07.12.2022
Google Fonts und Google Analytics – Können die Tools noch datenschutzkonform genutzt werden?
Die Nutzung von Google Fonts und Google Analytics bringen datenschutzrechtliche Risiken mit sich, insbesondere nachdem europäische Gerichte und Datenschutzbehörden ihre Verwendung immer kritischer sehen. Wir geben daher einen Überblick.
Inhalt
- Was sind Google Analytics und Google Fonts?
- Welche rechtlichen Probleme entstehen durch die Anwendung dieser Systeme?
- Welche „Gefahren“ entstehen durch das Urteil des LG München und die der Datenschutzbehörden?
- Was sind rechtliche Umsetzungsmöglichkeiten in der Praxis? Was müssen Unternehmen bei der Verwendung der Systeme beachten?
- Fazit
Dr. Philipp Siedenburg
Director Datenschutz
Google Fonts und Google Analytics gehören mittlerweile zu den Standardtools von Webseitenbetreiber:innen. Beide Google-Werkzeuge können zahlreiche Vorteile mit sich bringen, um eine Website modern und zielgruppenorientiert zu entwerfen. Doch die Nutzung der Systeme bringt auch datenschutzrechtliche Risiken mit sich, insbesondere nachdem europäische Gerichte und Datenschutzbehörden ihre Verwendung immer kritischer sehen. Der folgende Beitrag soll einen Überblick über die Rechtslage zu beiden Tools geben, sodass die Unsicherheiten in Bezug auf ihren Einsatz besser eingeschätzt werden können.
Was sind Google Analytics und Google Fonts?
1. Google Fonts
Sollen beispielsweise Websites, Apps oder E-Books mit Inhalten gefüllt werden oder möchte ein Unternehmen ein Logo entwerfen, bedarf es dafür einer Schriftart. Meistens bietet es sich dabei an, auf bereits bewährte Fonts zurückzugreifen, über die die meisten Endgeräte standardmäßig ohnehin verfügen. Viele Anbieter:innen möchten jedoch darüber hinaus spezielle Schriftarten mit besonderem Design aus der Datenbank Google Fonts nutzen. Diese ist ein interaktives Verzeichnis mit mehr als 1400 Schriftarten, die Google zur freien Verwendung bereitstellt. Durch die Nutzung von Google Fonts wird sichergestellt, dass die gewünschten Schriftarten auf jedem Gerät verfügbar sind und Texte auf Websites automatisiert in der jeweiligen Schrift dargestellt werden können. Mit der größte Vorteil ist wohl das Lizenzierungsmodell von Google: Alle Schriften können kostenfrei und auch für kommerzielle Zwecke verwendet werden. Die Bibliothek kann entweder auf dem eigenen Server lokal gespeichert oder remote genutzt werden. In letzterem Fall werden die Schriftarten beim Aufrufen etwa einer Website von den Google-Servern geladen.
2. Google Analytics
Google Analytics ist ein Trackingtool des Unternehmens. Es dient Webseitenbetreiber:innen zur Datenverkehrsanalyse. Durch die Sammlung von Webseiten- und App-Daten kann das Verhalten von Nutzenden nachvollzogen werden. Informationen, die beispielsweise ausgewertet werden können, sind die Anzahl der Besucher auf einer Website, welche Inhalte am häufigsten abgerufen werden und die Verweildauer eines jeden Besuchers bei einzelnen Produkten. Andere wichtige Informationen sind demografische Merkmale wie Sprache und Standort, oder der zum Aufruf genutzte Browser.
Ziel der Anwendung von Google Analytics ist es, durch die erfassten Daten Informationen über die eigene Website zu erlangen. Die neuste Version des Marketingtools „Google Analytics 4“ (GA 4) nutzt dazu im Gegensatz zur Vorgängerversion „Universal Analytics“ (UA) künstliche Intelligenz und maschinelles Lernen. So werden Algorithmen für die Messung und Auswertung der Nutzungsdaten verwendet. Diese messen automatisch anhand von Ereignisdaten (sog. Events), und nicht wie zuvor bei UA anhand von sitzungsbasierten Daten (sog. Hits), das Nutzungsverhalten des individuellen Websitebesuchers. Unter solche Events fallen zum Beispiel Scrolls bis zum Seitenende, Klicks auf externe Links, Downloads oder Seitenaufrufe.
Durch die Anwendung des Analysewerkzeuges können größere Zielgruppen erreicht und Werbekampagnen individualisiert und effektiver gestaltet werden.
