Bereits im Januar 2022 urteilte das Landgericht (LG) München, dass eine dynamische Verwendung des Google-Dienstes „Google Fonts“ ohne eine vorher eingeholte Einwilligung des Nutzers einen Datenschutzverstoß darstellt. Zunehmend verwenden viele Privatpersonen bzw. Abmahnanwälte dieses Urteil als Grundlage zur Versendung von Abmahnungen an Unternehmen, welche Google-Fonts auf ihrer Internetseite eingesetzt haben. Aber was steckt dahinter und wie kann man sich wehren?
Viele Webseitenbetreiber staunen derzeit über Forderungsschreiben, die sie in ihrem E-Mail-Postfach oder im Briefkasten vorfinden. In diesen Schreiben wird der Webseitenbetreiber dazu aufgefordert, für die kostenlose Einbindung von Google Fonts auf deren Internetseite 100-500 € zu bezahlen. In den Abmahnungen wird ihnen ein "unzulässigen Eingriff in das allgemeine Persönlichkeitsrecht" und ein Verstoß gegen die Datenschutzgrundverordnung (DSGVO) vorgeworfen.
Was ist Google-Fonts überhaupt?
Google Fonts ist ein von Google selbst bereitgestelltes und interaktives Verzeichnis an unterschiedlichen Schriftarten (engl.: fonts). Mit diesem Dienst bietet Google die Option, verschiedene Schriftarten auf der eigenen Internetseite einzubinden, ohne dass diese zuvor auf den eigenen Server hochgeladen werden müssen, da dieser Dienst problemlos über die Server von Google abgewickelt werden kann. Daraus ergeben sich weitere Vorteile, dass für diesen Dienst kein Platz auf den eigenen Servern genutzt werden muss und auch, dass die Nutzung kostenfrei ist. Dadurch wird dieser Dienst auf unzähligen Webseiten eingebunden.
Als Gegenzug für die Verwendung des kostenlosen Dienstes speichert Google zahlreiche Daten des Webseitennutzers. Dazu zählen u. A.:
der verwendete Browser und dessen Spracheinstellungen,
die Webseite, welche der Nutzer besucht,
die IP-Adresse des Nutzers sowie
das Betriebssystem und dessen Bildschirmauflösung.
Mit der IP-Adresse ist es Google möglich, den Standort des Webseitennutzers zu bestimmen. Auch die IP-Adresse zählt zu den personenbezogenen Daten gemäß des BGH-Urteils aus 2017. Hier wurde entschieden, dass Webseitenbetreiber nicht ohne Zustimmung der Webseitennutzer Daten erheben und an Google weiterleiten dürfen. Denn mit diesen erhobenen Daten im Zusammenspiel mit weiteren bereits erhobenen Daten, wäre es Google möglich einen Fingerabdruck des Users zu kreieren. Es muss davon ausgegangen werden, dass Google alle Userdaten speichert und für Tracking verwendet.
Nutzungsmöglichkeiten von Google Fonts
Derzeit sind zwei unterschiedliche Nutzungsmöglichkeiten mit diesem Dienst Google Fonts möglich:
Lokale Nutzung: Die gewünschte Schriftart wird von der Google-Seite heruntergeladen und anschließend auf dem eigenen Speicherplatz im Netz wieder hochgeladen. Ab diesem Zeitpunkt wird bei dem Aufruf der Seite die Schriftart dann von dem eigenen Speicherplatz geladen und ist somit lokal eingebunden. Eine Verbindung zum Google-Server wird in diesem Fall nicht aufgebaut.
Remote/dynamische Nutzung: Die ausgewählte Schriftart wird bei jedem Aufruf der Webseite neu von den Google-Servern geladen. Dadurch wird bei dem Aufruf der Seite direkt eine Verbindung zu den Google-Servern aufgebaut, damit die Schriftart dargestellt werden kann. Somit wird die Schriftart nicht lokal, sondern dynamisch eingebunden.
Gefahren der fehlerhaften Einbindung von Google Fonts
Die Serverstandorte von Google befinden sich überwiegend in den USA, somit in einem Drittland und durch die dynamischen Einbindung von Google Fonts wird direkt bei Aufruf der Internetseite eine Verbindung zu den Servern von Google aufgebaut. Dadurch wird automatisch die IP-Adresse des Website- Nutzer an Google übermittelt und gespeichert. Die Daten der Website-Nutzer liegen damit auf den Google-Servern und sind somit nicht ausreichend durch die DSGVO vor dem Zugriff des US- Geheimdienstes geschützt.
