Wie ist FontAwesome datenschutzrechtlich zu bewerten?

Was ist „FontAwesome“?

FontAwesome bietet eine Web Icon Library. Um die Icons anzeigen und laden zu können, werden bei FontAwesome (wie bei der der Verlinkung von GoogleFonts) die IP-Adresse beim Aufruf übertragen. Somit werden personenbezogene Daten im Sinne der DSGVO erfasst.

Für die Verarbeitung personenbezogener Daten, die FontAwesome vornimmt, benötigt man eine Rechtsgrundlage nach Art. 6 DSGVO.

--> Einwilligung!

Fällt FontAwesome in die gleiche Kategorie wie Google Fonts?

Antwort:

Ja, wenn Google Fonts dynamisch per Link eingebunden wird, kann man FontAwesome damit vergleichen.

Zum Thema Google-Fonts finden Sie auch in unserem FAQ Bereich auf der Website.

Stand: 04.05.2022

Dürfen wir nach dem Beschluss der DSK-Konferenz vom 23.03.2022 den Gemeinde Facebook-Auftritt noch betreiben? 

Ergebnis des Kurzgutachtens der Tascforce Facebook Fanpages vom 18.03.2022:

„Für die bei Besuch einer Fanpage ausgelöste Speicherung von Informationen in den Endeinrichtungen der Endnutzer:innen und den Zugriff auf Informationen, die bereits in der Endeinrichtungen gespeichert sind, sowie für die Verarbeitungen personenbezogener Daten, die von Seitenbetreibern verantwortet werden, sind keine wirksamen Rechtsgrundlagen gegeben.

Darüber hinaus werden die Informationspflichten aus Art. 13 DSGVO nicht erfüllt.“

Ergebnis der DSK-Konferenz vom 23.03.2022:

Die DSK nimmt das von der Taskforce Facebook-Fanpages erstellte Kurzgutachten zur Frage der datenschutzrechtlichen Konformität des Betriebs von Facebook-Fanpages vom 18.03.2022 zur Kenntnis und stimmt der Bewertung zu.

Es bildet für die Mitglieder der DSK eine wichtige Grundlage ihrer aufsichtsbehördlichen Tätigkeit gegenüber öffentlichen und nichtöffentlichen Stellen.

Aufgrund ihrer Vorbildfunktion stehen öffentliche Stellen zuvörderst im Fokus. Deshalb werden die Mitglieder der DSK im Rahmen ihrer Zuständigkeit

•die obersten Landes- bzw. Bundesbehörden über den Inhalt des Kurzgutachtens zeitnah informieren,

•überprüfen, ob Landes- bzw. Bundesbehörden Facebook-Fanpages betreiben,

•darauf hinwirken, dass von Landes- bzw. Bundesbehörden betriebene Facebook-Fanpages deaktiviert werden, sofern die Verantwortlichen die datenschutzrechtliche Konformität nicht nachweisen können.

Dieser Nachweis betrifft vor allem:

•den Abschluss einer Vereinbarung nach Art. 26 DSGVO über die gemeinsame Verantwortlichkeit mit Facebook,

ausreichende Informationen über die gemeinsamen Datenverarbeitungen gegenüber den die Fanpages Nutzenden gemäß Art. 13 DSGVO,

•die Zulässigkeit zur Speicherung von Informationen in der Endeinrichtung des Endnutzers und der Zugriff auf diese Informationen gemäß § 25 TTDSG sowie

•die Zulässigkeit der Übertragung personenbezogener Daten in den Zugriffsbereich von Behörden in Drittstaaten

Hinweis von LiiDU:
Künftig dürfen nur, wenn diese hier genannten Nachweise erbracht werden, Facebook-Fanpages betrieben werden.

Stand: 06.04.2022

Haben sich die EU und USA auf ein neues Datenschutzabkommen geeinigt?

EU-Kommission und die USA haben am 25.03.2022 durch ihre ranghöchsten Vertreter bekanntgegeben, dass man sich auf ein neues Datenschutzabkommen zwischen den USA und Europa geeinigt hat. Hier ein Textauszug aus der Veröffentlichung:

The European Commission and the United States reached an agreement in principle for a

Trans-Atlantic Data Privacy Framework.

