Schadensersatzanspruch nach verspäteter Auskunft?

Der datenschutzrechtliche Auskunftsanspruch gemäß Art. 15 Abs. 1 der Datenschutz-Grundverordnung (DSGVO) ist ein kontrovers diskutiertes Thema unter Arbeitgebern und Gerichten. Bereits der praktische Umgang mit Auskunftsanfragen von Beschäftigten stellt Unternehmen vor große Herausforderungen. Diese ergeben sich mitunter aus komplexen rechtlichen Fragestellungen, wie beispielsweise dem Umfang des Auskunftsanspruchs und des Rechts auf Kopie gemäß Art. 15 Abs. 3 DSGVO.

Pflicht der Verantwortlichen

Verantwortliche haben die Pflicht, Betroffenen unverzüglich und spätestens innerhalb eines Monats nach Eingang des Antrags gemäß den Art. 15 bis 22 der DSGVO Informationen über ergriffene Maßnahmen zur Verfügung zu stellen. Gemeint sind alle Formen von Verarbeitungsvorgängen personenbezogener Daten des Anfragenden. Sollten Verantwortliche dieser Verpflichtung nicht nachkommen, begehen sie einen Datenschutzverstoß, der mit empfindlichen Geldbußen geahndet werden kann. Zusätzlich hat der Betroffene ein Recht auf Schadensersatz. Insbesondere die Arbeitsgerichte entscheiden häufig zugunsten der die Auskunft begehrenden Arbeitnehmer.

Entscheidung Arbeitsgericht Oldenburg

Das Arbeitsgericht Oldenburg hat am 09. Februar 2023 (Az. 3 Ca 150/21) einen Arbeitgeber zu einer Schadensersatzzahlung in Höhe von 10.000 Euro verurteilt, da dieser den Auskunftsanspruch eines ehemaligen Arbeitnehmers nicht fristgerecht erfüllt hatte. Nach Art. 15 Abs. 1 DSGVO hat jeder Betroffene das Recht, vom Verantwortlichen Auskunft über die Verarbeitung seiner personenbezogenen Daten zu erhalten. Der Verantwortliche muss auf Verlangen eine Kopie der Daten zur Verfügung stellen. In diesem Fall hatte ein ehemaliger Angestellter Auskunft und eine Kopie seiner Daten verlangt, die ihm jedoch zunächst verweigert wurden. Erst nach 20 Monaten im Rahmen eines Verfahrens vor dem Arbeitsgericht wurde ihm teilweise Auskunft erteilt. Der Kläger erhielt Schadensersatz in Höhe von monatlich 500 Euro für den Zeitraum der Nichterfüllung der Auskunftspflicht.

BfDI verbietet den Betrieb der Facebook-Fanpage – was bedeutet das für Unternehmen?

Professor Ulrich Kelber, der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, hat das Bundespresseamt (BPA) aufgefordert, die Facebook Fanpage der Bundesregierung stillzulegen. Der BfDI hat das entsprechende Schreiben Ende Februar 2023 an das BPA gesendet. Das BPA hat ab Zustellung des Bescheides ein Monat Zeit, um eine Klage dagegen zu prüfen.

Betrieb von Facebook-Fanpages nicht datenschutzkonform nutzbar

Von Datenschützern wird bereits seit längerer Zeit die fehlende Vereinbarkeit von Facebook-Fanpages mit dem Datenschutz kritisiert. Das grundlegende Problem besteht darin, dass beim Besuch einer Webseite mit einem Like- oder Share-Button von Facebook oder einer eingebetteten Facebook-Fanpage ein Cookie auf dem Computer des Nutzers abgelegt wird. Dieses Cookie verfolgt das Surfverhalten des Nutzers im gesamten Internet, unabhängig davon, ob er einen Facebook-Account hat oder nicht. Die Verarbeitung personenbezogener Daten erfolgt somit ohne Kenntnis oder Einwilligung der Nutzer und ohne eine rechtliche Grundlage, was gegen die DSGVO verstößt.

