Datenschutz News 10/2022
In unseren Datenschutz-News 10/2022 informieren wir Sie über die Verwendung von Google (Web-)Fonts auf Webseiten, drohenden Abmahnungen und Schadensersatzansprüchen, der Abhängigkeit zum EU/US Datenschutz-Abkommen sowie den sich daraus für Sie ergebenden Datenschutzaspekten.
Verwendung von Google (Web-)Fonts und drohende Schadensersatz-ansprüche in Abhängigkeit zum EU/US Datenschutz-Abkommen
Aktuelle Vorfälle:
Derzeit erreichen uns zahlreiche Schreiben von Betroffenen bzgl. der Verwendung von Google (Web-)Fonts auf Webseiten und einem insoweit geltend gemachten Schadensersatzanspruch. In diesen Schreiben wird unter Berufung auf das Urteil des LG München I (https://rewis.io/urteile/urteil/lhm-20-01-2022-3-o-1749320/) verlangt, eine Zahlung von Schadensersatz i.H.v. 100,00 € zu entrichten.
Google (Web-)Fonts ist ein auf der Webseite eingebundener externer Webservice, der im Allgemeinen ein Programm ist, das An-fragen an externe Server stellt. Da dies somit Dritten potentiell eine Auswertung des Nutzerverhaltens ermöglicht, ist ein solcher Service datenschutzrechtlich relevant.
Über Google (Web-)Fonts werden verschiedene Schriftarten zur Darstellung von Text auf der Website eingebunden. Die Schriftarten werden dabei durch den Nutzer über Google bezogen. Es werden jedoch auch Statistiken über die ausgelieferten Schriftarten erstellt. Wenn man jetzt die Internetseite aufruft, auf der Google (Web-)Fonts eingebunden sind, dann führt dies also dazu, dass die IP Adresse des jeweiligen Endgeräts in die USA übermittelt wird. Durch den Aufruf des Servers in den USA werden dann perso-nenbezogene Daten in ein Drittland (= USA) übermittelt. Wir raten vom Einsatz ab, da dies also ein Service aus einem nicht-EU-Staat ohne angemessenes Datenschutzniveau darstellt.(Randnotiz: Einige Datenschutz-Aufsichtsbehörden vertreten zusätzlich die Meinung, dass auch mit einer Einwilligung eine solche Verarbeitung nicht datenschutzkonform möglich ist.)
Was sollten Sie jetzt tun?
Sie sollten prüfen, ob Sie solche externer Webservices, wie Google (Web-)Fonts, aus nicht-EU-Staat ohne angemessenes Daten-schutzniveau auf Ihrer Webseite im Einsatz haben.
Wenn dies der Fall ist, sollten Sie sich grundsätzlich die Frage stellen, warum dieser Service auf Ihrer Seite eingebunden ist, für was dieser bei Ihnen überhaupt genau benötigt und, wie hier im konkreten Fall mit Google (Web )Fonts, wie viele Schriftarten/-typen davon bei Ihnen betroffen sind. Kommen Sie zum Entschluss, dass der Service „Google (Web-)Fonts“ bei Ihnen gar nicht zwingend benötigt wird, sind die entsprechenden Schriftarten auf Ihrer Webseite zu löschen, sodass der externe Webservice nicht mehr bei Ihnen auf der Webseite eingebunden ist.
Wenn der Service bzw. die Schriftarten bei Ihnen aber dennoch zwingend benötig werden, sind die verwendeten Schriftarten und Schrifttypen zu identifizieren. Danach sollten Sie diese Google (Web-)Fonts herunterladen, auf Ihrem Server speichern und diese dann „lokal“ einbinden.
Gleiches ist u.a. bei den externen Webservices „Gstatic“ oder „Google APIs“ zu berücksichtigen. Wir raten hier ebenfalls vom Einsatz ab, da dies Services aus einem nicht-EU-Staat ohne angemessenes Datenschutzniveau darstellen.(Über den Dienst Gstatic wird der Aufbau der Internetseite beschleunigt. Statischer Inhalt wird hierbei auf den Servern von Google zwischengespeichert und beim Aufruf direkt ohne weitere Ladezeiten an den Besucher übertragen. Bei Google APIs handelt es sich um eine Sammlung von Schnittstellen zur Kommunikation zwischen den verschiedenen Google Diensten, die auf der Website zum Einsatz kommen. Meistens wird der Dienst dazu benutzt, die Google Maps-Karte auf der Internetseite einzubinden.)
Hintergrund zum „gekippten“ EU/US Datenschutz-Abkommen:
Der EuGH kam im Juli 2020 zu dem Schluss, dass das Datenschutzniveau in den USA nicht den Standards der EU entspricht. Die Richter bemängelten vor allem die weitreichenden Zugriffsmöglichkeiten von US-Geheimdiensten auf Daten von Europäern. Durch dieses EuGH-Urteil bestehen seitdem große Rechtsunsicherheit für Unternehmen beim Datentransfer zwischen den USA und der EU.
Aktuelle Entwicklung zum neuen Angemessenheitsbeschluss:
Präsident Joe Biden hat am 07.10.2022 einen Erlass verabschiedet, der unter anderem striktere Vorgaben für den Zugang von Ge-heimdiensten zu den Informationen vorsieht. Ein zentrales Element ist auch ein zweistufiger Mechanismus für EU-Bürger, sich über einen aus ihrer Sicht widerrechtlichen Zugriff zu beschweren.
Auf Basis von Bidens Erlass kann auf EU-Ebene das Verfahren für einen sogenannten Angemessenheitsbeschluss beginnen, der gleichwertige Datenschutzstandards zwischen der EU und den USA bescheinigen würde.
Gerne unterstützen wir Sie hier bei einer entsprechenden Prüfung und der rechtskonformen Umsetzung von Cookies oder Diensten auf Ihrer Webseite. So stellen sie sicher, sich nicht dem Vorwurf einer mangelhaften Umsetzung und somit po-tenziellen Schadensersatzansprüchen ausgesetzt zu sehen.
Die vollständige News als PDF können Sie hier herunterladen.