. Beispielsweise kann das Linkziel Maßnahmen zur Absicherung der Systeme gegen Hacker betreiben, nicht aber die Protokollierung von IP-Adressen zu Marketing-Zwecken. Hierfür ist das Linkziel verantwortlich.

In diesem Fall ist der Linkgeber faktisch weder aufgrund des Datentransfers noch aufgrund der Datenerhebung verantwortlich.

Faktisch besteht keine Verantwortlichkeit für einen Linkgeber bei Linkzielen in sicheren Drittländern.

Linkziel in unsicherem Drittland

Etwas komplexer ist die Betrachtung bei Linkzielen in unsicheren Drittländern. Die USA ist und bleibt ein unsicheres Drittland, solange der amerikanische Cloud Act in seiner jetzigen Form Gültigkeit hat. Daran ändern auch jedwede Festlegungen der EU nichts.

Art. 44 DSGVO definiert allgemeine Grundsätze der Datenübermittlung. Diese Grundsätze besagen, dass eine Übermittlung personenbezogener Daten ", die bereits verarbeitet werden oder nach ihrer Übermittlung an ein Drittland oder eine internationale Organisation verarbeitet werden sollen" nur unter bestimmten Bedingungen zulässig ist.

Die Datenübermittlung in die USA ist nur nach voriger Einwilligung durch eine betroffene Person erlaubt. Eine Verarbeitung der übermittelten Daten bei der Linkquelle hat nicht bereits stattgefunden.

Hieraus entstehen bei externen Links mehrere Fragen.

Klickt ein Nutzer auf einen solchen Link, hat er dann eine Einwilligung gegeben? Eine Einwilligung ist gemäß Art. 4 Nr. 11 DSGVO "jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist".

Eine klassische Einwilligung, wie man sie von sogenannten Cookie Popups kennt, ist anders gestaltet. Dort klickt man auf Akzeptieren oder Ablehnen. Eine Ablehnung ist dort idealerweise mit genauso wenig Aufwand möglich wie ein Akzeptieren. Eine Einwilligung bei Klick auf einen Link liegt meines Erachtens vor, wenn der Nutzer zuvor informiert wurde. Denn eine Einwilligung erfordert hier einen Klick, ein Ablehnen hingegen keinen Klick, also nicht mehr Aufwand, sondern sogar weniger.

Eine Information an den Nutzer kann tatsächlich nur erfolgt sein, wenn ein externer Link als solcher erkennbar ist. Viele Webseiten stellen interne und externe Links gleichartig dar. Dies genügt meiner Einschätzung nach nicht, um den Nutzer zu informieren. Denn der Nutzer könnte aus Angst, einen externen Link anzuklicken, ja dann möglicherweise auf gar keinen Link mehr klicken. Dies könnte höchstens durch entsprechend eindeutige Linktexte geheilt werden, oder durch eine allgemeine Angabe, dass keine externen Links verwendet werden oder diese keine Datenübertragung in unsichere Drittländer bedeuten.

Klickt ein Nutzer auf einen Link, der in die USA zeigt, sollen dann gemäß des Art. 44 DSGVO Daten nach Übermittlung in die USA verarbeitet werden? Ja, denn eine Verarbeitung liegt bereits mit einer Datenerhebung vor. Eine Datenerhebung wiederum findet quasi immer statt, wenn eine Webseite aufgerufen wird (außer, der Aufruf der Webseite wird blockiert oder findet aus anderen seltenen Gründen nicht statt, beispielsweise wegen eines Verbindungsabbruchs).

Bei wem landen die Daten beim Klick auf einen Link?

Die Frage, wann ein Datentransfer in ein unsicheres Drittland stattfindet, hängt damit zusammen, wer Empfänger von Daten ist. Im Internet ist dies nicht so einfach zu beantworten.

Der Weg von Daten ist gekennzeichnet durch einen Startpunkt und einen Endpunkt. Der Startpunkt ist der Browser des Besuchers einer Webseite. Der Endpunkt ist der Server, an den sich die Anfrage des Nutzers richtet, in unserem Fall der Server, der das Linkziel darstellt.

Für gewöhnlich gibt es genau einen Server, auf dem sich eine Webseite, also ein Linkziel befindet. Nicht selten findet allerdings eine Lastverteilung statt. Insbesondere größere Unternehmen wie Google nutzen diese. Aber auch Webseiten von deutschen Online Shops nutzen oft zur Sicherung gegen Ausfälle eine Lastverteilung, etwa über ein Content Delivery Network (CDN) wie Cloudflare.

