Kategorie: Online-Datenschutz

LG München: Einsatz von Google Fonts ohne Einwilligung rechtswidrig

4. März 2022

Das Landgericht München hat in einem Urteil vom 20.01.2022 entschieden, dass der Einsatz von Google Fonts auf Webseiten nicht mehr auf die berechtigten Interessen des Webseitenbetreibers gemäß Art. 6 Abs. 1 lit. f DSGVO gestützt werden kann. Nunmehr ist stets eine Einwilligung des Nutzers erforderlich. Webseitenbetreiber können bei Verstoß auf Unterlassung und Schadensersatz verklagt werden.

Hintergrund

Google Fonts setzt zwar keine Cookies. Wenn aber eine von Googles Schriftarten (= englisch Font) vom Browser des Besuchers bei dem Besuch der Webseite angefordert wird, wird dessen IP-Adresse von Google erfasst und für Analysezwecke verwendet. Diesen Prozess beschreibt Google auch in den Google AGB zur Google Fonts API. Bei den so erhobenen dynamischen IP-Adressen handele es sich um personenbezogene Daten, da es dem Webseitenbetreiber über eine zuständige Behörde und den Internetzugangsanbieter abstrakt möglich sei, die betreffende Person zu identifizieren, so das Urteil.

Vor dem Urteil des Landgerichts München konnte man – unter Inkaufnahme eines gewissen unternehmerischen Risikos – den Einsatz von Google Fonts auf Art. 6 Abs. 1 S.1 lit. f DSGVO, die berechtigten Interessen, stützen. Nun kann der Einsatz von Schriftartendiensten wie Google Fonts nicht mehr auf Art. 6 Abs. 1 S.1 lit. f DSGVO gestützt werden, da kein berechtigtes Interesse des Webseitenbetreibers bestehe, die Schriftart über externe Google-Server einzubinden. Schließlich könne man anstattdessen die Google Fonts auch herunterladen und vom eigenen Server lokal ausliefern, ohne dass eine Verbindung von Besuchern zu Google Servern hergestellt werden muss.

Der Beklagte hatte außerdem zudem eingewandt, dass der Besucher der Webseite auch seine IP-Adresse etwa durch Nutzung eines VPN verschleiern könnte. Diesen Einwand lehnte das Landgericht München jedoch ab und bestätigte insoweit ein Urteil des Landgerichts Dresden aus dem Jahr 2019. Dem Webseitenbesucher dies abzuverlangen, würde den Zweck des Datenschutzrechtes, welches in erster Linie den Schutz natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten vor Beeinträchtigung bezweckt, gar umkehren, da durch eine solche Verpflichtung der Rechteinhaber bei der Ausübung seiner schützenswerten Rechte eingeschränkt werden würde.

Konsequenz für Webseitenbetreiber

Die einzig rechtssichere Möglichkeit der Einbindung von Google Fonts über die Google Server ist nach dem Urteil des Landgerichts München nun die Einwilligung des Webseitenbesuchers.

Für eine DSGVO-konforme Einwilligung ist es allerdings notwendig, dass der Nutzer informiert und nach seiner Einwilligung gefragt wird, bevor ein URL Call von Google Fonts zur Google Fonts API stattfindet, also bevor Google Fonts ausgespielt und die Verbindung zu den Google Servern hergestellt wird. Ein Eintrag in den Datenschutzbestimmungen kann das nicht leisten. Ähnlich wie bei den Cookies müsste also ein Banner ausgespielt werden, vergleichbar dem Cookie Banner. Solange keine Einwilligung seitens des Besuchers vorliegt, wird dann die über Google Fonts eingebundene Schriftart nicht geladen.

Vor diesem Hintergrund erscheint es einfacher und rechtssicherer, die Möglichkeit zu nutzen, Google Fonts lokal einzubinden. Dabei werden die Schriften heruntergeladen und für den Besucher vom eigenen Server und nicht von den Google-Servern geladen. Hierbei werden keine Daten an Google als Drittanbieter gesendet.