Der Europäische Gerichtshof bekräftigte im Jahr 2018, dass die Anforderungen für eine datenschutzkonforme Nutzung von Facebook hoch sind, da der Inhaber der Fan-Page gemeinsam mit Meta (Facebook) als Verantwortlicher anzusehen ist. Problematisch ist dabei, dass der Fan-Page-Inhaber gar nicht weiß, was Facebook mit den Daten eigentlich macht. Die Datenschutzkonferenz äußerte sich zu diesem Urteil und betonte, dass die Zeit der Unwissenheit vorüber ist und dass es für die Betreiber von Fanpages dringenden Handlungsbedarf gibt. Gleichzeitig legte sie dar, dass Probleme nur gelöst werden können, wenn Meta an der Lösung teilnimmt und ein Produkt nach DSGVO-Richtlinien anbietet.

Folge für Unternehmen

Obwohl es bei diesem Bescheid nur bei einer Verwarnung geblieben ist, müssen Unternehmen nun auch mit Bußgeldern rechnen, wenn sie ihre Fanpage weiter betreiben. Es muss im Rahmen des Risikomanagements entschieden werden, ob gegen ein mögliches Vorgehen der Behörden entsprechende Rechtsmittel eingelegt werden und die Fan-Page jedenfalls bis zur Rechtskraft eines möglichen Urteils weiter betrieben werden soll.

EuGH: Empfänger müssen in Auskunft konkret benannt werden

Betroffene können gemäß Art. 15 DSGVO eine Auskunft über den Inhalt und Umfang der sie betreffenden Datenverarbeitungen verlangen. Der Europäische Gerichtshof (EuGH) hat nun entschieden, dass eine Konkretisierung der Empfänger der Daten zwingend erforderlich ist. Diese Entscheidung des EuGH zum Auskunftsanspruch sorgt für Klarheit und Rechtssicherheit. Für Unternehmen bedeutet dies allerdings einen nicht unerheblichen Mehraufwand im Rahmen der Beantwortung von datenschutzrechtlichen Anfragen. Die Rechte von betroffenen Personen werden hingegen weiter gestärkt.

Die klar definierten Regelungen dürften Unternehmen in der Praxis vor neue Herausforderungen stellen. Daher sollte die Beantwortung von Auskunftsersuchen und anderen datenschutzrechtlichen Begehren mit den Datenschutzbeauftragten abgestimmt werden.

Pflichtinhalt einer DSGVO-Datenauskunft

Der Art. 15 DSGVO sieht für Betroffene ein Auskunftsrecht vor, nach welchem dieser auf Verlangen über die Art, den Inhalt und die Zwecke der von ihm erhobenen Daten zu informieren ist.

Ordnungsgemäße Auskunftserteilung

Der EuGH hat am 12.01.2023 (Az. C-154/21) eine Entscheidung auf Vorlage des österreichischen Obersten Gerichtshofs getroffen. Das Urteil schreibt vor, dass Verantwortliche, die im Rahmen der DSGVO-Auskunft aufgefordert werden, die Identität der Empfänger angeben müssen. Eine Ausnahme bilden Fälle, in denen der Auskunftspflichtige nachweist, dass der Auskunftsantrag offensichtlich unbegründet oder unverhältnismäßig ist. Daher reicht es nicht mehr aus, lediglich die Kategorien der Empfänger zu nennen. Diese Entscheidung des EuGH ist EU-weit verbindlich und hat entsprechende Auswirkungen auf die Auslegung der ordnungsgemäßen Auskunftserteilung. Zukünftig müssen die einzelnen Empfänger identifizierbar bezeichnet werden. Um dies zu gewährleisten, hat der Verantwortliche Angaben zur Firma und mindestens Anschrift jedes einzelnen Empfängers zu machen.

Arbeitszeiterfassung datenschutzkonform umsetzen

Die Arbeitszeit von Mitarbeitern wurde schon immer auf verschiedenen Wegen erfasst und festgehalten. Für mehr Transparenz, Genauigkeit und Zeitersparnis hat die Digitalisierung gesorgt. Diese bietet jedoch einige Gefahren für den Datenschutz sowie die Privatsphäre der Mitarbeiter.

Was ist bei der digitalen Zeiterfassung zu beachten?

