Tag Archive for: Google

Google, MailChimp, Shopify, Klaviyo: Immer mehr US-Dienste im Datenschutz-Visier

Es vergeht derzeit kaum eine Woche, in der kein neuer US-Online-Dienst ins Visier von DatenschĂŒtzern oder Abmahnern gerĂ€t. Angefangen hatte es damit, dass mehrere Datenschutz-Aufsichtsbehörden europĂ€ischen Unternehmen den Einsatz von Google Analytics und MailChimp untersagt hatten. Dann kam das inzwischen berĂŒhmt berĂŒchtigte Urteil des Landgerichts MĂŒnchen I zu Google Fonts und die hierauf folgende Abmahnwelle. Hochaktuell sind die Meldungen, dass eine Aufsichtsbehörde den Einsatz von Shopify als rechtswidrig eingestuft und eine Anwaltskanzlei Unternehmen wegen der Nutzung des Marketing-Automation-Tools Klaviyo abgemahnt habe. Kernproblem ist meist dasselbe: Die Übermittlung personenbezogener Daten an Anbieter in den USA. Es stellt sich inzwischen die Frage: Lassen sich amerikanische Dienste ĂŒberhaupt noch risikofrei einsetzen?

Angefangen hat alles am 16. Juli 2020 mit dem Schrems II-Urteil des EuropĂ€ischen Gerichtshofs (EuGH, Rechtssache C 311/18), in dem das Privacy Shield-Abkommen zwischen der EU und den USA fĂŒr unwirksam erklĂ€rt wurde. Die Übertragung personenbezogener Daten in die USA – und damit der Einsatz von US-Diensten, Cloud- oder SaaS-Anbietern – ist seitdem nur unter komplexen Voraussetzungen zulĂ€ssig und immer von einer Einzelfallbetrachtung abhĂ€ngig. Die Datenschutz-Aufsichtsbehörden sind im Ergebnis sogar der Auffassung, dass eine Nutzung solcher Dienste praktisch gar nicht mehr möglich sein soll. Folge: Ein erhebliches Risiko fĂŒr Unternehmen und Website-Betreiber.

 

Kurz und knapp: What to do?

In der Praxis ist der Betrieb einer Website oder eines Online-Shops, der im Wettbewerb mit anderen Anbietern stehen soll, bei einem kompletten Verzicht auf US-Dienste fast unmöglich. Es fehlt schlichtweg an gleichwertigen europĂ€ischen Alternativen. Komplette UmzĂŒge und Umstrukturierungen sind mit erheblichem Aufwand und Kosten, sowie ggf. mit Verlust an Performance verbunden.

Am Ende wird es auf eine wirtschaftliche Betrachtung hinauslaufen. Welche Maßnahmen können Unternehmen mit einem vertretbaren Aufwand ergreifen, um DatenĂŒbermittlungen in die USA weitestmöglich zu reduzieren? Es sind Risiken, mögliche Kosten, wirtschaftlicher Nutzen und “weiche Elemente” wie Kundenzufriedenheit gegeneinander abzuwĂ€gen. Hierbei können spezialisierte RechtsanwĂ€lten oder Datenschutzbeauftragte Sie unterstĂŒtzen.

Datenschutz = Wettbewerbsvorteil 

Es zeigt sich deutlicher denn je: Datenschutz ist lĂ€ngst nicht mehr nur das Abhaken von Checklisten. Heute wirken sich datenschutzrechtliche Entscheidungen unmittelbar auf Marketing, Image, Performance und damit den Umsatz eines Unternehmens aus. SchnellschĂŒsse sind deshalb in jedem Fall zu vermeiden.

 

Hintergrund

Die meisten US-amerikanischen Dienste wie Google, Facebook, Microsoft oder Adobe setzen seit dem Wegfall des Privacy Shields auf sogenannte Standarddatenschutzklausen (engl.: standard contractual clauses oder SCCs). Hierbei handelt es sich um von der EU-Kommission vorgegebene Vertragsklauseln, welche zwischen dem europĂ€ischen Unternehmen (“Datenexporteur”) und dem US-Diensteanbieter (“Datenimporteur”) vereinbart werden und in denen das US-Unternehmen – stark vereinfacht gesagt – zusichert, die Daten angemessen zu schĂŒtzen und sich weitgehend an EU-Datenschutzvorgaben zu halten.