VG Köln: Keine Meldepflicht ans BKA für Google und Meta

3. März 2022

Das Verwaltungsgericht (VG) Köln hat am 01.03.2022 zwei Eilanträgen der Google Ireland Ltd (Az. 6 L 1277/21) und Meta Platforms Ireland Limited (Az. 6 L 1354/21) teilweise stattgegeben. Google und Meta wandten sich darin gegen Neuregelungen des Netzwerkdurchsetzungsgesetzes (NetzDG), insbesondere im Hinblick auf Meldepflichten der sozialen Netzwerke an das Bundeskriminalamt (BKA).

Konkret müssen Google und Meta vorerst §3a NetzDG nicht befolgen. Bei dieser sog. Netz-DG-Beschwerde müssen soziale Netzwerke ihnen gemeldete rechtswidrige Inhalte im Hinblick auf konkrete Hinweise für Straftatbestände prüfen und diese Angaben dann an das BKA melden, falls Anhaltspunkte vorliegen. Dieser Paragraph stellt jedoch einen Verstoß gegen das unionsrechtliche Herkunftslandprinzip aus der Richtlinie über den elektronischen Geschäftsverkehr (ECRL) dar. Danach ist für einen Anbieter elektronischer Dienste das Recht seines Sitzstaates maßgebend. In beiden Fällen ist das Irland und nicht Deutschland.

Daneben wurde auch der neue §4a NetzDG angegriffen. Darin wird das Bundesamt für Justiz zur für die Überwachung der Einhaltung der Vorschriften des NetzDG bestimmt. Die Behörde ist nach Auffassung des VG jedoch nicht unabhängig genug, da es dem Bundesjustizministerium unterstellt und weisungsgebunden ist.

Die jeweiligen Beschlüsse wirken nur zwischen den Verfahrensbeteiligten (Antragsgegner ist jeweils die Bundesrepublik Deutschland), die zudem die Möglichkeit der Beschwerde haben. Außerdem sind beim VG Köln weitere Eilanträge, u.a. von Twitter und TikTok, zu diesem Themenkomplex anhängig.

Französische Datenschutzbehörde CNIL hält Google Analytics für unvereinbar mit der DSGVO

14. Februar 2022

Die französische Datenschutzbehörde CNIL hat am 10.02.22 eine Stellungnahme veröffentlicht, dass Webseiten mit europäischen Besuchern auf den Einsatz von Google Analytics verzichten sollen. Dies sei nämlich nicht mit der DSGVO vereinbar. Zwar habe Google Schutzmaßnahmen getroffen, diese reichen aber nicht aus, um den Zugriff von US-Geheimdiensten auf Daten ganz auszuschließen. Die Daten von europäischen Webseiten-Besuchern seien dementsprechend nicht ausreichend geschützt. Im konkreten Fall hat der französische Webseiten-Betreiber einen Monat Zeit bekommen, um seine Webseite in Einklang mit der DSGVO zu bringen.

Der Einsatz von Google Analytics, ein weitvebreitetes Analysetool auf Webseiten, ist nach dem Schrems-II-Urteil schon länger umstritten. Die Entscheidung der CNIL kommt nur zwei Wochen nachdem die österreichische Datenschutzbehörde entschieden hatte, dass der Einsatz von Google Analytics auf österreichischen Webseiten gegen die DSGVO verstößt.

Auch die CNIL hatte zuvor Beschwerden von NOYB, der von Max Schrems gegeründeteten Organisation, zu dem Einsatz von Google Analytics erhalten. NOYB äußerte sich zu der Entscheidung der CNIL damit, dass sie weitere, ähnliche Entscheidungen von anderen Datenschutzbehörden erwarten. NOYB hatte bei Datenschutzbehörden in fast allen EU-Staaten Beschwerde eingelegt.

Google betont währenddessen ausdrücklich die Notwendigkeit eines Privacy-Shield-Nachfolgers. Nur so könnten die genutzten Google-Services weiterhin rechtskonform genutzt werden.

Österreich: Einsatz von Google Analytics rechtswidrig

4. Februar 2022

Die österreichische Datenschutzbehörde hat entschieden, dass der Einsatz von Google Analytics auf österreichischen Webseiten gegen die DSGVO verstößt. Die Entscheidung könnte wegweisend für weitere europäische Länder und damit auch entscheidend für deutsche Webseitenbetreiber sein.

