Schlagwort-Archive: DSGVO

Abmahnwelle wegen Google Fonts


Ingolstadt, 12.10.2022: Viele Betreiber von Websites erhalten derzeit Abmahnungen, weil sie durch die dynamische Einbindung von Google Fonts angeblich gegen die Datenschutzgrundverordnung (DSGVO) verstoßen hätten. Diese Abmahnungen stellen sich u. E. in vielen Fällen als rechtsmissbräuchlich dar. Im Folgenden geben wir Ihnen Hinweise zu unserer Einschätzung und zum weiteren Vorgehen.

Hintergrund:

Bei Google Fonts handelt es sich um einen kostenlosen Service von Google, der über eintausend Fonts zur Einbindung auf einer Website zur Verfügung stellt (https:// fonts. google. com/). Diese Einbindung der Google Fonts kann lokal oder dynamisch erfolgen. Bei einer dynamischen Einbindung kommt es regelmäßig dazu, dass der Browser des Website Besuchers einen oder mehrere Fonts vom Google Service in den USA im Hintergrund nachlädt. Dabei wird auch die dynamische IP-Adresse des Benutzers an Google übertragen. Da die IP-Adresse nach der Legaldefinition in Art. 4 Ziff. 1 DSGVO ein personenbeziehbares Datum ist, verstößt es gegen die DSGVO, wenn die IP-Adresse ohne vorherige Zustimmung des Betroffenen an Google in den USA übertragen wird. Das hat das Landgericht München kürzlich so entschieden (Urteil vom 20. Jan. 2022 – Az. 3 O 17493/20 -). In diesem Fall hat das Gericht dem Kläger zudem einen immateriellen Schadensersatz gem. Art. 82 Abs. 1 der DSGVO i. H. von 100,- € zugesprochen. Fraglich ist jedoch, was eine für einen immateriellen Schadenersatzanspruch aus Art. 82 Abs. 1 DSGVO ausreichende Intensität einer Verletzung des allgemeinen Persönlichkeitsrechts sein kann. Nach Ansicht des Landgerichts München soll ein bloßer „Kontrollverlust“ einer dynamischen IP-Adresse an Google und/oder ein damit verbundenes „empfundenes individuelles Unwohlsein“ bereits ausreichen. Diese umstrittene Entscheidung dient derzeit offensichtlich einigen Rechtsanwälten als Grundlage dafür, massenhaft Betreiber von Websites mit dynamischer Einbindung von Google Fonts abzumahnen.

Rechtliche Einschätzung

Aus rechtlicher Sicht sind diese Massenabmahnungen in vielerlei Hinsicht problematisch. Vieles spricht dafür, dass sie rechtsmissbräuchlich und daher unwirksam sind. Denn ganz offensichtlich rufen diese „Abmahner“ Websites mit dynamisch eingebundenen Google Fonts ganz gezielt nur deshalb auf, um einen Verstoß gegen die DSGVO zu konstruieren. Und zwar primär in der Absicht einen immateriellen Schadensersatz gem. Art. 82 Abs. 1 DSGVO geltend zu machen. Bei dieser Konstellation kann man ausschließen, dass ein solcher Nutzer durch die von ihm wissentlich und willentlich ausgelöste Übertragung seiner IP-Adresse an Google in den USA in seinem allgemeinen Persönlichkeitsrecht verletzt ist.

Im Übrigen hat inzwischen das LG Ravensburg mit Beschluss vom 30.06.2022 – 1 S 27/22 – den EuGH mit einer sog. Vorabentscheidungsfrage um rechtsverbindliche Klärung gebeten, wie der Begriff des immateriellen Schadens in Art. 82 Abs. 1 DSGVO auszulegen ist:

„Ist der Begriff des immateriellen Schadens in Artikel 82 Abs. 1 DSGVO dahin auszulegen, dass die Annahme eines immateriellen Schadens einen spürbaren Nachteil und eine objektiv nachvollziehbare Beeinträchtigung persönlichkeitsbezogener Belange erfordert oder genügt hierfür der bloße kurzfristige Verlust des Betroffenen über die Hoheit seiner Daten wegen der Veröffentlichung personenbezogener Daten im Internet für einen Zeitraum von wenigen Tagen, der ohne jedwede spürbare bzw. nachteilige Konsequenzen für den Betroffenen blieb?“

Das LG Ravensburg sagt in seinem Beschluss selbst, dass es die Auffassung vertrete, “… für die Bejahung eines immateriellen Schadens müsse eine Bagatellgrenze überschritten sein, die bei einem lediglich kurzfristigen Verlust der Datenhoheit, der keinerlei spürbare Nachteile für die betroffenen Personen verursacht habe, nicht überschritten sei.

Folgt der EuGH dem wohlbegründeten Vorlagebeschluss der LG Ravensburg, was aus Sicht des Autors ausgesprochen wahrscheinlich ist, wird die aktuelle Abmahnwelle damit erledigt sein. Die Gerichte werden weitere Entscheidungen in vergleichbaren Fällen bis zur Entscheidung des EuGH aussetzen.

Empfehlung

Wenn Sie eine Abmahnung durch einen Rechtsanwalt erhalten, sollten Sie die Sache aber trotzdem nicht einfach auf sich beruhen lassen. Wichtig wäre statt einer dynamischen Einbindung von Google Fonts unverzüglich auf eine datenschutzfreundlichere lokale Lösung zu wechseln, die von Google ebenfalls unterstützt wird. Denn wenn die Fonts auf dem lokalen Webserver liegen, werden Fonts von dort nachgeladen und es kommt nicht zu einer Übertragung der IP-Adresse an Google in den USA. Darüber hinaus wäre es wichtig, selbst einen Rechtsanwalt einzuschalten um die mit den Abmahnungen geltend gemachten Ansprüche abzuwehren.

