Die Datenschutzbehörde berichtet im aktuellen Newsletter (4/2023) über den Abschluss des amtswegigen Prüfverfahrens iS Google Fonts und verweist u.a. darauf, dass es wesentlich ist, von welchem Standort (zB in Österreich) eine Website aufgerufen wird, bei der Google Fonts dynamisch eingebunden sind, und es nicht zwingend zu einer Datenübermittlung in die USA kommt.
Auszug aus dem Newsletter (mit Hervorhebungen des Autors)
Die Datenschutzbehörde hat bereits im Newsletter 4/2022 über die Einleitung eines amtswegigen Prüfverfahrens wegen Google Fonts und der damit im Zusammenhang stehenden Verarbeitung personenbezogener Daten berichtet. Anlass der Einleitung waren Schreiben eines österreichischen Anwalts, der zahlreiche Unternehmen aufgefordert hat, aufgrund der Einbindung von Google Fonts auf der jeweiligen Unternehmenswebsite einen Schadenersatzanspruch anzuerkennen sowie eine Unterlassungserklärung abzugeben.
Das gegen Google LLC gerichtete Prüfverfahren wurde nunmehr abgeschlossen.
Es wurden Fragen zu rechtlichen und technischen Aspekten des Produkts Google Fonts gestellt. Darüber hinaus wurde eine mündliche Verhandlung durchgeführt.
An der Verhandlung nahmen Vertreterinnen und Vertreter von Google LLC teil.
Ausgehend von den Ermittlungsergebnissen ist festzuhalten, dass es nur zu einer Datenübermittlung an die Server von Google kommt, wenn Google
Fonts über einen Google-Server (nach)geladen werden. Bei einer lokalen Einbindung der Schriftarten am eigenen Server kommt es zu keiner solchen Datenübermittlung.
Es kommt auch nicht in allen Fällen der nicht-lokalen Einbindung zu einer Datenübermittlung an die Server von Google LLC in den USA. Vielmehr ist dies insbesondere davon abhängig, an welchem geografischen Standort sich der Nutzer (bzw. der Server seines Internetproviders) befindet, welcher eine Anwendung aufruft, die Google Fonts eingebunden hat.
Im Streitfall hat eine einzelfallbezogene Prüfung des Datenflusses zu erfolgen.
Aus Sicht der Datenschutzbehörde wurde hinreichend nachgewiesen, dass es unter keinen Voraussetzungen zu einer Verknüpfung zwischen „Google
Fonts Daten“ (wie IP-Adresse, HTTP-Header einschließlich „Referrer“ sowie „User-Agent“ des Internetbrowsers) und einem Google-Account kommt.
Darüber hinaus werden „Google Fonts Daten“ nicht zu Werbezwecken verwendet.
Sofern diese Daten im Einzelfall als personenbezogene Daten zu
qualifizieren sind und zu dem Zweck verarbeitet werden, Angriffe zu erkennen und zu bekämpfen, kann dies durch den Erlaubnistatbestand der berechtigten Interessen gedeckt sein. Eine unrechtmäßige
Datenverarbeitung konnte im Rahmen des Prüfverfahrens somit nicht festgestellt werden. Allerdings wurden nach Auffassung der Datenschutzbehörde die Vorgaben für die Informationspflicht nicht
gänzlich eingehalten. Dieser Umstand wurde an Google LLC herangetragen.
Kommentar schreiben