Vor gar nicht allzu langer Zeit hat die österreichische Datenschutzbehörde den Einsatz von Google Analytics de facto verboten und mittlerweile haben auch andere Datenschutzbehörden – Holland und Deutschland (Hamburg) – ähnliche Entscheidungen angekündigt. Nun stolpere ich über ein Urteil des Landesgerichts München, in dem auch der Einsatz von Google Fonts, sofern direkt von Google geladen, bestraft wird. (Es folgt ein langer, zusammenhangloser Rant.)
Dynamische IP-Adressen stellen für den Betreiber einer Webseite ein personenbezogenes Datum dar, denn er verfügt abstrakt über die rechtlichen Mittel, die vernünftigerweise eingesetzt werden könnten, um mithilfe Dritter […] die betreffende Person anhand der gespeicherten IP-Adressen bestimmen zu lassen […]. Der Einsatz von Schriftartendiensten wie Google Fonts kann nicht auf [berechtigtes Interesse] gestützt werden, da der Einsatz der Schriftarten auch möglich ist, ohne dass eine Verbindung von Besuchern zu Google Servern hergestellt werden muss. […] Die Weitergabe der IP-Adresse des Nutzers in der o.g. Art und der damit verbundene Eingriff in das allgemeine Persönlichkeitsrecht ist im Hinblick auf den Kontrollverlust über ein personenbezogenes Datum an Google, ein Unternehmen, das bekanntermaßen Daten über seine Nutzer sammelt und das damit vom Nutzer empfundene individuelle Unwohlsein so erheblich, dass ein Schadensersatzanspruch gerechtfertigt ist.
LG München: 3 O 17493/20 vom 20.01.2022
Moment mal.
Was steht hier eigentlich? Weil eine (deutsche) Behörde in Zusammenarbeit mit einem (wahrscheinlich) deutschen Provider aus einer dynamischen IP-Adresse die tatsächliche Identität eines User/einer Userin feststellen und sie dann an Google weitergeben könnte, wird ein (deutscher) Websitebetreiber verurteilt, weil „die abstrakte Möglichkeit der Bestimmbarkeit der Personen hinter der IP-Adresse besteht. Darauf, ob die Beklagte oder Google die konkrete Möglichkeit hat, die IP-Adresse mit dem Kläger zu verknüpfen, kommt es nicht an“ (LG München, Urteil vom 20.01.2022, Az. 3 O 17493/20, Rn. 5 nach rewis).
Ja, klar kann (und soll) man Google Fonts lokal nutzen und klar könnte man seinem Consent-Management-Tool auch das Laden einer Schriftart von externen Servern als weiteren in einer Reihe von ohnehin nie gelesenen Punkten hinzufügen. Aber so, wie das momentan läuft, tragen die europäischen Betreiber von Websites aktuell die gesamte Last einer Rechtssprechung, die Verbote und Strafen auf Basis einer Politik ausspricht, die es verabsäumt hat Möglichkeiten für europäische Unternehmen zu schaffen, Produkte anzubieten, die es an Usability und Leistung mit den Angeboten US-amerikanischer Unternehmen aufnehmen können.
Für fachkundiges Publikum mag das kein wirkliches Thema sein (beispielsweise ist es kein allzu großer Aufwand, Schriftarten lokal anstatt von einem Service wie Google Fonts zu laden), aber kleine Betriebe, die im Internet die Chance sehen, ihren Wirkungsraum zu vergrößern oder ihre Bekanntheit verhältnismäßig günstig zu steigern, haben, wenn ich mir ansehe, was da passiert, im Grunde bereits gegen etliche Regulierungen verstoßen, sobald sie ein simples WordPress (mit, zum Beispiel, dem Pagebuilder Elementor) auf ihrem Webhost auch nur installieren und die Seite von außen erreichbar ist. Und das kann es nun auch nicht sein.
So wie ich das sehe, ist die Leier vom Stärken der europäischen Digitalwirtschaft in ihr genaues Gegenteil pervertiert. Was wird nämlich ein kleiner Betrieb tun, sobald er erfährt, dass er nur noch auf die Zustellung eines Strafbescheids wartet, weil er gerade mal eine Website veröffentlicht hat? Er wird nicht zu einem europäischen Anbieter gehen und dort um die Programmierung einer DSGVO-konformen Website bitten, nein, er wird zu einem US-Anbieter wechseln, der um ein paar Euro pro Monat eine „GDPR-approved“ Website anbietet und wird diesen Dienst lange, sehr lange nicht verlassen. Ich kenne sehr viele Betreiber solcher Billigwebsites, die sich darauf verlassen, dass wenn der Anbieter solcher Websites DSGVO-konform als Banner auf seiner Promopage hat, die Seiten auch DSGVO-konform sind. (Die Rechtssprechung sagt aber, wenn ich es richtig verstanden habe, dass der Betreiber einer Website das nun nachweisen können muss. Ja, LOL!)
