Endlich Klarheit. Was ist am Abmahn-Irrsinn bezüglich der Google Fonts wirklich dran?

Hier ein Kurzüberblick zur aktuellen Lage und den Veränderungen der letzten Monate zum Thema „Welche Daten meiner Webseitenbesucher*innen oder Kund*innen darf ich eigentlich „in die USA übermitteln“ aka „Welche Tools / Schriften usw. darf ich überhaupt benutzen“?

Das hier ist keinesfalls eine Rechtsberatung (dürfen wir nicht, wollen wir nicht) sondern unser eigenes Understanding des Themas.

Das Aktuelle und jetzt Relevante zuerst, kurz & knapp:

1. Was war eigentlich mit der Abmahnwelle bezüglich der Google Fonts?

Unsere klare Meinung: Das waren Luftnummern, die nur dann verfangen konnten, wenn Leute mit ihrer Website Fehler gemacht haben, die sowieso schon no go sind. Insbesondere: Die Einwilligung zur Datennutzung nicht über ein sauberes Cookiebanner einholen. Das nicht zu haben ist heute einfach nicht mehr state-of-the-Art. Ihr braucht das!

2. Was ist mit dieser ominösen „Landgericht München“ Entscheidung?

Die sagt genau DAS. Dass eine Weitergabe von Daten nur nach Einwilligung legal ist. Das hat aber gar nichts damit zu tun, dass Ihr keine Google Fonts nutzen dürftet. Oder dass die bereits serverseitig eingebunden sein müssen.

3. Aber was ist denn jetzt mit der Datenübermittlung in die USA?

Dieses Thema ist kompliziert. Hier mal sehr vereinfacht: Die EU will uns abnehmen, dass jede/r einen einzelnen Vertrag mit 1000 (leicht übertrieben, vielleicht auch nicht) amerikanischen Unternehmen abschließen muss, nur weil er vielleicht Google Fonts einbinden will. Denn die amerikanischen Unternehmen schieben sich die Daten ja auch wieder kreuz und quer zu über Dienstleistungsverträge, Miete externer Server viellelicht oder auch einfach nur Kontrollzugriffe für die Designagentur, die eine Font erstellt hat.

Das alles ist nicht machbar! Aber trotzdem muss es gemacht werden. Warum?

Weil die Amerikaner ein ganz anderes, und zwar viel schwächeres Datenschutzrecht haben als wir. Und Menschen, die auf Europäische Webseiten surfen dürfen davon ausgehen, dass sie von Europäischem Recht geschützt werden. Fertig aus.

Und genau deswegen gibt es Europäische Verträge mit den USA, die das regeln. Darauf ist im Moment Verlass.

Details dazu findet ihr unten.

Wichtig noch: Lasst Eure Datenschutzerklärung, AGB, Cookiebanner etc. von Profis kontrollieren (wir freuen uns über Eure Anfrage, wir haben spezialisierte Texter und checken es final mit unseren Anwälten), dann geht bei Euch nichts schief. Denn natürlich müssen diese Formulare stimmen, siehe oben, Einwilligung für die Weitergabe von Daten.

Hier für die ganz neugierigen eine eher technische Zusammenfassung mit den Details und der Historie:

Seit 10.07.2023 gilt für Unternehmen das neue EU-US Data Privacy Framework. Dieses besagt gemäß des an diesem Tag rechtswirksam verkündeten neuen Angemessenheitsbeschlusses, dass an US-Unternehmen, die diesem Framework unterfallen, personenbezogene Daten ohne jedes Risiko übermittelt werden können.

Im Kontext dieses – wenn es wirklich in der Praxis Bestand hat – revolutionär zu nennenden neuen EU-US Datenschutzabkommens gibt es spezifische Prinzipien, denen US-amerikanische Unternehmen zustimmen müssen. Diese Prinzipien orientieren sich an den Grundlagen der europäischen Datenschutzgesetze und können als eine abgespeckte Variante der DSGVO angesehen werden. Solche Maßnahmen werden als notwendig erachtet, da es in den USA kein umfassendes allgemeingültiges Datenschutzgesetz gibt.

Die 2600 US-amerikanischen Unternehmen, welche in der Vergangenheit eine Zertifizierung für das Privacy-Shield (s.u.) erhalten hatten, werden nun als im Einklang mit dem Datenschutzrahmen (Data Privacy Framework) zertifiziert betrachtet. Das heißt, im Prinzip alle signifikanten Anbieter von Cloud-Diensten, Software-as-a-Service (SaaS) und IT-Dienstleistungen in den USA an sind bereits jetzt zertifiziert nach dem neuen EU-US Datenschutzabkommen. Das macht es für uns „Verwender“ solcher Dienste, vor allem aber nicht nur über unsere Websites, viel einfacher als bisher. Grade auch was saubere Datenschutzerklärungen betrifft.

Hier nochmal ein kurzer Recap zur Historie, um auch das Privacy Shield Abkommen und die zuletzt gültige Situation kurz zu erklären:

Das EU-US Data Privacy Framework (EU-US-Datenschutzabkommen), das am 10.07.2023 rechtswirksam veröffentlicht wurde, zielt darauf ab, die Anliegen des Europäischen Gerichtshofs (EuGH) in Bezug auf das Schrems-II-Urteil vom 16. Juli 2020 (C-311/18) anzugehen.
Dieses spektakuläre Urteil des EuGH, das der österreichische Datenschützer Max Schrems fast im Alleingang erstritten hat (und es war nicht sein erster derartiger Erfolg, denn schon mit dem Schrems I Urteil hat Schrems das komplette Datenschutzframework „Safe Harbor“ zwischen EU und USA gekippt), erklärte das Datenschutzschild-Abkommen (Privacy Shield Framework) zwischen der EU und den USA für ungültig, da die Aktivitäten der US-Geheimdienste, die auf Massenüberwachung abzielten, nicht den europäischen rechtsstaatlichen Mindeststandards genügten.

In einer Übergangszeit bis Juli 2023 wurde jetzt die Lücke mit sogenannten Standardvertragsklauseln geschlossen, die die EU erstellt und amerikanische Unternehmen verwendet haben. Auf diese war in den Datenschutzerklärungen Bezug zu nehmen. Das scheint nun obsolet zu sein.

Das kürzlich vereinbarte Datenschutzabkommen zwischen der EU und den USA führt ein zweistufiges System ein, das Bürgerinnen und Bürgern der EU die Möglichkeit bietet, Verstöße in Bezug auf die Überwachung durch US-Geheimdienste zu verfolgen, was zuvor nicht möglich war. Das mag ein wenig nach David und Goliath klingen aber Max Schrems hat schon zweimal gezeigt, was möglich ist, wenn gute Anwälte motiviert genug sind.

Ihr seid selbst unsicher, wie es um die Datensicherheit Eurer Website sowie Eures gesamten Systems von Tracking, Analytics, Newsletter-Opt-Ins und Datenspeicherung steht? Meldet Euch gern bei uns, wir machen ein technisches Assessment und schauen die gesamte Datenlandschaft durch, optimieren auf Wunsch auch gleich und und verschaffen Euch gern mit unserem Medienanwalt eine abgesicherte Datenschutzerklärung. Vielen Dank für´s Lesen.