Symbolbild für Tools & Dienstleistungen

Mailchimp, Google Analytics und Co. - diese datenschutzrechtlichen Urteile sollten Sie kennen

Seitdem die DSGVO eingeführt wurde, werden Tools und Dienstleistung oft als nicht datenschutzkonform eingestuft. Besonders bei läufigen Anbietern wie Microsoft oder Google hat das deutliche Auswirkungen auf den Endverbraucher. Wir schauen uns an, welche Urteile gegen Tools und Dienstleistungen in den letzten Jahren am aufsehenerregendsten waren.

2022-05-19

Logo

Online Tools, Apps und Software erleichtern den beruflichen Alltag und gestalten viele Prozesse effizient und kostengünstig. Die Handhabung ist oft leicht und die Versuchung ist groß, verschiedene Anwendungen ganz nebenbei zu implementieren und zu nutzen. Doch sollten Sie rechtlich gesehen dabei ein Auge offenhalten und über folgende Urteile Bescheid wissen.

Google Analytics - dieses Urteil schlägt Wellen

Google Analytics ist eines der beliebtesten Tracking Tools, um das Nutzerverhalten auf Websites zu messen und zu analysieren. In der üblichen Funktionsweise werden bei diesem Tracking auch personenbezogene Daten erfasst, konkret die IP-Adresse des Nutzers. Diese wird mit dem Website-Besuch an Google-Server in die USA übermittelt. Daher ist die Nutzung des Tools nicht nur aus Marketingsicht zu beurteilen, sondern auch aus datenschutzrechtlicher Sicht. 

Aus einem EuGH-Urteil geht hervor: Cookies von Google Analytics erfordern für einen ausreichenden Datenschutz eine Einwilligung des Website-Besuchers. Im Umkehrschluss muss das Tracking technisch unterbunden werden können, wenn die Einwilligung nicht erteilt wird. Cookies von Google Analytics sind für den Betrieb der Website (technisch) nicht zwingend erforderlich. Eine Besonderheit ist dabei, dass selbst bis zur Einwilligung oder Ablehnung kein Cookie gesetzt werden darf.

Google Fonts - was ändert sich für die Verbraucher? 

Unter Google Fonts sind Schriftarten zu verstehen, die von Google lizenzfrei zur Verfügung gestellt werden. Diese können Website-Betreiber somit flexibel und kostenfrei für Ihren Online-Auftritt nutzen. Die technische Einbindung kann auf zwei verschiedenen Wegen erfolgen. Eine Methode davon wurde vom LG München in einem Urteil vom 20.01.2022 untersagt. Dabei ging es um eine dynamische Methode, bei der die Schriftart bei jedem Website-Aufruf direkt von den Google Servern abgerufen wird. Übermittelt wird dabei die IP-Adresse des Besuchers, auch wenn keine Einwilligung zur Datenerfassung vorliegt. Dieses widerspricht den Grundsätzen der DSGVO und ist demnach unzulässig. 

Als Alternative bleibt die zweite Methode: Die statische Einbindung der Schriftart auf den Servern, auf denen auch die Website betrieben wird. Google bietet dazu das Herunterladen der Schriftarten in verschiedenen Dateiformaten an, die es jedem Anwender einfach machen, auf die jeweilige Methode umzuschwenken, wenn nicht schon geschehen. Als Website-Betreiber sollten Sie beziehungsweise Ihr IT-Ansprechpartner in jedem Fall prüfen, auf welche Methode Sie aktuell setzen und sich Zeit für eine Korrektur nehmen.

Mailchimp und die DSGVO - kann das gut gehen?

Ein bekannter und im Newsletter-Marketing sehr bedeutsamer Anbieter ist Mailchimp. Versenden Sie Newsletter, kommt die Frage nach einem geeigneten Datenschutz ohnehin auf. Denn allein mit der Erfassung der E-Mail-Adresse zum Versenden von Newslettern verarbeiten Sie bereits personenbezogene Daten. Das heißt, Sie benötigen von Ihren Interessenten eine eindeutige Einwilligung für die Erfassung und Speicherung der Daten, bevor Sie Ihre Mailings versenden dürfen.

Mit Mailchimp kommt ein weiterer Aspekt hinzu. Auch dieser Anbieter hat - wie Google - seinen Sitz in den USA. Das bedeutet, dass die Daten Ihrer E-Mail-Liste an ein Drittland außerhalb der EU gesendet und gespeichert werden. Diese sind im Rahmen des Auftragsverarbeitungsvertrags dazu verpflichtet, die Grundsätze der DSGVO einzuhalten. Zudem sind Sie als Unternehmer in der EU dazu verpflichtet. Daraus folgt, dass Sie nur mit anderen Unternehmen weltweit zusammenarbeiten dürfen, die ein gleiches oder ähnlich hohes Schutzniveau in Sachen Datenschutz bieten können. 

