Spätestens seit einem Urteil des Landgerichts (LG) München vom 20. Januar 2022 ist der Einsatz von Google-Diensten erneut in den Fokus des Datenschutzrechts geraten. Das LG hatte einem Webseitenbesucher Schadensersatz in Höhe von 100 Euro zugesprochen, weil ein Webseitenbetreiber „Google Fonts“ eingesetzt hatte, ohne den Besucher darüber zu informieren, dass dieser Dienst dynamisch nachgeladen wurde und im Rahmen dessen (auch) personenbezogene Daten an Google übermittelt werden – und ohne für eben diese Übermittlungen zuvor eine Einwilligung des Besuchers einzuholen.
Eine solch Einwilligung ist erforderlich, obwohl der Dienst von der Google Ireland Limited, also einer in der EU-ansässigen Google-Gesellschaft angeboten wird. Doch Google Ireland ist als Tochterunternehmen von Google US ebenso dem sogenannten CLOUD-Act unterworfen und verpflichtet, Daten auf Anforderung der US-Behörden – auch ohne Information an die betreffende Person – herauszugeben.
„Google Analytics“ nicht DSGVO-konform
In einem ebenfalls im Januar 2022 veröffentlichten sogenannten Teilbescheid hat die österreichische Datenschutzaufsichtsbehörde auch den Einsatz von Google Analytics als Verstoß gegen die Datenschutzgrundverordnung (DSGVO) bewertet und dessen Einsatz mit Blick auf die Drittlandübermittlungen und eine insgesamt intransparente Datenverarbeitung in Österreich untersagt. Ähnliche hat sich auch die deutsche Datenschutzkonferenz positioniert und in einem Beschluss aus dem Jahr 2020 deutlich hervorgehoben, dass dieser Dienst in jedem Fall nur auf Grundlage einer informierten und transparenten Nutzereinwilligung genutzt und betrieben werden darf. Auch die niederländische, die französische und die italienische Datenschutzaufsichtsbehörde haben dem Einsatz von Google Analytics zwischenzeitlich als nicht DSGVO-konform bewertet.
Personenbezogene Daten an Google
Das Problem dieser Dienste ist, dass sie personenbezogene Daten von Webseiten-Besucherinnen und -Besuchern an Google übermitteln. Für das dynamisch nachgeladene Google Fonts stellte das LG München insoweit jedenfalls eine Übermittlung der IP-Adresse des Nutzers fest. Zudem werden beim Einsatz des Tools auch sogenannte Cookies gesetzt, über die Google gegebenenfalls weitere Informationen abfragt und erhält.
Doch auch für andere relevante Plug-ins, zum Beispiel Google Maps, behält sich Google vor, Nutzerdaten von der einbindenden Webseite zu erheben und diese für eigene Zwecke zu verarbeiten. Ähnliches passiert auch im Rahmen des Embedding von Youtube-Videos; ebenfalls einem Angebot des Internetriesen aus Amerika.
Mehrere datenschutzrechtlich relevante Probleme
Es stellen sich daher gleich mehrere datenschutzrechtlich relevante Probleme. So findet eine Übermittlung personenbezogener Daten durch den Webseitenbetreiber an Google statt, für die es einer Rechtsgrundlage bedarf. Nach Auffassung der Datenschutzbehörden in Europa und auch des LG München kann eine solche Rechtsgrundlage allein in einer Einwilligung des Nutzers liegen. Die Rechtsgrundlagen der DSGVO, die Verarbeitungen auch ohne Einwilligung gestatten, greifen deshalb nicht ein, weil der Einsatz der Google-Dienste für den Webseitenbetrieb bereits nicht erforderlich ist, zum anderen, weil berechtigte Interessen der Webseitenbesucher regelmäßig einer Datenübermittlung an Google unter dem Aspekt des Persönlichkeitsrechtsschutzes offensichtlich entgegenstehen.
Zudem geht die Übermittlung personenbezogener Daten an Google mit einer sogenannten Drittlandübermittlung einher, die für sich genommen überhaupt nur dann wirksam und zulässig wäre, wenn in dem betroffenen Drittland (hier USA) ein der DSGVO vergleichbares Datenschutzniveau herrschen würde, was – wie der Europäische Gerichtshof (EuGH) entschieden hat – nicht der Fall ist. Auch die Drittlandübermittlung kann daher nur auf Grundlage einer ausdrücklichen Einwilligung der betroffenen Person erfolgen.
