In den DSGVO-Abmahnungen von Mag. Hohenecker (siehe Google Fonts – Abmahnung) wird Schadenersatz gefordert, weil ein Kontrollverlust über ein personenbezogenes Datum an „Google“ erfolgte. Dies verursachte bei der Mandantin ein erhebliches Unwohlsein und nervt sie massiv. Die Datenweitergabe an solche Unternehmen stellt für die Mandantin einen tatsächlichen und spürbaren Nachteil dar […]
Ohne näher auf die Voraussetzungen eines DSGVO-Schadenersatzanspruchs[1] einzugehen, stellt sich die Frage, ob es sich dabei tatsächlich um einen Verstoß gegen die DSGVO handelt. Die österreichische Datenschutzbehörde hat bereits zur Klärung des Sachverhalts ein amtswegiges Prüfverfahren gegen Google wegen Google Fonts eingeleitet.[2]
IP-Adresse als personenbezogenes Datum?
Personenbezogene Daten sind iSd Art 4 Z 1 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung […] identifiziert werden kann. Eine umfassende Beschreibung von personenbezogenen Daten ist nicht möglich. Beispiele sind: Name, KFZ-Kennzeichen, Verhaltensweisen, Cookies, Gaszählerdaten, etc.[3]
Eindeutig identifiziert ist eine Person idR dann, wenn die Identität der Person unmittelbar aus der Information selbst hervorgeht.[4] Identifizierbar ist eine Person, wenn die Information an sich nicht ausreicht, um sie einer Person zuzuordnen, aber mit weiteren Informationen – zB. mit öffentlich zugänglichen Quellen wie Telefonbücher, öffentliche Register, etc. – eine Zuordnung möglich ist.[5] Dabei sind alle Faktoren wie Kosten der Identifizierung und erforderlicher Zeitaufwand sowie die zum Zeitpunkt der Verarbeitung verfügbaren Technologien als auch die technologischen Entwicklungen zu berücksichtigen.[6]
Grds. stellen auch pseudonymisierte Daten personenbezogene Daten dar, wenn ein Personenbezug mit rechtlich zulässigen, vernünftigerweise einsetzbaren Mitteln wieder herstellbar ist.[7]
Wenn die Identifizierung der betreffenden Person gesetzlich verboten oder praktisch undurchführbar ist (insb wegen eines unverhältnismäßigen Aufwandes an Zeit, Kosten und Arbeitskräften), ist lt. Hübl/Schmidl nicht von einer Identifizierbarkeit auszugehen.[8]
IP-Adressen sind Ziffernfolgen, die mit dem Internet verbundenen Computern zugewiesen werden, um deren Kommunikation im Internet zu ermöglichen. Beim Abruf einer Website wird die IP-Adresse des abrufenden Computers an den Server übermittelt, auf dem die abgerufene Website gespeichert ist. Dies ist erforderlich, um die abgerufenen Daten an den richtigen Empfänger übertragen zu können.[9] Der EuGH hat am 19.10.2016 in der Rechtssache Breyer in seinem Urteil festgehalten, dass es sich bei IP-Adressen um personenbezogene Daten handelt, wenn der Webseiten-Anbieter über rechtliche Mittel verfügt, die es ihm erlauben, die betreffende Person anhand der Zusatzinformationen, über die der Internetzugangsanbieter dieser Person verfügt, bestimmen zu lassen.
In dieser Entscheidung war die Bundesrepublik Deutschland als Anbieter von Webdiensten Beklagte und hatte nach dt. Recht wahrscheinlich die rechtlichen Mittel, mittels IP-Adresse die Identifizierung des Klägers über den AccessProvider zu verlangen. Eine rechtliche Möglichkeit zur Identifizierung von natürlichen Personen über die vom AccessProvider zugeordnete IP-Adresse für private Webseitenbetreiber ist mir in Österreich derzeit nicht bekannt. Zumal das TKG 2021 strenge Voraussetzungen für die Offenlegung von dynamischen IP-Adressen vorsieht.[10]
Es liegt mE. nun an der Datenschutzbehörde, zu entscheiden, ob eine dynamische IP-Adresse in diesem Zusammenhang überhaupt ein personenbezogenes Datum darstellt. Zu berücksichtigen ist in diesem Zusammenhang auch, dass eine (dynamische) IP-Adresse vom AccessProvider (zB. A1, Drei, Magenta, etc.) einem Vertragspartner zugeordnet wird und sofern mehrere Personen den gleichen Anschluss verwenden, diese mit der gleichen IP-Adresse nach außen kommunizieren.