Die digitale Zeiterfassung ist für die Durchführung des Beschäftigungsverhältnisses grundsätzlich notwendig und damit nach § 26 Satz 1 BDSG zulässig. Das Bundesarbeitsgericht hat in seiner Entscheidung vom 13.09.2022 (Az.: 1 ABR 22/21) die Arbeitszeiterfassung sogar als gesetzliche Pflicht aus dem Arbeitsschutzgesetz angenommen. Zudem haben Arbeitnehmer sowie Arbeitgeber ein berechtigtes Interesse an der Erfassung der Arbeitszeit (§ 26 Abs. 1 BDSG, Art. 88 ABS. 1 DSGVO; Art. 6 Abs. 1 lit. f DSGVO). Um die Arbeitszeiterfassung datenschutzkonform umzusetzen, kommt es auf die erforderliche Zweckbindung nach Art. 5 Abs. 1 lit. b DSGVO an. Demnach dürfen Daten, welche zu einem bestimmten Zweck erhoben wurden, auch nur für diesen verwendet werden. Für andere betriebliche oder außerbetriebliche Zwecke dürfen die personenbezogenen Daten daher nicht verwendet werden.

Was Arbeitgeber nun beachten müssen

Für Arbeitgeber ist die derzeitige Rechtslage eher schwierig. Es besteht nach Auffassung des BAG grundsätzlich eine Zeiterfassungspflicht, welche jedoch erst in der Zukunft durch gesetzliche Ausgestaltung weiter konkretisiert werden wird. Etwaige Umstellungen können daher noch nicht mit absoluter Sicherheit datenschutzkonform erfolgen und müssen gegebenenfalls nachträglich adaptiert werden. Es empfiehlt sich daher, zunächst die internen Prozesse zu evaluieren und mit den derzeitigen Vorgaben des BAG abzugleichen. Hierzu zählt insbesondere eine Bestandsaufnahme der Prozesse, um Beginn, Ende und Dauer der täglichen Arbeitszeit zu dokumentieren.

Ist der Einsatz von Microsoft 365 rechtskonform – oder doch nicht?

Viele Unternehmen nutzen täglich Microsoft 365. In der Vergangenheit wurden immer wieder die Datenschutzkonformität und damit die Rechtskonformität angezweifelt. Laut der deutschen Datenschutzkonferenz (DSK) bleibt Microsoft 365 auch weiterhin datenschutzwidrig und eignet sich dadurch nicht für rechtskonforme Verwendung in beispielsweise Behörden. Die DSK ist die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder. Bei den bemängelten Sachverhalten geht es insbesondere um die Verarbeitung personenbezogener Daten. Ab sofort müssen Unternehmen den Datenschutzbehörden von Bund und Ländern nachweisen können, dass der jeweilige Einsatz von Microsoft datenschutzkonform und damit rechtmäßig ist.

Mangelnde Transparenz bei Microsoft 365

Trotz diverser Nachbesserungen ist es Microsoft bisher nicht gelungen, die DSGVO-Konformität von Microsoft 365 sicherzustellen. Laut dem Bundesdatenschutzbeauftragten Ulrich Kelber fehlt es noch immer an der nötigen Transparenz. Es sei nicht vollständig ersichtlich, welche Daten tatsächlich von Microsoft erhoben und verarbeitet werden. Dadurch kann auch kein ordnungsgemäßer und datenschutzkonformer Umgang mit personenbezogenen Daten sichergestellt werden. Für Schulen und Behörden bleibt die Nutzung damit weiterhin untersagt. Zudem wird auch Unternehmen und Privatpersonen von einer Nutzung von Microsoft 365 abgeraten. Nach der Entscheidung der DSK wird Microsoft weitere Maßnahmen ergreifen, um für mehr Transparenz zu sorgen.

Die DSK verfasste eine Zusammenfassung der erreichten Nachbesserungen und bewertete jede einzelne Maßnahme. Dabei stellte die Arbeitsgruppe fest, dass es von Microsoft keine signifikanten Nachbesserungen in der Vertragsgestaltung im Hinblick auf die Festlegung von Arten und Zwecken der Verarbeitung sowie der Arten der verarbeiteten personenbezogenen Daten gab. Diese Nachbesserungen bleiben auch weiterhin erforderlich.

Pflicht einer Datenschutz-Folgenabschätzung

In der Datenschutz-Grundverordnung ist gemäß Art. 35 Abs. 1 geregelt, dass eine Datenschutz-Folgenabschätzung immer dann gemacht werden muss, wenn die Verarbeitung personenbezogener Daten wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt. Nach Auffassung der Aufsichtsbehörden dürfte ein hohes Risiko in diesem Fall vorliegen.