Kostenfreie Expertise im E-Mail-Postfach
Alle wichtigen Neuigkeiten zum Datenschutz & zur Informationssicherheit einmal monatlich bequem im E-Mail-Postfach – natürlich kostenlos.
Welche rechtlichen Probleme entstehen durch die Anwendung dieser Systeme?
1. Welche Daten werden durch die Services erhoben?
Hinsichtlich der durch die Anwendung von Google Fonts und Google Analytics erhobenen Daten muss zwischen den beiden Services unterschieden werden.
Im Rahmen der Anwendung von Google Fonts werden Daten nur dann an Google übermittelt, wenn die Schriftarten nicht lokal, sondern auf den Google-Servern gespeichert werden. Es wird dabei automatisch die IP-Adresse der jeweiligen Website-Besucher, ein personenbezogenes Datum, an Google gesendet und laut Google temporär für die Auslieferung der Schriftart verwendet.
Im Gegensatz dazu werden bei der Anwendung von Google Analytics eine Fülle an Daten verarbeitet. Mit dem Ziel, Besucherstatistiken zu erstellen und Unternehmen Aufschluss über die Nutzung ihrer Websites zu geben, werden personenbezogene Besucherdaten gesammelt. Diese Daten werden auf den Google-Servern in den Vereinigten Staaten gespeichert.
2. Welche Probleme entstehen durch die Datenerhebung?
Dass bei Verwendung der beiden Google Dienste personenbezogene Daten in die USA, unter Datenschutzgesichtspunkten ein unsicheres Drittland, übermittelt werden, ist freilich nicht unproblematisch. Google Fonts und Google Analytics waren deshalb schon häufiger Gegenstand von Verfahren vor europäischen Gerichten oder bei europäischen Datenschutzbehörden.
Google Fonts
Mit Google Fonts beschäftigte sich erst jüngst das LG München. In seinem Urteil vom 20. Januar 2022 entschied das Gericht, dass ein Webseiten-Betreiber, der Google Fonts remote nutzte, es unterlassen solle, die IP-Adresse des Klägers an Google weiterzugeben. Zudem sprach es dem Kläger einen Schadensersatzanspruch aus Art. 82 Abs. 1 DSGVO zu. Dies begründeten die Münchner Richter damit, dass die dynamische IP-Adresse ein personenbezogenes Datum sei. Ihre Weitergabe ohne vorherige Einwilligung stelle einen unzulässigen Eingriff in das allgemeine Persönlichkeitsrecht in Form des Rechts auf informelle Selbstbestimmung dar. Insbesondere könne sich die Beklagte auch nicht auf ein berechtigtes Interesse nach Art. 6 Abs. 1 f) DSGVO berufen, da Google Fonts mittels einer Speicherung der Schriftarten auf einem lokalen Server auch genutzt werden könne, ohne dass dabei personenbezogene Daten in die Vereinigten Staaten übermittelt werden müssten.
Als Folge des Urteils häufen sich die Stimmen, die der Meinung sind, dass sich Google Fonts nicht mehr ohne Weiteres datenschutzkonform in digitale Produkte einbinden lässt, zumindest wenn die Schriften remote von den Google-Servern nachgeladen werden müssen. Zu erwähnen ist jedoch, dass es sich bei der Entscheidung des LG München um ein erstinstanzliches Urteil handelt. Das letzte Wort ist also noch nicht gesprochen. Vertretbar wäre es durchaus, anzunehmen, dass hinsichtlich der reinen Datenverarbeitung eine Interessenabwägung nach Art. 6 Abs. 1 f) zugunsten von Google ausfallen würde. Dafür spricht, dass der Umfang der Datenverarbeitung recht gering ist. Schließlich wird die IP-Adresse nach der Auslieferung der Schriftart nicht gespeichert oder analysiert. Zudem ergreift Google nach eigenen Aussagen umfangreiche Schutzmaßnahmen und verwendet die durch Google Fonts erfassten Informationen nicht, um Nutzerprofile zu erstellen. Dennoch ist die remote Verwendung von Google Fonts mit Risiken verbunden, da die Übermittlung der IP-Adresse in die USA eine datenschutzrechtliche Grundlage benötigt, Betroffene die Unternehmen mit Schadensersatzforderungen konfrontieren und andere Gerichte in Zukunft ähnlich wie das LG München entscheiden könnten.
