Google Fonts: Abmahnung wegen Verstoß gegen Datenschutz DSGVO möglich

Die dynamische Einbindung von Google Fonts auf einer Internetseite kann zu einer datenschutzrechtlichen Abmahnung führen. Wie das LG München mit Urteil vom 20.01.2022 zum Az. 3 O 17493/20 entschieden hat, können Internetnutzer, deren IP-Adresse gegenüber Google offengelegt wird, gegenüber dem Webseitenbetreiber Ansprüche auf Unterlassung, Auskunft und Schadenersatz geltend machen. In dem nachfolgenden Beitrag erläutere ich, wie sich die Problematik entschärfen lässt und warum eine entsprechende Abmahnung schnell zur Haftungsfalle werden kann.

Das datenschutzrechtliche Problem mit Google Fonts & Co.:

Google stellt über das Internet eine Vielzahl von Schriftarten zur Verfügung, die grundsätzlich kostenlos genutzt werden können. Die Schriftarten können

• entweder heruntergeladen, lokal abgespeichert und von dort in den eigenen Internetauftritt eingebunden werden
• oder dynamisch in den Internetauftritt eingebunden werden, sodass bei einem Aufruf des Internetauftritts eine Verbindung zu den Servern von Google aufgebaut wird, um die Schrift von dort zu laden.

Praxistipp:Seitenbetreiber sollten Google Fonts unbedingt lokal abspeichern und dann in den eigenen Internetauftritt einbinden!

Ob Google Fonts in eine Seite dynamisch eingebunden wurden, lässt sich am Quelltext im Übrigen leicht erkennen: Es gibt in diesen Fällen eine Verlinkung auf „fonts.googleapis.com“ und „fonts.gstatic.com“.

Bei der dynamischen Einbindung von Google Fonts wird die IP-Adresse des Internetnutzers an Google übertragen. Da die IP-Adresse ein personenbezogenes Datum darstellt, erfolgt mit der Übermittlung der IP-Adresse an Google eine Offenlegung dieses personenbezogenen Datums gegenüber Google. Diese Problematik stellt sich im Übrigen auch bei anderen Diensten, bei denen die Übermittlung der IP-Adresse des Internetnutzers an den Diensteanbieter erfolgt.

In datenschutzrechtlicher Hinsicht stellt sich die Frage, wie die Übermittlung der IP-Adresse des Internetnutzers gerechtfertigt werden kann. In Betracht kamen hierfür bislang zwei Argumente:

• Zum einen wurde argumentiert, dass für die von dem Internetnutzer gewünschte Darstellung des aufgerufenen Internetauftritts die ordnungsgemäße Anzeige des Textes und damit auch die Übermittlung der IP-Adresse des Internetnutzers erforderlich sei, weshalb ein berechtigtes Interesse des Betreibers des Internetauftritts an der Übermittlung der IP-Adresse des Internetnutzers an Google bestehe. Diese Argumentation läuft angesichts der Möglichkeit, die Schriftarten herunterzuladen, lokal abzuspeichern und von dort in den Internetauftritt einzubinden, jedoch leer.
• Bleibt zum anderen die Möglichkeit, die Einwilligung des Internetnutzers in die Übermittlung seiner IP-Adresse an Google einzuholen. Die Rechtmäßigkeit der Übermittlung der IP-Adresse des Internetnutzers an Google hängt in diesem Fall davon ab, dass die erforderliche Einwilligung eingeholt wird und dass die Einwilligung auch wirksam ist. 

LG München: ohne Einwilligung keine Datenübermittlung

Das LG München hatte es relativ einfach, denn in dem dortigen Fall hatte der Betreiber des Internetauftritts Google Fonts dynamisch in den Internetauftritt eingebunden, ohne hierzu vorher die erforderliche Einwilligung der Internetnutzer einzuholen, die den Internetauftritt abrufen wollten. Kurzfassung des Urteils im Juristendeutsch: Der Kläger konnte von dem Betreiber des Internetauftritts die Unterlassung der Weitergabe seiner IP-Adresse an Google verlangen, weshalb das Gericht

• den Betreiber des Internetauftrittes unter Androhung von Ordnungsmitteln (Ordnungsgeld oder Ordnungshaft) dazu verurteilte, es zu unterlassen, „bei einem Aufruf einer von der Beklagten betriebenen Internetseite durch den Kläger dessen IP-Adresse durch Bereitstellung einer Schriftart des Anbieters Google (Google Fonts) dem Anbieter dieser Schriftart offenzulegen.“,
• den Betreiber des Internetauftrittes des Weiteren dazu verurteilte, dem Kläger Auskunft zu erteilen, ob den Kläger betreffende personenbezogene Daten verarbeitet werden, sowie gegebenenfalls Auskunft zu erteilen, welche personenbezogenen Daten über den Kläger gespeichert werden und
• den Betreiber des Internetauftritts im Übrigen dazu verurteilte, an den Kläger 100,00 Euro zuzüglich Zinsen zu bezahlen.

