Abmahnungen wegen Google Fonts – was tun?

Abmahnwelle „Google Fonts“ – wie Sie auf eine Abmahnung richtig reagieren und was Sie dagegen tun können

Vorweg: nicht bezahlen und Google Fonts lokal einbinden

Die wichtigste Information vorab: wenn Sie eine Abmahnung erhalten haben, nicht ungeprüft bezahlen und keine Unterlassungserklärung abgeben! Wenn Auskunft verlangt wurde, vorsichtig sein!

Gerne überprüfen wir für Sie die Abmahnung und prüfen auch, ob Ihre Website gegenwärtig den datenschutzrechtlichen Anforderungen genügt oder ob Handlungsbedarf besteht.

Wenn Sie noch keine Abmahnung erhalten haben, sollten Sie Google Fonts lokal einbinden. Prüfen Sie auch, ob andere Google-Dienste ihrerseits Google Fonts nachladen!

Die Hintergründe: Google Fonts und eine Entscheidung des LG München I

Bei den Google Fonts handelt es sich um eine aus insgesamt 1.455 Schriftarten (auf Englisch „fonts“) bestehende Open Source Online-Sammlung, die von Google kostenlos bereitgestellt wird. Webseitenbetreiber, die dies wünschen, können diese Schriftarten kostenlos in ihre Webseite einbinden und so ihren Internetauftritt ansprechender gestalten.

Die von Google bereitgestellten Schriftarten sind seit geraumer Zeit in die Schusslinie verschiedener „Abmahner“ geraten. Sie berufen sich auf ein Urteil des LG München I, das den Einsatz von Google Fonts ohne Einwilligung nicht nur für unzulässig erklärt hat (was inhaltlich zutrifft), sondern dem dortigen Kläger auch einen Schadensersatzanspruch i.H.v. 100 EUR zugesprochen hat. Dieses Urteil, welches am 20.1.2022 unter dem Az. 3 O 17493/20 ergangen ist, ist nicht ohne Folgen geblieben und hat insbesondere in Deutschland eine Abmahnwelle ausgelöst. Ob tatsächlich ein Schadensersatzanspruch besteht, ist aber keineswegs abschließend geklärt.

Datenschutzrechtliche Einordnung

Problematisch am Einsatz von Google Fonts ist, dass die Schriftarten durch Webseitenbetreiber in der Regel über den Google-Server, d.h. „dynamisch“ eingebunden werden. Diese dynamische Einbindung hat zur Folge, dass bei jedem Aufruf der Webseite durch einen Webseitenbesucher automatisch eine Verbindung zum Google-Server aufgebaut wird, auf dem die Schriftarten gehostet werden. Diese Serveranfrage wird vom Google-Server entgegengenommen und verarbeitet und die angefragte Schriftart ausgespielt. Die datenschutzrechtliche Problematik liegt darin, dass zusammen mit der Serveranfrage mindestens die IP-Adresse des anfragenden Endgeräts an Google übertragen wird und, da der Konzern seinen Sitz in den USA hat, damit eine Datenübermittlung in ein unsicheres Drittland stattfindet, für das gegenwärtig kein Angemessenheitsbeschluss besteht.

Genau dieser Verarbeitungsvorgang war Gegenstand des Verfahrens vor dem LG München I, welches eine dynamische Einbindung der Google Fonts ohne Einwilligung des Besuchers als rechtswidrig erachtet hat.

Kein berechtigtes Interesse

In der Praxis war es bislang oft so, dass Webseitenbetreiber sich für die Einbindung von Google Fonts auf ihr berechtigtes Interesse gestützt haben. Denn die Fonts ermöglichen es einem Betreiber, seine Webseite optisch attraktiver zu gestalten. Auch in dem von dem LG München I zu entscheidenden Fall hatte der Beklagte versucht, sich auf seine berechtigten Interessen zu stützen. Dem hat aber das LG eine klare Absage erteilt mit der Begründung, dass die Google Fonts auch heruntergeladen und über den eigenen Server lokal eingebunden werden können. Eine dynamische Einbindung der Fonts über den Google-Server und die damit einhergehende Übertragung der IP-Adresse des Besuchers sei damit, anders als in Art. 6 Abs. 1 lit. f DSGVO für die Annahme eines überwiegenden berechtigten Interesses vorausgesetzt, nicht erforderlich.

