Verantwortlichkeit für eigene Webseite abschiebbar?

Mal eine Frage an die Juristen hier: Ist es möglich, dass man die Verantwortung für Verarbeitungen im Zusammenhang mit der eigenen Webseite auf jemand anderes abwälzen kann?
Kann ein bekanntes Marken-Unternehmen sagen, dass die Webseite von einem Dienstleister betrieben wird, der auch im Impressum steht? Kann man sich so einfach aus allem herausziehen oder ist das Irreführung?
Das erinnert mich etwas an die Subunternehmer-Kultur bei Post-Zustellung, Pflegediensten oder Fleisch-Zerlegung.

Es ist entscheident, wer der Betreiber ist und letztendlich alleine oder zusammen mit anderen entscheidet.
Das bedeutet, es kommt auf die Konstellation an:

  • ADV - dann bleibt die Verantwortung beim Eigentümer und der Dienstleister ist weisungsgebunden.
  • Joint Controll - dann wird die Verantwortung geteilt

Den Fall das der eigentliche Auftraggeber garkein Mitspracherecht hat halte ich persönlich für unwahrscheinlich, da er mindestens am Ende des Projektes eine Freigabe gibt (schließlich ist ja auch sein Logo und Namen zu sehen).

Ich sehe es daher als schwierig die Verantwortung ganz abzugeben - geteilte Verantwortung wäre denkbar (kommt auf den Einzelfall an). Denn es ist nicht die vertragliche Regelung entscheident, sondern das tatsächliche Verhältnis.

Zudem muss der Dienstleister meistens ein dem Stand der Technik entsprechendes Produkt liefern und hat eine Beratungspflicht bzw. Hinweispflicht. Sodass im Nachgang der Verantwortlich mindestens vom Dienstleister einen Schadensersatz wegen Managel geltendmachen kann.

Fazit: Die Verantwortung ganz abgeben halte ich für schwierig, allerdings kann es mindtens im Nachgang doch zu einer Mitverantwortung des Dienstleisters kommen

Na, ja - dass das Logo verwendet werden darf, kann man ja vertraglich regeln. Aber über Zweck und Mittel der Verarbeitung entscheidet dann ganz allein der Dienstleister und ist damit der Verantwortliche. Das Markenunternehmen ist dann raus, weil es mit der Datenverarbeitung nichts zu tun hat.
Wenn man das weiterdenkt, könnten größere Unternehmen ihre Webseiten ja auch einfach von der amerikanischen Tochter betreiben lassen und sind bei allem Drittland-Transfer fein raus.
Oder?
Gibt es irgendeine Norm, die da entgegensteht? Bitte, bitte liebe Juristen - da gibt es doch bestimmt was …

(sorry, war zu schnell und hab viel editiert, jetzt aktuell)
Ist der angeschlossene Gedanke

nicht deswegen entschärft, weil sich auch dann die auf dem europäischen Binnenmarkt tätige und/oder personenbezogene Daten von Personen in der EU verarbeitende US-amerikanische Tochter über das Marktortprinzip aus Art. 3 Abs. 2 DSGVO an die Regelungen der DSGVO halten müsste? :thinking:
Aber ich halte wie auch @joeDS ein komplettes Abgeben der Verantwortlichkeit (was ja deine Bauchschmerzen begründet?) sowieso für unwahrscheinlich. Hier werden doch weiterhin Daten im Auftrag des Markenunternehmens verarbeitet?

Ganz genau wie @Tarantoga sagte - sobald ein Unternehmen seine Services / Produkte an EU Bürger richtet müssen sie sich an die DSGVO halten. Das gilt auch für die Mutter (siehe Thema der SCC mit Munterkonzern z:b. Microsoft Irland etc.).
Diese Bedinung ist laut Gerichten auch schon dann erfüllt wenn die Website bspw. in deutsch verfügbar ist oder die Preise in Euro ausgezeichnet sind.

Das Thema der Abgabe insgesamt ist mehr als unwahrscheinlich - der einzige Fall den ich für denkbar halte wäre sowas wie der Amazon Marktplatz. Und auch hier gibt es Urteile allerdings im Rahmen von Urheberrechten, dass Firmen dort mit Logos anderer werben.

Ich halte es für äußerts fragwürdig und für eine gefährliche Geschäftspraxis wenn ich zu jemandem sagen würde - mache meine Website und den Shop mit Newsletter, tracking Gewinnspiel - aber ich habe damit nix zu tun. Das sind alles deine Kunden und auch deine Produkte ich bin da raus. Wie will ich da die Kontrolle über meine Produkte behalten und Geld machen?..

