Aktuell werden in Deutschland reihenweise Webseitenbetreiber abgemahnt und zur Zahlung von Schmerzensgeld von 170 Euro aufgefordert! Grund dafür ist die dynamische Einbindung von Google Fonts auf Webseiten, die beim Klick auf die Webseite des betroffenen Besuchers, persönliches Unwohlsein auslöste. Dabei stützen sich die Abmahner auf das Urteil des Landgerichts Münchens (LG München, Urteil vom 20.01.2022, Az. 3 O 17493/20) das genau eine solche dynamische Einbindung von Google Fonts als Persönlichkeitsrechtsverletzung des betroffenen Nutzers einstufte. Daraufhin sprach das Gericht dem Nutzer ein Schmerzensgeld von 100 Euro zu. Viele Selbstständige und Unternehmen sind jetzt verunsichert: Besteht Handlungsbedarf und wie kann man sich vor diesen Abmahnungen schützen?
Was ist das Problem bei der Verwendung von Google Fonts?
Google Fonts sind Schriftarten, die von Google unter der Apache Lizenz bereitgestellt werden. Dabei werden mehrere tausend Schriftarten grundsätzlich kostenlos zur Verfügung gestellt und können entweder dynamisch oder lokal eingebunden werden. Hier ist bereits der Knackpunkt. Viele Webseitenbetreiber nutzen Google Fonts in der dynamischen Variante, auch um das Nutzererlebnis und die Darstellung der Schriftarten im Netz möglichst optimal für jeden einzelnen Besucher zu gewährleisten.
Dynamische Einbindung ohne vorherige Einwilligung ist abmahnbar!
Dynamische Einbindung heißt, die Schriftarten werden nicht lokal auf dem Server der Webseite gespeichert, sondern werden von Google Servern entsprechend auf die Webseiten nachgeladen. Durch diese remote Einbindung wird beim Aufrufen der Webseite die IP-Adresse (unter Umständen nicht anonymisiert und ggf. auch weitere personenbezogene Daten) an Google in die USA übertragen. Seit das Privacy Shield Abkommen durch Shrems II gekippt worden ist, gilt die USA für den Datentransfer als nicht mehr sicher. Die von der EU angepassten Standard Vertragsklauseln gelten zwar seit Juni 2021 als angemessene Rechtsgrundlage zur Datenübermittlung in die USA. Allerdings ist völlig unklar, ob diese vor Gerichten stand halten wird. Das Kernproblem, nämlich dass die USA Strafverfolgungsbehörden und Geheimdiensten erlaubt, unter bestimmten Voraussetzungen auf Server von US-Firmen und die dort liegenden Kundendaten zuzugreifen – selbst wenn die Server im Ausland stehen, z.B. in Irland, ist bisher nicht vollständig behoben. Betroffene haben in einem solchen Fall keine ausreichende Rechtsschutzmöglichkeit im Sinne der DSGVO.
Der Transfer personenbezogener Daten in die USA darf daher nur mit vorheriger Einwilligung (z.B. über den Consent Banner) der User geschehen.
Lokale Einbindung der Google Fonts
Dagegen werden bei einer lokalen Einbindung der Google Fonts die Schriftarten lokal auf dem Server der Webseite gespeichert, sodass die Schriftarten nicht jedes Mal erneut von Google nachgeladen werden müssen. Bei dieser Variante der Einbindung müssen also in der Regel keine personenbezogenen Daten an Google weitergegeben werden. Somit ist diese Variante der Einbindung grundsätzlich als rechtssicher anzusehen. Allerdings müssen hier dann die Lizenzbedingungen genau unter die Lupe genommen werden.
Wer ist verantwortlich: Webseitenbetreiber oder Google?
Für die Verarbeitung der Daten auf einer Webseite sind immer die Betreiber der Webseite jeweils verantwortlich. Inwiefern Daten verarbeitet werden, muss in der Datenschutzerklärung erklärt und dargelegt werden. Das ist auch der Punkt, an dem die dynamische Einbindung von Google Fonts Probleme bereitet: Das berechtigte Interesse des Webseiten Betreibers an der Einbindung von dynamischen Google Fonts auf der Webseite schützt seit dem Urteil des Landgerichts München vom 22.1.2022 nicht (mehr) vor einem Rechtsverstoß. Die Webseitenbetreiber müssen nicht nur über die Verarbeitung der Daten in ihrer Datenschutzerklärung aufklären, sondern auch unbedingt eine Einwilligung des Nutzers dafür einholen. Oder man wählt die technische Lösung und bindet die Fonts nur noch lokal ein, so dass keine Verbindung mit dem Server von Google mehr aufgebaut wird. Dann sollte man sich aber mit der Apache Lizenz auseinandersetzen. Wer also seine Webseite regelmäßig überprüft und aktuell hält, dürfte mit den Google Fonts Abmahnungen keine Probleme haben- egal ob remote oder lokal eingebunden.
Muss man ab jetzt öfter mit solchen Abmahnungen rechnen?
Das Datenschutzrecht mit der DSGVO gilt immer noch als junges Rechtsgebiet. Bis eine Rechtsfrage gerichtlich geklärt ist, kann es einige Jahre dauern. Jedenfalls lässt sich sagen: Wenn Deine Datenschutzerklärung fehlerhaft und du eine Abmahnung erhalten hast, solltest du die Abmahnung genau prüfen und dich beraten lassen, welche deine konkreten Handlungsoptionen sind.
Bildquelle für den Beitrag: picjumbo.com via Pexels