Achtung Abmahnung droht!
Website-Betreiber erhalten aktuell Abmahnungen und Schreiben mit Schadensersatzforderungen von Privatpersonen oder Anwälten, wenn sie Google Services wie Google Tag Manager/Fonts/Analytics auf ihrer Website einsetzen. In diesen werden sofortige Zahlungen sowie die Abgabe einer strafbewehrten Unterlassungserklärung von den Website-Betreibern verlangt.
Google Services übermittelt IP-Adressen an Google. Eine IP-Adresse ist ein personenbezogenes Datum, somit muss bei einer Übermittlung eine Rechtsgrundlage vorliegen. Diese kann durch eine Einwilligung eingeholt werden oder durch ein Cookie-Banner abgebildet werden. Eine Auswahl der Cookies muss allerdings möglich sein.
Bei Google Fonts geht es dabei maßgeblich darum, dass die Fonts auch im eigenen Webserver bereitgestellt werden können und damit mit wenig bis etwas Aufwand eine Datenübermittlung (mind. die IP-Adresse des Webseitenbesuchers) an Google verhindert werden kann.
Google Analytics und Google Tag Manager kann man zwar nicht im eigenen Webserver betreiben, diese Einbindungen sind aber auch technisch nicht notwendig, damit die Webseite ordnungsgemäß funktioniert. Datenschutzrechtlich können diese Dienste nur dann eingebunden werden, wenn eine Einwilligung des Betroffenen im Rahmen des Consent Managements erfolgt ist. Zur Einholung dieser Einwilligungen wird auf entsprechende Cookie-Banner zurückgegriffen.
Im folgenden Artikel erläutern wir, warum gerade Abmahnungen zu Google Services im Umlauf sind, erläutern, was gefordert wird und geben Empfehlungen, wie im konkreten Fall damit umzugehen ist.
Was ist passiert?
Auf der Webseite eines betroffenen Unternehmens wurde der Google Tag Manager eingesetzt. Der Cookie-Banner war zwar vorhanden, ist aber technisch unzureichend implementiert worden.
So enthielt die Datenschutzerklärung einen Hinweis auf den Google Tag Manager (GTM) und unterrichtete die Webseitenbesucher auch darüber, dass der GTM nur bei vorliegender Einwilligung des Besuchers eingebunden würde. Dies war jedoch technisch nicht der Fall. Obwohl der Cookie-Banner für den Besucher noch sichtbar war und keine aktive Auswahl getroffen wurde, wurde über den Quelltext der Webseite bereits der Google Tag Manager geladen. Der Tag Manager wurde also ohne gültige Rechtsgrundlage auf der Webseite eingebunden bzw. die IP-Adresse des Besuchers wurde an die Webserver von Google übermittelt.
Die Abmahnungen wurden bislang immer per E-Mail versendet. In den Schreiben werden unterschiedliche Forderungen aufgestellt:
Der Abmahner verlangt vom Verantwortlichen zuerst die Abstellung des Mangels.
Und damit der Datenverstoß durch den Webseitenbetreiber nicht wiederholt wird, wird zugleich die Abgabe einer strafbewehrten Unterlassungserklärung gefordert. Eine Unterlassungserklärung darf bei einer Wiederholungsgefahr verlangt werden. Die Wiederholungsgefahr ist die Besorgnis, es könne nach der erstmaligen Verletzung eines Rechts oder Rechtsgutes zu erneuten Störungen kommen. Nach ständiger Rechtsprechung wird dies bereits nach erstmaliger Verletzung generell vermutet. Falls der Webseitenbetreiber gegen diese Auflage verstoßen sollte, verpflichtet er sich pro Datenschutzverstoß z.B. 3.000 € Strafe an den Absender der E-Mail zu bezahlen.
Beide Forderungen sind dabei mit einer Frist von einem Monat versehen.
Ist die Abmahnung rechtlich haltbar?
Es ist unstrittig, dass hier ein Datenschutzverstoß vorliegt und die Einbindung des Google Tag Managers nicht korrekt erfolgt ist. Rein sachlich dürfte daher an dem Umstand kein Zweifel bestehen. Folgende Punkte könnten aber zumindest juristisch geprüft werden:
Ist die Unterlassungserklärung in dieser Form in Ordnung oder sollte diese angepasst werden?
Im Schreiben selbst gibt der Absender zu, dass die Webseiten über ein Programm abgerufen und analysiert worden sind. Damit geht es dem Absender gar nicht um seine eigene Privatsphäre, sondern er hat es wissentlich darauf angelegt, Webseiten zu finden, die eine fehlerhafte Einbindung des Google Tag Managers aufweisen.
Der „Schaden“ ist also wissentlich und freiwillig durch den Absender in Kauf genommen worden.
Ob der Absender seine Forderung gerichtlich überhaupt einfordern kann, bzw. ob er vor Gericht zu seinem Recht kommen würde, ist ungewiss.
Was Sie tun können
Zunächst sollten Sie technisch prüfen, ob z.B. GTM, Google Analytics oder Fonts bereits vor einer Einwilligung auf Ihrer Website eingebunden bzw. genutzt wird. Zudem ist zu prüfen, ob das eingebundene Cookie-Banner richtig ausgeführt wird und korrekt auf der Homepage eingebunden ist. Dies gilt für alle Webseiten, die betrieben werden.
Bei der Verwendung von Google Fonts: Die alternative lokale Bereitstellung ist aufwändiger, weil die Schriftarten erst auf den lokalen Webserver kopiert und die Scripte zur Einbindung angepasst werden müssen. Dieser Mehraufwand führt dazu, dass die Weitergabe der Informationen über den Webseitenbesucher an Google nicht mehr stattfindet. Damit wird die Nutzung der Google Fonts datenschutzkonform. Alternativ kann ein Consent Management Tool eingesetzt werden, das eine datenschutzkonforme Verwendung der Google Services gewährleistet, sofern es technisch richtig eingebunden ist.
Bei der Abgabe einer Unterlassungserklärung muss diese höchstwahrscheinlich in der vom Abmahner vorgegebenen Form angepasst werden. Zumindest ist dies unsere Empfehlung.
Falls Sie das Risiko und Ihre Möglichkeiten zur Reaktion auf die Abmahnung nicht einschätzen können, kontaktieren Sie Ihren Datenschutzbeauftragten oder einen Fachanwalt für IT-Recht.
Gerne stehen wir Ihnen für weitere Fragen zur Verfügung
Ihr entplexit Team
E-Mail: o.greiner@entplexit.com
Telefon 06196 973 44 00