Google Analytics
Was die Verwendung von Google Analytics betrifft, häufen sich die Entscheidungen europäischer Datenschutzbehörden. Die erste Entscheidung bezüglich des Einsatzes des Tools traf im Januar 2022 die österreichische Datenschutzbehörde. Vorausgegangen war eine Beschwerde des europäischen Zentrums für digitale Rechte (NOYB). Die Organisation beanstandete die Übermittlung von Daten in die Vereinigten Staaten über Google Analytics und den Dienst Facebook Connect: Nachdem der EuGH in seinem „Schrems-II-Urteil“ entschied, dass US-Überwachungsgesetze im Widerspruch zu EU-Grundrechten stünden und damit das EU-US Privacy Shield für ungültig erklärte, sei in der weiteren Übermittlung von Daten in die USA ein Verstoß gegen die DSGVO zu sehen. Die österreichische Datenschutzbehörde stimmte dem zu und sah darin insbesondere einen Verstoß gegen Art. 44 DSGVO, die allgemeinen Grundsätze der Datenübermittlung.
Andere nationale Datenschutzbehörden positionierten sich ähnlich. So sahen die niederländischen, die französischen und die italienischen Behörden den Einsatz von Google Analytics ebenfalls als datenschutzrechtswidrig an. Von der deutschen Bundesdatenschutzbehörde, dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit, steht eine Entscheidung noch aus. Es ist jedoch eine Entscheidung ähnlich denen anderer europäischer Datenschutzbehörden zu erwarten. Vornehmlich, da sich im Jahr 2019 bereits 14 der 16 Landesdatenschutzbeauftragten kritisch zum Einsatz von Google Analytics äußerten.
Es ist dabei zu beachten, dass sich die bisherigen Entscheidungen der Datenschutzbehörden auf die Verwendung von Google Analytics ohne Einwilligung und mitunter aufgrund der alten Standardvertragsklauseln beziehen.
Ihre Lösung für den besten Datenschutz
Die Grundlage jeder guten Geschäftsbeziehung ist Vertrauen. Stärken Sie die Beziehung zu Ihren Kunden mit unserer Expertise im Datenschutz. Damit sichern Sie Ihrer Unternehmung einen starken Wettbewerbsvorteil und können sich voll auf Ihr Geschäft konzentrieren.
Welche „Gefahren“ entstehen durch das Urteil des LG München und die der Datenschutzbehörden?
Die Entscheidungen hinsichtlich der Google-Tools blieben nicht folgenlos. Naturgemäß formten sie die Rechtsauffassung in der EU und damit die Nutzung von Google Fonts und Google Analytics.
Google Fonts
Seitdem das LG München urteilte, dass die Remote-Einbindung von Google Fonts DSGVO-widrig sei, häuft sich die Anzahl von privaten Personen und Anwaltskanzleien, die in großen Umfang Abmahnschreiben oder zumindest abmahnartige Schadensersatzforderungen versenden. Meist werden die Adressaten darin dazu aufgefordert, Schadensersatz in Höhe von 100 Euro oder mehr zu zahlen. Im Gegenzug wollen die Verfassenden auf weitere rechtliche Schritte verzichten. Derartige Zahlungsaufforderungen sind mit einiger Skepsis zu betrachten. Zwar ist es richtig, dass die Remote-Einbindung von Google Fonts nicht zu empfehlen ist, ob in Fällen von Massenabmahnungen tatsächlich Schadensersatzansprüche bestehen ist jedoch stark zu bezweifeln. Den Verfassern der Schreiben scheint es nicht auf Unterlassungs- oder Auskunftsansprüche anzukommen (welche tatsächlich bestehen können), sondern schlicht auf Geldforderungen. Die Schreiben werden scheinbar wahllos an dutzende Webseitenbetreiber versandt und es besteht der begründete Verdacht, dass Webseiten automatisiert ausgewertet und Massenschreiben verschickt werden. Es liegt daher der Schluss nahe, dass es sich dabei um rechtsmissbräuchliches Verhalten handelt, die geltend gemachten Ansprüche also nicht bestehen. Am 11.10. erließ das LG Baden-Baden eine einstweilige Verfügung gegen den Abmahner Martin Ismael, in der es diesem untersagt wurde, weitere Abmahnschreiben gegen Partnerbetriebe im Franchise-System der Antragstellerin zu versenden. Noch ist der Beschluss jedoch nicht rechtskräftig und der Rechtsstreit nicht endgültig geklärt. Die Rechtslage ist daher nach wie vor unsicher und insbesondere, wenn es sich nicht um Massenabmahnungen handelt, ist durchaus denkbar, dass geltend gemachte Ansprüche von Gerichten zugesprochen werden. Die Nutzung von Google Fonts als Remote-Einbindung ist daher nach wie vor mit Risiken verbunden.
