Ihre Kontakte
Nach Google Analytics (vgl. hierzu MLL-News vom 8.6.2022) steht mit Google Fonts eine weitere Anwendung des US-Konzerns in der Kritik gegen europäisches Datenschutzrecht zu verstossen. Bereits Anfang des Jahres urteilte das Landgericht München I, dass die Einbindung von Google Fonts über die Google-Cloud datenschutzwidrig sei. Diesem Entscheid folgte eine Abmahnwelle gegen österreichische Unternehmen, die den Google-Dienst auf ihrer Website verwendeten. In der Schweiz ist eine ähnliche Abmahnwelle kaum zu erwarten, dennoch sollten Schweizer Unternehmen auf eine datenschutzkonforme Einbindung von Google-Fonts achten.
Ausgangslage
Kürzlich erhielten tausende österreichische Websitebetreiber ein Abmahnschreiben eines Anwalts wegen der datenschutzwidrigen Einbindung von Google Fonts auf ihrer Website. Google Fonts ist ein Dienst, der eine Vielzahl von verschiedenen Schriftarten kostenlos zur Verfügung stellt. Hierbei hat der Websitebetreiber die Option, die Schriften entweder auf dem eigenen Server oder über die Google-Cloud zu hosten. In den gegenständlichen Fällen wurde Google Fonts jeweils in der Cloud des US-Unternehmens gehostet. Die IP-Adressen der Websitebesucher werden jedoch in die USA weitergeleitet. Laut Rechtsprechung des EuGH kann es sich auch bei dynamischen IP-Adressen um personenbezogene Daten handeln (vgl. hierzu MLL-News vom 26.10.2016). Dies ist jedoch nicht per se der Fall. Es ist eine Prüfung im Einzelfall erforderlich.
Der österreichische Anwalt liess sich mutmasslich vom Urteil des Landgerichts (LG) München I vom 20.01.2022 (3 O 17493/20) zu seinem Vorgehen inspirieren. Das Landgericht entschied in diesem Fall, dass die Einbindung von Google Fonts auf einer Website einen Verstoss gegen die DSGVO darstelle und dass dem Kläger aufgrund der Persönlichkeitsverletzung ein Schadenersatzanspruch von € 100 zustehe. Der österreichische Anwalt mahnte im Namen seiner Klientin tausende Unternehmen ab und forderte hierbei € 100 Schadenersatz und € 90 für die Rechtsverfolgung.
LG München I: Rechtswidrige Übermittlung von Personendaten in die USA
Im Fall vor dem LG München I forderte der Kläger einen Websitebetreiber dazu auf, die Weitergabe der IP-Adresse des Klägers an Google zu unterlassen. Darüber hinaus machte der Kläger einen Schadenersatzanspruch aufgrund des Eingriffs in seine Persönlichkeitsrechte geltend.
Das LG München I hatte als Vorfrage zu klären, ob es sich bei den übermittelten IP-Adressen im konkreten Fall überhaupt um personenbezogene Daten handelte. Das Gericht vertrat (unter Verweis auf das Urteil des Bundesgerichtshofs vom 16. Mai 2017 (VI ZR 135/13)) die Auffassung, es sei für die Qualifikation von dynamischen IP-Adressen als personenbezogene Daten bereits ausreichend, dass für die Beklagte die abstrakte Möglichkeit der Bestimmbarkeit der Personen hinter der IP-Adresse besteht. Laut Ansicht des Gerichts komme es nicht darauf an, ob die Beklagte oder Google die konkrete Möglichkeit haben, die IP-Adresse mit dem Kläger zu verknüpfen. Die abstrakte Möglichkeit der Bestimmbarkeit (z.B. durch Auskunft von Behörden oder des Internetproviders) bestand im konkreten Fall. Deshalb seien die IP-Adressen als personenbezogene Daten zu qualifizieren.
Infolgedessen entschied das LG München I, dass die Weitergabe der dynamischen IP-Adresse des Klägers an Google (im Rahmen der Anwendung Google Fonts) einen Eingriff in das Recht auf informationelle Selbstbestimmung des Klägers darstelle. Das Landgericht begründete dies damit, dass dem Kläger das Recht verwehrt wurde über die Weitergabe seiner personenbezogenen Daten zu entscheiden. Im vorliegenden Fall wurde weder eine Einwilligung des Betroffenen eingeholt, noch war die Auslandsbekanntgabe durch andere Rechtfertigungsgründe (z.B. ein berechtigtes Interesse des Websitebetreibers) legitimiert. Eine Pflicht des Klägers, seine IP-Adresse zu anonymisieren, bestehe nicht, da dies dem Zweck des Datenschutzrechts widersprechen würde. Folglich stelle die Übermittlung der IP-Adresse an Google eine Verletzung des Rechts auf informationelle Selbstbestimmung dar. Die für einen Unterlassungsanspruch notwendige Wiederholungsgefahr werde durch die bereits stattgefundene Verletzung indiziert. Die Wiederholungsgefahr werde gemäss LG München I auch nicht dadurch ausgeräumt, dass der Websitebetreiber Google Fonts mittlerweile auf dem eigenen Server hoste und somit keine Daten an Google weiterleite. Aufgrund der obigen Ausführungen verpflichtete das LG München I den Websitebetreiber, zukünftig rechtswidrige Datenübermittlung mittels Google Fonts zu unterlassen.
Darüber hinaus urteilte das LG München I, dass dem Kläger durch die rechtswidrige Weitergabe der personenbezogenen Daten ein immaterieller Schaden entstanden sei. Dieser Schaden wurde mit dem erheblichen individuellen Unwohlsein des Klägers begründet. Dieses entstehe, wenn personenbezogene Daten an ein Unternehmen weitergegeben werden, welches bekanntermassen Daten über seine Nutzer sammle. Darüber hinaus gewährleistet das Empfängerland – die USA – kein angemessenes Datenschutzniveau. Die angemessene Schadenshöhe von € 100 sei demzufolge dem Kläger zu ersetzen.
Automatisierter Abmahnprozess in Österreich?
In Österreich wurde die Zulässigkeit von Google Fonts bisher nicht gerichtlich geklärt. Die Wirtschaftskammer Österreich (dies ist die Interessenvertretung der österreichischen Wirtschaftstreibenden) unterstützt, im Rahmen eines Musterprozesses, derzeit einen Unternehmer, der aufgrund des Einsatzes von Google Fonts abgemahnt wurde. Datenschutzrechtlich dürfte die Situation mit jener in Deutschland vergleichbar sein. Fraglich ist jedoch, ob ebenfalls Ersatz für den aufgrund der rechtswidrigen Weitergabe der IP-Adresse erlittenen immaterieller Schaden zugesprochen wird.
Die Abmahnwelle hat womöglich nicht nur Konsequenzen für die Unternehmen, welche Google Fonts (rechtswidrig) eingesetzt haben, sondern auch für den Anwalt, der die Ansprüche seiner Klientin durchsetzen wollte.
Es gibt Indizien dafür, dass die bis zu 10’000 abgemahnten Websitebetreiber mithilfe einer Web-Crawling-Software ausfindig gemacht und dabei automatisiert Screenshots als Beweismittel anfertigt wurden. Die Klientin des Anwalts hat somit (grösstenteils) nicht selbst auf die Websites zugegriffen, was die Frage aufwirft, ob solch ein automatisierter Zugriff überhaupt einen datenschutzrechtlichen Anspruch begründet.
Aufgrund des beschriebenen Vorgehens steht eine Strafanzeige wegen gewerbsmässigen Betrugs und ein Disziplinarverfahren vor der Rechtsanwaltskammer Niederösterreich gegen den Rechtsanwalt im Raum. Ob das Vorgehen des österreichischen Juristen tatsächlich strafbar bzw. standeswidrig war, bleibt abzuwarten.
In der Schweiz sind massenhafte Abmahnungen wegen Verstössen gegen das Datenschutzrecht eher selten. Dies insbesondere, weil hier, anders als in Deutschland und Österreich, die Kosten für die Abmahnung gegenüber dem Abgemahnten an sich nicht geltend gemacht werden können. Aber auch Schweizer Websitebetreiber sind vor Abmahnungen aus Österreich und Deutschland nicht gefeit, wenn Ihre Websites auch auf diese Länder ausgerichtet sind (vgl. dazu MLL-News vom 10.9.2020 und MLL-News vom 4.2.2021).
Die Rechtslage in Fällen von Abmahnungen durch ausländische Anwälte ist sehr komplex, da zunächst zu klären ist, welches nationale Recht überhaupt anwendbar ist. Erst danach kann bestimmt werden, ob die Abmahnung berechtigt ist. Sind Unternehmen mit Abmahnungen konfrontiert, ist eine Beratung durch einen auf Abmahnungen im E-Commerce spezialisierten Anwalt entsprechend zu empfehlen.
Einsatz von Google Fonts: Rechtslage in der Schweiz und Handlungsempfehlung
Seit dem Logistep-Entscheid des Bundesgerichts ist klar, dass dynamische IP-Adressen im Einzelfall Personendaten sein können (vgl. hierzu MLL-News vom 5.12.2010). Entscheidend sei, dass sich die Angabe einer oder mehreren Personen zuordnen lasse. Dem ist gemäss Bundesgericht Genüge getan, wenn sich aus der Angabe oder Information selbst ergibt, dass es sich genau um diese Person handelt, resp. im Sinne der Bestimmbarkeit, wenn aufgrund zusätzlicher Informationen auf diese genaue Person geschlossen werden kann. Das Bundesgericht betont aber auch, dass nicht schon jede theoretische Möglichkeit der Identifizierung genügen kann. Sei der Aufwand derart gross, dass nach der allgemeinen Lebenserfahrung nicht damit gerechnet werden müsse, dass ein Interessent diesen auf sich nehmen werde, liege keine Bestimmbarkeit vor. Diese Frage sei im konkreten Einzelfall zu beurteilen, wobei die jeweils vorhandenen technischen Möglichkeiten mit zu berücksichtigen seien. Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) vertritt einen strengeren Ansatz und hat in der Vergangenheit IP-Adressen regelmässig ohne Einzelfallprüfung als Personendaten qualifiziert (vgl. dazu auch MLL-News vom 8.6.2022).
Wie in der EU gelten die USA in der Schweiz als Land ohne hinreichendes Datenschutzniveau. Der EDÖB vertritt die Auffassung, dass es nur zulässig sei Personendaten in die USA zu übermitteln, wenn zusätzliche technische und organisatorische Massnahmen ergriffen werden (vgl. dazu auch MLL-News vom 5.10.2020). Diese Massnahmen sollen sicherstellen, dass kein Personenbezug im Empfängerland hergestellt werden kann (z.B. Anonymisierung bzw. Pseudonymisierung ohne Möglichkeit des Empfängers die Daten zu entschlüsseln). Demgegenüber steht die von mehreren Schweizer Datenschutzjuristen vertretene Auffassung, dass ein Datentransfer in die USA auch allein auf Grundlage der aktualisierten Standardvertragsklauseln (SCC) zulässig sei. Grundvoraussetzung hierfür sei jedoch, dass vor der Auslandsbekanntgabe der Personendaten eine Risikoanalyse (sog. Transfer Impact Assessment) durchgeführt wird. Eine Datenübermittlung – auf Grundlage der SCC – sei sodann nur zulässig, sofern das Risko eines rechtwidrigen Zugriffs auf die Personendaten der betroffenen Person gering sei. Das Kernrisiko bei der Übermittlung von Daten in die USA ist, dass US-Behörden in einer Art und Weise auf Personendaten zugreifen könnten, die nicht mit Schweizer Grundrechtsgarantien im Einklang steht. Bisher ist noch nicht gerichtlich geklärt, ob der «risikobasierte Ansatz», im Einklang mit dem Schweizer Datenschutzrecht steht. Der EDÖB hat indes im Zusammenhang mit der Auslagerung von Personendaten in eine Microsoft Cloud durch die Schweizerische Unfallversicherungsanstalt (SUVA) Zweifel gegenüber der Anwendung des risikobasierten Ansatzes angemeldet, ohne die Zulässigkeit desselbigen jedoch absolut auszuschliessen (vgl. hierzu MLL-News vom 05.07.2022).
Sofern im konkreten Fall die dynamischen IP-Adressen als Personendaten zu qualifizieren sind, wäre somit die Einbindung von Google Fonts über die Google-Cloud – und die damit verbundene Auslandsbekanntgabe – auch nach Schweizer Recht problematisch.
Darüber hinaus gilt es zu beachten, dass ein Grossteil der schweizerischen Websites ebenfalls auf den EU-Markt ausgerichtet sind und somit das – u.U. strengere – EU-Datenschutzrecht zu befolgen haben.
Aufgrund der bestehenden rechtlichen Unsicherheit im Zusammenhang mit Google Fonts ist Schweizer Unternehmen zu empfehlen, Google Fonts so einzubinden, dass die Schriften auf dem eigenen Server gehostet werden und somit sicher keine Personendaten in die USA bekanntgegeben werden. Eine Anleitung, wie Google Fonts selbst gehostet werden kann, finden Sie hier.
Weitere Informationen:
- Der Standard am 23.8.2022, «Datenschutzanwalt» fordert 190 Euro von Websites für Einbindung von Google-Schriftarten
- Der Standard am 26.8.2022, Google Fonts: Betroffenen-Anwalt erstattet Anzeige wegen Verdachts auf gewerbsmäßigen Betrug
- LG München I, Urteil vom 20.01.2022 – 3 O 17493/20
- Urteil des Bundesgerichtshofs vom 16. Mai 2017 (VI ZR 135/13)
- MLL-News vom 5. Dezember 2010: Logistep-Urteil: Bundesgericht qualifiziert IP-Adressen NICHT grundsätzlich als Personendaten
- MLL-News vom 26. Oktober 2016: Datenschutzrecht: dynamische IP-Adressen können laut EuGH Personendaten sein
- MLL-News vom 10. September 2020: HGer ZH urteilt über deutsche Abmahnungen wegen Online-Nutzung von Bildern mit Creative Commons Lizenzen
- MLL-News vom 5. Oktober 2020: EDÖB: Stellungnahme zu Datentransfers in die USA und weitere Staaten ohne angemessenes Datenschutzniveau
- MLL-News vom 4. Februar 2021: Neues „Anti-Abmahngesetz“ in Deutschland – Bedeutung auch für Schweizer Onlinehändler
- MLL-News vom 8. Juni. 2022: EU-Datenschutzbehörden: Implementierung von Google Analytics verstösst gegen DSGVO