Datenschutz bei Einbezug von US-Dienstleistern

Vielfach erreichten Betreiber einer Website – vor allem Mittelständler – in den vergangenen Wochen Abmahnungen sowie Schadensersatzforderungen wegen der Verwendung von „Google Fonts“. Dabei handelt es sich um Schriftarten, die standardmäßig bei Aufruf der Website von Google-Servern in den USA abgerufen werden. Auslöser der tausendfach versandten Schreiben war dabei ein Urteil des Landgerichts München. In einem dortigen Verfahren hatte die Kammer festgestellt, dass die Verwendung von Google Fonts nicht nur einen Datenschutzverstoß darstellt, sondern ohne Weiteres auch einen Schadensersatzanspruch begründet. Über die rechtlich höchst fragwürdige Natur der infolgedessen versandten Abmahnungen von angeblich Betroffenen wurde ausführlich in den Medien berichtet und VOELKER hat verschiedenste Mandanten bei der Abwehr der Ansprüche unterstützt.

Eine Folgefrage dieser Abmahnwelle bleibt jedoch bestehen: Drohen zukünftig weitere Abmahnwellen wegen Datenschutzverstößen? Das hinter den „Google Fonts“-Abmahnungen stehende Problem betrifft die Datenübermittlung in die USA. Seit dem sog. „Schrems II“-Urteil des EuGH existiert zwischen den USA und der EU kein allgemeines Abkommen mehr, welches bei Vorliegen bestimmter Voraussetzung eine Datenübertragung an bestimmte Unternehmen in den USA datenschutzrechtlich legitimiert (VOELKER berichtete hierüber bereits im voelkerjournal #19). Ohne ein solches Abkommen drohen bei Diensten, die standardmäßig eine Datenübermittlung an Server von US-Dienstleistern erforderlich machen, regelmäßig datenschutzrechtliche Schwierigkeiten. Dies zeigt sich beispielhaft daran, dass derzeit noch nicht einmal staatlichen Einrichtungen in Deutschland ein datenschutzkonformer Einsatz von Diensten wie „Microsoft Office 365“ gelingt (oder dieser zumindest hoch umstritten ist). Die genannten Schwierigkeiten ergeben sich bei sämtlichen Einbeziehungen von US-Dienstleistern, beispielsweise bei Nutzung bestimmter Hosting- oder Cloud-Dienstleister oder Verwendung mancher Tracking- und Werbenetzwerke. Weil sich gerade hierbei die Verwendung solcher kritischer Dienste oft einfach per Ansurfen der Website prüfen lässt, besteht aufgrund des geringen Aufwands das Potential weiterer Abmahnwellen. Dabei sei bemerkt, dass allein die Zusage eines Hosting-Anbieters wie beispielsweise AWS, nur Server mit Standort in Frankfurt zu nutzen, nicht genügen wird, um das Problem zu lösen. Denn es besteht weiterhin eine Zugriffsmöglichkeit durch das jeweilige US-Unternehmen.

Eine Lösung zeichnet sich jedoch ab: Ein neues zwischenstaatliches Abkommen – das „EU-US Data Privacy Framework“ – soll bereits im Frühjahr 2023 das durch das „Schrems II“-Urteil für ungültig erklärte „Privacy Shield“-Abkommen ersetzen und damit eine datenschutzkonforme Übermittlung in die USA ermöglichen, zumindest an solche Unternehmen in den USA, die nach dem Framework zertifiziert sind. Bereits jetzt sind jedoch Klagen auch gegen dieses neue Abkommen angekündigt. Grund hierfür ist, dass es sich bei dem neuen „EU-US Data Privacy Framework“ im Wesentlichen um eine Fortführung des für ungültig erklärten Vorgängerabkommens handelt. Dennoch kann das neue Abkommen zumindest für eine Übergangszeit eine Lösung darstellen. Die weitere Entwicklungen bleibt also genau zu beobachten.

Den gegenwärtigen Abmahnwellen könnte jedoch auch aus ganz anderem Grund das ersehnte Ende drohen: Vor dem EuGH ist seit August 2021 ein Verfahren rechtshängig, das endgültig klären soll, ob unter Bezug auf die DSGVO überhaupt sog. „Bagatellschäden“ geltend gemacht werden können. Dies könnte jedenfalls den derzeitig wohl bestehenden finanziellen Anreiz von massenhaften Abmahnungen beseitigen.

Stand: 14.11.2022