Google Analytics
Die DSGVO-konforme Nutzung von Google Analytics steht auf einem anderen Blatt. Infolge der Entscheidungen der verschiedenen europäischen Datenschutzbehörden häufen sich die Stimmen, die den Einsatz des Analyse-Tools ohne Einwilligung als rechtswidrig einschätzen und von dessen Verwendung abraten. Zwar ist von deutschen Behörden noch keine Entscheidung zu der Thematik ergangen und die Entscheidungen anderer europäischer Datenschutzbehörden sind hierzulande nicht bindend, dennoch sollte Google Analytics auch in Deutschland, nur noch mit Einwilligung genutzt werden. Vor allem auch, da NOYB auch bei hiesigen Behörden Beschwerde eingelegt hat, eine Entscheidung also aussteht.
Google hat mittlerweile jedoch etliche Maßnahmen ergriffen, um den datenschutzrechtlichen Anforderungen in der EU gerecht zu werden. Darunter etwa der Einsatz neuer Standardvertragsklauseln, die die EU-Kommission im Juni 2021 veröffentlichte, die Anonymisierung von IP-Adressen, die Erstellung und Veröffentlichung von Transparenzberichten, die Verschlüsselung ruhender und transportierter Daten sowie zahlreiche Konfigurationsmöglichkeiten im Admincenter von Google Analytics, um die Datenverarbeitung insgesamt zu minimieren.
Was sind rechtliche Umsetzungsmöglichkeiten in der Praxis? Was müssen Unternehmen bei der Verwendung der Systeme beachten?
Die genannten Risiken und Unsicherheiten bedeuten auch nicht zwangsläufig, dass die Verwendung der Google-Tools aus datenschutzrechtlicher Sicht gänzlich ausgeschlossen ist. Unter Verwendung bestimmter Maßnahmen ist eine rechtssichere Nutzung durchaus möglich.
Google Fonts
Im Falle von Google Fonts gestaltet sich die risikofreie Nutzung recht einfach. In Zukunft sollten Webseitenbetreiber schlicht darauf verzichten, die Schriften remote von Google Servern nachzuladen. Vielmehr können die Schriftarten lokal auf dem eigenen Server gespeichert werden. Der Nutzungsumfang bleibt dabei derselbe, es werden jedoch keine Daten an die US-Server von Google übermittelt. Sollen die Schriftarten hingegen remote von den Google-Servern geladen werden, empfiehlt es sich, eine Einwilligung von den Webseiten-Besuchenden einzuholen.
Google Analytics
Die DSGVO-konforme Einbindung von Google Analytics ist hingegen umstrittener. Es ist zumindest derzeit unvermeidlich, dass das Werkzeug unter Umständen Nutzerdaten an Server sendet, auf denen sie dem potenziellen Zugriff amerikanischer Geheimdienste ausgesetzt sind. Ohne dass die Betroffenen dagegen effektive Möglichkeiten des Rechtsschutzes haben. Zuletzt nahm die dänische Datenschutzbehörde Stellung zu der Thematik. Sie erkannte zwar an, dass Google Schritte unternimmt, um die Verwendung von Google Analytics datenschutzfreundlicher zu gestalten. Sie stellte aber auch fest, dass trotz Nutzung von Google Analytics 4 und neuer Standardvertragsklauseln, nicht ausgeschlossen werden könne, dass Daten nicht-anonymisiert an Server in die USA gesandt würden.
Es zeichnet sich jedoch eine Änderung der Rechtslage ab, die dazu führen könnte, dass selbst die Übermittlung von personenbezogenen Daten in die USA ohne Einwilligung in Einklang mit der DSGVO wäre. So unterzeichnete der amerikanische Präsident Joe Biden im Oktober 2022 die Executive Order 14086, die die Betroffenenrechte stärken soll. Dadurch werden insbesondere neue Prozesse und Regulierungen zur Erhebung und zum Umgang mit Daten durch Geheimdienste sowie ein Rechtsbehelfsmechanismus für EU-Bürger eingeführt. Basierend darauf könnte ein neuer Angemessenheitsbeschluss zwischen der EU und den USA entstehen.
