Datenschutzverstöße wegen der Nutzung von Google Fonts

Google Fonts ist ein interaktives Verzeichnis mit über 1.400 von Google bereitgestellten digitalen Schriftarten, die für Nutzer lizenzfrei verfügbar sind – ein Angebot, das gerne genutzt wird, um Webseiten individuell zu gestalten.Dass das Einbinden dieser Schriften auf einer Website jedoch eine Gefahr für Abmahnungen beinhaltet, ist den wenigsten Unternehmern bewusst.

Problematisch ist dabei nämlich, dass je nach Einbindungsart dieser Schriften automatisch personenbezogene Daten der Website-Besucher in Form ihrer IP-Adresse an Google übermittelt werden. Grundsätzlich bestehen für Webseitenbetreiber zwei Möglichkeiten, Google Fonts auf ihrer Webseite zu nutzen:

Werden die gewünschten Schriftarten heruntergeladen und lokal auf dem Server gespeichert, so werden sie beim Besuch der Website direkt von diesem Server nachgeladen und nicht von Google-Servern bezogen. Auf diese Weise wird keine Verbindung zu Google-Servern hergestellt und es werden somit auch keine Daten an Google übermittelt.

Werden Google-Fonts jedoch dynamisch eingebunden, also nicht lokal auf dem eigenen Server vorgehalten, dann werden die einzelnen Schriftarten beim Aufruf der Website von Google-Servern geladen. Während dieses Vorgangs werden automatisch die IP-Adressen der Besucher an Google weitergeleitet. Das hat zur Folge, dass der jeweilige Besucher der Website keine Kontrolle mehr über seine eigenen Daten und deren Verarbeitung hat. Die IP-Adresse wird in der Regel als ein personenbezogenes Datum eingestuft („Online-Kennung” im Sinne des Art. 4 Nr. 1 DS-GVO). Zwar ergibt sich aus der IP-Adresse für Google noch nicht direkt, welche identifizierbare Person hinter einer IP-Adresse steckt, Google kann jedoch durchaus mit anderen Werkzeugen wie zum Beispiel Google Analytics die IP-Adresse einem bestimmten Nutzer zuordnen (Bundesgerichtshof, Urteil vom 16. Mai 2017 – VI ZR 135/13). Auch wird es für eine Identifizierbarkeit der Nutzer für ausreichend gehalten, dass Dritte wie z.B. Strafbehörden eingeschaltet werden können, um mittels der IP-Adresse die Identität der Nutzer herauszufinden. Das entspräche der Ansicht des Europäischen Gerichtshofs (Urteil vom 19. Oktober 2016 – C-582/14), der einen Personenbezug annimmt, wenn der Verarbeiter über rechtliche Mittel verfügt, die es ihm erlauben, die betreffende Person anhand von Zusatzinformationen, über die der Internetzugangsanbieter dieser Person verfügt, bestimmen zu lassen. Dies stellt allerdings einen nicht hinnehmbaren Verstoß gegen die DS-GVO dar, denn sowohl der Website-Betreiber als auch Google sind für den Schutz personenbezogener Daten der Website-Besucher verantwortlich. Zudem wird in der Übermittlung der IP-Adresse eine Verletzung des allgemeinen Persönlichkeitsrechts aus Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG gesehen. Weiter ist in der fehlenden Einwilligung eine Begründung für einen Ersatzanspruch des entstandenen immateriellen Schadens gemäß Art. 82 DS-GVO zu sehen.

Anfang dieses Jahres hat das Landgericht (LG) München I einem Nutzer 100,00 € Schadensersatz gegen einen Website-Betreiber zugesprochen, der Google-Fonts auf seiner Webseite dynamisch eingebunden hatte (LG München I, Endurteil vom 20. Januar 2022 – 3 O 17493/20). Das Gericht sah die IP-Adresse als ein personenbezogenes Datum an, hielt den Webseitenbetreiber für deren Übermittlung an Google für verantwortlich und prüfte daher im nächsten Schritt, ob die Übermittlung gesetzlich erlaubt war. Dabei entschied es, dass die unerlaubte Weitergabe der IP-Adresse an Google eine Verletzung des allgemeinen Persönlichkeitsrechts in Form des informationellen Selbstbestimmungsrechts der Website-Besucher darstellt. Das Recht auf informationelle Selbstbestimmung beinhaltet das Recht des Einzelnen, über die Preisgabe und Verwendung seiner personenbezogenen Daten zu bestimmen. Eine Rechtfertigung liege indes nicht vor, da das Angebot von Google Fonts auch genutzt werden kann, ohne dass beim Aufruf der entsprechenden Website eine Verbindung zum Google-Server hergestellt werden und eine Übertragung der Daten stattfinden muss. Das Gericht befand im Ergebnis, dass die Schutzinteressen der Nutzer überwiegen und die Google Fonts nur mit einer entsprechenden Einwilligung im Sinne des Art. 6 Abs. 1 lit. a. DS-GVO von Google hätten bezogen werden dürfen. Diese Entscheidung entspricht auch dem Grundgedanken der DS-GVO, die in Art. 25 vorgibt, dass bei der technischen Gestaltung, so weit wie möglich, die datenschutzfreundlichsten Optionen gewählt werden müssen.

Zur Folge hat dieses Urteil, dass bei der dynamischen Einbindung von Google Fonts nun stets die Einwilligung des Nutzers erforderlich ist. Ein solcher Einsatz von Google-Fonts auf Webseiten darf nicht mehr auf die berechtigten Interessen des Website-Betreibers gemäß Art. 6 Abs. 1 lit. f DS-GVO gestützt werden. Website-Betreiber können bei Verstoß gegen diese Pflicht auf Unterlassung und Schadensersatz verklagt werden. Diesbezüglich hat sich seit dem Sommer 2022 eine regelrechte Abmahnwelle entwickelt.

Damit Ihnen keine Abmahnungen und Schadensersatzklagen drohen, sollten sie zeitnah prüfen, ob und, wenn ja, in welcher Weise Google Fonts auf Ihrer Unternehmenswebsite eingebunden sind. Bei einer dynamischen Einbindung entsteht die besagte kritische Verbindung zu den Google-Servern. Eine statische Einbindung auf ihrem eigenen Server ist unbedenklich, weshalb sie dieser Methode der Nutzung von Google Fonts letztendlich den Vorzug geben sollten. Sollten Sie Fragen haben oder eine Überprüfung Ihres Online-Auftritts wünschen, helfen wird Ihnen gerne weiter! Wir unterstützen Sie außerdem bei der Abwehr der Unterlassungs- und Schadensersatzansprüche, sollten Sie bereits von der Abmahnwelle betroffen sein.

Solidaris Chris Brauckmann
Autor
Solidaris Agnes Lisowski
Autorin
Solidaris Chris Brauckmann
Autor
Chris Brauckmann, LL.M.
Wirtschaftsjurist
Solidaris Agnes Lisowski
Autorin
Agnes Lisowski
Rechtsanwältin

Weitere Artikel, die sie interessieren könnten

phone
mail Pfeil weiß