Google Analytics und Google Fonts
Die von Google LLC bzw. Google Ireland Limited („Google“) angebotenen Tools und Dienste, insbesondere Google Analytics und Google Fonts, werden auf vielen Websites und Online-Shops eingesetzt. Google Analytics ist ein Trackingtool, mit dem u. a. das Verhalten von Besuchern von Websites ausgewertet werden kann. Google Analytics weist jedem Website-Besucher eine einzigartige Nutzer-ID-Nummer, die regelmäßig zusammen mit der IP-Adresse des Endgeräts des Website-Besuchers an Google übermittelt werden. Google Fonts ist ein Dienst, über den verschiedene Schriftarten für Websites und Online-Shops genutzt werden können, ohne dass diese auf dem eigenen Server vorgehalten werden müssen. Im Fall einer solchen dynamischen Einbindung werden die eingebundenen Schriftarten bei Aufruf der Website über Server von Google geladen, wozu eine Übertragung von Browser- und Gerätedaten, einschließlich der IP-Adresse des Endgeräts des Besuchers, an Google übertragen werden. Alternativ ist es möglich, die eingebundenen Schriftarten auf dem eigenen Server zu speichern und von dort zu laden.
Datenschutzrechtliches Problem: Datentransfer in die USA
Die von Google Analytics bzw. Google Fonts erhobenen Daten des Besuchers, einschließlich der IP-Adresse des vom Besucher verwendeten Endgeräts, werden nicht nur an die in Europa unterhaltenen Server von Google, sondern auch an diejenigen Server von Google übertragen, die sich in den USA befinden. Soweit unter den übertragenen Daten auch personenbezogene Daten im Sinne von Artikel 4 Nr. 1 Datenschutz-Grundverordnung (DS-GVO) sind, ist eine Übermittlung in die USA nur dann datenschutzrechtlich zulässig, wenn die Voraussetzungen von Kapitel V der DS-GVO (d. h. der Artikel 44 ff. DS-GVO) eingehalten sind, schließlich handelt es sich bei den USA um ein Drittland. Dies führt zu Problemen, da es sich nach Auffassung der europäischen Datenschutzbehörden und der Rechtsprechung jedenfalls bei der IP-Adresse um ein personenbezogenes Datum handelt.
Datenschutzbehörden in Österreich und Frankreich: Google Analytics verstößt gegen DS-GVO
Bereits am 22.12.2021 entschied die österreichische Datenschutzbehörde, dass der Einsatz von Google Analytics gegen die Vorgaben der DS-GVO verstößt (abrufbar unter: noyb.eu/sites/default/files/2022-01/E-DSB%20-%20Google%20Analytics_DE_bk_0.pdf). Zum gleichen Ergebnis kam die französische Datenschutzbehörde (CNIL) in ihrer Entscheidung vom 10.02.2022 (abrufbar in Französisch unter: www.cnil.fr/sites/default/files/atoms/files/med_google_analytics_anonymisee.pdf sowie in Englisch unter: www.cnil.fr/sites/default/files/atoms/files/decision_ordering_to_comply_anonymised_-_google_analytics.pdf). Beide Behörden gehen davon aus, dass Google Analytics personenbezogene Daten, nämlich die Nutzer-ID-Nummer zusammen mit u. a. der IP-Adresse, in ein Drittland ohne angemessenes Datenschutzniveau, nämlich die USA, übermittelt, ohne dass die Voraussetzungen der DS-GVO für eine zulässige Übermittlung personenbezogener Daten an ein Drittland erfüllt seien. Zwar verwendet Google sog. Standardvertragsklauseln (SCC) im Sinne von Artikel 46 Abs. 2 Buchstabe c) DS-GVO und ergreift wohl auch zusätzliche Maßnahmen. Diese zusätzlichen Maßnahmen seien aber nicht ausreichend, da Google – und damit auch die US-Nachrichtendienste – die Möglichkeit habe, im Klartext auf die übermittelten Daten zugreifen könne.
Beide Datenschutzbehörden verpflichteten die Verantwortlichen, die datenschutzrechtswidrige Übermittlung von personenbezogenen Daten in die USA abzustellen und Google Analytics zukünftig nur noch datenschutzkonform einzusetzen.
In einer aktuellen Stellungnahme vom 07.06.2022 führt die CNIL aus, dass eine datenschutzkonforme Nutzung von Google Analytics dann möglich sein kann, wenn sichergestellt ist, dass nur pseudonymisierte Daten an Google übermittelt werden. Dies könne, so die CNIL, dadurch erreicht werden, dass der Betreiber der Website, auf der Google Analytics eingesetzt wird, einen Proxy-Server verwendet, um jeden direkten Kontakt zwischen dem Endgerät des Nutzers und Google zu verhindern. Die Stellungnahme ist abrufbar unter www.cnil.fr/fr/cookies-et-autres-traceurs/regles/google-analytics-et-transferts-de-donnees-comment-mettre-son-outil-de-mesure-daudience-en-conformite.