Das Geschäft haben wir also verloren und die Amerikaner gewonnen. Obwohl ich ihr zuerst äußerst positiv gegenüber eingestellt war, stimme ich immer mehr mit Statements überein, wie diesem von Stefan Weber in Telepolis.
Die DSGVO war angetreten, um dem liberalen Umgang mit Daten in anderen Regionen der Erde, vor allem in den USA, etwas genuin Europäisches entgegen zu setzen: Den Schutz der personenbezogenen Daten vor den Fängen des Digitalkapitalismus. […] Herausgekommen ist ein bürokratisches Monster, das nur Zettelwirtschaft und Unsicherheit produziert. Das ganze Gerede der Politiker von der „Wettbewerbsfähigkeit Europas“ ist heiße Luft, wenn parallel dazu EU-weit eine Richtung vorgegeben wird, die genau das verhindert. Die europäische „Großtat“ ist zur europäischen Lachnummer geworden.
DSGVO, EU-Urheberrecht und der Ruin der Digitalwirtschaft
Und diese Lachnummer kostet Geld. So richtig. Fahnenschwenkende Datenschützer, die ihre Kampagnen über Facebook fahren, zeigen mit dem Finger auf Unternehmen, die es wagen, Google Analytics oder Google Fonts einzusetzen. Sie haben es ja auch leicht, denn das Verbot ist ziemlich klar. Das Problem ist aber der Mangel an Alternativen! Und nein, auch wenn dieses Statement in Interviews und anderen Statements von prominenten Datenschützerinnen und Datenschützern vom Tisch gewischt wird, es mangelt ganz beträchtlich. Nicht etwa, weil es keinen reinen europäischen Analysedienst oder Fontprovider gibt, sondern, weil diese nahezu nirgendwo integriert sind. Und darauf – nicht auf the mere existence – kommt es Wirtschaftstreibenden und Websitebetreibern an. Ein gutes und vergleichbares Beispiel, das gut illustriert, wie sehr es auf Integration ankommt, ist allen Userinnen und Usern von Apple-Produkten nur allzu gut bekannt: Wer seinem Gerät ein E-Mail- bzw. Internet-Account hinzufügen will, ist mit diesem Screen konfrontiert.
iCloud, Microsoft Exchange, Google, Yahoo! und Aol. Diese fünf US-amerikanischen Unternehmen sind tief ins Betriebssystem integriert. (Ich bilde mir ein, in einem macOS gab es auch noch die chinesische Baidu als Option.) Aber bislang noch nicht gesehen habe ich ein europäisches Unternehmen. Und so ist es in den allermeisten Fällen auch bei Websites. Dort sind die Unternehmen, die Module wie Schriftarten oder Analysetools bereitstellen bereits tief in so simple Dinge wie ein WordPress-Theme, einen Pagebuilder oder ein SaaS-Produkt zum Darstellen von Websites integriert, sodass sie, wenn überhaupt, dann nur durch Lektüre und Verstehen des Quellcodes identifizierbar sind. (Muss ein Websitebetreiber den Quellcode einer Seite verstehen? Oder reicht es, dass er sich auf die Angaben des Herstellers verlässt?)
Und hier ist die Zwickmühle identifiziert! Auf der einen Seite drängen Pandemie und Nutzerverhalten Unternehmerinnen und Unternehmer zu raschem, digital-integriertem Arbeiten, von dem man leben können muss, auf der anderen Seite bildet die „wiR FöRDERN dEn diGITAlEN voRmArsch in UnSeREm LAND“-Politik de facto eine Wand. Ja, ja, natürlich gibt es Förderungen, natürlich gibt es hier und da Erleichterungen, aber irgendwas läuft ja gehörig schief, wenn das beste Office-Paket, das man in Europa auch nach etlichen Jahrzehnten (!) bekommen kann, das eines US-amerikanischen Konzerns ist.
