Am 28. Januar 2023 findet der 17. Europäische Datenschutztag statt. Seit 2007 erhält er an diesem Datum einen Platz im Kalender der internationalen Aktionstage. Auf Initiative des Europarats ins Leben gerufen sollen die Bürgerinnen und Bürger der Europäischen Union für den Datenschutz und den Umgang mit personenbezogenen Daten sensibilisiert werden.
Europäischer Datenschutztag 2023
Wie auch in den vergangenen Jahren möchten wir den Europäischen Datenschutztag als Anlass nehmen, um ein kleines Resümee unter das vergangene Datenschutz-Jahr 2022 zu ziehen und einen kleinen Ausblick auf die Dinge wagen, die uns voraussichtlich in diesem Jahr beim betrieblichen Datenschutz beschäftigen werden.
Ein kleiner Rückblick auf 2022
Das Jahr 2021 war noch nicht ganz vorbei, da trat am 1. Dezember das „Gesetz über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei Telemedien“ – oder kurz TTDSG – in Kraft, das den Nutzerinnen und Nutzern eine größere Kontrolle über die Verarbeitung sämtlicher Daten geben soll, die von ihnen gespeichert werden.
TTDSG
Eine grundlegende Änderung, die das TTDSG mit sich bringt, ist einerseits die Zusammenfassung des Telekommunikationsgesetzes (kurz TKG) und des Telemediengesetzes (kurz TMG) in einem Gesetz, das im gleichen Schritt an die Datenschutzgrundverordnung (kurz DSGVO) angepasst wird. Für die Praxis und die Anwendung im Alltag für viele Millionen User in Deutschland ebnet es andererseits den Weg, dass die Speicherung von Daten auf den Endgeräten der Nutzerinnen und Nutzer nur noch mit einer eindeutigen vorab eingeholten Einwilligung zulässig ist. Äußerst interessant ist hierbei, dass laut § 25 TTDSG nicht ausschließlich personenbezogene, sondern sämtliche Daten gemeint sind, die bei einem Zugriff auf die Endeinrichtung anfallen können.
Für Cookies, Pixel und Tags, die zum Tracking beim Surfen im Internet genutzt werden können, bedarf es ab sofort also einer eindeutigen Zustimmung seitens Oseie Consent Banner sind somit auf fast allen Websites Pflicht. Gleiches gilt seither übrigens auch für Messenger-Dienste und Apps.
PIMS – Personal Information Management Services
Wäre es nicht eine schöne Vorstellung, wenn nervige Cookie-Banner zur Einholung erforderlicher Einwilligungen endlich Vergangenheit wären? Leider sind wir noch nicht soweit. Das TTDSG hat eine solche Möglichkeit im Gesetz allerdings bereits vorgezeichnet.
Personal Information Management Services – oder kurz PIMS – sind Systeme, die den Nutzerinnen und Nutzern mehr Kontrolle über ihre personenbezogenen Daten geben sollen. Über ein zentrales Einwilligungssystem können Zustimmungen global verwaltet werden. User können so auf einer vorgeschalteten Website genau einmal ihr Einverständnis geben, wo und unter welchen Voraussetzungen sie dem Einsatz von Cookies zustimmen oder ablehnen. Dies würde das Surfen im Internet für uns alle sehr viel angenehmer gestalten.
Bereits im vergangenen Jahr hatten wir in unserem Beitrag zum Europäischen Datenschutztag 2022 auf die Einrichtung solcher Dienste hingewiesen. Wirklich viel passiert ist in der Folge leider nicht. Wir haben allerdings die Hoffnung noch nicht aufgegeben, dass wir in diesem Jahr wieder mehr zu möglichen Fortschritten bei diesem Thema berichten können.
ecoprotec Datenschutz Summit
Einmal im Quartal stehen wir beim ecoprotec Datenschutz Summit für Sie live und vor laufenden Kameras Rede und Antwort zu ausgewählten Themen aus der Welt des Datenschutzes. Mittlerweile gehen wir mit unserer offenen und kostenfreien Live-Veranstaltung ins dritte Jahr und freuen uns wirklich sehr, dass wir mit jeder Ausgabe immer weitere Teilnehmerinnen und Teilnehmer hinzugewinnen. Unter anderem über folgende Themen haben wir in unseren vier Ausgaben 2022 gesprochen:
Im vergangenen Jahr konnten wir bereits viele Änderungen umsetzen, die wir uns vorgenommen hatten: Der Umzug in ein (deutlich) größeres Studio, die Aufstockung unseres technischen Equipments, Einladungen von Gastrednern oder die Einrichtung einer gemütlichen Interview-Corner.