Key principles

• Based on the new framework, data will be able to flow freely and safely between the EU and participating U.S. companies

• A new set of rules and binding safeguards to limit access to data by U.S. intelligence authorities to what is necessary and proportionate to protect national security; U.S. intelligence agencies will adopt procedures to ensure effective oversight of new privacy and civil liberties standards

A new two-tier redress system to investigate and resolve complaints of Europeans on access of data by U.S. Intelligence authorities, which includes a Data Protection Review Court

• Strong obligations for companies processing data transferred from the EU, which will continue to include the requirement to self-certify their adherence to the Principles through the U.S. Department of Commerce

• Specific monitoring and review mechanisms

Hier finden Sie den ganzen Text

Es gibt noch keinen rechtlichen Text, der veröffentlicht wäre.

Nach der (oben verlinkten) Ankündigung, wird nun erst die Vereinbarungen in rechtliche Texte übertragen. Das wird Monate dauern.

Max Schrems hat erklärt, dass jedes neue Abkommen, das die Anforderungen des EU-Rechts nicht erfüllt, innerhalb weniger Monate vor dem EuGH angefochten werden wird, z. B. durch zivilrechtliche Verfahren und einstweilige Verfügungen.

Stand: 30.03.2022

Unter welchen Voraussetzungen ist der Einsatz von Google Optimize unbedenklich?

Google Optimize ist ein A/B-Testing-Tool

Grundsätzlich: Auch ohne Cookies ist Google Analytics einwilligungspflichtig, insbesondere wegen der Verarbeitung der Analysedaten immer in den USA.

Im Speziellen: Sofern man Google Optimize zur anonymen Auswertung nutzen kann, dann ist das DSGVO-konform. Wenn Voraussetzung aber die Nutzung von Google-Analytics ist (=Standardfall!), dann nur mit Einwilligung der Nutzer.

Voraussetzungen eines rechtskonformen Einsatzes wären damit:

  1. Einwilligung der Nutzer
  2. Abschluss von Standardvertragsklauseln
  3. Aufnahme in die Datenschutzerklärung
  4. Daten-Transfer-Folgenabschätzung

Hier finden Sie eine gute Übersicht mit Checkliste

Stand: 23.03.2022

Wie ist das Newsletter-Tool „Mailchimp“ datenschutzrechtlich zu bewerten?

Mailchimp ist ein in den USA sitzender Anbieter eines Newsletter-Tools.

Aufgrund des Wegfalls des Privacy-Shields sind jetzt Standarddatenschutzklauseln zu verwenden und: --> datenschutzrechtliche Einwilligung ist einzuholen

Voraussetzungen für den datenschutzkonformen Einsatz:

1.Abwägung, ob das Tool nicht durch ein anderes ersetzt werden kann (Vorprüfung)

2.Standarddatenschutzklauseln vereinbaren

3.Einwilligung bei Newsletter-Registrierung einholen

4.Double-Opt-In (eigentlich eine werberechtliche Voraussetzung)

Stand: 16.03.2022

Wie kann ich in der Datenschutzerklärung der Homepage hervorheben, das wir Google Fonts lokal eingebunden haben?

Die lokale Einbindung von Google-Fonts muss gar nicht in die Datenschutzerklärung aufgenommen werden.

Begründung:
Es werden keine personenbezogenen Daten verarbeitet.

Stand: 09.03.2022

Ist Cloudflare datenschutzkonform einsetzbar?

Was macht Cloudflare?

Cloudflare ist ein US-amerikanisches Unternehmen, das ein Content Delivery Network, Internetsicherheitsdienste und verteilte DNS-Dienste (Domain Name System) bereitstellt, die sich zwischen dem Besucher und dem Hosting-Anbieter des Cloudflare-Benutzers befinden und als Reverse Proxy für Websites fungieren. Cloudflare legt zudem Kopien von Webseiten auf eigene Server. Diese Server befinden sich verteilt an unterschiedlichen Standorten auf der Welt. Bei Aufruf einer bestimmten Webseite von einem bestimmten Standort aus, wird immer der geeignete Server angesprochen, was den Zugriff auf die Seite beschleunigt. Zudem identifiziert Cloudflare Crawler oder Bots, die möglicherweise Ressourcen und Bandbreite belasten würden.

Problem: US-amerikanischer Dienst!
--> Eigentlich kann der Einsatz nur mit Einwilligung des Nutzers stattfinden
(was aber den Interessen des Berechtigten widersprechend dürfte).

