„Ein“ Internetauftritt von mehreren Verantwortlichen

Es wird häufiger gefragt, wie es eigentlich damit aussieht, wenn mehrere Unternehmen gemeinsam eine Internetseite betreiben wollen.

Das kommt häufig z.B. in Unternehmensgruppen vor, in denen z.B. rechtlich selbstständige Tochterunternehmen die Internetseiten des Mutterunternehmens nutzen, um sich zu präsentieren. Wenn es dann über reine Informationen hinausgeht, sondern sich die Inhalte so darstellen, dass sie wie eine jeweils eigene Internetseite des Tochterunternehmens wird, stellen sich die ersten kniffligeren Fragen danach, wer hier datenschutzrechtlich „Verantwortlicher“ i.S.d. Art. 4 Nr. 7 DSGVO ist.

Es kommt aber auch in anderen Konstellationen mal vor. Wenn z.B. mehrere Unternehmen ein gemeinsames Projekt im Internet präsentieren wollen.

Mich erreichte mal diese Frage:

Enthält die DSGVO eine verbindliche Grundlage dafür, dass zwei oder mehr rechtlich selbstständige Unternehmen keinen gemeinsamen Web-Auftritt haben dürfen?
Oder anders ausgedrückt: Muss jedes rechtlich selbstständige Unternehmen laut DSGVO eine eigenständige Web-Site haben?

Meine kurze Antwort

Nein.

Meine etwas längere Antwort

Vorüberlegungen

Die DSGVO enthält keine Regelungen, aus denen sich ergeben würde, dass ein Unternehmen – wenn es sich im Internet präsentieren möchte – dies auf einer eigenständigen Internetseite tun müsste.

Wenn ein Unternehmen jedoch gemeinsam mit anderen rechtlich selbstständigen Unternehmen eine Internetseite „anbietet“, stellt sich automatisch die Frage der „Verantwortlichkeit“ im datenschutzrechtlichen Sinne.

Ferner stellen sich zwei weitere Fragen:

  1. Wer ist Anbieter der Internetseite i.S.d. TMG („Impressumspflicht“)?
  2. Wenn es redaktionell-journalistische Inhalte (z.B. Nachrichten, Blog etc.) gibt, dann muss ein „Inhaltlich Verantwortlicher“ i.S.d. Medienstaatsvertrages (MStV) angegeben werden.

Die Anbieterkennzeichnungspflicht i.S.d. § 5 TMG beinhaltet die Pflicht, den „Diensteanbieter“ für die Internetseite zu benennen. Diensteanbieter ist derjenige, der für das „Telemedium“ verantwortlich ist.
Diese „Verantwortlichkeit“ i.S.d. TMG ist aber nicht zwingend gleichbedeutend mit der datenschutzrechtlichen Verantwortlichkeit, die sich aus Art. 4 Nr. 7 DSGVO ergibt.

So kann z.B. im TMG durchaus eine Organisation sich als „verantwortlich“ zeichnen, obwohl die Entscheidung über das „Ob“ und „Wie“ der Internetseite bei einer anderen Organisation oder Person liegt. Sinn und Zweck der Regelung der Anbieterkennzeichnung im TMG ist, dass man einen Ansprechpartner bzw. – besser gesagt – einen Anspruchsgegner mit einer ladungsfähigen Anschrift hat, bei dem ich etwaige Ansprüche geltend machen kann.

Die datenschutzrechtliche Verantwortlichkeit hingegen wird objektiv betrachtet. Diejenigen, die über „Zweck“ und „Mittel“ der Verarbeitung personenbezogener Daten entscheiden, sind datenschutzrechtlich „Verantwortliche“.

Diese Unterscheidung muss man sich also zunächst vergegenwärtigen.

Theoretisch könnte es also sein, dass im Impressum „Unternehmen A“ als Anbieter genannt wird, in den Datenschutzhinweisen der Internetseite aber „Unternehmen B“ als „Verantwortliche“ für die Datenverarbeitung benannt wird.

