Google Fonts & DS-GVO: Wieso der Datenschutz hier relevant ist und wie Sie DS-GVO-konform handeln

Mit einer schönen und individuellen Webseite aus der Masse hervorstechen und so Interessenten locken, ist in der modernen digitalen Wirtschaftswelt für den unternehmerischen Erfolg notwendig. Ein beliebtes Hilfsmittel, um die Webseite attraktiv zu gestalten, sind Google Fonts. Mit über 1.400 Schriftarten, welche Google bereitstellt, sind die Möglichkeiten so gut wie grenzenlos. Jedoch ist nicht alles Gold was glänzt. So sind Google Fonts aktuell für betroffene Organisationen das Datenschutzreizthema der letzten Wochen. Auch wir wurden bereits gefragt, wie vorzugehen ist, wenn eine Abmahnung eingeht. Doch was ist daran problematisch, wenn man die Schriftarten auf der eigenen Webseite einsetzt und welche Relevanz hat hier die DS-GVO?

Wieso sind Google Fonts relevant für den Datenschutz?

Google Fonts können Webseitenbetreiber entweder lokal auf den eigenen Servern speichern oder so, dass sie der Server von Google-Servern lädt. Im ersten Fall lädt die Webseite die Schriftarten von den eigenen Servern. Im zweiten Fall erfolgt das jedoch online über die Server von Google. Hierbei übermittelt der eigene Webserver die IP-Adresse der Webseitenbesucher automatisch in die USA. Durch diese automatische Übermittlung verliert die betroffene Person die Kontrolle über die weitere Verarbeitung ihrer personenbezogenen Daten. Anders wäre das, wenn die Person für diese Übermittlung ihre Einwilligung abgeben würde.

Zudem sind Google Fonts ein Produkt der Google Inc., einem US-Anbieter. Wenn eine Organisation Google Fonts nutzt, unterliegt die dabei erfolgende Datenverarbeitung der Datenschutz-Grundverordnung (DS-GVO) und somit zusätzlichen Voraussetzungen. Die DS-GVO unterscheidet darin, ob Verantwortliche personenbezogene Daten innerhalb oder außerhalb der EU verarbeiten. Neben den allgemeinen Grundsätzen für die Verarbeitung personenbezogener Daten, gilt es bei Übermittlungen in Drittländer zusätzlich Kapitel V der DS-GVO zu berücksichtigen. Warum gibt es zusätzliche Anforderungen? Weil in Drittländern kein vergleichbares Datenschutzniveau wie in der EU vorhanden ist. Dem wirkt die DS-GVO insofern entgegen, dass zusätzliche Kriterien erfüllt sein müssen, damit ein Schutzniveau ähnlich dem der DS-GVO für diese Daten gewährleistet wird. Webseitenbetreiber müssen diesen Umstand beachten, wenn sie Google Fonts direkt von den Servern von Google herunterladen.

Urteil des Landesgerichtes München zu Google Fonts

Das Landgericht München I stellte nun in seinem Urteil O 17493/20 vom 20.01.2022 fest, dass die automatische Datenübermittlung das Recht auf informationelle Selbstbestimmung und somit das allgemeine Persönlichkeitsrecht verletzt. Dies hat zur Folge, dass Webseitenbetreiber eine Datenschutzverletzung begehen, wenn sie die IP-Adressen ihrer Webseitenbesucher an die Server von Google ohne Einwilligung übermitteln, um Google Fonts auf ihrer Webseite darzustellen. Insbesondere sind die Webseitenbesucher transparent darüber zu informieren, dass der Webseitenbetreiber ihre IP-Adresse in ein Drittland übermitteln, wenn sie ihre Einwilligung dazu erteilen. Zugleich bemerkte das Gericht, dass ein lokales Hosting der Google Fonts unbedenklich ist. Demnach ist die Implementierung von Google Fonts nur auf diese Art datenschutzkonform möglich.

Die Abmahnwelle zu Google Fonts als Folge des Urteils

Das Gerichtsurteil löste eine Abmahnwelle gegen Webseitenbetreiber aus, da viele Google Fonts nicht lokal auf dem eigenen Webserver installiert hatten. Dies nutzen zwei Anwaltskanzleien aus, um Webseitenbetreiber abzumahnen. In diesen Abmahnschreiben machen sie Betroffenenrechte wie löschen geltend und fordern Unterlassung sowie Schadensersatz. In den Schreiben fällt auf, dass die Rechtsanwälte in ihren Schadensersatzforderungen über das hinausgehen, was das Landgericht in seinem Urteil feststellte (100,- €). Darüber hinaus werfen die Mandanten der Kanzleien Fragen auf, was die rechtliche Beurteilung der Abmahnungen nicht ganz eindeutig macht und den Anschein eines Rechtsmissbrauchs erweckt, so bewerten dies verschiedene Rechtsanwälte unabhängig voneinander.

