Zum 25. Mai 2023 feiert die Datenschutz-Grundverordnung (DS-GVO) ihren fünften Geburtstag der Anwendbarkeit. Wie bereits in den letzten Jahren, nehmen wir uns den Geburtstag zum Anlass, einen kritischen Blick auf die Datenschutz-Welt zu werfen, über Herausforderungen und Grenzen zu sprechen sowie absehbare Entwicklungen darzustellen.

Berechtigte Angst vor Abmahnungen?

Die Anfangszeit der DS-GVO war auf Seiten der Unternehmen und Behörden geprägt von Überforderung, Unsicherheit und Angst. Angst, dass es aufgrund datenschutzrechtlicher Verstöße vermehrt zu Massenabmahnungen kommen könne. Nachdem es für lange Zeit danach aussah, dass diese Angst vollkommen unbegründet zu sein scheint, kam im fünften Jahr der DS-GVO Bewegung in die Sache – und wurde im Keim erstickt:

Nachdem das LG München I bereits im Januar 2022 entschied, dass die dynamische Einbindung von Google Fonts nicht auf das berechtigte Interesse eines Verantwortlichen gestützt werden könne, kam es in der zweiten Jahreshälfte 2022 flächendeckend zu Abmahnungen durch mehrere Anwaltskanzleien. Das offensichtliche Ziel, hieraus ein für die Abmahnenden nachhaltiges Geschäftsmodell zu etablieren, scheiterte kläglich. Im Dezember 2022 folgten bei den betreffenden Anwälten Hausdurchsuchungen, zudem wurden teils Ermittlungen wegen gewerbsmäßiger Erpressung und schwerem gewerbsmäßigem Betrug aufgenommen. Abmahnungen wegen datenschutzrechtlicher Verstöße sind zwar auch zukünftig grundsätzlich möglich, es werden jedoch regelmäßig tatsächliche Beeinträchtigungen des Rechts auf informationelle Selbstbestimmung nachzuweisen sein.

Drittlandübermittlung als Dauerbrenner

Bereits im vergangenen Jahr berichteten wir mehrmals über die Herausforderungen im Zusammenhang mit der Übermittlung personenbezogener Daten in datenschutzrechtliche Drittländer. Nachdem im März 2022 bekannt wurde, dass die EU und die USA an einem Nachfolgeabkommen zum EU-US-Privacy Shield arbeiten, erfolgte im Oktober 2022 der Erlass einer Exekutivverordnung über die Verbesserung der Garantien für US-Signalspionagetätigkeiten (Executive Order (EO) 14086). Hierdurch wurde die Grundlage für die Umsetzung des „EU-US Privacy Framework“ geschaffen. Auf Grundlage der Executive Order folgte am 13. Dezember 2022 der Beschlussentwurf der Europäischen Kommission über die Angemessenheit des Schutzniveaus personenbezogener Daten nach dem EU-U.S. Data Privacy Framework. Hierdurch soll der neue Rechtsrahmen für Datenübermittlungen zwischen der EU und den USA geschaffen werden.

Die Resonanz hierüber fällt unterschiedlich aus: Während der Europäische Datenschutzausschuss die Verbesserungen begrüßt, der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit deutliche Fortschritte erkennt und auch der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit sich positiv zu den Entwicklungen äußert, zeigen sich andere Aufsichtsbehörden unbeeindruckt und zweifeln die Belastbarkeit eines bevorstehenden Angemessenheitsbeschlusses bereits im Vorfeld an. Hierbei wird deutlich, dass selbst wenn ein solcher Angemessenheitsbeschluss im Sommer dieses Jahres kommen sollte, in diesem Zusammenhang noch lange nicht das letzte Wort gesprochen ist. Die Drittlandübermittlung ist und bleibt eine Großbaustelle in der Datenschutz-Welt.

War die DS-GVO so nicht gemeint?

Der unterschiedliche Umgang mit datenschutzrechtlichen Sachverhalten, wie beispielsweise der Drittlandübermittlung, durch Unternehmen, Behörden, Aufsichtsbehörden und Gerichte zeigt sowohl die zum Teil bestehenden rechtlichen Unsicherheiten als auch die deutlich voneinander abweichenden Sichtweisen auf. Weiterhin ist nach Ansicht der Rechtsanwendenden deutlich erkennbar, dass die Auslegung der datenschutzrechtlichen Normen hierzulande zu restriktiv erfolgt und Datenschutz schließlich sogar die Digitalisierung verhindere. Hervorzuheben ist hierbei, dass gemäß Art. 1 Abs. 3 DS-GVO sowie Erwägungsgrund 4 zur DS-GVO der freie Verkehr personenbezogener Daten in der Europäischen Union aus Gründen des Datenschutzes weder eingeschränkt noch verboten werden dürfe, die Verarbeitung personenbezogener Daten jedoch auch im Dienste der Menschheit stehen solle. „Das Recht auf Schutz der personenbezogenen Daten ist kein uneingeschränktes Recht; es muss im Hinblick auf seine gesellschaftliche Funktion gesehen und unter Wahrung des Verhältnismäßigkeitsprinzips gegen andere Grundrechte abgewogen werden.“