Abmahnung wegen Google Fonts

Unter Google Fonts versteht sich ein kosten- und lizenzfreies Schriftartenverzeichnis, welches für jeden frei zugänglich ist. Die zur Verfügung gestellten Schriftarten können als Code-Snipped in eine Website eingebunden oder lokal geladen werden. In der jüngsten Vergangenheit wurden viele Abmahnungen versendet, welche den Vorwurf eines Datenschutzverstoßes durch die dynamische Einbindung von Google Fonts beinhalten.

Anwendbarkeit der DSGVO

Bei der dynamischen Einbindung der Schriftarten werden diese nicht lokal gespeichert. Vielmehr wird beim Besuch einer Website eine Verbindung zu den Google-Servern in den USA aufgebaut und die Schriftart wird dynamisch eingebunden. Dabei wird die IP-Adresse des Besuchers übermittelt. Da diese unter die Definition von personenbezogenen Daten im Sinne des Art. 4 Nr. 1 DSGVO fällt, ist die Verarbeitung grundsätzlich nur mit einer geeigneten Rechtfertigungsgrundlage zulässig.

Das Landgericht München hat mit Urteil vom 20.1.2022 (Az. 3 O 17493/20) entschieden, dass für den Verarbeitungsvorgang bei der dynamischen Einbindung von Google Fonts die Einwilligung der betroffenen Personen benötigt wird. Zudem stellte das Gericht fest, dass jede fehlerhafte oder fehlende Einwilligung eine Verletzung der allgemeinen Persönlichkeitsrechte der Website-Besucher darstellt.

Was können Website-Betreiber tun?

Infolge des Urteils haben Abmahnungen durch Privatpersonen oder Anwälten deutlich zugenommen, wodurch die Unsicherheit bei Website-Betreibern zunimmt. Sie können die Schriftarten aber herunterladen und lokal ablegen, sodass keine Verbindung zu Google-Servern hergestellt wird. Dann werden auch keine personenbezogenen Daten übermittelt. Mit dieser Form der Einbindung sind Betreiber einer Website rechtlich auf der sicheren Seite und müssen keine Abmahnungen fürchten. Die Website ist daher darauf zu prüfen, ob Google Fonts remote genutzt wird und einzelne Schriftarten von Google-Servern geladen werden.

Endspurt bis Jahresende – die Standardvertragsklauseln

Was sind die Standardvertragsklauseln

Eine Übermittlung von personenbezogenen Daten in Drittländer, also NON-EU-Staaten, erfolgt in der Regel auf der Grundlage von Standardvertragsklauseln (SCCs) nach Art. 46 Abs. 2 lit. c der Datenschutzgrundverordnung (DSGVO). Die neuen Standardvertragsklauseln wurden am 4. Juni 2021 von der EU-Kommission veröffentlicht (Durchführungsbeschluss (EU) 2021/914 der EU-Kommission v. 04.06.2021 – Az. C(2021) 3972, ABl. EU Nr. L 199/31 vom 07.06.2021). Diese sind grundsätzlich modular aufgebaut und müssen im Einzelfall überprüft und in die Prozesse eines Unternehmens implementiert werden. Weiterhin ist individuell zu prüfen, ob für die geplante Übermittlung von personenbezogenen Daten zusätzliche Schutzmaßnahmen getroffen werden müssen. Der Datenexporteur muss bei Verwendung der neuen Standardvertragsklauseln weiterhin die Rechtslage des Drittlands prüfen und gegebenenfalls Schutzmaßnahmen ergreifen.

Wozu dienen die Standardvertragsklauseln?

Grundsätzlich werden mit den SCCs zwischen Datenexporteuren und Datenimporteuren europäische Datenschutzstandards vertraglich vereinbart. Durch die Nutzung der Vertragsmuster kann die Übermittlung personenbezogener Daten in Drittländer ohne eine zusätzliche Genehmigung der Datenschutzaufsichtsbehörden erfolgen. Die modular aufgebauten Standardvertragsklauseln können in verschiedenen Konstellationen eingesetzt werden. Hierzu zählen insbesondere Verantwortliche untereinander sowie Verantwortliche an Auftragsverarbeiter eines Unternehmens, Auftragsverarbeiter an Sub-Auftragsverarbeiter und Rückübermittlung des europäischen Auftragsverarbeiters an einen Verantwortlichen im Drittland.

Was ist noch zu beachten?