Da ein Website-Nutzer nicht unmittelbar einen Einfluss auf die Preisgabe und Verwendung seiner personenbezogenen Daten hat, stellt dies eine Verletzung des informationellen Selbstbestimmungsrechts seiner allgemeinen Persönlichkeitsrechte dar.
Gerichtsurteil aus München
Im Januar 2022 hatte das LG München die Online-Nutzung von Google Fonts mit der Begründung verboten, dass dabei ohne vorherige Einwilligung des Nutzers unerlaubt personenbezogene Daten an Google in die USA weitergegeben werden (Az. 3 O 17493/20). Diese richterliche Entscheidung bildet somit die Grundlage für die derzeitig versendeten Abmahnungen und Forderungsschreiben. Denn bei den übermittelten IP-Adressen handelt es sich um Informationen, die in den Schutzbereich des Datenschutzes fallen. Der Webseitenbetreiber habe das Recht des Klägers auf informationelle Selbstbestimmung verletzt, indem er die dynamische IP-Adresse des Nutzers unmittelbar beim Aufruf der Seite an Google weiterleite. Dem Kläger stehe somit ein Unterlassungsanspruch zu, da es hierfür keine Rechtsgrundlage in Form einer Einwilligung oder eines berechtigten Interesses gegeben habe.
Und damit noch nicht genug, das LG München hatte dem Nutzer der Website außerdem noch einen Schadensersatzanspruch in Höhe von 100 Euro zugebilligt. Ein solcher Anspruch kann sich aus Artikel 82 der DSGVO ergeben und steht jeder Person zu, "der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist". Dabei ist hoch umstritten, welche Intensität ein solcher Eingriff haben muss, um ein Schmerzensgeld auszulösen.
Urteil löst Abmahnwelle aus
Das Urteil des LG München ist der Ausgangspunkt für eine jüngste Welle an Abmahnschreiben, in denen angeblich betroffene Webseitennutzer Schadensersatzansprüche gegenüber den Webseitenbetreibern bzw. Unternehmern geltend machen wollen. Ihnen wird in den Abmahnschreiben vorgeworfen, durch die dynamische Einbindung von Google Fonts direkt und ohne gültige Rechtsgrundlage bzw. vorherige Einwilligung des Nutzers IP-Adressen an Google in die USA zu übermitteln und diese nicht ausreichend vor dem Zugriff durch Dritte zu schützen. Mit diesen Schreiben ist es möglich, unter dem Vorwand einer Datenschutzverletzung schnelles Geld zu verdienen. Insbesondere die teilweise darin enthaltenen Grammatik- und Rechtschreibfehler bestärken diese Vermutung. Auch die großen Menge dieser Abmahnschreiben deutet darauf hin, dass dies einen bandenähnlichen und betrügerischen Charakter aufweist.
Sollten Sie ein solches Schreiben erhalten, dann gehen Sie wie folgt vor:
Prüfen Sie zunächst, ob Sie Google Fonts überhaupt auf Ihrer Internetseite verwenden und ob der Dienst lokal oder remote/dynamisch eingebunden wurde.
Ob Sie Google Fonts remote (und damit rechtswidrig) eingebunden haben, erkennen Sie an dem Quellcode auf Ihrer Internetseite und den darin enthaltenen Verlinkungen (googleapis.com oder fonts.gstatic.com).
Sollten Sie bei der Prüfung feststellen, dass der Dienst tatsächlich remote eingebunden ist, suchen Sie nach Alternativen oder binden Sie Google Fonts lokal auf Ihrer Internetseite ein.
Wenn Sie jedoch feststellen, dass Sie Google Fonts bereits lokal eingebunden haben, dann ist der Vorwurf in dem Abmahnschreiben unbegründet. Antworten Sie in diesem Fall entweder gar nicht auf dieses Schreiben oder verweisen Sie in Ihrer möglichen Antwort darauf, dass der Dienst lokal eingebunden ist, somit eine remote Einbindung nicht stattfindet und daher keine Verbindung zu Google aufgebaut wird.
Gehen Datenschutz und Google Fonts konform?
