Abmahnwelle zu Google Fonts

Aus aktuellem Anlass möchten wir Sie noch einmal darauf hinweisen, dass das Betreiben von Diensten auf Webseiten, welche personenbezogene Daten, auch IP-Adressen, in unsichere Drittländer übermitteln, einwilligungspflichtig ist.

Das betrifft u.a. auch den Einsatz von Google Fonts.

Aufgrund des Urteils vom Landgericht München aus Januar 2022 (https://openjur.de/u/2384915.html) ist eine Einbindung von Google Fonts – über die von Google bereitgestellte API, welche die Fonts direkt von Google-Server lädt – ohne vorherige Einwilligung des Nutzers nicht datenschutzkonform. D.h. dass in diesem Fall ein Verstoß gegen die EU-DSGVO und das TTDSG vorliegt. Die Einwilligung kann bzw. sollte via Consent-Tool eingeholt werden.

Zurzeit werden in großem Stil Abmahnungen gegen Website-Betreiber versandt, in welchen meist auch Schadensersatz von bis zu 1.500,00 Euro gefordert wird, wenn Google Fonts auf der Website ohne Einwilligung eingesetzt wird. Diese Abmahnungen erfolgen häufig in Verbindung mit der Aufforderung zur Abgabe einer Unterlassungserklärung.


Wie prüfe ich die Einbindung von Google Fonts?

Bitte prüfen Sie – wenn noch nicht erfolgt – unverzüglich, ob Sie einwilligungspflichtige Dienste, wie Google Fonts auf der Webseite einsetzen.

Hierzu die zu prüfende Webseite z.B. in Google Chrome öffnen und anschließend über die Entwicklertools die geladenen Sourcen prüfen:

  • Rechte Maustaste auf der Webseite klicken
  • Eintrag „Untersuchen“ wählen
  • In den Entwicklertools auf „Sources“ klicken

Werden hier neben Ihrem eigenen Domain-Namen auch fonts.googleapis.com o.ä. angezeigt, besteht dringender Handlungsbedarf.


Was ist zu tun?

Entweder

1. Einbindung eines Consent-Tools und Einholung einer rechtskonformen Einwilligung.

Oder

2. Als Alternative zur vorherigen Einwilligung kann Google Fonts auch lokal eingebunden werden, um eine Verbindung zu den Google-Servern und damit eine Übermittlung von Nutzerdaten in die USA zu verhindern. Hierzu werden die Fonts von Google lokal auf dem eigenen Server gespeichert und müssen nicht mehr über die API von den Google Servern geladen werden.

Wenden Sie sich in diesem Fall an Ihren Webseitenbetreuer, damit der Dienstleister die Fonts lokal auf Ihrem eigenen Server bzw. ein Consent-Tool einbinden kann.


Was passiert, wenn ich bereits ein solches Abmahnschreiben erhalten habe?

Trifft der Vorwurf zu, haben die „Abmahnenden“ aktuell das Recht auf ihrer Seite.
Wir empfehlen Ihnen bei solchen Abmahnschreiben rechtlichen Rat einzuholen, denn es bestehen leider unterschiedliche Risiken. Wird z.B. der Aufforderung der Schadensersatzzahlung nachgekommen, könnten weitere finanzielle Forderungen und Drohungen folgen. Auch die Reaktion auf das Schreiben selbst hängt von der Art des Schreibens und auch vom Absender (z.B. Privatperson, Rechtsanwalt in Vertretung einer Privatperson) und dessen Seriosität ab.

In jedem Fall aber sollte der Abmahngrund schnellstmöglich beseitigt werden.


Unser Service für Sie!

Gern unterstützen wir Sie bei der rechtskonformen Gestaltung Ihrer Webseite insbesondere:

  • Erstellen einer ausführlichen Analyse zum Ist-Stand mit Handlungsempfehlungen zur schnellen Umsetzung.
  • Unterstützung bei der Erstellung einer rechtskonformen Datenschutzerklärung auf Ihrer Webseite.

Ist ein datenschutzkonformer Einsatz von Microsoft 365 möglich?

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz hat auf seiner Homepage aktuelle FAQs zu Microsoft 365 (ehemals Office 365) veröffentlicht. Aus diesen lässt sich entnehmen, wie ein datenschutzkonformer Einsatz von Microsoft 365 unter Beachtung bestimmter technischer und organisatorischer Maßnahmen möglich ist.

Diese sind u.a.:

  • Verwendung einer eigenen IT-Infrastruktur mit Maßnahmen zur Verschleierung der IP-Adressen
  • Nutzung über einen abgesicherten Browser mit integrierten Schutzmaßnahmen
  • Zwischenschaltung vorkonfigurierter Terminal-Clients zur Anonymisierung der Metadaten
  • Verwendung dienstlicher Mailadressen/Accounts ohne Personenbezug
  • Unterbindung der Übertragung von Telemetrie-Daten beim Einsatz von Microsoft 365 bzw. dem darunterliegenden Windows-Betriebssystem
  • Verzicht auf die Nutzung der Cloud-Version von Microsoft 365
  • Überwachung von Microsoft-Produktupdates und Prüfung damit verbundener Konfigurationsänderungen
  • Nutzung der von Microsoft bereitgestellten Konfigurationsmöglichkeiten zur Unterbindung der Übertragung von Diagnose-/Telemetriedaten oder durch eigene technische und organisatorische Maßnahmen

Lesen Sie mehr in den FAQs zu Microsoft 365 unter:
https://www.datenschutz.rlp.de/de/themenfelder-themen/microsoft-office-365/

Bitte beachten Sie die Empfehlungen der Aufsichtsbehörden, um Bußgelder und mögliche Sanktionen zu vermeiden. Wir unterstützen Sie gern bei der Umsetzung oder ggfs. bei der Analyse bereits installierter Lösungen.

Neue Abmahnwelle zu Cookies und Google Diensten

Wie bereits in unseren Newslettern, u.a. vom 04.04.2022 und 29.10.2021 beschrieben, müssen nach geltendem Datenschutz-Recht für die Einbindung von nicht notwendigen Cookies auf Webseiten immer Einwilligungen der Webseitenbesucher eingeholt werden. 

In der Praxis hat sich hier der Einsatz eines sogenannten Consent-Tools bewährt. 

Nun ist eine regelrechte Abmahnwelle – durch Privatpersonen – ausgebrochen. So werden gehäuft Abmahnungen an Webseitenbetreiber versandt, in denen meist auch Schadenersatzforderungen ausgesprochen werden. Die Abmahnung gilt dem fehlenden Einholen von Einwilligungen für die Einbindung von Cookies und z.B. auch Webfonts in Webseiten.

Das Hauptziel dieser Abmahnschreiben sind Schadensersatzansprüche nach der DSGVO geltend zu machen. Die Höhe der Forderungen liegt zwischen 100 und 2.000 Euro. 

Die Betreiber der Webseiten werden weiterhin aufgefordert, den benannten Datenschutzverstoß unverzüglich abzustellen.

Der Abmahnwelle vorangegangen ist ein Urteil des Landgerichts München (Urt. vom 22.01.2022, AZ 3 O 17493/20), indem einem Webseitenbesucher auf Grund der Nutzung von Google Fonts und der fehlenden Einwilligung ein Schadensersatz in Höhe von 100 Euro zugesprochen wurde. 

Was ist das Problem? Trifft der der Vorwurf zu, haben die „Abmahnenden“ aktuell das Recht auf ihrer Seite. Wenn Cookies bspw. von Google Analytics oder Google Fonts eingesetzt werden, bevor der Besucher der Webseite die Cookies über das Cookie-Consent-Toll akzeptiert hat oder Besucher nicht nach ihrer Zustimmung gefragt werden, liegen Datenschutzverstöße gemäß DSGVO vor. 

Durch die Einsicht in den Quelltext der Webseite sind diese Cookies leicht durch Dritte identifizierbar.

Wir empfehlen Ihnen bei solchen Abmahnschreiben rechtlichen Rat einzuholen, denn es bestehen leider unterschiedliche Risiken. Wird z.B. der Aufforderung der Schadensersatzzahlung nachgekommen, könnten weitere finanzielle Forderungen und Drohungen folgen. Auch die Reaktion auf das Schreiben selbst hängt von der Art des Schreibens und auch vom Absender (z.B. Privatperson, Rechtsanwalt in Vertretung einer Privatperson) und dessen Seriosität ab.  

In jedem Fall sollte schnellstmöglich auf der eigenen Webseite geprüft werden, ob eine Einwilligung erforderlich ist z.B. bei der Einbindung von Google Tools. Trifft dies zu, sind die technischen Voraussetzungen für das dokumentierte und aktive Einholen von Einwilligungen von Webseitenbesuchern z.B. durch ein Consent-Tool unverzüglich umzusetzen, um weitere Abmahnungen zu vermeiden. 

Gern unterstützen wir Sie bei der rechtskonformen Gestaltung der Webseite und erstellen eine Analyse zum Ist-/Soll Zustand.   

Orientierungshilfe der Aufsichtsbehörden für Anbieter:innen von Telemedien:
https://datenschutzkonferenz-online.de/media/oh/20211220_oh_telemedien.pdf

FAQ zu Cookies und Tracking:
https://www.baden-wuerttemberg.datenschutz.de/faq-zu-cookies-und-tracking-2/

Irreführende Cookie-Banner: noyb reicht neue Beschwerden ein:
https://datenschutz.prodatis.com/nl/Irrefuehrende_Cookie-Banner_noyb_reicht_neue_Beschwerden_ein.pdf


Grundsatz der Datenminimierung

Die Datenschutz-Grundverordnung (DSGVO) nennt in Art. 5 DSGVO Datenminimierung als einen der Grundsätze der Verarbeitung personenbezogener Daten:
Personenbezogene Daten müssen demnach „dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein“.

Warum?

  • „Was man nicht braucht, hat man dann nicht und muss man deshalb nicht schützen.“

Wie lässt sich Datenminimierung umsetzen?

  • erfasste Attribute der betroffenen Personen reduzieren
  • Voreinstellungen festlegen, die dieVerarbeitung personenbezogener Daten auf das Maß beschränken, das für den Verarbeitungszweck notwendig ist
  • Datenmasken implementieren, die Datenfelder unterdrücken
  • automatische Sperr- und Löschroutinen, Pseudonymisierungs- und Anonymisierungsverfahren vorsehen
  • Löschkonzept festlegen und umsetzen

Lesen Sie mehr unter:
https://datenschutz.prodatis.com/nl/Datenschutzgrundsaetze_Teil1_Datenminimierung.pdf

Einwilligungen im Beschäftigtenverhältnis

Einwilligungen in beschäftigungsbezogenen Maßnahmen sind eher selten, da die Verarbeitung von personenbezogenen Daten von Beschäftigten als Grundlage den Arbeitsvertrag und auch gesetzliche Regelungen hat. Jedoch haben gerade Maßnahmen rund um das Thema Corona-Pandemie in Erinnerung gerufen, wie sehr das Thema „Einwilligung im Beschäftigungsverhältnis“ mit datenschutzrechtlichen Fragen verbunden ist.

Anhand von konkreten Beispiele werden nachfolgend die Bedingungen für gesetzeskonforme Einwilligungen aufgezeigt.

Lesen Sie mehr unter:
https://datenschutz.prodatis.com/nl/Die_Einwilligung_im_Beschaeftigungsverhaeltnis.pdf

Planung eines eigenständigen Gesetzes zum Beschäftigten-Datenschutz

Der Schutz von personenbezogenen Daten im Beschäftigungszusammenhang stellt sowohl Verantwortliche als auch betroffene Personen, Datenschutzbeauftragte (DSB) und Betriebsräte immer wieder vor Herausforderungen. 
Die bestehenden Regelungen aus der EU-DSGVO und §26 Bundesdatenschutzgesetz (BDSG) sind nach Auffassung der Datenschutzkonferenz (DSK) – dem Gremium der unabhängigen deutschen Aufsichtsbehörden des Bundes und der Länder – nicht praktikabel, sachgerecht und nicht klar genug gefasst. Deshalb fordert diese in ihrer Entschließung vom 29. April 2022den Gesetzgeber auf, ein eigenständiges Beschäftigtendatenschutzgesetz zu schaffen.

Lesen Sie mehr unter:
https://datenschutz.prodatis.com/nl/Beschaeftigtendatenschutz_Das_fordert_die_DSK.pdf

Neues Kurzpapier „Ursachen von Datenschutzverletzungen“

Kommt es zu einer Datenschutzverletzung im Unternehmen oder einer öffentlichen Einrichtung – auch Datenpanne genannt – muss richtig und schnell reagiert werden, um intern den Schaden zu analysieren, Gegenmaßnahmen einzuleiten und die gesetzlichen Anforderungen zur Meldung an die Aufsichtsbehörden und auch an die betroffenen Personen, wenn das Risiko für die Rechte und Freiheiten dieser sehr hoch ist,
zu gewährleisten.

Gemäß DSGVO gilt grundsätzlich die Frist von 72 Stunden ab Bekanntwerden der Datenpanne.
Die internen Meldeprozesse und Zuständigkeiten sollten daher klar definiert, dokumentiert und allen Beschäftigten bekannt sein.

Doch was ist eine Datenschutzverletzung und welche Maßnahmen kommen als Gegenmaßnahmen zur Abmilderung oder zukünftigen Vermeidung in Frage?

Die Datenschutzaufsichtsbehörde Sachsen-Anhalt hat dazu das folgende Kurzpapier veröffentlicht:
https://datenschutz.sachsen-anhalt.de/fileadmin/Bibliothek/Landesaemter/LfD/PDF/binary/
Informationen/Materialien/KMU/Ursachen_von_Datenschutzverletzungen.pdf

Gern unterstützen wir Sie beim Aufbau der internen Prozesse zum Thema Datenschutzverletzungen und stellen Ihnen entsprechende Organisationsanweisungen als Muster zur Verfügung.

Prüfung von Auftragsverarbeitungsverträgen (AVV) bei Webhostern

Bitte beachten Sie nachfolgende Mitteilung der Sächsischen Datenschutzbeauftragten zum Thema
„Prüfung von Auftragsverarbeitungsverträgen (AVV) bei Webhostern“
 vom 18.07.2022
(Quelle: www.saechsdsb.de)

„Wer eine Internetseite betreibt, nutzt dafür häufig einen externen Dienstleister, der die Website hostet. Personenbezogene Daten, die beim Besuch eines Webauftritts übermittelt werden, verarbeit der Hoster in der Regel im Auftrag des Seitenbetreibers. Dafür müssen beide Parteien einen Auftragsverarbeitungsvertrag (AVV) abschließen.

Regelmäßig erreichen die Datenschutz-Aufsichtsbehörden Anfragen von Verantwortlichen, die feststellen, dass der vom Webhoster angebotene AVV nicht den Anforderungen der DSGVO entspricht. Beispielsweise sehen viele AVV keine ausreichenden Nachweise darüber vor, dass der Webhoster die vereinbarten Datenschutzmaßnahmen umsetzt. Jedoch müssen Seitenbetreiber als Verantwortliche gegenüber den betroffenen Personen und den Aufsichtsbehörden belegen können, dass der Datenschutz eingehalten wird.

Um Webhoster und Verantwortliche beim Abschluss von rechtskonformen AVV zu unterstützen, prüfen einige deutsche Datenschutz-Aufsichtsbehörden nun die Musterverträge mehrerer großer Anbieter. An der koordinierten Prüfung beteiligen sich neben der Sächsischen Datenschutzbeauftragten auch die Aufsichtsbehörden aus Berlin, Niedersachsen, Rheinland-Pfalz, Sachsen-Anhalt und Bayern (LDA).

Bei den Kontrollen kommt eine hierfür entwickelte AVV-Checkliste (PDF-Datei) zum Einsatz. Sie wird zusammen mit den Ausfüllhinweisen (PDF-Datei) ebenso den Webhostern zur Verfügung gestellt.“

Sollten Sie Dienstleistungen von Webhostern in Anspruch nehmen, prüfen Sie bitte, ob ein Vertrag zur Auftragsverarbeitung gem. Art. 28 DSGVO zwischen Ihnen und dem Auftragnehmer abgeschlossen wurde. Weitere Informationen zum Thema Auftragsverarbeitung finden Sie hier https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_13.pdf.

Gern unterstützen wir Sie bei der Prüfung der Verträge aus datenschutzrechtlicher Sicht.

Die Digitalisierung der Verwaltung – Onlinezugangsgesetz und Single Digital Gateway

Was ist das Onlinezugangsgesetz (OZG)? Und was das Single Digital Gateway (SDG)? Wie werden Leistungen digitalisiert? Wer ist daran beteiligt – und welche Rolle spielt Nutzerzentrierung? Wer sich mit der Digitalisierung der Verwaltung befasst, steht zunächst einmal vor vielen Fragen.

Das BMI stellt unter www.onlinezugangsgesetz.de grundlegende Informationen zum Onlinezugangsgesetz bereit, seiner Umsetzung und dem Single Digital Gateway, das ein einheitliches digitales Zugangstor zur Verwaltung in der EU zum Ziel hat.

Lesen Sie mehr unter:
https://www.onlinezugangsgesetz.de/Webs/OZG/DE/grundlagen/grundlagen-node.html

(Quelle: www.onlinezugangsgesetz.de)

Illegales GPS-Tracking durch den Arbeitgeber

Viele Unternehmen aus der Logistikbranche wollen die Routen ihrer Fahrzeuge über GPS verfolgen. Datenschutzrechtliche Probleme beginnen hierbei spätestens, wenn die dabei gewonnenen Daten gespeichert werden. Dies spiegelt eine Untersagungsverfügung der hessischen Datenschutzaufsicht wieder, welche durch das Verwaltungsgericht Wiesbaden in vollem Umfang akzeptiert wurde. Das vorliegende Urteil bietet eine exakte Darstellung der Rechtsgrundlagen für Anordnungen der Aufsichtsbehörden.

Lesen Sie mehr unter:
https://datenschutz.prodatis.com/nl/Illegales_GPS-Tracking_durch_den_Arbeitgeber.pdf

Urteil des Verwaltungsgerichts Wiesbaden:
https://www.rv.hessenrecht.hessen.de/bshe/document/LARE220002547