Neue Datenschutzanforderungen an Google Analytics und Google Fonts

Das Landgericht München hat in seinem Urteil (Az.: 3 O 17493/20) vom 20.01.22 (abrufbar unter: https://rewis.io/urteile/urteil/lhm-20-01-2022-3-o-1749320/) entschieden, dass die Verwendung von dynamischen Webinhalten wie z. B. Google Fonts auf der eigenen Webseite auf Basis eines berechtigten Interesses gem. Art. 6 Abs. 1 lit. f) DSGVO einen Datenschutzverstoß darstellt.
Auch wenn insoweit exemplarisch Google Fonts Gegenstand des Verfahrens war, gilt das Urteil für jeden US-Dienst, der dynamisch in eine Internetseite eingebunden wird. Das Gericht hat entschieden, dass eine Verarbeitung der dynamischen IP-Adresse und eine damit verbundene Weiterleitung an Server in den USA ohne vorherige Einwilligung des Betroffenen gegen geltendes Datenschutzrecht verstößt.
Ein Verstoß kann insbesondere zu Schadensersatzansprüchen der Betroffenen führen.
Zuerst sollten Sie daher prüfen, ob auf Ihrer Webseite Google Fonts oder ähnliche dynamische Webinhalte eingebunden sind. Daraufhin ist es erforderlich, zu überprüfen, inwieweit die bereitgestellten Inhalte von US-Anbietern stammen.

Wir empfehlen Ihnen, derartige Inhalte lokal auf Ihrem Server zu hosten oder auf alternative, europäische Anbieter von dynamischen Webinhalten bzw. eines CDN zu setzen, um den datenschutzrechtlichen Anforderungen zu genügen. CDNs sollten lokal bzw. statisch eingebunden werden, um keinerlei Angriffsfläche für einen Datenverstoß zu bieten. Falls die Bilder nicht zwingend notwendig sind, ist eine Löschung ratsam. Zur technischen Umsetzung sollten Sie Ihren Webseitenbetreiber heranziehen.
Hinsichtlich des Analysetools Google Analytics hat die österreichische Datenschutzbehörde entschieden, dass Website-Betreiber das Tool Google Analytics (jedenfalls auf Grundlage des im Bescheid festgestellten Sachverhalts) nicht in Einklang mit der DSGVO einsetzen können (https://www.dsb.gv.at/download-links/bekanntmachungen.html#Google_Analytics). Die Drittlandsübermittlung der Daten durch Google Analytics ist aus Sicht des europäischen Datenschutzes deshalb so brisant, weil der sog. Cloud Act (Clarifying Lawful Overseas Use of Data Act) den Zugriff von US-amerikanischen Behörden auf sämtliche Unternehmens- und Kundendaten von Cloud- und Kommunikationsanbietern ermöglicht, sofern das Unternehmen seinen Sitz in den USA hat bzw. dem US-amerikanischen Recht unterliegt. Dies bedeutet in der Folge, dass ebenfalls auf personenbezogene Daten von EU-Bürgern auf EU-Servern zugegriffen werden kann, wenn ein US-Dienstleister eingesetzt wird.

Es bestehen im Sinne des europäischen Datenschutzes darum erhebliche Bedenken beim Einsatz von Google Analytics. Daher empfehlen wir, auf Dienste wie Google Analytics zu verzichten. Sofern analytische Daten unverzichtbar sind, sollte auf eine europäische Lösung zurückgegriffen werden. Dabei sollte der Anbieter im Hinblick auf den Cloud-Act keine Niederlassung in den USA haben.

Eine Alternative zu Google Analytics ist zum Beispiel das Tool Matomo Analytics. Dieses kann kostenfrei auf eigenen Servern oder auf einem europäischen Matomo-Server (Frankreich) betrieben werden, vgl. https://matomo.org/.

Ihre Ansprechpartner:
RA Dr. Stefan Bischoff und RA Markus Heinrich

Coffee-Talk