Durch die Nutzung von Google Fonts schonen Sie zwar Ihre eigene Serverressourcen. Allerdings sollte bei einer Verwendung von Google Fonts auch beachtet werden, was mit den Daten der Webseitennutzer passiert und ob diese Daten ausreichend geschützt sind. Auch der Serverstandort sollte betrachtet werden. Dieser befindet sich allerdings in den USA und somit in einem Drittland. Durch das Schrems-II- Urteils des Europäischen Gerichtshofes wurde das Privacy-Shield-Abkommen zwischen dem Europäischen Wirtschaftsraums und der USA gekippt. Dies bildete bis zu diesem Zeitpunkt die Grundlage für die Übertragung von sensiblen personenbezogenen Daten aus der EU in die Vereinigten Staaten von Amerika.
Allerdings dürfen seit dem Schrems-II-Urteils keine sensiblen personenbezogenen Daten in die Vereinigten Staaten übermittelt werden, da die amerikanischen Datenschutzvorschriften nicht im Einklang mit der Datenschutzgrundverordnung stehen.
So binden Sie Google Fonts richtig ein
Um Google Fonts dennoch datenschutzkonform zu verwenden zu können, haben Unternehmen folgende Optionen:
Prüfen Sie, ob auf Ihrer auf Ihrer Website bzw. innerhalb Ihres Templates Google Fonts geladen werden. Ist dies der Fall, müssen Sie die Google Fonts zunächst deaktivieren und durch die lokal eingebundenen Google Fonts ersetzen.
Einbindung von Google Fonts auf den eigenen Servern: Herunterladen der entsprechenden Schriftart und auf den eigenen Servern speichern. Bedenken Sie jedoch, dass alte Verweise auf Google Fonts auch entfernt werden müssen.
Außerdem sollte die Verwendung von Google Fonts auch in Ihrer Datenschutzerklärung auf der Homepage erhalten sein. Erwähnen sollten Sie dabei:
warum Sie über Google Fonts personenbezogene Daten erheben,
wie lange die Daten gespeichert werden,
welche Rechtsgrundlage die Verarbeitung erlaubt gemäß Art. 6 Abs. 1 DSGVO und
dass der Webseitennutzer der Datenerhebung jederzeit widersprechen kann.
Standardvertragsklauseln prüfen
Wenn Unternehmen personenbezogene Daten in ein Drittland übermitteln, benötigen sie dafür eine rechtliche Grundlage. Dies ist derzeit nur auf Grundlage der Standardvertragsklauseln möglich. Unternehmen müssen diese direkt mit Google schließen.
Wenn Sie die Klauseln in der Vergangenheit mit Google bereits geschlossen haben, sollten Sie prüfen, ob es sich hierbei bereits um die aktuellen von der EU-Kommission herausgegebenen Klauseln handelt. Denn die Standardvertragsklauseln wurden im Jahre 2021 novelliert. Die Übergangsfrist zum Abschluss der neuen Standardvertragsklauseln endet zum 27.12.2022.
Weiterhin sollten für diesen Datentransfer Risikoabschätzungen vorgenommen werden. Diese sollten offenlegen, wie der Transfer der personenbezogenen Daten in die USA abläuft und welche Maßnahmen Google ergreift, um die Daten zu schützen.
Mögliche Strafen
Sollte auf die Möglichkeit, Google Fonts lokal einzusetzen, verzichtet werden und weiterhin IP-Adresse von Webseitennutzern an Google übermittelt werden, könnten Erklärungen auf Unterlassung bis hin zu Ordnungsgeldern in Höhe von 250.000 Euro zu befürchten sein.
Durch die Novellierung der Standardvertragsklauseln und den Ablauf der Übergangsfrist zum Jahreswechsel, haben schon jetzt einige Aufsichtsbehörden eine Prüfung der Gültigkeit der Standardvertragsklauseln angekündigt.
Bitte sprechen Sie uns an, wenn Sie Fragen haben oder Hilfe bei der Umsetzung benötigen. Gerne sind wir Ihnen bei der Prüfung Ihrer Internetseite behilflich, ob möglicherweise Google Fonts eingebunden ist. Anschließend könnten wir Sie außerdem bei der Überarbeitung bzw. Ergänzung Ihrer Datenschutzerklärung unterstützen. Sollten Sie auch zu dem Kreis der Betroffenen gehören und ein Abmahnschreiben erhalten, stehen wir Ihnen stets mit Handlungsempfehlungen zur Seite. Sollten Sie bereits Standardvertragsklauseln von Google Fonts vorliegen haben oder sie erst angefordert haben, übernehmen wir gerne eine Prüfung für Sie.
Ihr Team der RKM Data