Ferner ist schon jetzt die Verwendung des Analyse-Tools und damit eine Datenübermittlung in die USA mit einer ausdrücklichen Einwilligung nach Art. 49 Abs. 1 S. 1 lit. a DSGVO möglich. Ob eine solche als Ausnahmetatbestand vor Gerichten standhalten kann, wird jedoch teilweise angezweifelt. So wird insbesondere von der Konferenz der Datenschutzaufsichtsbehörden in ihrer Orientierungshilfe Telemedien von 2021 mit Blick auf Art. 49 DSGVO und dem Erwägungsgrund 111 zur DSGVO vertreten, dass eine regelmäßige Datenübermittlung durch eine Einwilligung dem Charakter des Ausnahmetatbestands aus Art. 49 DSGVO widerspreche. Dem ist jedoch entgegenzuhalten, dass die Erwägungsgründe zur DSGVO selbst kein Gesetzeswortlaut sind. Vielmehr stellen sie eine Hilfe für die Auslegung des Gesetzes dar. Art. 49 Abs. 1 S. 1 lit. a DSGVO ist selbst in keiner Weise zu entnehmen, dass eine Datenübermittlung mit Einwilligung nur gelegentlich erfolgen darf. Auch der Erwägungsgrund 111 ist bei genauerer Betrachtung eher so zu verstehen, dass eine Übermittlung nur gelegentlich erfolgen solle, wenn sie im Rahmen eines Vertrags oder zur Geltendmachung von Rechtsansprüchen erfolgt. Auch in Anbetracht der informationellen Selbstbestimmung des Einzelnen ist es überzeugender, eine Datenübermittlung in die USA mit Einwilligung der Betroffenen als datenschutzkonform anzusehen. Wird eine solche eingeholt und erfüllt die Kriterien des Art. 49 Abs. 1 S. 1 lit. a DSGVO, ist die DSGVO-konforme Nutzung von Google Analytics daher nach wie vor möglich.
Fazit
Was die Verwendung von Google-Tools in Deutschland betrifft, besteht teilweise noch Unsicherheit. Während Google Fonts durch lokale Einbindung weitestgehend ohne Bedenken genutzt werden kann, ist im Umgang mit Google Analytics auf eine Einwilligung der Betroffenen und die Konfiguration der Datenschutzeinstellungen zu setzen. Zugleich sollte die sich ändernde Rechtslage in den Vereinigten Staaten, die Behördenäußerungen und mögliche Gerichtsurteile beobachtet werden, die in Zukunft möglicherweise die Einschätzung zur Nutzung von Google-Diensten ändern können.
Unsere erfahrenen Expertinnen und Experten stehen Ihnen bei Fragen zum Datenschutz zur Seite. Kontaktieren Sie uns gerne!
Weitere Neuigkeiten
28.11.2024
BGH-Urteil zu Kontrollverlust über Daten: So schützen sich Unternehmen vor Klagewellen
Am 18. November 2024 hat der Bundesgerichtshof (BGH) ein wegweisendes Urteil zu Datenschutzverstößen gefällt. Das Urteil birgt neue Risiken für Unternehmen, denn es bietet spezialisierten Klägervertretern einen mächtigen Hebel, um bei Datenschutzvorfällen Klagewellen auszulösen. Wir erklären, was das Urteil bedeutet, welche Konsequenzen es für Unternehmen hat und wie sie sich schützen können.
Weiterlesen … BGH-Urteil zu Kontrollverlust über Daten: So schützen sich Unternehmen vor Klagewellen
21.11.2024
Die 5 Gründe für IT-Penetrationstest (Pentests) in Ihrem Unternehmen
Eine der proaktivsten und effektivsten Maßnahmen, um Cyber-Gefahren vorzubeugen, ist der Einsatz von Penetrationstests. Diese Methode, auch „Pentests“ genannt, simuliert Cyberangriffe auf die Systeme eines Unternehmens, um Schwachstellen aufzudecken, bevor sie von Angreifern ausgenutzt werden können. Dieser Artikel beleuchtet, warum Penetrationstests für Organisationen unerlässlich sind, die ihre Cybersicherheitsstrategie stärken und ihre wertvollen Vermögenswerte schützen wollen.
Weiterlesen … Die 5 Gründe für IT-Penetrationstest (Pentests) in Ihrem Unternehmen
13.11.2024
IT Risikomanagement: Risiken identifizieren, bewerten und steuern
Datenverlust, Cyberangriffe oder Systemausfälle können den Geschäftsbetrieb massiv beeinträchtigen und Vertrauen zerstören. Wenn Sie als Unternehmensinhaber Verantwortung für IT-Infrastrukturen tragen, wissen Sie: Die richtige Strategie zur Absicherung Ihrer IT-Systeme ist entscheidend. Unser Beitrag führt Sie durch alle Fragen zum IT Risikomanagement und erklärt welche Rolle das für Ihre IT-Sicherheit spielt.
Weiterlesen … IT Risikomanagement: Risiken identifizieren, bewerten und steuern