Keine schlichte Auftragsverarbeitung
Problematisch ist zudem das Verhältnis, welches der Webseitenbetreiber und Google zueinander begründen. Man möchte meinen, hier läge eine schlichte Auftragsverarbeitung (AV) vor. Diese scheitert jedoch tatsächlich daran, dass Google Nutzerdaten zu eigenen Geschäftszwecken verwenden und verarbeiten will, was der Auftragsverarbeitung fremd ist und rechtlich im Wege steht. Es dürfte – was Google beispielsweise im Zusammenhang mit dem Einsatz der Google Maps API selbst so sieht – eine gemeinsame Verantwortung im Sinne des Artikels 26 DSGVO vorliegen, die einer gesonderten vertraglichen Grundlage bedarf. Speziell für die sogeannte Google Maps API stellt Google einen solche Vereinbarung bereit, die unter diesem Link eingesehen werden kann und über die Google-Cloud-Dienste administriert und abgeschlossen werden kann beziehungsweise muss.
Abmahnwelle in Deutschland: nicht einfach zahlen
Vermutlich tausende von Webseitenbetreibern in ganz Deutschland sehen sich – wegen der skizzierten Probleme – aktuell und in den vergangenen Monaten Abmahnungen ausgesetzt, die beispielswiese von der sogenannten Interessengemeinschaft Datenschutz oder Mitgliedern der sogenannten VIVA Datenschutz – vornehmlich über die Kanzlei RAAG – ausgesprochen werden. Die Schreiben beanstanden den Einsatz von Google Fonts, behaupten einen Besuch auf der Webseite des Abgemahnten und fordern Schadenersatzzahlungen in einem Bereich um 250 Euro. Vielleicht haben auch Sie bereits eine solche Abmahnung oder ein ähnliches Schreiben erhalten? Hoffentlich haben Sie hierauf nicht einfach bezahlt.
Denn sicherlich ist es so, dass der Einsatz von Google Web-Fonts in der Form des dynamischen Nachladens datenschutzrechtlich – jedenfalls ohne Einwilligung in die Datenübermittlung und den Einsatz von Cookies – unzulässig sein dürfte. Speziell bei den vorgenannten Massenabmahnungen stellt sich jedoch die Frage, ob hier wirklich der behauptete Besuch stattgefunden hat, ebenso, welcher Schaden durch solch einen Besuch beim Webseitenbesucher überhaupt entstanden sein soll. Es ist verständlich, dass viele Betroffene hier den Gang zum Anwalt aus Kostengründen scheuen – dürften doch die Kosten für die Mandatierung eines eigenen Anwaltes den geforderten Schadenersatz regelmäßig übersteigen.
Dem „Geschäftsmodell“ nicht Vorschub leisten
Unbeschadet dessen, dass wohl gerade aus diesem Grund der geforderte Schadenersatz bewusst niedrig bemessen sein dürfte, leistet jeder, der auf eine solche Forderung eingeht, dem dahinterliegenden „Geschäftsmodell“ Vorschub. Ob dies gesamtwirtschaftlich sinnvoll ist, erachte ich als fraglich. Jedenfalls dürfte es nicht zu einem Abflauen der Abmahnwelle führen.
Zudem führt die Zahlung nicht zwingend zu einer Beseitigung des Verstoßes und dazu, dass die Angelegenheit ad acta gelegt werden könnte. Wichtiger ist es, sich mit dem Problem zu befassen und zu überlegen, ob – und wenn ja– wie Sie zukünftig Google-Dienste, aber auch anderen Plug-ins internationaler Großkonzerne, auf Ihrer Webseite einbinden und einsetzen wollen.
Auf die Abmahnung könnte man zwischenzeitlich vielleicht wie folgt reagieren:
Sehr geehrter Herr Rechtsanwalt XY,
Ihr Schreiben vom xx.xx.2022 haben wir gestern erhalten. Zunächst bitten wir insoweit um Vorlage einer Originalvollmacht.
Wir bestreiten ausdrücklich den behauptete Besuch Ihrer Mandantschaft auf unserer Webseite mit Nichtwissen. Es ist schon verwunderlich, welche Veranlassung Ihre Mandantschaft gehabt haben soll, die Webseite unserer weit entfernten Praxis überhaupt zu besuchen; es muss zudem ernsthaft davon ausgegangen werden, dass ein etwaiger Besuch, sollte er stattgefunden haben, in jedem Fall in treuwidriger Absicht und allein mit dem Ziel des späteren Ausspruches einer kostenpflichtigen Abmahnung sowie der Generierung nicht berechtigter Schadenersatzansprüche erfolgt ist. Auch dies würde dem Ansinnen Ihrer Mandantschaft bereits dem Grunde nach entgegenstehen und die Abmahnung unwirksam werden lassen.