Also wie oben geschrieben ich sehe da maximal gemeinsame Verantwortung - sorry @anne aber der Fall ist sicher kein gutes Geschäftsmodel…

Ich selbst arbeite in einer B2B Firma mit Websites und digitalen Services und habe noch nie davon gehört.

Ich habe einen konkreten Fall vorliegen, wo der Anwender denkt, er sei auf der Webseite von “Daxunternehmen AG” und im Impressum steht “Frikelbude GmbH”. Und Daxunternehmen AG schiebt jede Verantwortung für Tracking, Profiling, Analyse etc. von sich, weil die Seite ja Frikelbude GmbH betreibt. Das finde ich Irreführung.

Gute Idee! Wenn die Frikelbude nur 5 Mitarbeiter und 25 TEU Stammkapital hat, wird das Bußgeld entsprechend geringer ausfallen oder die sind dann einfach insolvent und Daxunternehmen AG sucht sich eine neue Bude. Aber nichts fällt auf die zurück. Clever!

1 „Gefällt mir“

Also ich sehe hier dann zwei Optionen:

  1. Es handelt sich um Betrug und Frickelbude hat wirklich nix mit Daxunternehmen zu tun.
  2. Sie versuchen hier die DSGVO auszutricksen.

In Fall 2: Lass dir das VVT zeigen - steht dort DAX AG als Empfänger und welche Beziehung liegt hier vor? Es kommt nicht auf den Vertrag an sondern die echten Datenflüße. Stell mal eine Betroffenanfrage auf Auskunft :slight_smile: und frage mal bei der zuständigen ASB an… Freue mich in paar Monten dann vom Bußgeld in der Presse zu lesen.

Kurzum ich sehe eine derartige Lösung als nicht tragbar… Aber Gerichte und Anwälte dürfen mich gerne vom Gegenteil überzeugen-

1 „Gefällt mir“

Na ja, clever ist das aber doch erstmal nur in der Außendarstellung und solange niemand den Beschwerde- oder Klageweg durchzieht und die entsprechende Behörde bei Verhängung des Bußgeldes nicht, nennen wir es “absichtlich blind”, ist, weil Daxunternehmen AG doch so wichtig für die hiesige Wirtschaft ist…

Nur weil ich schreibe “mein Nachbar ist verantwortlich” und es für einen das Rechtssystem aushebelnden Trick halte, ist es ja nicht gleich so. Die Gesetze richtig angewandt fährt Daxunternehmen AG damit vor die Wand, denke ich, zumal der vertragliche Zusammenhang zwischen den beiden nebst Interesse von Daxunternehmen AG ja nachweisbar ist. Aber dazu muss es natürlich erstmal soweit kommen (u.U. bin ich da naiv).

Wobei, damit werden u.U. viele datenschutzrechtliche Aufgaben im Alltag an die ahnunglose (?) Frikelbude abgewälzt, das ist schon “nett”…

1 „Gefällt mir“

Also, eine Website wird zunächst einmal von demjenigen betrieben, der im Impressum steht. Dass das Irreführung sei, weil in Wirklichkeit ein anderes Unternehmen der Betreiber ist, muss ja erst einmal belegt werden. Falls es so ist, hat das mit der DSGVO nichts zu tun, sondern ist ein Verstoß gegen die Impressumspflicht und somit eine Ordnungswidrigkeit nach § 11 TMG, siehe:
(http://www.juraforum.de/gesetze/TMG/16/16_TMG_bu�geldvorschriften.html)
“Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig entgegen § 5 Abs. 1 TMG eine Information nicht, nicht richtig oder nicht vollständig verfügbar hält.”

Falls das so ist, könnten Daten natürlich von einem anderen Unternehmen verarbeitet werden, als auf der Website angegeben ist. Aber welche Daten werden von wem über die Website ohne Information/Einwilligung erhoben? Wer ist betroffen? Das müsste ja erst einmal geklärt werden, bevor man irgend jemanden beschuldigt.

Wäre es aber denkbar, dass das im Impressum stehende Unternehmen weiterhin Betreiber ist, aber ein anderes Unternehmen als Dienstleister das Hosting und die Pflege übernehmen lässt (inkl. Sub-Auftragsnehmer wie zB Azure)? Oder komme ich hier gerade durcheinander und die Frage erübrigt sich?

Die Frage ging ja eher in die Richtung, ob man es so einfach darf, oder ob das dann Irreführung oder irgendwas anderes illegales ist. Da es keinerlei juristische Gegenargumente gab, habe ich als Antwort mitgenommen, dass man es sehr wohl darf. Es ist ja auch heute allgemein üblich, Verantwortung “umzustrukturieren”, um den Profit zu maximieren und die Risiken zu minimieren. Von daher etwas enttäuschend - aber wohl nicht zu vermeiden.