Praktisch wird das allerdings eher selten vorkommen. Dafür spricht im Übrigen auch der Grundsatz der Verarbeitung nach „Treu und Glauben“ und „Transparenz“ in Art. 5 Abs. 1 lit. a) DSGVO.

Varianten der Umsetzung

Angenommen drei Unternehmen wollen gemeinsam eine Veranstaltung durchführen – als Partner. Dafür gründen sie aber bewusst keine „Gesellschaft bürgerlichen Rechts“ (GbR), sondern wollen nur „lose“ kooperieren.

Bei der Anbieterkennzeichnung („Impressum“) könnten sie sich entscheiden, ob sie dort alle gemeinsam stehen wollen oder ob ein Unternehmen seinen „Kopf dafür hinhalten“ möchte.
Wenn alle gemeinsam als Anbieter genannt werden würden, könnte man übrigens schon auf die Idee kommen, dass vielleicht doch eine GbR vorliegt. Das wäre dann meist nicht gewollt, wenn die Partner alle eigene GmbHs hätten und mit der GbR nun auf einmal „voll“ haften könnten. Das ist jetzt mal sehr vereinfacht formuliert. Problematisch ist in diesen Fällen, dass bei Vorliegen einer GbR z.B. der Versicherungsschutz der Partner entfallen könnte etc.
Im Ergebnis möchte man das also meist gerne verhindern.

Selbst wenn man sich nun aber dafür entscheiden würde, dass nur ein Unternehmen als Anbieter im Impressum benannt würde, dann würde das noch nicht bedeuten, dass man nicht datenschutzrechtlich ggf. „gemeinsam verantwortlich“ wäre.

Gerade wenn Daten durch jeden Partner für Zwecke der Durchführung der Veranstaltung genutzt werden (sollen), dann kann ggf. eine sog. gemeinsame Verantwortlichkeit i.S.d. Art. 26 DSGVO vorliegen.
Voraussetzung ist, dass die Unternehmen gemeinsam über Zweck (das wird i.d.R. der Fall sein) und die Mittel (hier kann es auf die Details ankommen) der Datenverarbeitung entscheiden.

Hier müssen die Partner dann daran denken, dass sie zwingend eine sog. Vereinbarung über die gemeinsame Verantwortlichkeit schließen müssen, die den Anforderungen des Art. 26 DSGVO entsprechen muss.
Das gilt alles – wie gesagt – unabhängig von der Frage, ob nun ein Unternehmen oder alle Unternehmen als Anbieter im Impressum genannt sind.

Das Highlander-Prinzip

Okay…und dann gibt es noch für journalistisch-redaktionelle Inhalte auf der Website die Pflicht zur Angabe eines „Inhaltlich Verantwortlichen“ i.S.d. § 18 Abs. 2 MStV.

Und hier heißt es Achtung zu bewahren. Denn es gilt das „Highlander-Prinzip“.
Was zum Teufel ist denn das Highlander-Prinzip. Wenn du in den 80er Jahren den Film „Highlander“ mit Christopher Lambert in der Hauptrolle gesehen haben solltest, dann kennst du vielleicht den Untertitel des Films: „Es kann nur einen geben.“

Und so wie es nur einen Highlander geben kann, kann es auch nur einen „Inhaltlich Verantwortlichen“ i.S.d. § 18 Abs. 2 MStV geben. Das also bitte nicht vergessen. Hier muss also eine Person angegeben werden, die insoweit die „Mütze“ aufhat.

Der Teufel steckt im Detail

Auch wenn die Ausgangsfrage leicht mit „Nein“ beantwortet werden konnte, steckt der Teufel bei der datenschutzrechtlichen Verantwortlichkeit doch sehr im Detail.

Denn da objektiv zu beurteilen ist, wer über Zweck und Mittel der Verarbeitung personenbezogener Daten entscheidet, kann sich die Frage u.U. nicht immer leicht beantworten lassen.

Darin stecken auch viele haftungsrechtliche Fragen, über die sich Anbieter, die gemeinsam mal ein „Projekt“ online bringen wollen, häufig nicht so ganz im Klaren sind.

Eine schlaue und überlegte Gestaltung kann hier also gefragt sein.