Gründe für die Entscheidung

Google Analytics erhebt personenbezogene Daten, überträgt diese an Google – und Google unterliegt nach US-Recht der Überwachung durch US-Geheimdienste. Die von Google ins Feld geführten Standardvertragsklauseln helfen dem mangelden Datenschutzniveau bei Google nicht ab, wie 2020 der Europäische Gerichtshof (EuGH) mit seinem Schrems II-Urteil erkannt hat. Nach Auffassung der österreichischen Datenschutzbehörde können nun auch die zusätzlich zu den Standardvertragsklauseln getroffenen Maßnahmen von Google schlussendlich kein angemessenes Schutzniveau für die Datenübermittlung nach Artikel 44 DSGVO bieten. Damit gilt: wenn ein österreichischer Webseitenbetreiber Google Analytics einsetzt, legt er Google rechtswidrigerweise Daten offen. Konsequenz kann sein, dass die Webseite wegen rechtswidrigen Verhaltens eingestellt werden muss.

Konsequenz für deutsche Webseitenbetreiber?

Die Entscheidung hat für deutsche Webseitenbetreiber zunächst keine direkten Auswirkungen. Anlass für die Entscheidung war eine Beschwerde der Datenschutzorganisation NOYB. NOYB hatte 101 Beschwerden gegen die Nutzung von Google Analytics und Facebook Connect auf europäischen Webseiten in fast allen EU-Ländern eingelegt, darunter auch bei fünf deutschen Landesdatenschutzaufsichtsbehörden, nachdem der EuGH mit dem Schrems II-Urteil den Privacy Shield aufgehoben hatte.

Der Europäische Datenschutzausschuss (EDSA) hat daraufhin eine Task Force zur europaweit einheitlichen Bearbeitung der Beschwerden gegründet. In der ersten Beschwerde hat die österreichische Datenschutzbehörde nun entschieden. Auch die niederländische Datenschutzbehörde prüft aktuell, ob die Verwendung von Google Analytics zulässig ist: Sie hat in einen Leitfaden zur Nutzung von Google Analytics die Warnung aufgenommen, dass die Verwendung Google Analytics „möglicherweise bald nicht mehr erlaubt“ sei. Anfang 2022 sei dann auch von ihr eine Entscheidung zu erwarten.

Aufgrund des Zusammenschlusses in der Taskforce ist es allerdings möglich, dass vergleichbare Entscheidungen in sämtlichen EU-Mitgliedstaaten fallen. Max Schrems von NOYB sieht ein Indiz dafür auch darin, dass der EU-Datenschutzbeauftragte die Covid-19-Test-Webseite des Europäischen Parlaments wegen der Einbindung von Google Analytics auf eine Beschwerde von NOYB hin verwarnt hat.

Französisches Gericht bestätigt Millionen-Strafe gegen Google

31. Januar 2022

Das oberste französische Verwaltungsgericht hat eine Strafe in Höhe von 100 Millionen Euro gegen Google bestätigt, indem es eine Beschwerde von Google gegen den Bußgeld-Bescheid der französischen Datenschutzbehörde CNIL abgewiesen hat.

Im Dezember 2020 hat die CNIL einen Bußgeld-Bescheid in entsprechender Höhe wegen zweifelhafter Cookie-Einstellungen und dem Cookie-Einsatz ohne die notwendige Einwilligung der Nutzer gegen Google erlassen. Google setzte sieben Cookies automatisch, sobald ein Nutzer auf die Website gelangte. Vier davon dienten Tracking und Werbung. Der Conseil d’Etat hat diese Verstöße nun bestätigt.

Er hat sich auch zu weiteren Themen geäußert, auf die Google seine Beschwerde gestützt hat. So seien die verhängten Geldbußen in Anbetracht der hohen Gewinne, die Google mit personalisierter Online-Werbung erziele, und der Marktmacht in Frankreich von über 90 % Marktanteil nicht unverhältnismäßig.

Die CNIL hat sich nicht auf die DSGVO gestützt, sondern das Bußgeld auf Grundlage des Art. 82 des französischen Gesetzes über Informatik und Freiheit gestützt, mit dem der nationale Gesetzgeber die e-Privacy-Richtlinie aus 2002 umgesetzt hat. Der Conseil d’Etat hat bestätigt, dass für Cookie-Einstellungen die nationalen Vorgaben und nicht die DSGVO primär anwendbar sei. Daher sah sich das Gericht nicht verpflichtet, eine Vorabentscheidung des EuGH einzuholen.