Datenexportierende Unternehmen müssen auch weiterhin sämtliche auf dieser Grundlage gestützte Übermittlungen von Daten in Drittländer im Einzelfall prüfen. Hierbei ist eine fundierte Risikoeinschätzung von wesentlicher Bedeutung. Bei dieser hat mitunter eine Prüfung des Datenschutzniveaus im Drittland, eine Bestandsaufnahme sowie eine Prüfung möglicher technischer Schutzmaßnahmen zu erfolgen.

Das Verarbeitungsverzeichnis

Mit Inkrafttreten der Datenschutzgrundverordnung wurden für Unternehmen besondere Dokumentations- und Rechenschaftspflichten eingeführt. Demnach muss nach Art. 30 DSGVO ein Verzeichnis von Verarbeitungstätigkeiten (VVT) erstellt werden, sobald es im Unternehmen zu einer Verarbeitung personenbezogenen Daten kommt. Durch die Dokumentation der Verarbeitungsprozesse kann eine höhere Transparenz sowie ein Bewusstsein für Verarbeitungsvorgänge geschaffen werden.

Was sind Verarbeitungstätigkeiten?

Zu den Verarbeitungstätigkeiten im Sinne der DSGVO zählen alle Prozesse und Abläufe eines Unternehmens, bei welchen personenbezogene Daten erhoben, gespeichert, verändert, übermittelt, gesperrt oder gelöscht werden. Die individuelle Definition der Verarbeitungstätigkeiten erstreckt sich auf sämtliche Bereiche und Abteilungen eines Unternehmens. Um den Vollständigkeitsanforderungen der DSGVO gerecht zu werden, müssen sämtliche Verarbeitungstätigkeiten im VVT geführt werden. Typische Verarbeitungsvorgänge können die Auftragsverwaltung, das Bewerber- und Beschwerdemanagement, die Bereiche Controlling, IT und Einkauf sowie die Kontaktverwaltung und Lohnbuchhaltung sein. Je nach Unternehmen und Ausgestaltung der Prozesse können sich noch in vielen weiteren Vorgängen Verarbeitungstätigkeiten ergeben.

Welche Anforderungen muss ein Verarbeitungsverzeichnis erfüllen?

In einem Verarbeitungsverzeichnis müssen sämtliche Verarbeitungstätigkeiten erfasst werden, welche im Zusammenhang mit personenbezogenen Daten stehen. Die genauen Anforderungen an den Inhalt des VVT sind in Art. 30 DSGVO definiert. Grundsätzlich wird dabei zwischen dem von datenschutzrechtlich Verantwortlichen geführten VVT und dem Verzeichnis für Auftragsverarbeiter unterschieden. Die DSGVO beschreibt zwingende Inhalte des VVT, welche in klarer Sprache enthalten sein müssen. Hierzu zählen der Zweck der Verarbeitung, die Kategorie der jeweiligen Daten, eine Auflistung der Betroffenen sowie der Datenempfänger und zur Einsicht befugten Personen, sämtliche getroffene technische und organisatorische Maßnahmen sowie Löschfristen und der Name sowie die Kontaktdaten des Verantwortlichen. Im VVT kann zudem auf ergänzende Dokumente verwiesen werden. Hierzu kann beispielsweise ein Datenschutz- oder Löschkonzept zählen. Eine kleine Ausnahme kann  für Unternehmen gelten, welche weniger als 250 Arbeitnehmer beschäftigen. Diese müssten nach Art. 30 Abs. 5 DSGVO  kein VVT zu führen, solange personenbezogene Daten nur gelegentlich verarbeitet werden. In der Praxis spielt diese Ausnahmevorschrift aber kaum eine Rolle.

Schmerzensgeld bei Datenschutzverstößen

Die Aufsichtsbehörden können bei Verstößen gegen die Datenschutz-Grundverordnung hohe Bußgelder verhängen. Daneben gibt es immer wieder Klagen auf immateriellen Schadensersatz für die Folgen dieser Verstöße. Derartige Klagen kommen von einzelnen Betroffenen, Datenschutzaktivisten sowie Verbraucherverbänden. Für Unternehmen bestehen insbesondere aufgrund der hohen Forderungen besondere Risiken. Die aktuelle Rechtsprechung sowie die Nutzung von Legal Tech fördern zusätzlich das Risiko, einer Vielzahl von Schadensersatzforderungen ausgesetzt zu sein.

