Schadensersatz wegen des Einsatzes von Google Fonts, Haftung des Geschäftsführers für Datenschutzverstöße, Google Analytics nicht mehr rechtssicher einsetzbar. Ich denke, das sind mal drei ordentliche Neuigkeiten, die uns da im Datenschutz aktuell um die Ohren flattern. Aber der Reihe nach.
Schadensersatz wegen des Einsatzes von Google Fonts
Das LG München hatte in einer Entscheidung vom 20.01.2022 (AZ: 3 O 17493/20) einem Kläger 100,00 EUR Schadensersatz wegen des Einsatzes von Google Webfonts zugesprochen. Auf der Webseite des Beklagten waren Google Webfonts eingebunden, die von Google geladen wurden. Eine Einwilligung der Besucher wurde nicht abgefragt. Darin sah das Gericht eine Beeinträchtigung des Persönlichkeitsrechts des Klägers, da dieser die Kontrolle über seine Daten verliert. Das Gericht sprach Schadensersatz zu und verurteilte den Betreiber der Webseite zur Unterlassung. Rechtswidrig ist dabei nicht der Einsatz von Google Fonts per se, sondern dass diese ohne Einwilligung von Google geladen werden. Dabei findet eine Übertragung der IP-Adresse an Google statt. Was Google damit macht, weiß niemand, außer vielleicht Google. Und das ist das Problem. Unproblematisch ist die Einbindung, wenn die Fonts auf den eigenen Servern gehostet werden. Wenn ihr Google Fonts nutzt, solltet ihr die Schriftarten also selbst hosten.
Aktuelle Kurz-Information 42: Externe Schriftarten auf Webseiten bayerischer öffentlicher Stellen
In diesem Zusammenhang hat die bayerische Datenschutz-Aufsichtsbehörde (Link: https://www.datenschutz-bayern.de/) eine Kurz-Information für externe Schriftarten auf Webseiten bayerischer öffentlicher Stellen herausgegeben. Die Hinweise sind natürlich all auch hilfreich für private Unternehmen (oder um beim richtigen Sprech zu bleiben, für nicht öffentliche Stellen.
Die Behörde stellt dabei auch noch mal klar, dass eine Einbindung über externe Server nur mit Einwilligung des Nutzers zulässig ist.
Link:
Haftung des Geschäftsführers für einen Datenschutzverstoß?
Wer haftet eigentlich bei einem Datenschutzverstoß? Eigentlich keine schwierige Frage. Grundsätzlich haftet der Verantwortliche für einen Datenschutzverstoß. Verantwortlicher im Sinne der DSGVO ist nach Art. 4 Nr. 7 DSGVO die „natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“. Der Wortlaut ist eigentlich eindeutig und war bisher auch nie problematisch. Im Falle einer GmbH ist diese auch Verantwortliche im Sinne der DSGVO. Bei einem Datenschutzverstoß haftet die GmbH. Ende der Geschichte.
Das OLG Dresden sieht das ein wenig anders. Nach Auffassung des OLG Dresden soll auch der Geschäftsführer der GmbH verantwortlich sein, neben der GmbH (OLG Dresden, Urteil v. 30.11.2021, Az. 4 U 1158/21). GmbH und Geschäftsführer sollen also gemeinsam haften.
In dem zu entscheidenden Fall ging es um Schadensersatz nach Art. 82 Abs. 1 DS-GVO. Anknüpfungspunkt für einen Anspruch aus Art. 82 Abs. 1 DS-GVO ist zunächst die „Verantwortlichkeit“. Diese ist liegt vor, wenn eine natürliche oder juristische Person allein oder gemeinsam mit anderen über die Zwecke und die Mittel der Verarbeitung von personenbezogenen Daten entscheiden kann und entscheidet. Diese Voraussetzung soll nach Auffassung des Gerichts nicht nur bei der GmbH, sondern auch beim Geschäftsführer dieser GmbH erfüllt sein.
O. k., das ist mal eine Aussage. Und die dürfte, wenn sich die Meinung durchsetzt, durchaus ein bisschen Wind erzeugen. Man muss hier aber deutlich klarstellen, dass das OLG Dresden mit dieser Auffassung bisher allein ist und sowohl ich als auch viele Kollegen weder diese Auffassung teilen, noch davon ausgehen, dass diese sich durchsetzt. Zudem ging es in der Entscheidung um Schadensersatz, nicht um Bußgelder. Bußgelder dürften aber die deutlich größere Gefahr für Geschäftsführer sein. Ob das Ganze auch für Bußgelder gilt, muss man schauen.