Und auch fürs neue Jahr haben wir viele neue Pläne und Ideen, die wir umsetzen möchten. Ohne schon jetzt zu viel verraten zu wollen, wird im Jahr 2023 aus dem ecoprotec Datenschutz Summit der ecoprotec Summit. In Kürze werden wir hier in unserem Magazin näher darauf eingehen, auf was genau Sie sich durch diese kleine aber feine (Namens-)Änderung freuen dürfen. Anmelden können Sie sich schon jetzt für die erste Ausgabe des Jahres am 7. März 2023 ab 09:30 Uhr.
Einsatz von Google Fonts auf Webseiten
Wohl kaum ein anderes Thema hatte im vergangenen Jahr mehr mediale Aufmerksamkeit erzeugt als der Einsatz von Google Fonts auf Websites. Doch wo genau liegt hier eigentlich das Problem?
Google Fonts – oder früher auch Google Web Fonts – ist ein interaktives Verzeichnis mit über 1.400 unterschiedlichen Schriftarten, das 2010 von Google gestartet worden ist und seitdem laufend aktualisiert wird. Die große Annehmlichkeit bei Google Fonts ist die Option, eine ausgewählte Schriftart auf der eigenen Website kostenfrei zu nutzen, ohne sie auf dem eigenen Server vorab hochzuladen.
Im Januar 2022 allerdings gab das Landesgericht München I einem Kläger recht, der einer Webseitenbetreiberin den widerrechtlichen Einsatz von Google Fonts unterstellte. Die Ursache des Problems liegt hierbei im dynamischen Einsatz von Google Fonts. Beim Besuch einer Internetseite werden hierdurch automatisch Verbindungen zu Google Servern aufgebaut. Weltweit, so Schätzungen, sind es jährlich über 37 Billionen Seitenaufrufe, bei denen Google Fonts im Einsatz ist.
Riskant sind hierbei aus unserer Sicht nicht ausschließlich die Schriftarten aus der Bibliothek von Google. Auch andere Anbieter wie MyFonts oder Adobe Fonts können aus unserer Sicht ebenso dynamisch eingebettet werden.
Dabei gibt es eine gute und praxiserprobte Lösung, der wir im Juni des vergangenen Jahres einen eigenen Beitrag gewidmet haben.
Doch das Spannende: Die Geschichte zu den Google Webfonts ging (und geht) noch weiter. Das Urteil des Landesgerichts München I verleitete offenbar eine kleine Gruppe dazu, Abmahnungen für Webseitenbetreiber bundesweit und im großen Stil auszusprechen, die bis zum Sommer 2022 noch immer auf den dynamischen Einsatz der beliebten Schriftarten setzten.
Dies weckte sogar die Aufmerksamkeit der Generalstaatsanwaltschaft Berlin, die am 21.12.2022 in einer Pressemitteilung erklärte, Durchsuchungsbeschlüsse gegen zwei Beschuldigte in Berlin, Hannover, Ratzeburg und Baden-Baden Durchsuchungs- und Arrestbeschlüsse vollstreckt zu haben. Es besteht der Verdacht auf „Abmahnbetrug und Erpressung in mindestens 2.400 Fällen“.
Unser Tipp: Sprechen Sie stets zuerst mit Ihrem Datenschutzbeauftragten und sorgen Sie dafür, dass die auf Ihrer Website eingesetzten Schriftarten immer lokal auf Ihren eigenen Servern eingebunden sind. Es ist nicht ausgeschlossen, dass Trittbrettfahrer auch 2023 diese Geschichte fortsetzen werden.
Ein Ausblick auf 2023
Somit schließen wir den ersten Teil unseres Beitrags im Rahmen des diesjährigen Europäischen Datenschutztages. Unserem zweiten Teil möchten wir ausschließlich einem Thema widmen, das 2023 auch aus datenschutzrelevanter Sicht interessant werden dürfte: Das Hinweisgeberschutzgesetz (kurz HinSchG). Das am 16.12.2022 vom Bundestag beschlossene HinSchG kann durch eine Zustimmung in der nächsten Plenarsitzung des Bundesrates bereits am 10. Februar 2023 verkündet werden.
Beschäftigte in Unternehmen und Behörden nehmen Missstände oftmals als erste wahr und können durch ihre Hinweise dafür sorgen, dass Rechtsverstöße aufgedeckt, untersucht, verfolgt und unterbunden werden. Hinweisgeberinnen und Hinweisgeber übernehmen Verantwortung für die Gesellschaft und verdienen daher Schutz vor Benachteiligungen, die ihnen wegen ihrer Meldung drohen und sie davon abschrecken können.