Inwiefern diese Grundsätze in der Rechtspraxis tatsächlich Anwendung finden, darf an der einen oder anderen Stelle angezweifelt werden. Es zeigt jedoch auch deutlich auf, dass Datenschutzrecht nicht als Recht zur Verhinderung jeglicher Fortentwicklung konzipiert wurde. Datenschutzrecht soll auch der Menschheit dienen. Es bedarf einer verhältnismäßigen Verknüpfung von technischer Fortentwicklung, Datenschutz und IT-Sicherheit – auf Seiten der Anwendenden und Überwachenden. Eben an dieser (und an einigen anderen Stellen) wird in Zukunft ein Umdenken erforderlich sein.

Künstliche Intelligenz und Datenschutz

Die Nutzung künstlicher Intelligenz stellt auch die Welt des Datenschutzes vor neue Herausforderungen. Befeuert durch das temporäre Verbot von ChatGPT in Italien, wird die Frage aufgeworfen, welche datenschutzrechtlichen Anforderungen an eine rechtskonforme Nutzung von künstlicher Intelligenz zu stellen sind. An erster Stelle ist hierbei das Transparenzgebot zu nennen. Michael Will, Datenschutzbeauftragter beim bayerischen Landesamt für Datenschutz, formuliert es treffend: „[…] KI darf keine Blackbox sein, wo hinter einer Wand dann alles Mögliche geschehen kann […].“ Anbietende von KI-Anwendungen müssen transparent beschreiben, inwieweit personenbezogene Daten verarbeitet, zur Verbesserung der Anwendung genutzt und gegebenenfalls an Dritte übermittelt werden. Diese Anforderungen ergeben sich – unabhängig von der Nutzung künstlicher Intelligenz – aus Art. 13 DS-GVO, wobei deren vollumfängliche Umsetzung im Zusammenhang mit KI deutlicher schwerer sein dürfte.

Es bleibt abzuwarten, welche weiteren regulatorischen Anforderungen aufgrund des europäischen AI Acts in Zukunft gelten und wie sich die Regelungen der DS-GVO in das neue Normgefüge einordnen werden. Auch hier gilt jedoch: Datenschutz verbietet nicht grundsätzlich die Nutzung künstlicher Intelligenz. Es werden lediglich Spielregeln aufgestellt, an die es sich zu halten gilt.

Ist mit einer Überarbeitung der DS-GVO zu rechnen?

Im Zusammenhang mit Kritik an der DS-GVO wird oftmals eine Überarbeitung dieser gefordert – zurecht? Gemäß Art. 97 Abs. 1 DS-GVO hat die Europäische Kommission dem Europäischen Parlament und dem Rat regelmäßig einen Bericht über die Bewertung und Überprüfung der DS-GVO vorzulegen. Nachdem ein solcher erstmalig bereits im Jahr 2020 vorgelegt wurde und keinen Änderungsbedarf dargelegt hat, steht die erneute Bewertung und Überprüfung für 2024 aus.

Auch wenn unterschiedlichsten Parteien die Möglichkeit zur Stellungnahme gegeben sein wird, ist voraussichtlich nicht mit wesentlichen Änderungen an der DS-GVO zu rechnen. Insbesondere unter Berücksichtigung des langwierigen Entstehungsprozesses der DS-GVO, wird diese wohl noch einige Jahre im Status quo verweilen. In diesem Zusammenhang ist jedoch darauf hinzuweisen, dass sich aufgrund der zunehmenden Anzahl an Gerichtsentscheidungen hinsichtlich einiger Rechtsfragen vermehrt Anwendungssicherheit einstellt. Mit einer wesentlichen Überarbeitung der datenschutzrechtlichen Normen, ginge diese unter Umständen zu großen Teilen wieder verloren.