Problem: Der EuGH hatte in der Schrems II-Entscheidung ausdrĂŒcklich festgehalten, dass die DatenĂŒbermittlung in die USA auf Grundlage von SCCs zwar grundsĂ€tzlich möglich sei. Dies gelte aber nur unter der Voraussetzung, dass das US-Unternehmen durch “zusĂ€tzliche Maßnahmen” (technisch und/oder organisatorisch) ein angemessenes Schutzniveau sicherstellt. Insbesondere der Umstand, dass nach amerikanischem Recht die US-Geheimdienste unter bestimmten Voraussetzungen auf DatenbestĂ€nde zugreifen dĂŒrfen, ist hierbei problematisch. Welche Maßnahmen geeignet sein könnten und wie hoch etwaige Mindeststandards sind, ließ das Gericht offen. Und genau an dieser Frage scheiden sich aktuell die Geister.

MailChimp

Schon im MĂ€rz 2021 hatte das Bayerische Landesamt fĂŒr Datenschutzaufsicht (BayLDA) einem Unternehmen die Nutzung des beliebten Newsletter-Tools MailChimp untersagt (wir hatten berichtet). Das Tool speichert und verarbeitet die E-Mail-Adressen von Newsletter-Abonnenten auf Servern in den USA.

BegrĂŒndet hatte das BayLDA die Untersagung interessanterweise nicht damit, dass die “zusĂ€tzlichen Maßnahmen” von MailChimp per se unzureichend seien, sondern damit, dass das deutsche Unternehmen diese Maßnahmen gar nicht erst geprĂŒft hatte. FĂŒr die Beantwortung der Frage, welche Maßnahmen geeignet sein könnten, gab die Entscheidung des BayLDA somit wenig Anhaltspunkte.

Google Analytics

Schlag auf Schlag ging es dann ab Dezember 2021, als gleich mehrere europĂ€ische Aufsichtsbehörden den Einsatz von Google Analytics untersagten (wir hatten berichtet).  Hier Ă€ußerten die Behörden recht unmissverstĂ€ndlich, dass nach ihrer Auffassung Googles “zusĂ€tzlichen Maßnahmen” nicht geeignet seien, um ein angemessenes Schutzniveau zu gewĂ€hrleisten. So fĂŒhrte beispielsweise die Österreichische Datenschutzbehörde (ÖDSB) in ihrem Bescheid vom 22.12.2021 aus:

“In Bezug auf die dargelegten vertraglichen und organisatorischen Maßnahmen ist nicht erkennbar, inwiefern [die Maßnahmen] effektiv […] sind.”

“Sofern die technischen Maßnahmen betroffen sind, ist ebenso nicht erkennbar [
] inwiefern [die Maßnahmen] die Zugriffsmöglichkeiten von US-Nachrichtendiensten auf der Grundlage des US-Rechts tatsĂ€chlich verhindern oder einschrĂ€nken.”

Der EuropĂ€ische Datenschutzbeauftragte (EDSB) stellte in seinem Bescheid vom 05.01.2022 klar, dass das europĂ€ische Unternehmen, welches Google Analytics auf seiner Website einsetzt, darlegen und beweisen mĂŒsse, dass die Maßnahmen geeignet seien. Dieser Beweis wird in der Praxis kaum möglich sein.

Google Fonts

Der nĂ€chste Paukenschlag kam am 20.01.2022 mit dem inzwischen berĂŒhmt berĂŒchtigten Urteil des Landgerichts MĂŒnchen I zu Google Fonts (wir hatten berichtet). Das Gericht hatte einem Website-Besucher Schadensersatz in Höhe von EUR 100,00 zugesprochen, weil ein Website-Betreiber eine extern eingebundene Schriftart genutzt hatte, welche beim Aufruf der Seite von einem Google-Server geladen wurde. Das Urteil zog eine Abmahnwelle hinter sich, die zwischenzeitlich absurde Ausmaße annahm. Allein unserer Kanzlei lagen etwa 50 Schreiben von AbmahnanwĂ€lten vor, welche im Namen angeblicher Mandanten GeldentschĂ€digungen forderten.

Das Urteil passt zwar streng genommen nicht ganz in die AufzĂ€hlung, weil es weniger um die Übermittlung von Daten in die USA, als mehr um die generelle DatenĂŒbertragung an externe Server ging. Es reiht sich jedoch insofern ein, als es einen weiteren problematischen Aspekt bei der Einbindung externer Diensteanbieter aufzeigt.

