Bis zum Jahr 2020 war die Welt noch in Ordnung. Corona war hier noch als Bier bekannt und Dienste wie Google Fonts und Google Analytics oder andere US-Webdienste wurden ohne großes Grübeln auf der eigenen Website eingebunden.

Die Gefahr auf der eigenen Website

Seit dem Urteil des EuGH vom 16.07.2020, Az.: C-311/18 (Schrems II), dürfen keine Daten mehr auf Grundlage des Privacy Shield in die USA übermittelt werden. Die Inanspruchnahme von US-Anbietern, nur auf Basis des Privacy Shield, ist seitdem nicht mehr möglich.

Nach der Entscheidung des Europäischen Gerichtshofes hatte die EU-Kommission am 04.06.2021 neue Standarddatenschutzklauseln veröffentlicht, welche in den Klauseln 14 und 15 auch „Schrems II“ umsetzen. Da sich die USA und die EU noch immer nicht auf ein Nachfolgeabkommen verständigen konnten, werden nun häufig Standarddatenschutzklauseln als Legitimierung für die Drittlandsübermittlung herangezogen.

Eigentlich könnte die Welt also wieder in Ordnung sein. Da das Datenschutzniveau in den USA aber immer noch als unzureichend bewertet wird, halten die Aufsichtsbehörden ergänzende Prüfungen und Maßnahmen trotz der neuen Klauseln für Datenexporte nötig. Im Klartext: Auch bei Verwendung der neuen Klauseln muss ein Datenexporteur die Rechtslage des Drittlands prüfen und zusätzliche Schutzmaßnahmen ergreifen. Gelingt dies nicht, so darf er zum Beispiel die US-Webdienste nicht auf seiner Website einbinden und nutzen.

Im Ergebnis ist noch immer fraglich, ob die vom Europäischen Datenschutzausschuss empfohlenen Maßnahmen überhaupt von den Anbietern umgesetzt werden können.

Aktuelle Entscheidungen im Einzelnen:

Google- Webfonts

Das Landgericht München hält die automatische Weitergabe der IP-Adresse eines Website- Nutzers an Google für einen unzulässiger Eingriff in das allgemeine Persönlichkeitsrecht, wenn der Website-Nutzer darin nicht eingewilligt hat (LG München, Urteil vom 20.01.2022, Az.: 3 O 17493/20). Eine Rechtfertigung könne sich dabei auch nicht über das berechtigte Interesse (Art. 6 Abs. 1 lit. f DSGVO) des Websitebetreibers ergeben, da Google Fonts auch ohne dass beim Aufruf der Webseite eine Verbindung zu einem Google-Server hergestellt wird, genutzt werden können. Dieses Urteil betrifft daher sämtliche Dienste von US-Anbietern, die auf der eigenen Website eingebunden werden.

Google Analytics

Nach Auffassung der österreichischen Aufsichtsbehörde verstößt die Einbindung von Google Analytics auf Webseiten gegen die Datenschutzgrundverordnung (DSGVO). Dazu schreibt die Behörde in ihrer Begründung: Die mit Google abgeschlossenen "Standardschutzklauseln" würden kein "angemessenes Schutzniveau" bieten, etwa um die "Überwachungs- und Zugriffsmöglichkeiten durch US-Nachrichtendienste" zu beseitigen. Im Rahmen der Nutzung von Google Analytics werden zumindest eine einzigartige Nutzer-ID-Nummer, IP-Adresse und Browserparameter an Google übermittelt.

Cookiebot

Auch zum Cookie-Banner des Anbieters Cookiebot gibt es eine nennenswerte Entscheidung des VG Wiesbaden vom 01.12.2021, Az.: 6 L 738/21.WI. Das Gericht hat den Websitebesitzer verpflichtet, den Dienst „Cookiebot“ auf seiner Webseite zu beenden, da dieser mit der rechtswidrigen Übermittlung personenbezogener Daten der Webseitennutzer einhergehe. Cookiebot verarbeite die vollständige IP-Adresse der Endnutzer auf Servern eines Unternehmens, dessen Unternehmenszentrale sich in den USA befinde. Hierdurch entstehe ein Drittland-Bezug, nämlich zu den USA, welcher im Hinblick auf die sog. Schrems II-Entscheidung des Europäischen Gerichtshofs so unzulässig sei.

Ausweg Einwilligung

Der Ausweg könnte eine Nutzereinwilligungen per Consent Banner sein, welche die Weitergabe von IP-Adressen in die USA legitimieren würde. Nach Art.49 Abs.1 DSGVO soll dies für den bestimmten Fall möglich sein. Umstritten ist noch, ob dies aus der Perspektive des Nutzers zu beurteilen ist. Der Europäische Datenschutzausschuss sieht für den Fall wiederholter, massenhafter oder routinemäßiger Datenübermittlungen in Art. 49 Abs. 1 DSGVO keine wirksame Rechtsgrundlage.

Argumentiert wird aber auch, dass aus Sicht des betroffenen Website-Nutzers im Standardfall gerade nur eine gelegentliche Nutzung vorliegt. Selten wird es vorkommen, dass Nutzer eine Seite mehrfach hintereinander besuchen.
Kommt ein Verzicht auf die eingebundenen US-Webdienste also nicht in Betracht, sollte die Übermittlungen personenbezogener Daten in die USA ebenfalls auf eine Einwilligung gestützt werden. Hier schreibt Art. 49 Abs. 1 DSGVO vor, dass Nutzer über die bestehenden möglichen Risiken derartiger Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien vorher zu informieren sind. Dies sollte idealerweise bereits im Cookie-Banner erfolgen.

Rechtsanwalt Robert Harzewski