Die spannendste Frage blieb jedoch unbeantwortet

Leider musste sich das LG München nicht mit der Frage beschäftigen, ob eine wirksame Einwilligung in die Übermittlung der IP-Adresse an einen US-amerikanischen Diensteanbieter überhaupt möglich ist und wenn ja, welche Anforderungen an die zuvor zu erteilenden Informationen zu stellen sind. Aufgrund der Befugnisse insbesondere der amerikanischen Geheimdienste, auf die bei den US-amerikanischen Unternehmen vorhandenen Datenbestände zuzugreifen, ist nämlich nach wie vor ungeklärt, ob Datenübermittlungen an US-amerikanische Diensteanbieter überhaupt gerechtfertigt werden können. Zur Erinnerung: Nachdem der Europäische Gerichtshof zunächst das Safe-Harbor-Abkommen und später auch das Privacy-Shield-Abkommen für ungültig erklärt hatte, fehlt es bislang an einem Nachfolgeabkommen zwischen der EU und den USA (Stand: 08.06.2022). Ob Datenübermittlungen an US-amerikanische Diensteanbieter durch die Nutzung der aktuellen von der EU-Kommission gebilligten Standardvertragsklauseln gerechtfertigt werden können, ist bislang heftig umstritten (Stand: 08.06.2022).

Warum die Entscheidung des LG München so wichtig für Webseitenbetreiber ist:

Uns wurden bereits mehrfach datenschutzrechtliche Abmahnungen vorgelegt, die sich auf die unzulässige Offenlegung/Übermittlung personenbezogener Daten bezogen. Zum Teil ging es in den Fällen um die dynamische Einbindung von Google Fonts in Internetauftritten. Über die Problematik der entsprechenden Fälle hatten wir in der Vergangenheit bereits berichtet.

In dem Urteil des LG München ging es zwar konkret um Google Fonts. Die in dem Streitfall aufgeworfenen rechtlichen Fragen stellen sich jedoch in gleicher oder ähnlicher Weise auch für andere Dienste von US-amerikanischen Diensteanbietern. Die Thematik dürfte nach unserer Einschätzung übrigens aktueller sein denn je: Mit Urteil vom 28.04.2022 zum Aktenzeichen C-319/20 hat der Gerichtshof der Europäischen Union nämlich festgestellt, dass auch Verbraucherschutzverbände eine Abmahnung wegen eines Datenschutzverstoßes erheben können, und zwar unabhängig von der konkreten Verletzung des Rechts einer betroffenen Person und ohne entsprechenden Auftrag.

Praxistipp: Wenn Sie als Webseitenbetreiber das Risiko einer Abmahnung minimieren möchten, sollten Sie ein Consent-Tool implementieren, sodass die Nutzung von Diensten US-amerikanischer Diensteanbietern und die hiermit verbundene Übermittlung personenbezogener Daten vom Internetnutzern nur auf der Grundlage einer erteilten Einwilligung erfolgen.

Wie wir Sie bei einer DSGVO-Abmahnung unterstützen können

Wir haben in der Vergangenheit wiederholt Betroffene beraten, die eine datenschutzrechtliche Abmahnung erhalten haben. Gern unterstützen wir auch Sie in einem solchen Fall.

Im Rahmen unserer Beratung würden wir mit Ihnen zunächst den Sachverhalt und die Rechtslage klären. Selbstverständlich würden Sie in diesem Zusammenhang von uns auch konkrete Empfehlungen für das weitere Vorgehen erhalten. Je nach Fall können wir Sie entweder aus dem Hintergrund bei den Verhandlungen mit der Gegenseite unterstützen oder Sie offen gegenüber der Gegenseite vertreten.

Stand: 08.06.2022

Es beraten Sie : Rechtsanwalt Andreas Kempcke