Bis Mitte 2020 konnten Datenübermittlungen in die USA auf das Privacy Shield Abkommen gestützt werden. Mit dem Schrems-II-Urteil des EuGH wurde dieses Abkommen jedoch aufgehoben. Gleichzeitig wurden die Anforderungen für die Verwendung von Standarddatenschutzklauseln angehoben. Knackpunkt bei der Weitergabe der E-Mail-Adressen an Mailchimp sind die umfassenden Zugriffsrechte der US-Sicherheitsbehörden, die nicht mit dem Schutzniveau der DSGVO vereinbar sind. Generell aber sorgte das Urteil nicht für ein Verbot, Mailchimp zu nutzen. Vielmehr sind Unternehmen, die weiterhin auf den Dienst setzen wollen, dazu aufgerufen, individuelle Vereinbarungen zu treffen, um das erforderliche Schutzniveau einzuhalten.

Microsoft 365 und Datenschutz: Wie lassen sich die Office-Angebote weiter nutzen? 

Selbst bei den geläufigsten Softwareprogrammen, die viele Unternehmen im Einsatz haben, stellt sich die Frage nach einem ausreichenden Datenschutz. Bei Microsoft Office 365 beispielsweise werden personenbezogene Daten wie die IP-Adresse des Nutzers erfasst und auf Servern in den USA gespeichert. Vor allem, wenn die Cloud-Funktion genutzt wird, ist der Umfang der Daten um einiges größer und weitreichender. Auch hier stellte das Kippen des Privacy Shield Abkommens seine Anwender vor Herausforderungen. Eine Zwischenlösung bestand darin, die Daten nicht auf US-Servern zu speichern, sondern auf europäischen Servern. Jedoch hielt auch diese Lösung den europäischen Datenschutzregelungen nicht stand. Als alternative Methode gilt nun das Speichern der Daten auf eigenen Servern, um Microsoft-Dienste weiter datenschutzkonform nutzen zu können.

Aktuelle Urteile im Datenschutz halten für Website-Betreiber und Marketing-Abteilungen regelmäßig Neuerungen bereit. Damit Sie stets auf dem Laufenden sind, abonnieren Sie doch einfach unseren Newsletter. Erhalten Sie damit aktuelle Informationen und Rechtsprechungen direkt in Ihr Postfach. Völlig kostenfrei und unverbindlich.
 

 

Autor: Team datenschutzexperte.de
Artikel veröffentlicht am 19.05.2022

Bitte beachten Sie: Allgemeine Beiträge können eine datenschutzrechtliche Beratung im Einzelfall nicht ersetzen. Für die Richtigkeit und Vollständigkeit unsere Blogbeiträge können wir keine Gewähr übernehmen. Inhalte beziehen sich immer auf die Rechts- und Faktenlage zum Zeitpunkt der Veröffentlichung und sind deshalb zum Zeitpunkt des Aufrufs möglicherweise nicht mehr aktuell.

In den von uns erstellten Artikeln, Leitfäden, Checklisten, Whitepaper und anderen Beiträgen wird aus Gründen der besseren Lesbarkeit das generische Maskulinum verwendet. Wir möchten betonen, dass sowohl weibliche als auch anderweitige Geschlechteridentitäten dabei ausdrücklich mitgemeint sind, soweit es für die Aussage erforderlich ist.

Portraits unserer Datenschschutzexperten Dominik Fünkner, Dorothea Teichman, Nathalie Dold und Hauke Gerdey
Portraits unserer Datenschschutzexperten Dominik Fünkner, Dorothea Teichman, Nathalie Dold und Hauke Gerdey

Wir managen Ihren Datenschutz

Unsere zertifizierten Datenschutzbeauftragten helfen Ihnen, Datenschutzvorgaben sicher und pragmatisch umzusetzen. Profitieren Sie von unserem Knowhow aus über 1.800 Kundenprojekten in über 50 Branchen.

Aktuelle Beiträge zum Thema Datenschutz

Wir freuen uns auf Ihre Anfrage!

Telefon:

+49 89 / 250 039 220

Öffnungszeiten:

Mo. - Fr.: 09:00 - 18:00 Uhr