logo_klein
Verlinkung als DSGVO-Verstoß?
Verlinkung als DSGVO-Verstoß?

Am 8. Jänner 2025 hat das Gericht der Europäischen Union (EuG) ein Urteil zum Datenschutz bei der Nutzung von EU-Websites gefällt. Im Mittelpunkt stand die Frage, ob die Übermittlung personenbezogener Daten an Drittstaaten durch eine EU-Website den strengen Anforderungen der DSGVO genügt. Anlass der Klage war die Nutzung einer EU-Website, bei der Daten an einen Drittanbieter außerhalb der EU weitergeleitet wurden. Die Entscheidung kann aber auch so interpretiert werden, dass bereits eine Verlinkung als DSGVO-Verstoß gewertet werden kann, wenn das verlinkte Angebot nicht DSGVO-konform ist.

Wichtige Lehren aus dem Urteil

Das Gericht betonte die zentrale Bedeutung der Einhaltung der Datenschutzgrundverordnung (DSGVO) durch alle EU-Organe und Einrichtungen. Es stellte klar, dass der Schutz personenbezogener Daten zu den grundlegenden Rechten in der EU gehört. Daten dürfen nur unter strengen Voraussetzungen an Drittstaaten übermittelt werden. Dies schließt insbesondere Fälle aus, in denen das Datenschutzniveau im Empfängerland nicht dem der EU entspricht oder keine geeigneten Schutzmaßnahmen ergriffen werden.

Das Gericht machte deutlich, dass Verantwortliche nicht nur passiv auf den Schutz der Daten achten, sondern aktiv Maßnahmen ergreifen müssen, um Verstöße zu verhindern. Die Übertragung personenbezogener Daten – beispielsweise über URLs, die beim Besuch einer Website generiert werden – kann hierbei besonders risikoreich sein.

Risiken bei URLs und eingebetteten Inhalten

Ein oft unterschätztes Problem ist die Nutzung von URLs, die personenbezogene Daten wie Nutzer-IDs, Sitzungsinformationen oder andere identifizierende Merkmale enthalten können. Werden diese URLs an externe Server oder Drittanbieter weitergeleitet, besteht das Risiko, dass unkontrolliert personenbezogene Daten ins Ausland übermittelt werden. Ein weiteres Problem sind eingebettete Inhalte, wie Schriften, Videos oder Tracking-Tools, die häufig automatisch Daten an Drittanbieter senden.

Die Gefahr dabei ist, dass diese Übertragungen oft ohne das Wissen der Nutzer und Verantwortlichen erfolgen. Insbesondere bei der Einbindung von externen Diensten, die auf Servern außerhalb der EU betrieben werden, entstehen Datenschutzrisiken, die nur schwer zu kontrollieren sind. Die Entscheidung kann aber auch so interpretiert werden, dass bereits die Verlinkung von Inhalten als DSGVO-Verstoß, gesehen werden kann, wenn der verlinkte Inhalt nicht den Vorschriften der DSGVO entspricht.

Empfehlungen für Unternehmen

Für Unternehmen, die personenbezogene Daten verarbeiten, ergeben sich aus dem Urteil klare Handlungsanweisungen:

  1. Analyse der Datenflüsse: Unternehmen sollten alle Datenflüsse auf ihren Websites überprüfen, insbesondere bei der Nutzung von Drittanbietern oder eingebetteten Inhalten. Dazu gehört auch eine detaillierte Analyse, welche Informationen über URLs weitergegeben werden könnten.
  2. Datensparsamkeit bei URLs: URLs sollten keine personenbezogenen Daten wie IDs, Sitzungsdetails oder ähnliche Informationen enthalten. Werden solche Daten dennoch benötigt, sollten sie verschlüsselt oder anderweitig geschützt werden, um unbefugten Zugriff zu verhindern.
  3. Verzicht auf unnötige Drittanbieter-Tools: Unternehmen sollten ihre Abhängigkeit von externen Diensten kritisch prüfen und möglichst auf lokale Alternativen zurückgreifen, die ein EU-konformes Datenschutzniveau gewährleisten.
  4. Transparenz und Einwilligung: Jede Datenübertragung sollte klar und verständlich in der Datenschutzerklärung beschrieben werden. Zudem ist die aktive Einwilligung der Nutzer einzuholen, wenn personenbezogene Daten an Dritte übermittelt werden.
  5. Monitoring und Kontrolle: Der Betrieb von Websites sollte regelmäßig überprüft werden, um sicherzustellen, dass keine ungewollten Datenübertragungen stattfinden. Tools, die automatisiert Datenflüsse überwachen, können hierbei eine wichtige Unterstützung bieten.

Fazit

Das Urteil des EuG unterstreicht, wie kritisch die Einhaltung der DSGVO gerade bei digitalen Angeboten ist. Unternehmen und Institutionen müssen ihre Systeme und Prozesse daraufhin überprüfen, ob sie potenzielle Risiken wie die Weitergabe von personenbezogenen Daten über URLs oder externe Inhalte wirksam adressieren. Wer hier frühzeitig handelt, reduziert nicht nur rechtliche Risiken, sondern stärkt auch das Vertrauen der Nutzer in den verantwortungsvollen Umgang mit ihren Daten.

Sie haben weitere Fragen im Datenschutzrecht?

Sie benötigen Hilfe bei einer Datenschutzverletzung oder möchten sich in anderen Bereichen des Datenschutzrechts durch einen Rechtsanwalt beraten lassen? Als Rechtsanwälte sind wir auf dieses und weitere Rechtsgebiete spezialisiert. Wir bieten auch Schulungen zum Datenschutz an. Melden Sie sich gerne bei unserer Kanzlei unter office@geuer.at oder telefonisch unter +43-1-4380072. Wir freuen uns auf Ihre Anfrage.

Quelle: EuG T-354/22

Scroll to Top