Naja zulässig hätte ichs nicht genannt - aber im Datenschutz gilt oft. “Wo kein Kläger, da kein Richter”.

Wenn also jemand sich bei den Ausichtsbehörden meldet und es dann ggf zu einer Verhandlung kommt, glaube ich nicht das es glatt durchgeht.

Ich würde auch sagen, dass Abweichungen des Verantwortlichen zwischen Datenschutz-Information und Impressum eher selten möglich sind. Die Verantwortung für den Datenschutz bzw. das Telemedienangebot sollte schon der Realität entsprechen. Z. B. dass mehrere Stellen gemeinsam für den Inhalt verantwortlich wären und nur eine davon eigenverantwortlich den Internetauftritt betreibt (und die Daten daraus verarbeitet; sie ggf. den anderen Stellen als Dritte übermittelt).

Falls man sich sträubt, bei den Pflichtangaben z. B. eine Privatadresse anzugeben, könnte man die Kommunikation über die ladungsfähige Adresse eines Dienstleisters laufen lasssen.

D., der für haftungsvermeidende Tricks wenig Erfolgsaussicht sieht.

1 „Gefällt mir“

Für die Datenschutz Information auf der Webseite wäre ja dann auch der Ersteller/Betreiber der Seite verantwortlich.

Ich habe auch einen konkreten Fall auf dem Tisch.

Konzernmutter in EU erstellt die Webseite und gibt dem Unternehmen in D keine Rechte die Webseite entsprechend Konform zu gestalten. Unternehmen D steht aber im Impressum. Hosting der Webseite ebenfalls ausserhalb von D und unter Verantwortung der Mutter.

Da haben wir auch Überlegungen die Mutter in das Impressum zu schreiben und das Unternehmen in D als Kontakt anzugeben.

ich lese hier mal fleissig mit, vielleicht ergibt sich ein gangbarer Weg.

Ja, für die Datenschutzschutzerklärung auf der Website ist das Unternehmen D verantwortlich. Die muss in deutsch sein und natürlich Auskunft über die gespeicherten Daten geben. Wenn D diese Daten gar nicht selbst speichert, ist das ein Verstoß gegen die DSGVO, da D dann nicht der Verantwortliche ist, sondern die Konzernmutter. Normalerweise werden aber Daten in Konzernen ausgetauscht, und das ist auch nach der DSGVO erlaubt. Deshalb dürfen Konzerne auch EU-weit denselben DSB benennen (s. Facebook/Meta). Nur muss der Verantwortliche halt genannt werden, an den sich Betroffene wenden können.

Wenn D tatsächlich nicht der Verantwortliche ist, also die Daten gar nicht verarbeitet, dann ist es sowohl ein Verstoß gegen die EU-DSGVO als auch gegen die Impressumspflicht des (deutschen) TMG. Auch letzterer kann ein Bußgeld bis zu 50.000 EUR zur Folge haben.

Und selbst innerhalb eines Konzerns muss es zwischen den Konzergesellschaften AVV oder Joint Controll Agreements geben.

Also ja die Tochter D kann Verantwortlicher sein für Teile der Verarbeitung die nur bei ihr erfolgen - incl. Datenweitergabe an die Mutter.

Aber in einem Konzern kommen dann Fragen nach der Konstellation auf:

  • AVV z.B. bei Shared Services wie HR oder IT.
  • Joint Controll wenn Konzernegesellschaften gemeinsam einen Service/Produkt entwickeln und jeder einen Teil verantwortet.

Bei JC muss aber klar sein, wer für was verantwortlich ist und wer Ansprechpartner ist incl. Vertrag.

Ich könnte mir nun einen Fall vorstellen, in dem diese Definition als Ansprechpartner interpretiert wird um die Verantwortung der Mutter abzuschieben. Aber in Wirklichkeit ist es eine AVV oder JC und schlecht kommuniziert.

Sollte diese Vermutung zutreffen, wäre es keine Irreführung oder Betrug sondern, dass was es im Datenschutz oft gibt Unkenntnis, schlechte oder keine Beratung durch DSB etc.

Es bleibt dabei eine komplette Abgabe ist nicht möglich - wenn doch eine geteilte Verantwortung mit schlechter Darstellung des Sachverhalts zu dieser Annahme führen könnte.

Geteilte Verantwortung mit Verträgen wie AVV oder JC sind möglich.

Hier noch ein schöner Beitrag dazu - vorallem die letzten Absätze: https://www.isico-datenschutz.de/blog/datenuebermittlung-konzern/

Das ist hier aber wohl nicht der Fall:

Ja war ein Versuch ans Gute zu glauben.

Aber man kann ja gerne mal die zuständige ASB anrufen und um Meinung fragen - oder vllt lesen die hier ja mit und melden sich noch :slight_smile: