Nutzen Sie noch Google Webfonts, Google Analytics oder Google Maps?
Seit Aufkündigung des EU-USA-Privacy Shields durch das EuGH ist unser Leben als Webseitenbetreiber nicht unbedingt einfacher geworden. In den letzten Tagen standen vor allem die Google Dienste Google Webfonts sowie Google Analytics im Fokus europäischer Datenschützer.
Schadenersatz für User von Website mit Anbindung an Google Webfonts
So hat das Landgericht München am 20.01.2022 (LG München, 3 O 17493/20) entschieden, dass der Nutzer einer Website Schadenersatz erhalten solle, weil die besuchte Website die verwendeten Schriftarten über Google Fonts abgerufen hatte. Darüber hinaus ging mit dem Urteil ein Unterlassungsanspruch einher.
Die schlechte Nachricht: Dieser Abruf erfolgt bei so gut wie bei jeder Website. Auf diese Weise ist gewährleistet, dass eine Website auf allen Browsern korrekt dargestellt wird – ein wichtiges Detail bei der Programmierung eines Internetauftritts, da die geschickte Auswahl der Schriften das zentrale gestalterische Element einer Website darstellt (Web Design is 95 % Typography) und damit wesentlich zur Markenbildung beitragen.
Die gute Nachricht: Über die lokale Einbindung von Schriften auf einer Website lässt sich die Verbindung zu Google Webfonts vermeiden. Je nach verwendeter Grundprogrammierung kann dies jedoch einigen Aufwand bedeuten.
Wie Sie prüfen können, ob Ihre Website Schriften über Google Fonts abruft
Ob Ihre Website die Schriften via Google Fonts abruft oder nicht, können Sie über die Webentwickler-Tools Ihres Browsers in Erfahrung bringen. Rufen Sie dazu Ihre Website im Browser Google Chrome auf. Klicken Sie anschließend auf die drei Punkte oben rechts in der Browserleiste. Wählen Sie in dem sich öffnenden Menü in zwei Schritten „Weitere Tools“ und „Entwicklertools“ aus. Es erscheint ein Fenster, unter dessen Reiter „Quellcode“ Sie URLs einsehen können. Finden Sie dort „fonts.googleapis.com“ und „fonts.gstatic.com“, so wird bei Aufruf Ihres Internetauftritts eine Verbindung zu Google Fonts hergestellt. Ihre Schriften sind somit nicht lokal auf Ihrer Website eingebunden, es besteht Handlungsbedarf.
Screenshot Darstellung in Google Chrome Webmastertools von Aufruf der Google Fonts Lato, Raleway und Roboto über Google Webfonts
Nutzung von Google Analytics bald rechtswidrig?
Ein weitaus größeres Problem stellt die Nutzung von Google Analytics dar und dies auch für den Fall, dass Blocker mit zwingender Opt-in-Funktion wie Borlabs Cookie genutzt werden. Die Auffassung von Gerichten und Datenschützern scheint gegenwärtig auf ein generelles Verbot von Google Analytics hinauszulaufen. Es wird daher empfohlen, auf die Einbindung von Google Analytics auf der eigenen Website zu verzichten. Ob dies für Sie tatsächlich möglich ist – viele Geschäftsmodelle sind auf Anzeigenschaltung angewiesen – müssen Sie selbst entscheiden.
Google, Facebook, Instagram & Co. – brauchen Sie deren Einbindung unbedingt auf Ihrer Website?
Generell würde ich jedem Webseitenbetreiber raten, vor allem solche Dienste einer eindringlichen Prüfung zu unterziehen, die womöglich Daten in die USA übermitteln und daher Geheimdiensten zur Verfügung stellen könnten. Kein Witz, genau das ist der Stein des Anstoßes und Grundlage der gerichtlichen Entscheidungen. Facebook, Instagram & Co. stehen daher ebenso im Fokus der Datenschützer wie Google Dienste. Fragen Sie sich daher, ob Sie ohne die Einbindung dieser Dienste in Ihre Website auskommen oder nicht. Eventuell würde ja auch ein gut gestalteter Link auf das externe Angebot genügen?!
Tools, die Daten erheben, die ausschließlich in der EU verarbeitet werden, stellen – eine entsprechende Opt-in-Lösung wie Borlabs Cookie vorausgesetzt – dagegen kein oder nur ein geringes Problem dar. Bleibt die Frage, wann wir als Internetcommunity endlich rechtssichere Lösungen erhalten werden. Die DSGVO mit Stand Mai 2018 – Stichwort „berechtigtes Interesse“ – scheint diese Rechtssicherheit ja nicht (mehr) zu bieten.
Und ob und wann uns Unternehmen oder öffentliche Institutionen in der EU entsprechend leistungsfähige Dienste wie Google & Co. zur Verfügung stellen können, steht nach wie vor in den Sternen.
Fazit
Im Hinblick auf die 007-Panik kann ich sagen: Im Internet tätig zu sein macht inzwischen keine Freude mehr, fühlt man sich angesichts diverser Urteile und mangelnder Alternativen doch zusehends LOST IN SPACE!
Update 11. Februar 2022: Google Analytics nun auch in Frankreich unzulässig
Nachdem sich die österreichische Datenschutzbehörde für ein Verbot von Google Analytics ausgesprochen hat, ist die Verwendung des Tracking-Tools nun auch in Frankreich für unzulässig erklärt worden. Weitere Dienste US-amerikanischer Unternehmen sollen auf dem Prüfstand stehen.
Im Zuge dieser Entwicklung steigt der Druck auf US-Firmen und damit auch auf US-Behörden. US-Medien kündigen eine zweite Auflage des USA-EU-Privacy-Shields an. Aber ob dieses Gnade vor dem EuGH finden wird?
Update 10. Mai 2023: Landgericht Köln bestätigt unzulässige Übermittlung personenbezogener Daten an Google Server in die USA
In seinem Urteil vom 23.03.2023 (Az.: 33 O 376/22) hat das LG Köln entschieden, dass die Übermittlung von IP-Adressen an Google Server in den USA unzulässig ist. Wohlgemerkt hat das Gericht damit nicht die Nutzung von Google Analytics verboten, sondern vielmehr die reine Übermittlung personenbezogener Daten. Auch die Kürzung der IP-Adressen reichte für eine Zulässigkeit nicht aus, da im Fall der eingesetzten Version von Google Analytics die Kürzung in den USA erfolgt.
Was nun tun sollten …
Wenn Sie nicht ganz auf Google Analytics verzichten wollen, nutzen Sie am besten ab sofort die neue Version „Google Analytics 4“. Bei diesem Tool soll die Kürzung der IP-Adressen in der EU erfolgen. Eine ungekürzte Übermittlung in die USA findet nach Aussage von Google nicht statt.
Das neue „Trans-Atlantic Data Privacy Framework“ (TDPF) zwischen den USA und der EU soll noch in diesem Jahr in Kraft treten. Dann sehen wir weiter!