Fazit

Die DS-GVO ist das, als was man sie sehen möchte. Vertritt man die Ansicht, Datenschutz verhindere Fortschritt und Digitalisierung, so wird man hierfür die entsprechenden Argumente und Beispiele in der Praxis finden. Sieht man die DS-GVO hingegen als Chance für einen angemessenen Schutz der Rechte und Freiheiten natürlicher Personen im digitalen Wandel, ergeben sich auch hierfür entsprechende Nachweise. Von zentraler Bedeutung wird sein, welche Position die DS-GVO im Hinblick auf kommende regulatorische Anforderungen (z.B. Digital Markets Act, Digital Services Act, AI Act) einnehmen wird und mit welchem (Selbst-)Verständnis die Normen des Datenschutzes angewandt werden.

Anlässlich des 5. Jahrestages der Geltung der DS-GVO laden der Europäische Datenschutzbeauftragte, der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit und der Bayerische Landesbeauftragte für den Datenschutz ein zur Veranstaltung: Fünf Jahre DS-GVO: Immer noch ein Maßstab in der digitalen Landschaft der EU?

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Privacy & Security wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Derzeit erhalten verantwortliche Stellen wieder vermehrt Abmahnungen aufgrund einer rechtswidrigen Einbindung von Google Fonts. Teilweise wird in diesem Zusammenhang ebenfalls eine vollumfängliche Auskunft nach Art. 15 DS-GVO oder Löschung der personenbezogenen Daten nach Art. 17 DS-GVO verlangt. Was es mit derartigen Abmahnungen auf sich hat, wie Sie einer solchen Abmahnung vorbeugen können und was Sie tun können, wenn Sie bereits eine solche Abmahnung erhalten haben, erfahren Sie in diesem Blog-Beitrag.

Nutzung von Google Fonts

In der Regel können Schriftarten wie Google Fonts über zwei verschiedene Varianten auf einer Internetseite implementiert werden: Zu unterscheiden ist zwischen der Installation der Webschriftarten auf den Server der verantwortlichen Stelle („statisch“) und dem permanenten Abruf der Webschriftarten über die Server des Anbieters der Webschriftarten („dynamisch“).

Während bei der Einbindung der Webschriftarten über die Server der verantwortlichen Stelle keine datenschutzrechtlichen Besonderheiten zu beachten sind, sieht das bei einem Abruf über die Server des jeweiligen Anbieters anders aus: Rufen Nutzende eine Internetseite auf, welche über eine dynamische Implementierung von Webschriftarten verfügt, erfolgt zugleich ein Verweis auf die Bibliothek des jeweiligen Anbieters. Hierbei erfolgt eine Übermittlung personenbezogener Daten, zum Beispiel in Form von IP-Adressen. Oftmals ist damit automatisch eine Verarbeitung der personenbezogenen Daten in datenschutzrechtlichen Drittländern verbunden. So beispielsweise auch bei der Nutzung von Google Fonts. Zwar verfügt Google ebenfalls über Server innerhalb der Europäischen Union, jedoch kann grundsätzlich eine weltweite Datenverarbeitung nicht ausgeschlossen werden. Eine solche unterliegt stets den speziellen datenschutzrechtlichen Vorschriften des Kapitel V der Datenschutz-Grundverordnung (DS-GVO).

Das LG München I stellte mit seinem Urteil vom 20. Januar 2022 (Az. 3 O 17493/20) fest, dass eine dynamische Einbindung von Google Fonts unter diesen Voraussetzungen nicht auf Grundlage des sogenannten berechtigten Interesses gemäß Art. 6 Abs. 1 Satz 1 lit. f) DS-GVO gestützt werden könne (wir berichteten). Weiterhin erschien dem Gericht der geltend gemachte Schadenersatz in Höhe von 100€ angemessen.

Mit dem Urteil folg(t)en Abmahnungen

Auf Grundlage dieses Urteils stützen sich nun zahlreiche Abmahnungen – sowohl von Rechtsanwälten als auch von Privatpersonen. Nach einer ersten Abmahnwelle im Sommer dieses Jahres, erreichen nun auch im Herbst wieder zahlreiche verantwortliche Stellen derartige Schreiben. Dabei sind nicht ausschließlich verantwortliche Stellen betroffen, welche Google Fonts direkt nutzen, sondern ebenfalls solche, die andere Google-Dienste ohne Einwilligung der Nutzenden verwenden, die wiederum auf Google Fonts zurückgreifen.