Ihre Mandantschaft möge insoweit belegen, wann, unter welcher E-Mail-Adresse und von wo aus sie auf die Webseiten unserer Praxis zugegriffen haben will. Jedenfalls der von Ihnen beigefügte Ausdruck eines Teils des Seitenquelltextes unserer Webseite reicht für den Nachweis sicherlich nicht aus. Es mag insoweit bezweifelt werden, dass Ihre Mandantschaft überhaupt positive Kenntnis von der in ihrem Namen ausgesprochenen Abmahnung hat; jedenfalls aber, dass Ihre Mandantschaft hier im Rahmen einer wirtschaftlich ihren Verhältnissen entsprechenden Art und Weise das Tätigwerden Ihrer Kanzlei beauftragt hat bzw. hierzu finanziell überhaupt in der Lage ist. Ihre Mandantschaft ist hier nicht bekannt. Wir haben und hatte auch nie Daten über Ihre Mandantschaft erhoben und beabsichtigten dies auch zukünftig nicht zu tun.
Das Abmahnschreiben wirft den Eindruck auf, dass hier softwaregestützt nach „vermeintlichen“ Verstößen in Form der Nutzung von Google Fonts gesucht worden ist und insoweit ein tatsächlicher Besuch Ihres Mandanten, bei dem dieser personenbezogene „eigene“ Daten preisgegeben haben will, nicht stattgefunden hat. Die Betroffenheit Ihrer Mandantschaft wird insoweit mit Nichtwissen bestritten. Die Abmahnung erscheint zudem rechtsmissbräuchlich; die hierauf bezogene Einrede wird ausdrücklich erhoben.
Einen Datenschutzverstoß können wir zudem schon dem Grunde nach nicht erkennen. Selbst wenn, was hier bestritten wird, im Rahmen des Aufrufes unserer Webseite personenbezogene Daten Ihrer – hier nicht bekannten und auch nicht identifizierbar dargestellten – Mandantschaft an Google übermittelt worden wären, begründete dies weder einen Schadenersatzanspruch Ihres Mandanten aus Art. 82 DSGVO noch Löschungsansprüche nach Art. 17 DSGVO. Wir selbst haben zu keinem Zeitpunkt Daten über Ihre Mandantschaft erhoben; eine Identifizierung derselben ist uns mangels identifizierender Angaben in Ihrem Schreiben auch nicht möglich, so dass insoweit auch keine Auskunft nach Art. 15 DSGVO erteilt werden kann. Soweit Ihre Mandantschaft selbige wünscht, möge sie sich uns gegenüber in einer Weise identifizieren, die eine Auskunftserteilung ermöglicht.
Soweit sie der Meinung ist, Daten seien durch Google erhoben worden, möge sich Ihre Mandantschaft an diese Gesellschaft als Verantwortlichem im Sinne des Art. 4 Nr. 7 DSGVO wenden. Eine gemeinsame Verantwortung im Sinne des Art. 26 DSGVO mit Google liegt hier ersichtlich nicht vor. Mit Blick auf die Ansprüche nach Art. 82 DSGVO dürfen wir auf die jüngsten Schlussanträge des Generalanwalts beim EuGH in der Rechtssache C-300/21 verweisen (hierzu auch der Beitrag des Rechtsanwalts Dr. Robert Kazemi unter https://www.linkedin.com/pulse/generalanwalt-kein-ersatz-immaterieller-sch%25C3%25A4den-bei-ohne-kazemi). Ein Schadenersatzanspruch besteht daher nicht.
Wir haben Sie aufzufordern, sich dazu zu erklären, dass Ihre Mandantschaft an diesen Ansprüchen nicht weiter festhält. Für den Fall der weiteren Anspruchsverfolgung bzw. der Nichterklärung über den Verzicht auf selbige, sehen wir uns unserseits gezwungen, anwaltliche Unterstützung einzuschalten. Dies kann für Ihren Mandanten seinerseits die Gefahr der Schadenersatzhaftung auslösen. Wir gehen davon aus, dass Sie hierzu entsprechend beraten werden.