Google erklärt übrigens in einer Stellungnahme, dass Google die IP-Adresse nur aus technischen Gründen verarbeitet und nicht dazu, um Profile von Endusern zu erstellen oder für Werbezwecke.

Aktuelles zur Abmahnwelle zu Google Fonts

Im Oktober erging eine Einzelfallentscheidung des Landgerichtes Baden-Baden gegen eine der Anwaltskanzleien, die ein vorläufiges Verbot für weitere Abmahnungen ausspricht. Dieses beschränkt sich zwar nur auf die Abmahnung zu einer Firma, jedoch zeigt es, dass die Abmahnungen nicht vollumfänglich rechtlich korrekt sind. Demnach empfiehlt es sich nicht abzuwarten und darauf zu hoffen, dass die Thematik durch die Gerichte hinfällig wird. Durch das Urteil des Landgerichts München ist klar, dass Google Fonts lokal auf dem eigenen Webserver zu installieren sind, andernfalls können Betroffene einen Schadensersatz geltend machen. Fraglich ist, ob die Kanzleien aufgrund der hohen Anzahl an Abmahnungen auch alle Webseitenbetreiber verklagen werden. Das dürfte aufgrund der Menge schwierig werden. Wie es genau weitergeht ist unklar. Spätestens Ende 2025 würden die Ansprüche aus den Abmahnungen verjähren.

Datenschutzkonforme Einbindung von Google Fonts

Webseitenbetreiber sollten Google Fonts lokal auf den eigenen Servern installieren, um sich vor Schadensersatzansprüchen zu schützen. Hierzu müssen sie die Fonts von Google herunterladen und auf den eigenen Server wieder hochladen. So findet keine Übermittlung an Google statt und Google Fonts könnten so datenschutzkonform eingesetzt werden. Eine Anleitung zur lokalen Installation gibt es u. a. von Strato: https://www.strato.de/blog/google-fonts-in-wordpress-lokal-hosten/

Fazit: Google Fonts lokal installieren, um die DS-GVO konform zu Handeln

Google Fonts können zum Datenschutzreizthema werden, wenn Webseitenbetreiber diese falsch einbinden. Um sich vor Abmahnungen und Schadensersatzforderungen zu schützen, sollten sie diese lokal installieren. Wenn sie das nicht tun, begehen sie eine Datenpanne. Binden Sie daher stehts Ihren Datenschutzbeauftragten ein, wenn Sie Ihre Webseite gestalten. Was empfehlen Rechtsanwälte im Netz, wenn es Sie doch trifft? Wenn Sie ein Abmahnschreiben erhalten, so gibt es verschiedene Optionen:

  1. Bezahlen – Am einfachsten ist es die Google Fonts lokal zu installieren und die Summe zu zahlen, dann entsteht Ihnen kein zusätzliches Risiko.
  2. Abwarten – Ein bloßes Abwarten birgt ein gewisses Risiko, v. a. wenn die Kanzleien Beschwerde bei einer Aufsichtsbehörde einlegen. Wenn Organisationen Betroffenenrechte nicht berücksichtigen, drohen teilweise hohe Bußgelder. Da die Abmahnungen jedoch den Anschein bieten, dass es den Anwälten um schnelles Geld geht, ist es fraglich ob diese weitere Schritte einleiten.

Sollten Sie ein Abmahnschreiben hinsichtlich Google Fonts erhalten haben und Sie das Geld nicht zahlen wollen, holen Sie sich am besten den Rat eines Rechtsbeistandes ein, um Ihr Risiko professionell bewerten zu lassen.

Ihnen fehlt ein Experte, der Sie in der Umsetzung des Datenschutzes – speziell in der Gestaltung Ihrer Webseite – unterstützt? Wir helfen Ihnen gerne! Nehmen Sie jetzt Kontakt zu uns auf!

von Marc Menz, 04.11.2022

Bitte beachten Sie: Dieser Beitrag ist keine Rechtsberatung, sondern spiegelt nur unsere Erfahrungen aus der Datenschutzberatung wider!

Weiterführende Links:

Hinweis: Personenbezüge in männlicher Form schließen alle Geschlechter mit ein. Die Lesbarkeit soll durch die Verwendung der männlichen Form erleichtert werden.

Bildquelle:

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert