Wie Sie der Berichterstattung der letzten Wochen möglicherweise entnommen haben, ist der Einsatz mancher Tools nach neuester Rechtsprechung nicht (mehr) mit der Datenschutzgrundverordnung (DSGVO) zu vereinbaren (im konkreten Fall ging es um den Einsatz von Google Fonts). Neu an der aktuellen Rechtsprechung ist, dass nun schon der Verbindungsaufbau zu einem Google-Server bemängelt wird und nicht der Einsatz eines bestimmten Tools von Google.

Was können Sie tun?

Wir bieten Ihnen einen Check Ihrer Website an, in dem wir alle Drittanbietertools identifizieren und diese auf Vereinbarkeit mit der aktuellen DSGVO überprüfen. Diese Analyse dient Ihnen als Entscheidungsgrundlage für das weitere Vorgehen. Sie können sich so gezielt entscheiden, welche Tools weiter betrieben werden sollten und welche abgeschaltet werden müssen.

Diese Entscheidung besprechen Sie am besten mit Ihrem eigenen Datenschutzbeauftragten. Selbstverständlich stehen wir Ihnen als Digitalagentur auch mit Rat und Tat zur Seite.

Wie ist die Analyse aufgebaut?

In der Analyse nutzen wir mehrere Monitoring-Tools, um alle Drittanbieter zu identifizieren. Diese werden im Anschluss detailliert bzgl. möglicher Verbindungen zu US-Servern betrachtet.

Im Detail beinhaltet die Analyse folgende Punkte:

• Monitoring durch mehrere interne und externe Tools und Analyse der relevanten Dienste
• Bewertung der Ergebnisse 
• Suche nach möglichen alternativen Anbietern

Das erstinstanzliche Urteil des Landgerichts München (3O 17493/20) vom 20. Januar 2022 hat die Nutzung von Google Fonts aufgrund der Weitergabe der IP-Adresse an Google als nicht DSGVO-konform beurteilt. Geklagt hatte ein Webseitenbesucher.

Die Richter bejahten beim Kläger einen Schadensersatz in Höhe von € 100,- und zusätzlich einen Unterlassungsanspruch (§ 823 Abs. 1 i.V.m. § 1004 BGB analog)  verbunden mit einem Ordnungsgeld von bis zu 250.000,00 € bei Zuwiderhandlung.

Begründet wurde das Urteil damit, dass dynamische IP-Adressen als personenbezogene Daten zu qualifizieren sind.  Der Einsatz von Schriftartendiensten wie Google Fonts kann nicht auf Art. 6 Abs. 1 S.1 lit. f DSGVO (berechtigtes Interesse) gestützt werden, da der Einsatz der Schriftarten auch möglich ist, ohne dass eine Verbindung von Besuchern zu Google Servern hergestellt werden muss. Die unerlaubte Weitergabe der IP-Adresse an Google stellt eine Verletzung des allgemeinen Persönlichkeitsrechtes (§ 823 Abs. 1 BGB) dar. Eine Wiederholungsgefahr war nach Ansicht der Richter zu bejahen, daraus resultierte dann der Unterlassungsanspruch. Die Richter folgten mit ihrem Urteil der Rechtsprechung des EuGH (Urteil vom 16.7.2020 - C-311/18), weil die IP-Adresse zu Servern von Google in den USA übermittelt wurde, wobei dort, nach Ansicht des Gerichts, kein angemessenes Datenschutzniveau gewährleistet ist.

Neben diesem Urteil gibt es noch weitere aktuelle Urteile und Verwaltungsentscheidungen, die belegen, dass die nationalen Gerichte und europäischen Datenschutzbehörden nunmehr die EuGH-Rechtsprechung in Bezug auf die Übermittlung personenbezogener Daten außerhalb der EU/des EWR direkt umsetzen und nur unter bestimmten Voraussetzungen als DSGVO-konform einstufen.

Das bedeutet, dass auf Websites möglicherweise Tools eingebaut sind, bei denen eine Weitergabe und Speicherung personenbezogener Daten außerhalb der EU/des EWR nicht auszuschließen ist, und diese dann möglicherweise nach EU-Recht nicht hinreichend geschützt sind bzw. auf die von ausländischen Behörden zugegriffen wird. Der Einsatz entsprechender Tools würde einen datenschutzrechtlichen Verstoß darstellen, mit entsprechenden rechtlichen Risiken für Ihr Unternehmen.