Was ist das Ziel?

Bei einer Lastverteilung kann der Domain Name Service (DNS) mit verantwortlich sein, welcher Server tatsächlich gezogen wird. Der DNS wiederum kann sogar vom Nutzer selbst festgelegt werden. Unterschiedliche DNS können theoretische unterschiedliche Ziel-Server für eine Anfrage an ein und dieselbe Adresse zur gleichen Zeit zurückliefern.

Weiterhin ist nicht unbedingt nur das Zielland, in dem ein Server steht relevant dafür, ob beispielsweise der amerikanische Geheimdienst darauf Zugriff hat. Vielmehr muss dafür die gesamte Organisationsstruktur betrachtet werden. Eine Filiale einer amerikanischen Zentrale, die in Deutschland sitzt, und der gegenüber die Zentrale weisungsbefugt ist, kann nach meinem Verständnis ebenfalls von amerikanischen Behörden aufgefordert werden, Daten herauszurücken. Entweder verstößt dann die Zentrale gegen amerikanisches oder gegen europäisches Recht. Ich würde tippen, dass einheimische Firmen lieber nationale Gesetze einhalte als ausländische Stellen oder Personen zufrieden zu stellen.

Kurzum: Sie wissen oft nicht, bei wem die Daten landen, die von einem Link ausgehen. Sofern der Verantwortliche einer Webseite allerdings davon Kenntnis erlangt, stellt sich die Frage, ob er dann nicht aus verantwortlich für das Weiterleiten auf das Linkziel ist.

Umbiegen eines Ziels

Damit aber noch nicht genug der Ungewissheit: Angenommen, Sie verlinken auf eine Webseite X. Der Server hierfür steht in Deutschland, der Betreiber ist eine rein deutsche Firma. Soweit ist alles gut. Nun kann aber der Betreiber die Web-Adresse (Domäne) aufgeben, wonach sich ein Dritter dieser bemächtigen kann. Oder der Betreiber entscheidet sich aus welchem Grund auch immer, die Adresse X auf die Adresse Y umzuleiten. Y kann auf jedem beliebigen Server liegen.

Sobald der Linkgeber mitbekommt, dass ein neues Ziel vorliegt, kann für ihn eine Verantwortlichkeit daraus entstehen.

Der Weg zum Ziel

Zusätzlich stellt sich die Frage, welchen Weg die Daten vom Startpunkt zum Endpunkt nehmen. Laufen die Daten durch einen amerikanischen Knotenpunkt, ist der Zugriff durch einen amerikanischen Geheimdienst möglich. Diese Frage stellt sich aber auch für Links, die auf eine Seite der gerade besuchten Webseite zeigen. Insofern kann diese Frage meines Erachtens (bis auf Weiteres) als irrrelevant, weil zu weit führend betrachtet werden.

Auch hier gilt meiner Einschätzung nach, dass die Kenntnis über den Weg von der Linkquelle zum Linkziel durch den Linkgeber für diesen eine Verantwortlichkeit für den Weg der Daten bedeuten könnte.

Welches Ausmaß an Verantwortung kann entstehen?

Zunächst ist festzustellen, dass der Linkgeber keine Daten aus dem Klick eines Links bei sich erhebt. Der Fall, dass dies passieren kann, soll hier nicht weiter betrachtet werden, weil es sich dabei um einen Vorgang handeln würde, den der Linkgeber zusätzlich zu vertreten hätte.

Die Datenverarbeitung beim Linkziel liegt nicht in der Verantwortlichkeit des Linkgebers. Er wäre nur dann möglicherweise alleine oder gemeinsam verantwortlich, wenn die Datenverarbeitung beim Linkziel auch aus Eigeninteresse des Linkgebers erfolgte oder eine vertragliche Beziehung zwischen Linkgeber und Linkziel bestünde.

Auf Webseiten sollten externe Links erkennbar und deren Risiken benannt sein.

Meine Empfehlung

Der Datentransfer in ein unsicheres Drittland aufgrund des Klicks auf einen externen Link ist zunächst dem Linkgeber als Verantwortlichem anzulasten. Die Verantwortlichkeit kann meines Erachtens nur dadurch reduziert oder eliminiert werden, indem der Nutzer vor Klick auf einen externen Link wissen kann, welche Risiken damit verbunden sein können.

Ist der Linkgeber in Kenntnis kritischer Umstände, entstehen hieraus meines Erachtens weitere Fragen der Verantwortlichkeit.