Internationales Rotes Kreuz Opfer von Cyberangriff geworden

24. Januar 2022

Das Internationale Komitee vom Roten Kreuz (IKRK) veröffentlichte am 19.01.2022 die Meldung, Opfer eines Cyberangriffs geworden zu sein. Der Angriff erfolgte auf personenbezogene Daten und vertrauliche Informationen von über 515.000 Personen. Zu den betroffenen Daten zählen Namen, Standort und Kontaktinformationen. Sie stammen von insgesamt mindestens 60 nationalen Rotkreuz- und Rothalbmondgesellschaften weltweit. Das IKRK geht davon aus, dass diese Daten kopiert und exportiert wurden.

Besonders brisant ist der Angriff, weil die erbeuteten Daten von „Menschen, die aufgrund von Konflikten, Migration und Naturkatastrophen von ihren Familien getrennt wurden, vermisste[n] Personen und deren Familien sowie inhaftierte[n] Personen“, also besonders schutzbedürftigen Menschen stammen. Entsprechend besorgt ist das IKRK darüber, was dieser Angriff für Folgen haben kann. Robert Mardini, Generaldirektor des IKRK, äußerte sich dazu entsprechend: „Dieser Cyberangriff gefährdet die Menschen, die bereits auf humanitäre Hilfe angewiesen sind, umso mehr.“

Nach aktuellen Äußerungen geht das IKRK von einem gezielten Angriff aus. Veröffentlicht wurden die gehackten Daten bisher nicht. Ob Daten verändert wurden, lässt das IKRK nun prüfen, die betroffenen Server wurden offline genommen. Davon direkt betroffen ist ein Programm zur Zusammenführung getrennter Familien („Restoring Family Links“), welches jetzt ohne dieses System fortgesetzt werden muss. Wer für den Angriff verantwortlich ist, ist zum jetzigen Zeitpunkt unklar.

Bereits im August letzten Jahres wurde befürchtet, die Taliban könnte in Afghanistan Zugriff auf Daten von Hilfsorganisationen erlangt haben. Von Hilfsorganisationen gespeicherte, personenbezogene Daten sind besonders empfindlich, da sie meist von Schutzbedürftigen stammen. Sollten solche Daten veröffentlicht werden, kann das für die Betroffenen im schlimmsten Fall lebensgefährlich sein. So wird immer wieder ersichtlich, wie unverzichtbar der Datenschutz auch für humanitäre Hilfsarbeit ist.

Bundesdatenschutzbeauftragter erneuert Kritik an der Nutzung Sozialer Netzwerke durch Bundesbehörden

21. Januar 2022

In einem Interview gegenüber dem Handelsblatt äußerte sich der Bundesdatenschutzbeauftragte Ulrich Kelber erneut zur Nutzung von Sozialen Netzwerken durch die öffentliche Verwaltung – dabei geht es vor allem um Facebook, Instagram, Tiktok und Clubhouse. Technische Überprüfungen dieser Netzwerke und deren Nutzung auf den Geräten der Bundesbehörden und ihrer Mitarbeiterinnen und Mitarbeiter, die Kelber derzeit gemeinsam mit dem BSI durchführe, wiesen auf „datenschutzrechtliche Probleme“ hin. Ein finales Ergebnis gäbe es derzeit jedoch noch nicht.

Im Zusammenhang mit den Äußerungen gegenüber dem Handelsblatt kritisierte Kelber darüber hinaus auch den Betrieb sog. Facebook-Fanpages durch die Bundesbehörden. Aufgrund der „unklaren geteilten datenschutzrechtlichen Verantwortung zwischen Facebook und dem Betreiber der Seite“ könne die Fanpage „nach wie vor nicht rechtskonform betrieben werden“. Bereits letztes Jahr hatte der Bundesdatenschutzbeauftragte daher die Bundesregierung und die obersten Bundesbehörden aufgefordert, den Betrieb dieser Fanpages bis Ende 2021 einzustellen – bislang noch ohne Erfolg. Kelber betonte aber auch, dass er durch die Aufforderung nicht „zwingend die Abschaltung von Facebook-Fanseiten“ erreichen, sondern lediglich eine „datenschutzkonforme Kommunikation zwischen der Bundesregierung und der Bürgerinnen und Bürgern“ ermöglichen wolle. Ziel sei es daher, dass Facebook den Betrieb aller Fanpages an europäische Datenschutzvorgaben anpasse. Laut Kelber haben hierzu erneut Gespräche mit der Bundesregierung und Facebook stattgefunden.