Klaviyo

Ganz aktuell sind wir auf eine Meldung eines Kollegen aus Hamburg vom 11.11.2022 aufmerksam geworden, wonach ihm eine Abmahnung wegen des Einsatzes von Klaviyo vorliegt. Laut dem Bericht wurde ein Unternehmen abgemahnt, welches den beliebten Newsletter- bzw. Marketing-Automation-Dienst einsetzt. Klaviyo speichert und verarbeitet die hochgeladenen Daten – insbesondere E-Mail-Adressen von Kunden und Newsletter-EmpfĂ€ngern – auf Servern in den USA.

Der abmahnende Website-Besucher verlangt vom Website-Betreiber Auskunft gemĂ€ĂŸ Art. 15 DSGVO, Unterlassung sowie Schadensersatz in Höhe von mindestens EUR 5.000,00. BegrĂŒndet wird die Abmahnung mit der unzulĂ€ssigen Übermittlung personenbezogener Daten in die USA, da Klaviyo keine ausreichenden “zusĂ€tzlichen Maßnahmen” biete.

Wichtig: Es ist noch nicht bekannt, wie die Angelegenheit weiter verlaufen ist. Es ist durchaus möglich, dass das abgemahnte Unternehmen sich gegen die AnsprĂŒche wehrt und eventuell sogar eine gerichtliche Entscheidung ergeht. So mĂŒĂŸig dies fĂŒr das betroffene Unternehmen wĂ€re, so wĂŒnschenswert wĂ€re ein etwaiges Urteil mit Hinblick auf eine rechtliche KlĂ€rung.

Shopify

Ebenfalls ganz aktuell ist eine Meldung des Betreibers des Online-Shops “Happy Coffee“. Dieser berichtet, dass die Landesbeauftragte fĂŒr den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI) ihm gegenĂŒber den Einsatz des beliebten Shopsystems Shopify fĂŒr rechtswidrig erklĂ€rt habe. Konkret störe sich die LfDI an den von Shopify verwendeten CDNs (Content Delivery Networks) Fastly und Cloudflare. Diese verarbeiten personenbezogene Daten, insbesondere IP-Adressen von Website-Besuchern, auf Servern in den USA. In der BegrĂŒndung fĂŒhrt die LfDI interessanterweise aus, dass auch die Übermittlung von Daten auf Grundlage einer Einwilligung gemĂ€ĂŸ Art. 49 Abs. 1 lit. a DSGVO nicht regelmĂ€ĂŸig, sondern allenfalls in AusnahmefĂ€llen zulĂ€ssig sei.

Kurzes und schmerzloses ResĂŒmee der LfDI:

“Da eine fĂŒr Cookies, Plugins und andere Trackingmechanismen passende Lösung bisher nicht gefunden wurde, ist der Einsatz dieser Dienste US-amerikanischer Anbieter in der Regel unzulĂ€ssig.”

 

Was nun?

Insgesamt hinterlĂ€sst das Vorgehen von Abmahnern und Aufsichtsbehörden mehr Fragen als Antworten. Seit dem Schrems II-Urteil ist klar, dass die Nutzung von US-Diensten problematisch ist. Dass sie aber nach Auffassung der Behörden praktisch unmöglich sein soll, ist dann doch ein unbefriedigendes Ergebnis. Wie bereits einleitend ausgefĂŒhrt, ist der Betrieb einer Website oder eines Online-Shops komplett ohne US-Dienste fast nicht möglich. Die europĂ€ischen Alternativen haben hĂ€ufig entscheidende Nachteile.

Ein zumindest vorĂŒbergehendes Licht am Horizont könnte das angekĂŒndigte „Trans-Atlantic Data Privacy Framework“ sein, das neue US-EU-Datenschutzabkommen. Wann dieses in Kraft treten und wie lange es halten wird, ist jedoch unklar. Bis dahin mĂŒssen Unternehmen sich ĂŒberlegen, wie sie mit der aktuellen Situation umgehen möchten.