In den Abmahnungen heißt es beispielsweise: „Mein Mandant nimmt Sie als Verantwortlicher im Sinne des Art. 4 Ziffer 7 DS-GVO (Datenschutz-Grundverordnung) in Anspruch. Denn nach dem Aufruf Ihrer Website musste meine Mandantschaft feststellen, dass Sie nicht die Zustimmung meiner Mandantschaft besitzen, seine IP-Adresse zu nutzen bzw. an den Internet-Konzern Google durch Nutzung von Google Fonts weiterzuleiten. Diesen Verstoß kann meine Mandantschaft leicht durch Screenshots und andere Urkunden nachsehen. So wurden von unserer Mandantschaft mit folgendem Aufrufen seine IP übergeben: […]. Dazu haben wir folgenden Request-Header dokumentiert: […].“

Aufbauend auf der Sachverhaltsdarstellung wird ein Anspruch auf Löschung und Unterlassung gemäß Art. 17 DS-GVO sowie § 823 Abs. 1 i.V.m. § 1004 BGB, ein Anspruch auf Auskunft über die Datenverarbeitung entsprechend Art. 15 DS-GVO sowie ein Anspruch auf Schadenersatz entsprechend Art. 82 Abs. 1 DS-GVO geltend gemacht. Weiterhin wird die Zahlung einer Vergleichssumme angeboten, nach deren Bezahlung sich die Mandantschaft dazu verpflichtet „keine weiteren juristischen Schritte aus dieser Cause [sic] gegen Sie einzuleiten.“

Empfohlene Maßnahmen

Grundsätzlich ist jedem Betreiber einer Internetseite zu empfehlen, die eigenen Internetseiten stets auf eine rechtskonforme Einbindung etwaiger Drittinhalte zu überprüfen. Findet im Rahmen einer solchen Einbindung eine Übermittlung personenbezogener Daten (z.B. IP-Adressen) statt, bedarf es hierfür regelmäßig der informierten Einwilligung der Nutzenden. Gern unterstützen wir Sie auch bei einer entsprechenden Überprüfung Ihrer Internetseite, kommen Sie hierfür jederzeit auf uns zu!

Haben Sie bereits eine Abmahnung erhalten, stellen Sie sich sicher die Frage, wie Sie hierauf am besten reagieren können. Hierbei bestehen verschiedene Möglichkeiten:

• Sie können den angegebenen Vergleichsbetrag bezahlen. Damit unterstützen Sie jedoch grundsätzlich auch dieses Vorgehen sogenannter „Abmahn-Anwälte“.

• Sie können die Abmahnung ignorieren. Oftmals werden die Abmahnungen flächendeckend immer wieder durch identische Personen geltend gemacht. Das lässt darauf schließen, dass hierbei vorsätzlich Internetseiten mit fehlerhafter Einbindung einwilligungsbedürftiger Drittinhalte aufgesucht werden, um etwaige Ansprüche geltend zu machen. Dies ist grundsätzlich rechtsmissbräuchlich, sodass diese Ansprüche voraussichtlich nicht gerichtlich geltend gemacht werden können. Hinsichtlich der Betroffenenrechte kann sich auf die Ausnahmeregelung des Art. 12 Abs. 5 DS-GVO (offenkundig unbegründete oder exzessive Anträge einer betroffenen Person) gestützt werden. Fraglich ist, ob vorliegend die betroffene Person hierüber informiert werden müsste – sofern diese tatsächlich existiert. Die Gefahr einer weiteren Verfolgung der datenschutzrechtlichen Rechte ist zudem voraussichtlich gering.

• Sie können die Ansprüche zurückweisen. Alternativ können Sie ebenfalls mit Unterstützung eines rechtlichen Beistandes die Ansprüche umfassend zurückweisen und eine Verweigerung der Bearbeitung der Betroffenenanfragen mitteilen. Ersten Rückmeldungen zufolge wird dann jedoch teilweise versucht, das Szenario weiter zu konstruieren. So wurden in weiteren Schritten beispielsweise angebliche Vollmachten übermittelt, welche sich nicht weiter überprüfen ließen. Im Ergebnis besteht somit auch hier keine vollumfängliche Rechtssicherheit.

Fazit

Auch wenn die geltend gemachten Ansprüche aller Voraussicht nach vor Gericht keinen Bestand haben dürften, zeigt sich wieder einmal, dass mit dem datenschutzkonformen Betrieb einer Internetseite viel Stress erspart bleiben kann. Eine regelmäßige Überprüfung der dortigen Datenverarbeitungen ist stets zu empfehlen. Wie im Einzelfall bei dem Vorliegen einer Abmahnung weiter vorgegangen wird, obliegt unter Berücksichtigung der obigen Argumente der verantwortlichen Stelle. Jedenfalls sollte spätestens zu diesem Zeitpunkt eine detaillierte Prüfung und Überarbeitung der Internetseite erfolgen.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.