Gerold Hübner
Rechtsanwalt | Of Counsel

Gastbeitrag: Aktive Datenschutzkontrollen durch die Aufsichtsbehörden nehmen zu!


München, 09.08.2021: Unser Kooperationspartner im Bereich Datenschutzrecht, das Institut für Datenschutzrecht – Weller, dort dessen Geschäftsführer Herr Rechtsanwalt Sascha Weller, informiert in diesem Gastbeitrag über die weiterhin zunehmenden aktiven und meist ohne konkreten Anlass erfolgenden Datenschutzkontrollen der Aufsichtsbehörden:

Die Aufsichtsbehörden verstärken weiterhin die Datenschutzkontrollen. So kam es nun auch dazu, dass ein Unternehmen aus Niedersachsen 65.500 € Bußgeld zahlen musste, da es eine veraltete Software benutzt hatte, die Passwörter nicht angemessen absicherte.

Was war passiert?

Anlass des Verfahrens war eine Meldung eines Unternehmens an die Aufsichtsbehörde hinsichtlich eines Datenschutzvorfalls. Diese Meldung wurde zum Anlass genommen, weitere Prüfungen beim betroffenen Unternehmen durchzuführen. So wurde beispielsweise auch dessen Webseite unter technischen Gesichtspunkten überprüft. Hierbei stellte sich heraus, dass auf der Webseite eine Anwendung eingesetzt wurde, deren Version veraltet war und nicht mehr mit Sicherheitsupdates versorgt wurde. Die weiteren Ermittlungen der Aufsichtsbehörde ergaben, dass die in der Datenbank abgelegten Passwörter zwar „mit der kryptografischen Hashfunktion MD5 gesichert“ waren, diese jedoch nicht für den Einsatz mit Passwörtern ausgelegt ist. Hierdurch wäre eine Berechnung der Klartext-Passwörter und somit weitere Angriffsvektoren möglich gewesen. Die Aufsichtsbehörde kam somit zum Ergebnis, dass die vom betroffenen Unternehmen ergriffenen Maßnahmen nicht dem Schutzbedarf der DSGVO angemessen waren und setzte eine Geldbuße in Höhe von 65.500 € fest.

Praxisempfehlung:

Bereits seit Einführung der DSGVO im Jahr 2018 haben die Aufsichtsbehörden immer wieder angekündigt, auch aktive Prüfungen in den Unternehmen durchzuführen. Diese Ankündigung scheint zwischenzeitlich auch immer häufiger in die Praxis umgesetzt zu werden. Der oben geschilderte Fall einer aktiven Prüfung stellt zwischenzeitlich keinen Einzelfall mehr dar. Vielmehr ist davon auszugehen, dass dies in den kommenden Jahren wohl eher die Regel werden dürfte.

Ich werde Sie diesbezüglich natürlich weiter auf dem Laufenden halten!

Sascha Weller, Rechtsanwalt und externer Datenschutzbeauftragter, Institut für Datenschutzrecht – Weller

Gastbeitrag: Nochmal Datenschutzrecht und Cookies!


Und wieder erreicht die Kanzlei eine Information unseres Kooperationspartners im Datenschutzrechts, dem Institut für Datenschutzrecht, konkret Herrn Sascha Weller, die für alle unsere Mandanten von hoher Wichtigkeit ist. Diese Mitteilung schließt an Beiträge aus Anfang Oktober und Mitte November 2019 an:

„Sowohl der Bundesbeauftragte für den Datenschutz, wie auch diverse Datenschutzaufsichtsbehörden der Länder haben nochmals darauf hingewiesen, dass im Falle der Einbindung von Dritt-Diensten, deren Anbieter personenbezogene Daten auch für eigene Zwecke nutzen, auf Websites eine Einwilligung der Nutzer eingeholt werden muss. Anderenfalls ist der Einsatz dieser Dienste, zu denen beispielsweise auch Google Analytics zählt, unzulässig.

Die Websites sollten daher auf Dritt-Inhalte und Tracking-Mechanismen überprüft werden. Wer Funktionen nutzt, die eine Einwilligung erfordern, muss diese entweder einholen oder die Funktion entfernen. Eine Einwilligung ist nur dann wirksam, wenn die Nutzer der Datenverarbeitung eindeutig und informiert zustimmen. Die Aufsichtsbehörden weisen abermals darauf hin, dass ein Cookie Banner, welches beispielsweise davon ausgeht, dass reines Weitersurfen auf der Website oder Ähnliches eine Einwilligung bedeutet, unzureichend ist. Dasselbe gilt, wenn die Einwilligung durch ein bereits aktiviertes Kästchen vorgegeben bzw. durch Entfernen des Häkchens widerrufen werden soll (Opt-out). Vielmehr muss der Nutzer das Kästchen selbst aktiv anklicken (Opt-in).

Diese Hinweise ergingen, nachdem seit dem Urteil des Europäischen Gerichtshofs vom 1. Oktober 2019 vermehrt Beschwerden und Hinweise hinsichtlich dieser Thematik bei den Aufsichtsbehörden eingingen. Die Aufsichtsbehörden erklärten in diesem Zusammenhang auch, zukünftig schneller entsprechende Kontrollverfahren einzuleiten und etwaige Verstöße zu ahnden.

Sascha Weller
IDR Weller – Institut für Datenschutzrecht

Michael Hill
Rechtsanwalt | Partner