Soweit Ihre Mandantschaft an ihren Auskunftsansprüchen festhalten möchte, möge sie sich entsprechend identifizieren, so dass wir selbigen nachkommen können. Auf Art. 11, 15 DSGVO darf insoweit verwiesen werden. Jedenfalls unter den nunmehr bekannt gegebenen personenbezogenen Klardaten sind nie Daten über Ihre Mandantschaft erhoben worden. Soweit Sie darauf abstellen, es könnten – was hier bestritten wird – IP-Adressen, die Ihrer Mandantschaft zugeordnet werden können, von uns erhoben oder an Dritte übermittelt worden sein, wäre Ihre Mandantschaft insoweit verpflichtet, sich so zu identifizieren, dass eine Prüfung der Erhebung von IP-Adressen überhaupt möglich wäre. Dafür aber wäre Ihre Mandantschaft nicht nur verpflichtet, die vermeintliche IP-Adresse, die sie bei ihrem vermeintlichen Besuch auf unserer Webseite genutzt haben will mitzuteilen, sondern auch nachzuweisen, dass eine entsprechend mitgeteilte IP-Adresse tatsächlich ihrer Person zugeordnet war oder ist. Insoweit haben Sie sicherlich Verständnis dafür, dass wir hier die Übermittlung etwaiger personenbezogener Daten an unberechtigte Dritte in jedem Fall vermeiden wollen und müssen.Mit freundlichen Grüßen
Diese Musterantwort kann frei verwendet werden, stellt jedoch keine konkrete Rechtsberatung dar und ist auch nicht auf den Einzelfall bezogen, der sich – tatbestandlich – unterscheiden kann, was Anpassungen erforderlich machen kann. Es geht hier lediglich darum, der Abmahnung den ersten Wind aus den Segeln zu nehmen. Jedenfalls in den hier bereits beratenen Fällen ist es auch noch nicht zu Weiterungen oder gar gerichtlichen Anspruchsverfolgungen gekommen.
In Sachen Webseite handeln
Ist an der Abmahnfront Ruhe eingekehrt, gilt es zu handeln. Die Frage ist zunächst, ob tatsächlich „Google Fonts“ in der streitbefangenen Form genutzt wird. Dafür müssten die Schriften aktiv nachgeladen werden. Ist dies der Fall, sollte auf eine Serverinstallation oder auf eine andere Schrift umgestellt werden, die auf Ihrem eigenen Webspace genutzt wird. Gleichsam ist die Datenschutzerklärung der eigenen Webseite zu überprüfen, ob diese sich zum Einsatz von Google Fonts verhält. Zudem muss überprüft werden, ob im Zusammenhang der Nutzung Cookies von Google gesetzt werden. Ist dies der Fall, wird auch eine sogenannte Cookie-Einwilligung einzuholen sein.
Für alle anderen Dienste ist kritisch zu hinterfragen, ob diese weiterhin eingesetzt werden müssen. Fällt diese Entscheidung positiv aus, böte sich beispielsweise der Einsatz einer sogenannten Zwei-Klick-Lösung an, bei der der Nutzer vor dem Laden des jeweiligen Dienstes (zum Beispiel Google Maps) ausdrücklich darüber informiert wird, dass seine persönlichen Daten beziehungsweise seine IP-Adresse an Google weitergeleitet werden können und er dies über ein Opt-in bestätigen muss. Vielleicht fragen Sie Ihren Webdesigner mal, welches Plug-in hier in Betracht käme?
Wichtig ist dann jedoch auch, eine ordnungsgemäße Einwilligung zu formulieren, was nicht ganz unkompliziert und sicherlich auch nie zu 100 Prozent rechtssicher ist, weil schlicht nicht bekannt ist, was Google genau mit den Daten macht und welche Daten konkret betroffen sind. Das Risiko ist indes überschaubar beziehungsweise wurde die Thematik noch nicht gerichtlich behandelt.
Cookie-Consent-Tool einsetzen
Zusätzlich sollten Sie auch ein Cookie-Consent-Tool einsetzen (zum Beispiel User-Centrics), das entsprechende Informationen bereithält. Wichtig wäre auch, über die Google-Cloud einen AV-Vertrag oder eine Art. 26 DSGVO-Vereinbarung mit Google abzuschließen. Speziell für die sog. Google Maps API stellt Google zudem eine Vereinbarung nach Art. 26 DSGVO bereit, die unter diesem Link eingesehen werden kann. Bitte achten Sie darauf, auch Ihre Datenschutzhinweise anzupassen, denn diese müssen in jedem Fall einen Hinweis nach Art. 13 Abs. 1 lit. f) DSGVO aufnehmen und auf die konkrete Drittlandübermittlung hinweisen.
Wer diesen Aufwand nicht betreiben will, sollte auf die Einbindung von Plug-ins verzichten und stattdessen vielleicht einfach einen Link auf Google Maps einbauen, der den Nutzer dann aber direkt auf das Angebot von Google weiterleiten würde.
Dr. Robert Kazemi, Bonn
Dr. Robert Kazemi ist Partner der Sozietät Kazemi & Partner Rechtsanwälte PartG in Bonn. Er arbeitet seit Jahren auf den Gebieten des Wettbewerbs- und Datenschutzrechts. Er ist Autor des Fachbuches „Das neue Datenschutzrecht in der anwaltlichen Beratung“ sowie zahlreicher weiterer Publikationen zum Thema Datenschutzrecht. Auf Quintessence News ist von ihm unter anderem 2018 eine Beitragsreihe zur Datenschutzgrundverordnung (DSGVO) erschienen.
(Foto: Kazemi/Apart Fotodesign – Alexander Pallmer)