Kennzeichnet der Verantwortliche externe Links nicht entsprechend oder informiert er den Nutzer nicht ausreichend über mögliche Risiken, ist er somit verantwortlich für die Datenschutzprobleme, die aufgrund des Datentransfers in unsichere Drittländer entstehen können.

Sonstige Verantwortlichkeiten

Neben Datenschutzfragen stellen sich auch inhaltliche und urheberrechtliche Fragen beim Verweis auf Dritte.

Ein Linkgeber ist verantwortlich dafür, einen Link zu entfernen, sobald er Kenntnis von rechtswidrigen Inhalten beim Linkziel erhält. Dies hat nichts mit Datenschutz zu tun und wird hier deswegen nicht weiter betrachtet.

Auch werden Fälle hier nicht weiter betrachtet, in denen der Linkgeber mit dem Linkziel in Verbindung steht, beispielsweise über einen Vertrag.

Fazit

Eine Verantwortlicheit für externe Links, die auf Webseiten zeigen, welche in sicheren Drittländern liegen, kann nahezu ausgeschlossen werden. Allerdinsg besteht ein kleines Restrisiko wegen der jederzeitigen Möglichkeit, dass das Linkziel auf ein neues Ziel weiterleitet. Auch kann eine Tochterfirma einer amerikanischen Mutter zugerechnet werden, womit der Standort des eigentlichen Linkziels nicht mehr alleine entscheidend ist.

Neben den Fragen, die die DSGVO aufwirft, ist mir eine Vorschrift im Telemediengesetz aufgefallen. Diese hat eine gewisse Sprengkraft.

§ 13 Abs. 5 TMG lautet:

Die Weitervermittlung zu einem anderen Diensteanbieter ist dem Nutzer anzuzeigen.

§ 13 Abs. 5 TMG

Inwieweit das TMG von der DSGVO verdrängt wird, muss genau geprüft werden. Hat es der Gesetzgeber versäumt, europäische Vorgaben umzusetzen, kann davon ausgegangen werden, dass eine mit dem Europarecht konforme Auslegung des TMG vorzunehmen ist. Dies jedenfalls wurde im BGH-Urteil zu Planet 49 für den § 15 Abs. 3 TMG entschieden. Jene Vorgabe aus dem TMG ist demnach gemäß Art. 5 Abs. 3 ePrivacy-Richtlinie auszulegen. Daraus entsteht eine Einwilligungserfordernis gemäß der Richtlinie, die im TMG gar nicht erwähnt ist.

Insofern vermute ich, dass § 13 TMG zumindest in Teilen durch die DSGVO verdrängt wird. Somit ist die Weitervermittlung zu einem anderen Diensteanbieter nicht unbedingt explizit anzuzeigen. Aus den genannten Gründen ist dies allerdings sehr zu empfehlen bzw. ergibt sich möglicherweise sogar indirekt. Auch möglich ist, dass nur ein Teil des § 13 TMG durch die DSGVO ersetzt wird, nicht aber der Abs. 5. Dies klingt für mich jedenfalls realistisch, weil eine strengere deutsche Regelung der europäischen DSGVO nicht entgegensteht.

Wer schreibt hier?
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. In IT & Datenschutz bin ich auch als Sachverständiger tätig. Mir sind juristische Gegebenheiten nicht fremd. Meine Ergebnisse gewinne ich durch Betrachtung von Technik und Recht. Das scheint mir absolut notwendig, wenn es um digitalen Datenschutz geht. Über Ihre Unterstützung für meine Arbeit würde ich mich besonders freuen. Als Geschäftsführer der IT Logic GmbH berate ich Kunden und biete Webseiten-Checks an.
Bitte nutzen Sie bei Verwendung meiner Ergebnisse die Quellenangabe oder verlinken Sie gut wahrnehmbar auf diesen Artikel:
Quelle: Klaus Meffert, Dr. DSGVO Blog, Link: https://dr-dsgvo.de/externe-links-auf-webseiten-datenschutzproblem-oder-nicht
Einen Kurzlink oder eine Bestätigung für Ihre Quellenangabe erhalten Sie kurzfristig auf Anfrage. Ein Teilen oder Verteilen dieses Beitrags ist natürlich ohne weiteres möglich und gewünscht.
Schlagworte zu diesem Artikel:

Schreiben Sie einen Kommentar

Ihre Mail-Adresse wird nicht veröffentlicht.

Nächster Beitrag

Was bedeutet Erheben von Daten im Kontext der DSGVO? Einer der wichtigsten Begriffe der Datenverarbeitung