In der eigenen Wohnung werden idR. alle Mitbewohner beim Internetsurfen die gleiche IP-Adresse auf den Servern hinterlassen, womit eine genaue Zuordnung zu einer natürlichen Person aufgrund von AccessLogs von Webservern faktisch nicht möglich sein wird. Richtigerweise würde man zusätzlich noch die Logdateien des eigenen Routers benötigen, welche nachweisen sollen, dass ein bestimmtes Endgerät über diesen Internetzugang eine bestimmte Seite zu einem bestimmten Zeitpunkt aufgerufen hat. Letztendlich stellt sich noch die hypothetische Frage, ob der Schaden beim Nutzer oder beim Geräte-Eigentümer eingetreten ist.
Im Hinblick auf og. Überlegungen stellt die dynamische IP-Adresse in diesem Fall mE. kein personenbezogenes Datum dar, da der Webseiten-Anbieter nicht über die rechtlichen Mittel verfügt, die es ihm erlauben, die betreffende Person anhand der Zusatzinformationen, über die der Internetzugangsanbieter dieser Person verfügt, bestimmen zu können.
Sofern die (dynamische) IP-Adresse kein personenbezogenes Datum beim Aufruf einer privaten/geschäftlichen Website darstellt, kann kein Schaden iSe Verletzung der DSGVO entstehen, da die Datenschutz-Grundverordnung lediglich für die Verarbeitung von personenbezogenen Daten anwendbar ist.
Da eine Identifizierung einer natürlichen Person durch den Webseitenbetreiber nicht möglich ist, kann mE. auch das Grundrecht auf Geheimhaltung iSd § 1 DSG nicht verletzt werden, wenn diese IP-Adresse in ein Drittland übermittelt wird.
Verarbeitung vs. Übermittlung in ein Drittland
Grundsätzlich ist iSd DSGVO jegliche Datenverarbeitung von personenbezogenen Daten verboten, es sei denn, es gibt eine gesetzliche Erlaubnis für diese Verarbeitung. Je nach Datenart sind dabei die Erlaubnistatbestände der Art 6 (nicht-sensible Daten), Art 9 (Daten besonderer Kategorien) oder Art 10 (Daten über strafrechtliche Verurteilungen oder Straftaten) zu prüfen. Verarbeitung ist iSd Art 4 Z 2 DSGVO jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführter Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie Erheben, Erfassen, Organisieren, Ordnen, Speichern […] Offenlegung durch Übermittlung […] bis hin zur Löschung oder Vernichtung der personenbezogenen Daten.
Bei der Einbindung von Google-Fonts werden die Schriftarten standardmäßig von einem Server in den USA abgerufen. Somit wird beim Aufruf der Website die IP-Adresse des Websitebesuchers in die USA übermittelt. Die Übermittlung stellt dabei einen Verarbeitungsvorgang iSd Art 4 Z 2 DSGVO dar. Bei der externen (dynamischen) IP-Adresse handelt es sich – wenn überhaupt – um nicht sensible Daten, womit sich die Rechtmäßigkeit aufgrund Art 6 DSGVO ergibt. Ohne näher auf die einzelnen Tatbestände eingehen zu wollen, wird diese Übermittlung jedenfalls zulässig sein, sofern eine entsprechende Einwilligung durch den Website-Besucher vorliegt (zB. in Form einer Zustimmung, bevor die Verbindung aufgebaut wird). Berechtigte Interessen iSd Art 6 Abs 1 lit f DSGVO sind nach Ansicht des LG München keine geeignete Rechtsgrundlage.[11]
Sofern sichergestellt ist, dass die „Verarbeitung der personenbezogenen Daten“ erst nach einer allfälligen Einwilligung erfolgt, ist dies mE. iSd Art 6 Abs 1 lit a soweit zulässig.
Bei der Übermittlung von personenbezogenen Daten an Drittländer ist zusätzlich das Kapitel V der DSGVO anzuwenden und ist diese Übermittlung nur zulässig, wenn im Drittland ein angemessenes Schutzniveau (Artt 45-47 DSGVO) besteht oder eine Ausnahme des Art 49 DSGVO vorliegt. Da mit Schrems II der Angemessenheitsbeschluss der EU-Kommission „Privacy Shield“ zum Datenaustausch zwischen EU und USA aufgehoben wurde, ist eine Datenübermittlung in die USA vorerst nur mehr dann zulässig, wenn der Verantwortliche oder Auftragsverarbeiter geeignete Garantien gem Art 46 DSGVO vorgesehen hat (zB. spezielle Regelungen in Standarddatenschutzklauseln), verbindliche interne Datenschutzvorschriften bestehen (Art 47 DSGVO) oder ein Ausnahmetatbestand des Art 49 DSGVO vorliegt. Ein solcher Ausnahmetatbestand wäre zB. ausdrückliche Einwilligung des Website-Besuchers.[12]
Bei der Übermittlung von personenbezogenen Daten in ein Drittland ist somit eine ausdrückliche Einwilligung iSd Art 49 DSGVO eine denkbare Alternative, sofern keine geeigneten Garantien iSd Art 46 DSGVO vorliegen. Stimmt der Webseiten-Besucher zu, dass seine pb Daten (zB. IP-Adresse) in ein Drittland übermittelt werden, bevor diese Datenübermittlung erfolgt, ist dies grds. zulässig.
