München, Februar 2022 – Ein neues Urteil des Landgerichts München sorgt für Wirbel. Dieses besagt, dass die dynamische Einbindung von US-Webdiensten in eine Internetseite (hier: Google Fonts) ohne Einwilligung der Besucher datenschutzwidrig ist. Es regelt außerdem, dass Websitebetreiber Unterlassung und Schadensersatz schuldig werden (LG München, Urteil vom 20.01.2022, Az. 3 O 17493/20).
Bereits im Dezember 2021 hat die österreichische Datenschutzbehörde die Nutzung von Google Analytics verboten: „Nach Auffassung der Datenschutzbehörde kann das Tool Google Analytics (jedenfalls in der Version vom 14. August 2020) somit nicht in Einklang mit den Vorgaben von Kapitel V DSGVO genutzt werden.“ (1)
Weitere Länder prüfen die Vereinbarkeit der Nutzung von Statistikdiensten mit der DSGVO, so dass in Kürze weitere Verbote wahrscheinlich sind. Dabei beschränken sich diese Urteile nicht nur auf Google Fonts & Google Analytics. Die vom Gericht aufgestellten Grundsätze gelten für alle aus den USA stammenden Webdienste. Also jeder US-Dienst, der dynamisch in eine Internetseite eingebunden wird.
Nicht geklärt ist die wichtige Frage, ob die vorherige Einholung von Nutzereinwilligungen per Consent Banner ausreicht, um die Weitergabe von IP-Adressen in die USA zu ermöglichen. Seit dem Wegfall des Privacy Shields klafft hier die eigentliche Datenschutzlücke. (2)
Damit häufen sich Urteile, Verbote und potentielle Konsequenzen für Sie als Hoteliers und Website-Betreiber. Spätestens jetzt müssen Sie aktiv werden. Doch es geht dabei nicht nur um die eigene Webseite. Meta, bzw. Facebook und WhatsApp, stehen gerade vor ähnlichen Herausforderungen und haben in der Presse sogar mit der Einstellung ihrer Dienste in der EU gedroht. Gleiches gilt auch für US-Cloud Software, was gerade für viele Hotelbetreiber ein Supergau wäre. Wir haben hierauf schon mehrfach hingewiesen. Leider liegt uns vom Deutschen Hotelverband hierzu immer noch keine Stellungnahme vor, trotz mehrfachen Nachfragens. Der ÖHV hat seine Mitglieder bereits informiert.
Was sollten Sie tun?
- Arbeiten Sie gemeinsam mit Ihren Datenschutzbeauftragten an der Überprüfung Ihrer Systeme. Zumeist ist das Hinzuziehen eines Fachanwalts für Datenschutz notwendig, um die komplexe Rechtslage zu überblicken.
- Welche Dienste nutzen Sie?
- Senden Sie Daten in ein Drittland außerhalb der EU? Wenn ja wohin und wie?
- Werden die Daten geschützt, nachdem sie übermittelt wurden? (Bei der Bewertung dieser Frage kann das folgende Dokument helfen.
Daten müssen so verschlüsselt hinterlegt sein, dass der Zugriff auf die darin enthaltenen, personenbezogenen Daten nicht möglich ist. - Nehmen Sie entsprechende Schutzmaßnahmen vor, wie z.B. eine Verschlüsselung, wenn Sie z.B. Daten außerhalb der EU hosten? Bei Anwendungssoftware ist eine solche Verschlüsselung technisch in aller Regel aber nicht möglich.
- Passen Sie gegebenenfalls Ihre Einwilligungserklärung und den Consent Banner auf Ihrer Webseite an.
- Dokumentieren Sie all diese Schritte.
Was bleibt als Alternative: Verzichten Sie auf die Zusammenarbeit und setzen Sie auf Betreiber der EU. Hierbei sollten Sie darauf achten, dass das Unternehmen nicht im Besitz einer US-Muttergesellschaft ist, um weitere Komplikationen und Schwierigkeiten zu vermeiden.
Sollte sich die Sichtweise des Landgerichts München durchsetzen, werden sich Abmahnungen und Schadensersatzforderungen in naher Zukunft häufen. Der Schritt bis zur Klage ist meist nur ein Klick.
Guten beraten ist, wer sich darauf vorbreitet.
***
Mehr zum Thema lesen Sie auch in unserem White Paper „Viewpoint Privacy Shield“.
***
Quellen:
Quelle 1: https://www.etracker.com/google-analytics-in-der-eu-verboten/ (16.02.2022)
Quelle 2: https://www.ra-plutte.de/lg-muenchen-dynamische-einbindung-google-web-fonts-ist-dsgvo/ (16.02.2022)