Google Fonts Abmahnwelle – Das Problem hinter dem Problem
Die enorme Anzahl an Aufforderungsschreiben aufgrund der Übermittlung der IP-Adresse einer Websitebesucherin durch die Verwendung von Google Fonts im Sommer 2022 hat gezeigt, wie schnell die Einbindung von scheinbar harmlosen Hilfsmitteln zur Gestaltung von Websites zu einem erheblichen datenschutzrechtlichen Problem werden kann. Oft ohne das Wissen der Websitebetreiber*innen können durch die Nutzung von Diensten wie Google Fonts, aber auch anderen Diensten, personenbezogene Daten in angreifbarer Weise verarbeitet werden. Die Abmahnwelle offenbart eine datenschutzrechtliche Problematik, die sich allerdings nicht nur bei der Verwendung von Google Fonts zeigt.
Was macht den Einsatz von Google Fonts problematisch?
Google Fonts sind Schriftarten, die von Google unter anderem für Websites zur Verfügung gestellt werden. Diese lassen sich entweder direkt auf der Seite einbetten oder werden beim Aufruf einer Seite vom Google‑Server nachgeladen. Die scheinbar unbedeutende Entscheidung, wie die Google Fonts verwendet werden, macht jedoch aus Sicht des Datenschutzes einen erheblichen Unterschied, da beim Nachladen der Schriften vom Google-Server die IP-Adresse der Websitebesucher*innen an Google in den USA übermittelt wird. Das Landesgericht in München hat das bereits als Datenschutzverstoß qualifiziert und tatsächlich spricht einiges dafür, dass eine solche Entscheidung auch in Österreich möglich ist.
Infolge des EuGH Urteils vom 19.10.2016 - C-582/14 steht nämlich auch in Österreich außer Frage, dass sowohl statische als auch mitunter dynamische IP-Adressen als Online-Kennungen personenbezogene Daten im Sinne der Datenschutzgrundverordnung (DSGVO) sind. So stellt die Übermittlung einer dynamischen IP-Adresse von Websitebesucher*innen, wie etwa beim Laden von Google Fonts vom Google-Server, eine Verarbeitung von personenbezogenem Daten im Sinne DSGVO dar, was wiederum zentrale datenschutzrechtliche Fragen nach der Rechtsgrundlage der Verarbeitung und der Vereinbarkeit der Übermittlung in die USA mit der DSGVO, aufwirft.
Was ist bei der Verarbeitung von Online-Kennungen wie der IP-Adresse zu beachten?
Damit die Verarbeitung von Online-Kennungen wie der IP-Adresse rechtmäßig ist, muss zunächst eine gültige Rechtsgrundlage gemäß der DSGVO vorliegen. Sollte darüber hinaus eine Übermittlung der personenbezogenen Daten in ein Drittland erfolgen, müssen die DSGVO-Grundsätze für eine solche Datenübermittlung in die USA eingehalten und ein angemessenes Schutzniveau für die personenbezogenen Daten gewährleistet werden. Die Anforderungen an die Gewährleistung eines angemessenen Schutzniveaus im Falle einer Datenübermittlung in die USA haben sich auch insbesondere durch das Schrems-II-Urteil des Europäischen Gerichtshofs, wodurch das Privacy Shield für ungültig erklärt wurde, deutlich verschärft.
Das Problem hinter dem Problem
Während sich mittlerweile alle sorgfältigen Betreiber*innen einer Website damit auseinandersetzen, welche Cookies auf seiner Website gesetzt werden und wie die Zustimmung dazu eingeholt wird, bleibt das Auslesen von Online-Kennungen bei Aufruf der Website oft unbeachtet. Für Websitebetreiber*innen oder andere Akteur*innen ist die Situation besonders prekär, wenn sie von der Verarbeitung und möglichen Übermittlung in Drittländer keine Kenntnis haben, wie es bei Google Fonts nicht selten der der Fall war.
Vielen Websitebetreiber*innen ist vermutlich auch nicht bewusst, dass die IP-Adressen von Websitebesucher*innen auch beim Aufruf anderer Tools, wie etwa des Tools Google Tag Manger automatisch verarbeitet und in die USA übermittelt werden. Aber auch ohne Übermittlung in Länder außerhalb der EU, kann eine Verarbeitung datenschutzrechtlich problematisch sein.
Trotz des Aufwands sind Websitebesucher*innen und andere Akteur*innen gut beraten, die eigene Website, ihre Prozesse und die von ihnen genutzten Dienste und Tools auch abseits von Cookies sorgfältig auf Datenschutzkonformität zu prüfen und bei der Erstellung die richtigen Fragen zu stellen. Denn auch die beste Datenschutzrichtlinie oder Cookie-Richtlinie schützt nicht vor Datenschutzverletzungen aufgrund von Verarbeitungen personenbezogener Daten, von denen man nichts weiß. Ohne das Wissen der Websitebetreiber*innen über die Verarbeitungsvorgänge der Dienste und Tools ihrer Website, können Datenschutzprobleme und deren unerwünschte Folgen vorprogrammiert sein.
Hinweis: Dieser Blog stellt lediglich eine generelle Information und keineswegs eine Rechtsberatung von Binder Grösswang Rechtsanwälte GmbH dar. Der Blog kann eine individuelle Rechtsberatung nicht ersetzen. Binder Grösswang Rechtsanwälte GmbH übernimmt keine Haftung, gleich welcher Art, für Inhalt und Richtigkeit des Blogs.