Die Google Fonts-API ist darauf ausgelegt, die Erhebung, Speicherung und Verwendung von Endnutzerdaten auf das zu beschränken, was zur effizienten Bereitstellung von Schriftarten erforderlich ist. Die IP-Adresse des Website-Besuchers wid lt. eigenen Angaben von Google nicht protokolliert. Es werden lediglich die Details der HTTP-Anfrage einschließlich des Zeitstempels, der angeforderten URL und aller HTTP-Header, die in Verbindung mit der Verwendung der CSS API bereitgestellt werden protokolliert.[13]
Zusammenfassung
Die (dynamische) IP-Adresse eines Webseitenbesuchers ist für den Webseitenbetreiber ein personenbezogenes Datum, wenn er über rechtliche Mittel verfügt, die es ihm erlauben, die betreffende Person anhand von Zusatzinformationen, über die der Internetzugangsanbieter dieser Person verfügt, bestimmen zu lassen.[14] In Österreich gibt es mE. derzeit kein rechtliches Mittel für Webseitenbetreiber, um den Namen zu einer IP-Adresse seiner Webseitenbesucher zu erfahren. Somit ist die IP-Adresse eines Webseitenbesuchers in diesem Fall mE. kein personenbezogenes Datum iSd Art 4 Z 1 DSGVO und des EuGH-Urteils C-582/14 für den Webseitenbetreiber, bzw. selbst wenn es ein personenbezogenes Datum wäre, ist mE. dadurch kein Rückschluss auf eine natürliche Person möglich.
Soweit eine Einwilligung zur Verarbeitung und zur Übermittlung in ein Drittland eingeholt wird, bevor die Schriftarten geladen werden, ist der Einsatz von Google Web Fonts mE. zulässig. Besser wäre natürlich das Nachladen der Schriftarten vom eigenen Server, um eine nicht erforderliche Datenübermittlung in die USA zu vermeiden.
[1] https://www.linkedin.com/feed/update/urn:li:activity:6968871334973980672/ (abgerufen am 26.8.2022).
[2] https://www.dsb.gv.at/download-links/bekanntmachungen.html#Google_Fonts (abgerufen am 26.8.2022).
[3] Vgl. Haidinger, Dako 2014/7.
[4] Vgl. Hödl in Knyrim, DatKomm Art 4 DSGVO Rz 11 (Stand 1.12.2018, rdb.at).
[5] Vgl. Hödl in Knyrim, DatKomm Art 4 DSGVO Rz 12 (Stand 1.12.2018, rdb.at).
[6] Vgl. DSK 22. 4. 2005, K120.966/0005-DSK/2005 zum Sonderwissen (s Haidinger, Dako 2014/7, 18).
[7] DSGVO ErwGr 26, 28–29.
[8] Vgl. Hübl/Schmidl in Gantschacher/Jelinek/Schmidl/Spanberger, Kommentar zur Datenschutz-Grundverordnung, Art 4 Anm 2, 2017.
[9] EuGH Urteil vom 19.10.2016, Breyer, C-582/14, ECLI:EU:C:2016:779, Rn. 15.
[10] Vgl. https://www.linkedin.com/feed/update/urn:li:activity:6968564604650024960/ (abgerufen am 25.8.2022).
[11] https://www.gesetze-bayern.de/Content/Document/Y-300-Z-BECKRS-B-2022-N-612?hl=true (abgerufen am 25.8.2022).
[12] Grds. sind die Ausnahmetatbestände tatsächlich für Ausnahmen gedacht und nicht für die fortwährende Datenübermittlung. Ob eine Einwilligung zB. für die Nutzung einer App, welche ständig pb Daten in die USA übermittelt, zulässig ist, wäre zu prüfen.
[13] https://developers.google.com/fonts/faq#what_does_using_the_google_fonts_api_mean_for_the_privacy_of_my_users (abgerufen am 25.8.2022).
[14] EuGH Urteil vom 19.10.2016, Breyer, C-582/14, ECLI:EU:C:2016:779, Rn. 49.