Rechtliche Grundlage

Nach Art. 82 DSGVO hat jede Person, welche aufgrund eines DSGVO-Verstoßes einen materiellen oder immateriellen Schaden erlitten hat, einen Anspruch auf Schmerzensgeld. Als „Schmerzensgeld“ wird der Schadensersatz wegen immaterieller Schäden bezeichnet. Wie bei einem materiellen Schadensersatzanspruch muss der Verstoß gegen Pflichten aus der DSGVO kausal, also ursächlich, für einen eingetretenen Schaden sein. Die Pflichtverletzung muss von dem Schädiger auch zu verantworten sein, wobei das Verschulden gesetzlich vermutet wird. Der Anspruchssteller muss einen tatsächlich erlittenen Schaden darlegen, allerdings wird den Begriff des Schadens weit ausgelegt. Ob eine bestimmte Schadenshöhe erreicht sein muss, ist derzeit noch umstritten (Bagatellschäden). Bei der Höhe des Schmerzensgeldes ist der konkrete Einzelfall maßgeblich. Grundsätzlich kann festgestellt werden, dass je tiefer der Eingriff in das Persönlichkeitsrecht des Betroffenen eingreift, desto höher fällt der immaterielle Schaden aus.

Compliance-Maßnahmen

Unternehmen sollten sich auf regulierte Prozesse und Kontrollen konzentrieren, um Verstöße bestmöglich zu vermeiden.

Google Webfonts

Google Fonts ist ein beliebtes Verzeichnis von Schriftarten, welches auf Websites importiert werden kann. Dieses wird durch Google LCC gebührenfrei zur Verfügung gestellt. Das Verzeichnis kann auf die eigene Website geladen werden, womit automatisch Zugriff auf die darin enthaltenen Schriftarten gewährt wird.

Personenbezogene Daten bei Google Fonts

Bei der Nutzung ist zu beachten, dass die Implementierung von Google Fonts datenschutzrechtlichen Vorschriften unterliegt. Google Fonts setzt zwar keine Cookies, erfasst aber dennoch Daten, wenn durch einen Websitebesucher gleichzeitig noch eine Google-Schriftart geladen werden muss. Durch Google wird beispielsweise die IP-Adresse erfasst und zur Erstellung von Statistiken verwendet. Die Erfassung von IP-Adressen zählt zur Erhebung personenbezogener Daten und bedarf einer Rechtsgrundlage, welche der Betreiber einer Website vorhalten können muss.

Als Rechtsgrundlage zur rechtmäßigen Datenverarbeitung kommen in diesem Fall entweder ein berechtigtes Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO oder eine Einwilligung des Websitebesuchers gemäß Art. 6 Abs. 1 lit. a DSGVO in Betracht. Als berechtigtes Interesse kann beispielsweise eine reine Reichweitenmessung für statistische Daten zählen. Allerdings werden im Fall von Google personenbezogene Daten auf Server von Drittanbietern übertragen. Das Verhältnis von berechtigtem Interesse auf der einen Seite und grundrechtlichen Ansprüchen des Besuchers auf der anderen Seite ist in diesem Fall schwer abzuwägen. Außerdem sehen die Datenschutzaufsichtsbehörden die mögliche Datenübertragung in die USA derzeit generell als nicht zulässig an.

Google Fonts datenschutzkonform einsetzen

Zur datenschutzkonformen Einbindung von Google Fonts auf einer Website bestehen aber grundsätzlich zwei datenschutzkonforme Möglichkeiten. Als datenschutzrechtlich einfachste Lösung kann Google Fonts lokal auf dem eigenen (europäischen) Server gehostet werden. Die Schriften werden hierbei vom eigenen Server und nicht von Google-Servern geladen. Dadurch entsteht auch keine Weiterleitung von Daten an Drittanbieter. Als weitere Möglichkeit kann Google Fonts mithilfe eines Consent Tools oder einer CMP integriert werden. Mithilfe eines solchen Tools kann das zuvorige Einverständnis eines Besuchers eingeholt werden, bevor die Google-Schriftart angezeigt wird. In diesem Fall wäre die Datenübermittlung an Google aufgrund der Einwilligung ebenso rechtmäßig. Zu beachten ist aber, dass für eine wirksame Einwilligung eine ausreichend detaillierte Aufklärung des Nutzers über die Datenverarbeitung erforderlich ist.