Datenschutz: Wichtige Entscheidungen zu Google Fonts und Google Analytics
Das Landgericht München sowie mehrere Datenschutzbehörden haben Entscheidungen zu den beliebten Diensten “Google Analytics” und “Google Fonts” getroffen. Website-Betreiber*innen sollten prüfen, ob Handlungsbedarf besteht.
Google Fonts: Nicht ohne Einwilligung mit “Gefahrenhinweis”
Das Landgericht München hat mit Urteil vom 20. Januar 2022 (Az. 3 O 17493/20) einen Unterlassungsanspruch bestätigt, nach dem es der beklagten Partei untersagt wird, Google Fonts lediglich auf Basis berechtigter Interessen nach Art. 6 Abs. 1 S. 1 lit. f DSGVO zu nutzen.
Google Fonts (und andere Anbieter sogenannter Webfonts wie zum Beispiel Adobe Fonts) bieten Website-Betreiber*innen die Möglichkeit, individuelle Schriftarten auf ihren Websites zu nutzen, die üblicherweise nicht auf den Geräten der Besucher*innen vorinstalliert sind.
Im vorliegenden Fall hat die Beklagte Google Fonts derart in ihre Website eingebunden, dass bei jedem Aufruf die IP-Adresse der Besucher*innen an Google gesendet und die Schriftart aus dem Internet nachgeladen wurde. Dabei stützte sie sich auf ihre berechtigten Interessen nach Art. 6 Abs. 1 S. 1 lit. f DSGVO als Rechtsgrundlage.
Das Landgericht München begründete den Unterlassungsanspruch damit, dass ein berechtigtes Interesse nicht vorliegt. Der Einsatz der externen Schriftarten sei auch möglich, ohne dass eine Verbindung von Besucher*innen zu Google hergestellt werden muss. Darüber hinaus bestätigte es einen Schadensersatzanspruch aufgrund der Verletzung des allgemeinen Persönlichkeitsrechts der Klägerseite durch die ungefragte Übertragung personenbezogener Daten (hier: IP-Adresse) an Google.
Angesichts des Urteils sollte geprüft werden, auf welche Weise Webfonts eingebunden werden und auf welche Rechtsgrundlage die Datenverarbeitung gestützt wird. Sollen die Schriftarten weiter dynamisch direkt vom Anbieter geladen werden (beispielsweise über fonts.googleapis.com), dürfte für die hierfür notwendige Übertragung der IP-Adresse der Besucher*innen an den Anbieter eine Einwilligung erforderlich sein, in der über die bestehenden möglichen Risiken derartiger Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien unterrichtet wird. Diese kann zum Beispiel im Rahmen eines Cookie-Banners mit ausdrücklichem Hinweistext eingeholt werden, noch bevor eine Verbindung zum externen Dienst aufgebaut wird.
Die deutlich einfachere und datenschutzfreundlichere Option ist, die Einbindung so umzugestalten, dass die Webfonts auf dem eigenen Server zum Download angeboten werden (“self hosted”). Dafür werden die ausgewählten Schriftarten (unter Beachtung der Nutzungsbedingungen) vom Anbieter heruntergeladen und auf den eigenen Server hochladen. Mit dieser Option entfällt die vom Gericht beanstandete Übertragung personenbezogener Daten an die externen Dienste komplett, eine gesonderte Einwilligung ist dann regelmäßig nicht mehr erforderlich.
Google Analytics: Datenübermittlung in die USA unzulässig?
Die österreichische und die französische Datenschutzbehörde haben unabhängig voneinander im Januar und Februar aufgrund von Datenschutzbeschwerden entschieden, dass die Einbindung des Tracking-Tools Google Analytics regelmäßig gegen die DSGVO verstößt.
Google Analytics sammelt unter anderem einen einzigartigen Fingerabdruck, die besuchte Webadresse, die IP-Adresse und Eigenschaften des Browsers. Diese können nach Feststellung der Datenschutzbehörden nach dem Versand in die USA mit zusätzlich Daten verknüpft werden, etwa dem Google-Account der Besucher*innen.
Die von Google für den Dienst Analytics eingesetzten technisch-organisatorischen Maßnahmen und die für die Übermittlung in die USA verwendeten Standardvertragsklauseln genügen nach Feststellung der Behörden insbesondere nicht, um auszuschließen, dass die übertragenen Daten der Überwachung durch US-Nachrichtendienste unterliegen. Auch die von Google 2021 zusätzlich implementierten vertraglichen, technischen und organisatorischen Maßnahmen reichen laut Datenschutzbehörden nicht aus – damit lagen keine ausreichenden Garantien für die Übertragung in ein Drittland (hier die USA) vor.
Die Beschlüsse aus den Nachbarländern haben grundsätzlich keine unmittelbare Wirkung auf Unternehmen in Deutschland. Es ist jedoch zu erwarten, dass deutsche Datenschutzbehörden angesichts ihrer bisherigen Stellungnahmen zu Übermittlungen in die USA diesen Kurs ebenfalls einschlagen werden.
Betreiber*innen von Website sollten evaluieren, ob sie Google Analytics (oder andere US-Trackingtools) weiterhin einsetzen wollen – etwa über eine ausdrückliche Einwilligung gemäß Art. 49 DSGVO, nachdem sie Besucher*innen über die für sie bestehenden möglichen Risiken derartiger Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien unterrichtet haben. Alternativ können sie zu Statistikzwecken entweder auf anonymisierte Statistiktools umsteigen oder auf solche, die von einem EU-Unternehmen ausschließlich auf EU-Servern bereitgestellt werden.
Langfristige Lösung dringend notwendig
Die IHK-Organisation fordert, den vom EuGH 2020 für ungültig erklärten Privacy Shield mit einem neuen Angemessenheitsbeschluss zu ersetzen, der “per Gesetz” ein angemessenes Schutzniveau für die Daten von EU-Bürger*innen in den USA garantiert und so die seit 2020 vorherrschende Rechtsunsicherheit für Unternehmen beim Austausch von Daten mit den Vereinigten Staaten beseitigt.