Einwilligung als Rechtsgrundlage?

Für Webseitenbetreiber stellt sich die Frage, ob sich eine dynamische Einbindung der Google Schriftarten über Art. 6 Abs. 1 Satz 1 lit. a DSGVO bzw. Art. 49 Abs. 1 lit. a DSGVO legitimieren lässt. Mit dieser durchaus praxisrelevanten Frage musste sich das LG München nicht auseinandersetzen, da auf der Webseite der Beklagten in dem vom Landgericht zu entscheidenden Fall die Google Fonts ohne Einwilligung der Besucher aktiviert wurden.

Gleichwohl bleibt aber festzuhalten, dass selbst eine dynamische Einbindung der Fonts im Wege einer Einwilligungslösung nicht geeignet ist, das Risiko einer Abmahnung vollständig von der Hand zu weisen. Denn gemäß Art. 4 Nr. 11 DSGVO ist unter dem Begriff der Einwilligung „jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung“ zu verstehen, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist. Voraussetzung für die wirksame Erklärung einer Einwilligung ist daher, dass der Besucher über die Folgen seiner Einwilligung und, in diesem Zusammenhang, insbesondere über den Umfang der stattfinden Datenverarbeitung vor Abgabe seiner Einwilligung informiert wird.

Ob eine informierte und damit wirksame Einwilligung eingeholt werden kann, ist aber gerade bei den von Google angebotenen Diensten äußerst fraglich, zumal Google in der Vergangenheit immer wieder für mangelnde Transparenz bei der Datenverarbeitung stark kritisiert wurde, sodass auch Webseitenbetreiber, die die Google-Dienste einbinden, kaum in der Lage sind, ihre Informationspflichten ordnungsgemäß zu erfüllen.

Zum anderen handelt es sich aber bei Art. 49 Abs. 1 lit. a DSGVO, der die Einwilligung in Datentransfers in unsichere Drittländer regelt, um einen Ausnahmetatbestand, der entsprechend restriktiv auszulegen ist.

Lösung: Lokale Einbindung der Google Fonts

Um die vorgenannten Probleme zu umgehen, empfiehlt sich daher eine lokale Einbindung der Google Fonts. Im Einzelnen bedeutet dies, dass die Fonts auf dem eigenen Server heruntergeladen werden und von dort, d.h. „lokal“ gehostet werden. Besucht ein Nutzer nun die Webseite, wird bei einer nur lokalen Einbindung von Google Fonts keine Verbindung zu Google-Servern aufgebaut, sondern nur zu dem Server, auf dem die Webseite gehostet ist. Eine Übertragung der IP-Adresse an Google wird hierdurch vermieden.

Nichtsdestotrotz ist auch im Falle einer lokalen Einbindung extreme Sorgfalt geboten, denn oft schleichen sich Google Fonts unbemerkt in die Webseite hinein. Dies passiert, weil Google natürlich die eigenen Fonts ebenfalls benutzt und insbesondere in Diensten wie YouTube oder Google Maps einsetzt. Webseitenbetreiber, die auf Ihrer Website diese Dienste einbinden, werden oft feststellen müssen, dass – obwohl sie die Google Fonts nicht unmittelbar selbst einsetzen – die Google Schriftarten dennoch nachgeladen werden. Auch in diesem Fall sind also Webseitenbetreiber gut beraten, diese externen Inhalte, z.B. Videos, soweit technisch möglich, lokal einzubinden oder erst mit Einwilligung des Besuchers zu laden (in letzterem Fall aber unter Inkaufnahme der damit einhergehenden Risiken hinsichtlich der Wirksamkeit der Einwilligung, vgl. oben).

Bild: istock.com/greyj



Rechtsgebiet: Datenschutzrecht, IT-Recht
News vom: 24. Oktober 2022
Beitrag verfasst von: Chiara Panfili, Dr. Benjamin Stillner, Prof. Dr. Felix Buchmann

Dazu passende News

WordPress Image Lightbox Plugin