Das schreibt der TÜV-Süd auf seiner Website zur Nutzung  Cloudflare:

"Schutz vor Störungen und Missbrauch sowie Verbesserung der Webseite
Personenbezogene Nutzungsdaten, wie Ihre IP-Adresse sowie die Zeiten Ihrer Aufrufe unseres Internettauftritts, werden über die Webseite zur Ermittlung sowie zur Verfolgung von Störungen oder Missbräuchen unserer Online-Angebote oder Telekommunikationsdienste und -anlagen und zur Performanceverbesserung unseres Internetauftrittes, verarbeitet. Diese Website nutzt Dienste von „Cloudflare“ (Anbieter: Cloudflare, Inc., 101 Townsend St, San Francisco, CA 94107, USA). Cloudflare betreibt ein Content Delivery Network (CDN) und stellt Schutzfunktionen für die Website (Web Application Firewall) zur Verfügung. Der Datentransfer zwischen Ihrem Browser und unseren Servern fließt über die Infrastruktur von Cloudflare und wird dort analysiert, um Angriffe abzuwehren. Cloudflare setzt dazu Cookies ein, um Ihnen den Zugang zu unserer Webseite zu ermöglichen. Die Nutzung von Cloudflare erfolgt im Interesse einer sicheren Nutzung unserer Internetpräsenz und der Abwehr schädlicher Angriffe von außen. Weitere Informationen finden Sie in der Cloudflare-Datenschutzerklärung"

Unter dem Punkt: technisch-notwendige Cookies!

Stand: 09.03.2022

Wir (Softwareagentur) haben bei diversen Webseiten unserer Kunden Google Fonts verwendet und bisher nicht lokal eingebunden. Was müssen wir jetzt tun?

Vorschlag für die nächsten Schritte:

  1. Kunden informieren über aktuelles Urteil https://rewis.io/urteile/urteil/lhm-20-01-2022-3-o-1749320/
  2. Google Fonts lokal beim Kunden einbinden
  3. Verantwortlich nach Außen ist die „Verantwortliche Stelle“ = Impressum der Website
  4. Im Innenverhältnis kann evtl. Rückgriff genommen werden. Fragen in diesem Umfeld aber im Einzelnen ungeklärt.

 Dr. Korch in der NJW 2021, 978: folgende Fragen müssten an den EuGH gestellt werden:

  1. Ab wann besteht eine Erheblichkeits- oder Bagatellschwelle?
  2. Welche Anforderungen sind an die konkrete Darlegung eines Schadenspostens zu stellen, insbesondere, ob auch der Kontrollverlust oder das Gefühl der Ohnmacht genügt.
  3. Zur Beweislast hinsichtlich der haftungsausfüllenden Kausalität, insbesondere, wenn entgegen dem Wortlaut Beweiserleichterungen bis hin zur Beweislastumkehr angenommen werden.
  4. Ob ein materieller Schaden auch mit der vorgeschlagenen Methode der „dreifachen Schadensberechnung“ bestimmt werden kann.
  5. Ob dem Betroffenen ein Mitverschuldenseinwand, wie ihn § BGB § 254 BGB im nationalen Recht vorsieht, entgegengehalten werden kann.

Stand: 23.02.2022

Woraus ergibt sich der Anspruch auf Schadensersatz aus dem Google Fonts Urteil des LG München vom 20.01.2022? Wie hoch könnte ein solcher Schadensersatzanspruch theoretisch ausfallen?

  1. Aus Art. 82 Abs. 1 DSGVO; Auszug aus dem Urteil:

„Dem Kläger steht ein Schadensersatzanspruch aus Art. 82 Abs. 1 DS-GVO zu. Der Begriff des Schadens i.S.d. Art. 82 DS-GVO ist nach dem Erwägungsgrund 146 S. 3 dabei weit auszulegen. Die Auslegung soll den Zielen dieser Verordnung in vollem Umfang entsprechen, auch dem Ziel der Sanktion und Prävention (…). Ausreichend ist gem. Art. 82 Abs. 1 DS-GVO dabei auch ein immaterieller Schaden.“

  1. Theoretische Höhe des Schadensersatzes:

Bußgeld:
gestaffelt von 2%/10 Mio. EUR bis 4%/20 Mio. EUR, bezogen auf den weltweit erzielten Jahresumsatz des Unternehmens, je nachdem welcher der Beträge höher ist, https://dsgvo-gesetz.de/art-83-dsgvo/

Strafrecht:
jeweiliges nationales Recht

Stand: 23.02.2022

Ist Google Optimize datenschutzkonform einsetzbar? 

Google Optimize ist ein A/B-Testing-Tool

Grundsätzlich: Auch ohne Cookies ist Google Analytics einwilligungspflichtig, insbesondere wegen der Verarbeitung der Analysedaten immer in den USA.

Im Speziellen: Sofern man Google Optimize zur anonymen Auswertung nutzen kann, dann ist das DSGVO-konform. Wenn Voraussetzung aber die Nutzung von Google-Analytics ist (=Standardfall!), dann nur mit Einwilligung der Nutzer.

Stand: 23.02.2022