Klarnas neue „Super-App“ in der Kritik

6. Januar 2022

Der Online-Bezahldienstleister Klarna sieht sich einiger Kritik bezüglich des Datenschutzes in seiner „Super-App“ ausgesetzt. In den vergangenen Wochen sind bei der Berliner Datenschutz-Aufsichtsbehörde einige Beschwerden von Nutzerinnen und Nutzern eingegangen.

Klarnas noch recht neue App vereint die bereits bekannte Zahlmöglichkeit direkt mit dem Online-Shopping. Viele Händler wurden bereits in die App integriert, sodass eine separate Anmeldung bei den einzelnen Online-Shops nicht mehr notwendig ist. Sogar der Versand und das Paket-Tracking sind in der App möglich. Dadurch erhält Klarna neben den Bezahldaten auch alle anderen Informationen zu Bestellungen und Kaufverhalten der Nutzer, anhand derer personalisierte Angebote und Werbung generiert und an die Nutzerinnen und Nutzer ausgespielt werden können.

Rund die Hälfte der Beschwerden bezieht sich auf die Rechte der Nutzerinnen und Nutzer auf Auskunft oder Löschung ihrer Daten. Ein weiteres großes Problem ist die Datenschutzerklärung, die etwa 14.000 Wörter lang ist. Art. 12 DSGVO verlangt jedoch, dass die Informationen in „präziser, transparenter, verständlicher und leicht zugänglicher Form und in einer klaren und einfachen Sprache“ zur Verfügung gestellt werden. Auch inhaltlich könne die Datenschutzerklärung nicht überzeugen, sondern sei vielmehr eine „grandiose Nebelmaschine“.

Ransomware-Angriff trifft portugiesischen Medienkonzern

3. Januar 2022

Der größte Medienkonzern Portugals, Impresa, wurde über die Neujahrstage Opfer eines Ransomware-Angriffs. Betroffen sind die Kanäle des landesweit größten Fernsehsenders SIC, sowie Portugals Wochenzeitung Expresso. Konkret handel es sich dabei um die Webseiten und Streaming-Services, das Fernsehprogramm von SIC funktioniert ungestört. Auch einige Accounts auf sozialen Medien sind von dem Angriff nicht betroffen, sodass Impresa momentan über den Facebook-Account von Expresso kommuniziert. Der Twitter-Account von Expresso scheint hingegen ebenfalls betroffen zu sein.

Laut The Record steckt hinter dem Angriff eine Gruppe namens „Lapsus$“. Zwischenzeitlich seien von der Gruppe auch Nachrichten und Lösegeldforderungen auf den Seiten von Impresa veröffentlicht worden. Die Gruppe selbst äußerte sich, sie habe kurzzeitig Zugriff auf den AWS-Account von Impresa gehabt. Bei dem Angriff wurde außerdem von der E-Mail-Adresse der Zeitschrift Expresso aus, eine Nachricht an Abonnentinnen und Abonnenten verschickt, in der es u.a. hieß, der Präsident Portugals sei seinem Amt enthoben worden. Diese Nachricht wurde in sozialen Medien bereits als Falschmeldung gekennzeichnet.

Bei diesem Vorfall handelt es sich um einen der größten IT-Sicherheitsvorfälle in der Geschichte Portugals. Um welche Ransomware es sich handelt, ist bisher nicht bekannt.

Die „Lapsus$“-Gruppe hatte erst Mitte Dezember das Gesundheitsministerium Brasiliens angegriffen. Bei diesem Angriff erbeuteten sie nach eigenen Aussagen 50 Terrabyte Daten. Durch den Ausfall der Seiten des Gesundheitsministeriums war für Brasilianer u.a. zeitweise kein Zugriff mehr auf ihre digitalen Impfzertifikate möglich.