Landgericht München I: Dynamische Einbindung von Google Fonts nur mit Einwilligung zulässig – Schadensersatzanspruch in Höhe von 100 €
Auch das Landgericht München I geht in seiner Entscheidung aus Januar 2022 (LG München I, Urteil vom 20. Januar 2022 – 3 O 17493/20 –) davon aus, dass es sich bei der an Google weitergebenen dynamischen IP-Adresse des Besuchers einer Website um ein personenbezogenes Datum handelt. Nach Auffassung des Landgerichts sei die Übertragung der IP-Adresse des Besuchers nur auf der Grundlage einer Einwilligung zulässig. Auf ein berechtigtes Interesse könne der Betreiber der Website die dynamische Einbindung der Schriftarten und die damit verbundene Übertragung der IP-Adresse an Google nicht stützen, da er die eingebundenen Schriftarten auch auf seinem Server, d. h. lokal, speichern könne.
Da es im entschiedenen Fall an der erforderlichen Einwilligung fehlte, ging das Landgericht von einem nach dem Datenschutzrecht unzulässigen Eingriff in das allgemeine Persönlichkeitsrecht des Klägers aus. Dieser Eingriff begründete nach Auffassung des Landgerichts einen Schadensersatzanspruch gemäß Artikel 82 DS-GVO in Höhe von 100 €. Bei der Bemessung des Schadensersatzanspruch berücksichtigte das Landgericht dann auch den Umstand, dass eine Übertragung personenbezogener Daten in ein unsicheres Drittland, nämlich die USA, erfolgte.
Rechtsfolgen für die Praxis
Legt man die Auffassungen der österreichischen und französischen Datenschutzbehörden zu Google Analytics und zugrunde, dann scheidet ein datenschutzkonformer Einsatz von Google Analytics derzeit nahezu aus. Da die von Google zusätzlich zum Abschluss der Standardvertragsklauseln ergriffenen Maßnahmen als nicht ausreichend angesehen werden und der Betreiber der Website bzw. des Online-Shops hierauf selbst keinen Einfluss nehmen kann, wäre es an Google, die zusätzlichen Maßnahmen bzw. seinen Dienst anpassen, um die Vorgaben der DS-GVO zu erfüllen. Solange dies nicht erfolgt, bliebe nur der Einsatz eines Proxy-Server, was mit erheblichem technischem und wirtschaftlichem Aufwand verbunden wäre.
Zwar liegen bislang keine Stellungnahmen der deutschen Datenschutzbehörde zu Google Analytics vor. Dass diese zu einer abweichenden Einschätzung gelangen, ist aber unwahrscheinlich. Damit besteht auch in Deutschland das Risiko, dass die Verwendung von Google Analytics in der bisherigen Form mit einem Bußgeld geahndet und für die Zukunft untersagt wird.
Geht man mit dem Landgericht München I davon aus, dass eine Einwilligung des Besuchers der Website bzw. des Online-Shops erforderlich ist, dann scheidet eine datenschutzkonforme Verwendung von Google Fonts im Wege der dynamischen Einbindung der Schriftarten jedenfalls dann aus, wenn keine wirksame Einwilligung vorliegt.
Ob allerdings die Einholung einer Einwilligung tatsächlich ausreichend ist, um die Datenübermittlung in die USA zulässig zu machen, erscheint fraglich, da die in Artikel 49 Abs. 1 Satz 1 Buchstabe a) DS-GVO vorgesehene Einwilligungsmöglichkeit nur bei gelegentlich erfolgenden Übermittlungen in Betracht kommt (siehe Artikel 49 Abs. 1 Satz 2 und Erwägungsgrund 111 DS-GVO). Da bei der dynamischen Einbindung der Schriftarten bei jedem Besuch der Website bzw. des Online-Shops die IP-Adresse übermittelt wird, dürfte eher eine wiederholte, denn eine gelegentliche Übermittlung erfolgen.
Da die Auffassungen der zitierten Datenschutzbehörden auf Google Fonts und die Auffassung des Landgerichts München I auf Google Analytics übertragen werden können, drohen bei der Verwendung von Google Analytics und Google Fonts (im Fall der dynamischen Einbindung) nicht nur aufsichtsbehördliche Maßnahmen wie Untersagungen und Bußgelder, sondern auch Schadensersatzforderungen von Besuchern der Website bzw. des Online-Shops.
TIPP: Setzen Sie auf Ihrer Website bzw. in Ihrem Online-Shops Google Analytics und/oder Google Fonts – oder auch weitere Tools von Google und/oder ähnliche Tools anderer Anbieter insbesondere aus den USA – ein, dann sollten Sie sich diese Risiken bewusst machen und Möglichkeiten prüfen, um diese Risiken zumindest zu minimieren. Wenn Sie in diesem Zusammenhang Fragen und/oder konkreten Beratungsbedarf haben, sprechen Sie uns gerne an.
Für ergänzende Erläuterungen steht Ihnen Herr Rechtsanwalt Patrick Steinhausen LL.M.,, gerne zur Verfügung.