Die Tools von Google erleichtern die Websitegestaltung enorm. Gleichzeitig stehen sie im Fokus der Datenschutzbehörden. Aktuelle Entwicklungen gibt es zu Google Analytics und Google Fonts (Schriftartenbibliothek). Was Sie beim Einsatz dieser Tools beachten – und gerade in Bezug auf Google Fonts zeitnah ändern – sollten, erfahren Sie in diesem Artikel.
1. Google Fonts
Zum Jahresbeginn hat das LG München eine folgenreiche Entscheidung getroffen: Es hat einem Websitebesucher einen Schadensersatz i.H.v. 100 Euro gegen den Websitebetreiber zugesprochen, weil dieser Google Fonts eingesetzt und dafür die IP-Adresse des Websitebesuchers an Google übertragen hatte (Urt. v. 20.01.2022 – 3 O 17493/20). Google Fonts bietet Schriftarten für eine optimierte Darstellung der Website an. Um diese anzuzeigen, wird die IP-Adresse des Besuchers an Google übermittelt, wenn Google Fonts nicht lokal auf eigenen Serverkapazitäten eingebunden ist.
Das Gericht sah keine Erlaubnisgrundlage für diese Datenübertragung, so dass es auf einen womöglich unzulässigen Drittstaatentransfer nicht mehr ankam. Solche Erlaubnisgrundlagen enthält Art. 6 DSGVO, etwa die Einwilligung oder überwiegende berechtigte Interessen. Eine Einwilligung kommt beim Einsatz von Schriftartenbibliotheken regelmäßig nicht in Betracht, da die Seite ohne Google Fonts nicht wie vom Betreiber gewünscht angezeigt werden kann. Und berechtigte Interessen verneinte das LG München, da es auch andere, weniger datenintensive Lösungen gäbe.
Die Entscheidung zeigt, wie brisant der Einsatz von Online-Tools sein kann. Die Schadensersatzforderungen angeblicher Websitebesucher nehmen aktuell enorm zu. Es ist daher ungeachtet der Kritikpunkte an der Entscheidung des LG München anzuraten, Google Fonts von den eigenen Websites zu verbannen (oder lokal einzubinden).
Update November 2022: Seit einigen Wochen nehmen die Abmahnung vor allem durch zwei Kollegen wieder enorm zu. Alleine wir haben eine zweistellige Anzahl an Abmahnschreiben unserer Mandanten gesehen, Kollegen berichten über etliche weitere. Unsere Empfehlung:
- Websitegestaltung überprüfen: KEINE aktive Google Fonts-Einbindung!
- Ignorieren und nicht zahlen: Einen Zahlungsanspruch sehen wir nicht. Teils fehlt schon am Nachweis der Bevollmächtigung. Alleine durch die Vielzahl der geltend gemachten Ansprüche liegt zudem ein Rechtsmissbrauch nahe. Einige Kollegen haben schon Strafanzeige (wegen nicht korrekter Gebührenberechnung) und negative Feststellungsklage gegen die Abmahnungen eingelegt.
- Auch Auskunftsanspruch nach Art. 15 DSGVO i.d.R. ohne Substanz: Auch ein geltend gemachter Auskunftsanspruch kann – bei Vollmachtsnachweis – meist über eine Negativauskunft erledigt werden (oder kann Ihr Unternehmen Daten des Herrn Ismail finden?) oder aber ignoriert werden (hier gibt es erste gut begründete Stimmen, dass auch ein solch massenhafter Auskunftsanspruch rechtsmissbräuchlich, exzessiv und damit nach Art. 12 DSGVO letztlich unbeachtlich ist).
2. Google Analytics
Der Einsatz von Google Analytics löst bereits seit längerem Bedenken bei den Datenschutzbehörden aus (wir berichteten in unserem Blog und in unserem Newsletter zum Jahresbeginn zu den Anforderungen an Analysedienste generell).
Jüngst hat nun eine weitere Aufsichtsbehörde in einem konkreten Fall den Einsatz von Google Analytics als rechtswidrig eingestuft: Die italienische Aufsichtsbehörde (SA) in einem Verfahren um eine e commerce Plattform.
Ob die Entscheidung unmittelbar auf den Einsatz von Google Analytics auf eigenen Websites übertragbar ist, hängt entscheidend von der konkreten Ausgestaltung ab:
- Konfiguration
Im Verfahren der italienischen SA war die fehlende „IP-Anonymisierung“ einer der wesentlichen Kritikpunkte der Datenschutzaufsichtsbehörde. Diese sollte stets aktiviert sein, bei neueren Versionen von Google Analytics soll dies standardisiert erfolgen (die Überprüfung bleibt aber dringend anzuraten).
Die italienische Datenschutzbehörde hält die IP-Anonymisierung mit Blick auf die Möglichkeit von Google, die gekürzte IP-Adresse mit weiteren Informationen in ihrem Besitz anzureichern und so die Re-Identifizierung des Nutzers womöglich doch zu ermöglichen, allein allerdings nicht für ausreichend. Eine weitere geeignete technische Maßnahme könnte nach der SA der Einsatz von Datenverschlüsselungsmechanismen während der Übertragung und im Ruhezustand sein. Derartige Zusatzmaßnahmen werden nach unserem Kenntnisstand von Google aktuell noch nicht angeboten.
Zudem ist zu prüfen, ob die „UID“ deaktiviert werden kann: In der Ausgangseinstellung wird beim Einsatz von Google Analytics regelmäßig eine einzigartige Kennnummer mit vergeben (UID), die, wie auch im italienischen Verfahren geschehen, eine Identifikation des Browsers oder Geräts des Websitebesuchers ermöglicht. Deaktiviert man diese Funktion, so fällt ein weiteres personenbezogenes Datum weg, das unter Einhaltung des Datenschutzes transferiert werden könnte. Schwieriger wird dann aber auch eine Nachverfolgung einzelner Nutzer über mehrere Endgeräte hinweg.
- Einwilligungslösung
In dem österreichischen Verfahren war unter anderem problematisch, dass bei der Aktivierung von Google Analytics keine Einwilligung der Websitenutzer verlangt wurde, sondern lediglich die Möglichkeit des Widerspruchs bestand („Opt-Out“). Um datenschutzrechtliche Risiken zu minimieren, ist die Aktivierung von Google Analytics nur mit Einwilligung eines jeden Nutzers zu empfehlen („Opt-In“). Wie dies im italienischen Verfahren gelöst war, ergibt sich aus der Entscheidung nicht eindeutig.
- Standardvertragsklauseln
Dem italienischen Verfahren lagen, wie auch in den anderen bereits entschiedenen Verfahren, jeweils nur die alten Standardvertragsklauseln zugrunde. Sind die neuen Standardvertragsklauseln 2021 abgeschlossen, verbessert sich die Situation erheblich, da die neuen Standardvertragsklauseln viele Schwachstellen der alten Version ausräumen. Die alten Standardvertragsklauseln laufen zum 27.12.2022 aus, daher sollten sie ohnehin innerhalb des nächsten halben Jahres flächendeckend abgelöst werden. Auch Google nutzt mittlerweile die neuen Standardvertragsklauseln.
Es bleibt damit auch nach der italienischen Entscheidung dabei: Google Analytics steht in der datenschutzrechtlichen Kritik. Ob der Einsatz aber tatsächlich datenschutzrechtswidrig ist, hängt von der Ausgestaltung im Einzelfall ab.