Verfassungsbeschwerde zur Vorratsdatenspeicherung angepasst

30. Dezember 2021

Die 2016 mit prominenter Unterstützung eingereichte Verfassungsbeschwerde gegen die Vorratsdatenspeicherung wird mit einem Ende vergangener Woche gestellten Antrag angepasst auf die Gesetzesreform des TKG von Anfang Dezember. Nach der Gesetzesreform befinden sich die angegriffenen Regelungen nun in den Paragrafen 176 und 177 TKG. Von den Beschwerdeführern wird geltend gemacht, dass die ursprünglich angegriffenen Regelungen im Rahmen der Novellierung des TKG nicht in dem Sinne aufgehoben wurden, als dass sie ersatzlos entfallen wären – im Gegenteil seien die Regelungen lediglich „verschoben“ worden. In der Konsequenz handele es sich bei der Novellierung um eine bewusste Perpetuierung der ursprünglichen Rechtslage und damit um nach Auffasung der Beschwerdeführer verfassungswidrige Regelungen.

Zu einigen Punkten der Ausgangsbeschwerdeschrift nehmen die Beschwerdeführer noch einmal ergänzend Stellung. Im Fokus liegt dabei insbesondere die umstrittene Vorratsdatenspeicherung von IP-Adressen: Der Europäische Gerichtshof (EuGH) hält Vorgaben zum flächendeckenden Aufbewahren von Telekommunikationsdaten auf Vorrat unverhältnismäßig und sieht darin einen Verstoß gegen die europäischen Grundrechte. Für das flächendeckende Aufbewahren von IP-Adressen allerdings nimmt der EuGH eine Ausnahme vor. Da die IP-Adresse eines Nutzers für sich genommen nicht auf den Kommunikationspartner schließen lasse, bringe die Vorratsdatenspeicherung von IP-Adressen im Vergleich zu der Erfassung von Verbindungs- und Standortdaten weniger schwerwiegende Grundrechtseingriffe mit sich und sei deshalb „milderes“ Mittel im Vergleich zu einer Erfassung von Verbindungs- und Standortdaten.

Dieser Annahme tritt die erweiterte Argumentation der Beschwerdeführer vehement entgegen. Warum die Identifizierbarkeit eines Teilnehmers anhand einer IP-Adresse unter geringeren Voraussetzungen möglich sein soll als bei anderen Kennungen sei schlechthin nicht zu rechtfertigen. Dies verdeutliche bereits ein simples Beispiel. Ruft jemand mit unterdrückter Rufnummer einen bekannten Zielanschluss an, so darf dies nicht auf Vorrat gespeichert werden. Erfolge der Anruf dagegen über einen anonymen Internetdienst, wäre der Anrufer dagegen über seine IP-Adresse identifizierbar. Zudem sei nicht die IP-Adresse selbst entscheidend sondern ihre Nutzbarkeit. Mit ihrer Hilfe lasse sich nicht nur auf einen Kommunikationspartner schließen sondern die gesamte Internetnutzung rekonstruieren und so ein detailliertes Persönlichkeitsprofil erstellen – anders als bei anderen Verbindungdaten. Nach dieser Argumentation wäre die Speicherung von IP-Adressen mitnichten weniger eingriffsintensiv, sondern geradezu das Ende der Anonymität im Internet.

Die meisten EU-Mitgliedstaaten wollen laut einem diplomatischen Bericht das EuGH-Urteil ausschöpfen. Der neue Bundesjustizminister Marco Buschmann (FDP) hingegen will die Vorratsdatenspeicherung „endgültig aus dem Gesetz streichen“. Die FDP schlägt stattdessen das sogenannte Quick Freeze Verfahren vor. In solchen Fällen werden Vorratsdaten erst nach einem konkreten Anfangsverdacht und einer gerichtlichen Anordnung „eingefroren“ und Ermittlungsbehörden zur Auswertung übergeben. Ein solches Vorgehen wäre, so Buschmann, „ein Gewinn für Freiheit und Sicherheit zugleich.“

1 4 5 6 7 8 83