Im Raum steht der Elefant aber schon. Und damit sollten Geschäftsführer das Urteil zumindest zum Anlass nehmen, „den Datenschutz“ noch mal anzugehen, wenn es noch Baustellen gibt.
Google Analytics rechtswidrig!?
Der Einsatz von Google Analytics, ist aus Sicht des Datenschutzes, nicht erst seit gestern ein heißes Thema. Bereits mit dem Planet49 Urteil des EuGH und erst Recht mit Inkrafttreten des § 25 TDDSG ist der Einsatz von Analytics nur mit ausdrücklicher Einwilligung des Besuchers der Webseite zulässig. Seit Kurzem liest man in diversen Medien, dass der Einsatz von Analytics generell rechtswidrig sein soll. Sowohl die österreichische Datenschutzaufsicht, LINK soll den Einsatz von Google Analytics für rechtswidrig erklärt haben, als auch die französische Aufsicht CNIL. Das sorgt erst mal für ein bisschen Aufregung. In diesem Zusammenhang muss man aber ein paar Dinge klarstellen:
Aus der Entscheidung der österreichischen Behörde geht klar hervor, dass dort Analytics ohne Einwilligung eingesetzt wurde. Daraus schlussfolgere ich, dass der Einsatz mit Einwilligung rechtmäßig sein soll. Die Entscheidung spiegelt also nur die aktuelle Rechtslage wider.
Aus der Entscheidung der CNIL geht leider nicht hervor, ob hier der Einsatz auf Basis einer Einwilligung stattfand oder nicht. Es ist also nicht klar, ob die CNIL den Einsatz per se für rechtswidrig hält oder nur ohne Einwilligung. Aus der Entscheidung wird auch nicht klar, welche Verträge zwischen Webseitenbetreiber und Google vorlagen oder ob und welche Standardvertragsklauseln zugrunde lagen.
Um das mal kurz zu machen. Die Entscheidung der Österreicher spiegelt nur die aktuelle Rechtslage wider. Und auch aus der Entscheidung der CNIL kann man nicht ablesen, dass der Einsatz von Analytics per se rechtswidrig sein soll.
Dennoch sollte man sich fragen, ob Analytics wirklich das Mittel der Wahl sein soll oder ob man nicht einfach auf eine datenschutzfreundliche Alternative wie Fathom oder Matomo setzt. Dazu kommt aber in den nächsten Zeit noch ein gesonderter Beitrag.
BGH zur Reichweite des Auskunftsanspruchs bei Informationen über Dritte
Nach Art. 15 DS-GVO kann eine betroffene Person Auskunft verlangen, ob und wenn ja, welche Daten der Verantwortliche über sie gespeichert hat. Dieser Anspruch kann in die Interessen Dritter eingreifen. In diesem können diese datenschutzrechtlich geschützten Interessen den Auskunftsanspruch einschränken. Es eine ist eine Abwägung des Einzelfalls erforderlich. Das entschied der Bundesgerichtshof mit Urteil vom 22.02.2022 – AZ: VI ZR 14/21.
Datenschutz skalieren
Einen spannenden Abend gab es mit Max Schrems am Vorabend der 103. Datenschutzkonferenz. Max Schrems, maßgeblicher Initiator der Urteile Schrems I + Schrems II des EuGH, referierte zum Thema Skalierbarkeit des Datenschutzes. Der Abend wurde moderiert vom Bundesbeauftragten für den Datenschutz und die Informationsfreiheit Ulrich Kelber.
Nur falls ihr euch nicht erinnert. Schrems I + II sind die Urteile, bei denen Safe Harbour und Privacy Shield gekippt wurden, was seither die Übertragung von Daten in die USA jedenfalls nicht leichter macht. In diesem Zusammenhang ist es umso interessanter, dass auf der Webseite zur Bewerbung dieser Veranstaltung offenbar Google Analytics aktiv eingebunden war, ohne Einwilligung. Hmmmmm…
Zum Vortrag gehts hier auf die Seite des BFDI
Klage gegen Google wegen unzulässiger Cookie-Banner
Die Verbraucherzentrale NRW geht juristisch gegen Google wegen unzulässiger Cookie-Banner vor. Nach Auffassung der Verbraucherschützer verstößt das Design der Cookie-Banner gegen Regelungen des Datenschutz sowohl auf nationaler als auch auf EU-Ebene.