Schadensersatz wegen falscher Einbindung von Google Fonts

von stud. iur. Regina Berger

Worum ging es?

Die Beklagte war Betreiberin einer Webseite, die von der dynamischen Einbindung der Google Fonts Schriftarten Gebrauch machte. Hierbei holte sie aber nicht die Einwilligung der Seitenbesucher ein, sondern stellte auf das eigene berechtigte Interesse gemäß Art. 6 Abs. 1 S. 1 f) DSGVO als Rechtsgrundlage ab.Hiermit war die Klägerin nicht einverstanden und verlangte Schadensersatz, sowie Unterlassung.

Was ist Google Fonts?

Die Google LLC führt einen open-source Katalog, genannt Google Fonts, mit über 1300 Schriftarten, welche jedermann weltweit kostenlos zur Verfügung stehen. Neben der großen Schriftartenauswahl wird auch die dynamische Einbindung als besonders angenehm von Webseitenbetreibern empfunden. Bei der dynamischen Einbindung wird ein Code von Google Fonts erzeugt, der anschließend in den HTML-Code der Webseite eingefügt wird. Bei jedem Webseitenbesuch senden die Google-Server dann automatisch die kleinstmögliche Datei an jeden Besucher, angepasst an den Browser des jeweiligen Besuchers, was eine schnellere Übertragung ermöglicht.

Diese dynamische Einbindung von Google Fonts wurde nun jedoch in einem aktuellen Urteil des LG München für nicht datenschutzkonform erklärt. Wenn sich die Auffassung des Landgerichts München durchsetzen sollte, würde dies eine Vielzahl von Abmahnungen und Schadensersatzansprüchen zur Folge haben. Eine Entscheidung von einem obersten Gericht steht allerdings noch aus.

Die Entscheidung

Das LG München gab der Klage statt und stellte folgende Ansprüche fest:

Die Zahlung von Schadensersatz aus Art. 82 Abs. 1 DSGVO in Höhe von 100€ zuzüglich Zinsen
Die Unterlassung der Weitergabe von IP-Adressen des Klägers an Google aus § 823 Abs. 1 in Verbindung mit § 1004 BGB analog,
sowie einen Auskunftsanspruch aus Art. 15, Art. 4 Nr. 2 DSGVO.

Warum wurde Google Fonts für nicht datenschutzkonform erklärt?

Bei der dynamischen Einbindung von Google Fonts besteht eine rege Verbindung zwischen der Webseite und dem Google Server. Der Grund: Bei jedem Seitenaufruf muss eine Verbindung zu den Servern aufgebaut werden, damit die entsprechende Schriftart schnellstens heruntergeladen und die Seite mit dem gewünschten Layout aufgerufen werden kann. Hierbei ist jedoch problematisch, dass mit jedem Serveraufbau automatisch mindestens die IP-Adresse des Seitenbesuchers an Google übersendet wird.

Diese automatische Weitergabe stellt einen Eingriff in das allgemeine Persönlichkeitsrecht in Form der informationellen Selbstbestimmung dar und muss entsprechend auf eine Rechtsgrundlage gestützt werden. Gleichwohl handelt es sich bei dieser Datenübermittlung um einen Drittlanddatentransfer, da sich die Google Server in den USA befinden. Wann immer Daten an Länder außerhalb des Europäischen Wirtschaftsraum übermittelt werden, müssen besondere Sicherheitsmaßnahmen getroffen werden, um sicherzustellen, dass der europäische Datenschutzstandard eingehalten werden kann und die Daten vor den Zugriffen Dritter, insbesondere vor Behördenzugriffen, geschützt sind.

Die IP-Adresse als personenbezogenes Datum

Gemäß der DSGVO sind personenbezogene Daten solche, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Mittels einer IP-Adresse kann die betroffene Person zwar nicht unmittelbar identifiziert werden. Der Besitzer einer IP-Adresse könnte jedoch unter Zuhilfenahme Dritter, z. B. der zuständigen Behörde und des Internetzugangsanbieters, die betroffene Person anhand der gespeicherten IP-Adressen identifizieren. Dabei ist die reine Möglichkeit der Identifizierung vollkommen ausreichend. Ein konkreter Identifizierungsversuch muss nicht vorliegen.

Eine unsichere Rechtsgrundlage

Die Beklagte stellte bei dieser Datenverarbeitung auf ihr berechtigtes Eigeninteresse ab. Dies wurde jedoch von dem Landgericht München mit der Begründung abgelehnt, dass der Einsatz von Google Fonts auch dynamischer Einbindung möglich sei. Insbesondere bestehe für Webseitenbetreibende die Möglichkeit die gewünschte Schriftart herunterzuladen, diese im nächsten Schritt in den eigenen Webspace hochzuladen und anschließend in die eigene Webseite einzupflegen.

Folglich kann für die dynamische Einbindung von Google Fonts nur die Einwilligung als geeignete Rechtsgrundlage genutzt werden. Hierbei ist jedoch nach wie vor zu beachten, dass für die rechtskonforme Erteilung einer Einwilligung ausreichend Informationen über die Verarbeitung der Daten vorliegen müssen. Dies ist aufgrund von Googles zurückhaltender Informationspolitik, was mit erhobenen Daten geschieht, schlichtweg nicht möglich.

Empfehlung für die datenschutzkonforme dynamische Einbindung von Google Fonts

Die Einholung der Einwilligung der Seitenbesucher sollte als zwingendes Erfordernis verstanden werden. Hierbei ist es wichtig, dass der Nutzer um seine Zustimmung gebeten wird, bevor es zu einem Verbindungsaufbau mit den Google Servern kommt. Am besten sollten Sie hierzu das Google Fonts Skript anpassen, um sicherzustellen, dass Google Fonts erst bei einer vorhandenen Einwilligung geladen wird. Ebenso ist es empfehlenswert eine Reserveschrift zu definieren, die bei fehlender Einwilligung ein harmonisches Erscheinungsbild Ihrer Webseite sicherstellt.

Nichtsdestotrotz bleibt ein Problem weiterhin bestehen, nämlich der Datentransfer in die USA. Mit dem Schrems II Urteil des EuGHs aus dem Jahr 2020 wurde das Privacy Shield Abkommen für unwirksam erklärt. Bei dem Privacy-Shield-Abkommen handelte es sich um eine Vereinbarung zwischen der Europäischen Kommission und der USA, die es ermöglichte, personenbezogene Daten aus der Europäischen Union unter bestimmten Voraussetzungen in die USA zu übermitteln und dort zu verarbeiten. Der EuGH stellte in seinem Urteil fest, dass mit diesem Abkommen, das von der DSGVO geforderte Sicherheitsniveau in den USA nicht erreicht werden könne. Dennoch sollen Datenübermittlungen in Drittländer weiterhin möglich sein, sofern geeignete Garantien zur Gewährleistung eines angemessenen Sicherheitsniveaus vereinbart werden, z. B. Standardvertragsklauseln oder Binding Corporate Rules (BCR).

Um diese Problematik zu umgehen, würde nur noch die Möglichkeit der lokalen Einbindung von Google Fonts bestehen. Da es weder zu einem Verbindungsaufbau mit den Google Servern bei Seitenaufruf kommt noch die IP-Adressen von Seitenbesuchern übermittelt werden, ist diese Variante der Einbindung datenschutzrechtlich unproblematisch.

Können wir Ihnen weiterhelfen?

Sollten Sie im datenschutzrechtlichen Bereich Rechtsberatung benötigen, kontaktieren Sie uns gerne. Sie können uns telefonisch unter 0511 374 98 150 oder per E-Mail unter kontakt@recht-im-internet.de erreichen.