Am Ende wird nur eine wirtschaftliche Betrachtung helfen: Welche Risiken bestehen? Können diese Risiken reduziert werden? Wie hoch ist die Wahrscheinlichkeit, dass Risiken sich verwirklichen? Mit welchen Kosten oder SchĂ€den ist dann zu rechnen? Spezialisierte RechtsanwĂ€lte können Ihr Unternehmen bei dieser komplexen AbschĂ€tzung unterstĂŒtzen und gemeinsam mit Ihnen eine wirtschaftlich sinnvolle Lösung finden.

 

Photo by Carlos Muza on Unsplash

LG MĂŒnchen I: Verwendung von Google Fonts unzulĂ€ssig

In letzter Zeit rĂŒcken vermehrt Anwendungen in den datenschutzrechtlichen Fokus, die personenbezogene Daten – insbesondere IP-Adressen von Website-Besuchern – an Unternehmen wie Google oder Facebook ĂŒbermitteln (etwa zuletzt in Bezug auf Google Analytics). Hier reiht sich nun ein aktuelles Urteil des Landgerichts MĂŒnchen I ein, wonach die Nutzung der Online-Schriftarten von Google Fonts auf einer Website jedenfalls in einer bestimmten Variante unzulĂ€ssig sein kann.

Read more

Google verbannt Third Party Cookies

Ein Gastbeitrag unserer studentischen Mitarbeiterin Gökce Bulut: Google hat angekĂŒndigt, vor dem Jahr 2022 sogenannte „Third-Party-Cookies“ innerhalb des eigenen Web-Browsers „Google Chrome“ abzuschaffen. Nach Angaben von Google soll Google Chrome Nutzern keine per Tracking personalisierte Werbung mehr angezeigt werden.

KĂŒrzlich hat Google angekĂŒndigt, das sogenannte Third Party Cookie Tracking abzuschaffen und auf personalisierte Werbung verzichten zu wollen. Dies soll zur Folge haben, dass Nutzern keine personalisierte Werbung mehr angezeigt wird. Was das zur Folge hat und ob Nutzern deshalb weniger Werbung angezeigt wird, soll im Folgenden kurz beleuchtet werden.

Read more

Google & Co. stellen Online-Formulare fĂŒr LöschantrĂ€ge bereit

Schon vor fast drei Jahren hat der EuGH entschieden, dass Suchmaschinenbetreiber wie Google dazu verpflichtet sind, LöschungsantrĂ€ge von Privatpersonen anzunehmen, zu ĂŒberprĂŒfen und bei Bedarf die betroffenen Links aus dem Suchindex zu entfernen (wir berichteten). Seit Kurzem stellen nun einige Suchmaschinenbetreiber Online-Formulare fĂŒr solche LöschantrĂ€ge zur VerfĂŒgung. Read more

Achtung Online-Skimming: 1000 deutsche Online-Shops betroffen

Wie das Bundesamt fĂŒr Sicherheit (BSI) berichtete wurden ĂŒber 1.000 deutsche Online-Shops von Kriminellen manipuliert, sodass Kundendaten und Zahlungsinformationen wĂ€hrend des Bestellvorgangs an diese abflossen. Hat sich der Diensteanbieter nicht ausreichend gegen solche Eingriffe geschĂŒtzt, drohen nun Bußgelder. Read more

App-Stores sollen fĂŒr konsequente Einbindung von DatenschutzerklĂ€rungen sorgen

Nicht nur die Betreiber von Websites sondern selbstverstÀndlich auch die Anbieter von Apps sind Diensteanbieter im Sinne des § 13 Telemediengesetz (TMG) und somit zur Bereithaltung einer DatenschutzerklÀrung verpflichtet. Nichts desto trotz ist eine vollstÀndige und korrekt eingebundene DatenschutzerklÀrung bei vielen Apps weiterhin eher die Ausnahme als die Regel.

Zwar dĂŒrfte sich die Lage seit Anfang 2013 gebessert haben. Damals hatte das Bayerische Landesamt fĂŒr Datenschutzaufsicht im Rahmen einer PrĂŒfung festgestellt, dass etwa 75% der geprĂŒften Apps entweder gar keine oder keine auf die App abgestimmte DatenschutzerklĂ€rung enthielten (wir hatten berichtet). Jedoch erkennen die Behörden weiterhin MissstĂ€nde in diesem Bereich. Zumindest mitverantwortlich hieran sollen auch die Betreiber von App-Stores sein, etwa Apples App Store bzw. iTunes, Googles Play Store oder Windows Phones Apps + Games Store. Read more