Ich fasse also zusammen: Auf der einen Seite wollen Unternehmen ihre Digitalangebote ausbauen und hätten alle Mittel zur Hand, würde man sie ohne Einschränkungen auf die perfekt integrierten und gut etablierten Werkzeuge von US-Herstellern zurückgreifen lassen. Sie können aber nicht, weil es Gesetze gibt, die ihnen die Nutzung zwar nicht verunmöglichen, aber doch gehörig erschweren. Sie sehen sich einer riesigen Gruppe von Menschen gegenüber, die online einkaufen oder Dienste konsumieren möchte, die aber genervt sind von Cookie-Hinweisen oder unnötig komplizierten Checkoutsystemen. Was tun die? Sie bleiben bei Amazon, bleiben bei Google, bleiben bei Facebook, weil sie sich dort auskennen und ohnehin schon allen Nutzungsbedingungen und Datenschutzhinweisen zugestimmt haben. Bei den Großen stimmen die User seitenweise rechtlichen Hinweisen zu, bei den Kleinen klagt man wegen Google Fonts. Willkommen mitten im Privacy Paradoxon:
Während die Nutzer den Giganten [Google, Amazon, Facebook und dergleichen] die als alternativlos empfundene Zustimmung zur Datennutzung geben, wächst in gleichem Maße der Wunsch, bei den kleineren und mittleren europäischen Unternehmen das Prinzip der Datensparsamkeit anzuwenden und eine Nutzung der Daten zu verweigern. Das Ergebnis […]: Die Giganten aus den USA und Asien werden (daten-)reicher, die europäischen Konkurrenten, nicht zuletzt die kleinen und mittleren Unternehmen werden (daten-)ärmer. So droht die europäische Wirtschaft den Zugang zum zentralen Stoff moderner Gesellschaften und Volkswirtschaften zu verlieren – den digitalen Daten.
Friedbert Pflüger im Handelsblatt
Die europäische Wirtschaft ist ohnehin sehr zäh und versucht sich so gut als möglich zu halten. Während China und die USA ihre (Digital-) Wirtschaft unterstützt und ihnen wo nur möglich Hürden aus dem Weg räumt, kämpft die europäische Digitalwirtschaft gegen Feuer aus den eigenen Reihen. Not cool, that! Denn viel zu viele überleben diesen Kampf nicht und geben zugunsten der Amerikaner und Chinesen auf: Wieviele, vor allem kleine Unternehmen haben mittlerweile überhaupt nur noch einen Google Business-Eintrag oder eine Facebook-Page? Und wie viele von denen begründen das – neben Leichtigkeit in der Erstellung oder Usability vonseiten ihrer User – mit „bin dort ohnehin bereits angemeldet“? Viel mehr als man denkt!
Ich werde an dieser Stelle Schluss machen mit meinem ausbordenden Rant, der jegliche Kohärenz verloren hat, denn der Punkt, glaube ich, ist gemacht: Es ist gut, dass es soetwas wie die DSGVO gibt, aber sie ist zu einer rechtlichen Strafmaßnahme ohne politisches Begleitprogramm, das DSGVO-konformes Verhalten ermöglicht, geworden. Und das ist nicht nur kurz-, sondern mindestens auch noch mittelfristig ein Problem, denn eine saubere, die DSGVO berücksichtigende Vorgehensweise wird erst realistisch möglich sein, wenn es rein europäische Alternativen zu amerikanischen und chinesischen Diensten gibt, die ich aktuell einfach nicht sehen kann. Ich denke, jedes Unternehmen, das in einem europäischen Angebot die Leistungen gegenwärtig amerikanischer Dienste wiederfinden kann, führt mit einem Klick den Anbieterwechsel durch.
Und nein, es ist keine Lösung auf die technologischen Möglichkeiten vergangener Zeiten zurückzugreifen, wenn sogar Deutschland, Hochburg des Faxgeräts, nun in die Cloud investiert. Es bleibt spannend. Vor allem im Hinblick darauf, wozu der rechtliche Druck führen wird. Ich persönlich glaube, dass er die europäische Digitalwirtschaft und damit die zukünftige Möglichkeit eines rein europäischen Angebots schwächen wird, weil sich US- und noch viel mehr dem Pragmatismus huldigende chinesische Firmen schneller an die hiesigen Bedingungen anpassen werden als es gelingen wird, Rahmenbedingungen zu schaffen, die es Startups in Europa ermöglichen, einen europäischen Gegenpol aufzubauen, der von Produkt- und Nutzerorientierung und nicht von Politzielen geprägt ist.