Auf vielen Websites werden Google Fonts verwendet. In einem neuen Urteil des Landgerichts München I geht es nun darum, ob man Schadenersatz verlangen kann, wenn Google Fonts dynamisch und ohne vorherige Einwilligung des Nutzers eingebunden sind. Seit Anfang Juli 2022 erleben wir eine ernstzunehmende Welle an Abmahnungen einer Frau aus München.
Welches neue Urteil gibt es zu Google Fonts?
Das Landgericht München I hat ein neues, aktuelles Urteil über Ansprüche gegen einen Websitebetreiber erlassen, der Google Schriftarten (Google Fonts) genutzt hat. Die Google Fonts wurden dynamisch eingebunden, sodass die Schriftart für die Website bei jedem Aufruf über die Google Server geladen wurde. So war das auch in dem Fall des Klägers geschehen:
Der Kläger hatte eine Website besucht, die seine IP-Adresse an Google übermittelt, um die Schriftarten auf der Website anzeigen zu können. Dies erfolgte, ohne dass der Kläger seine Einwilligung zu dieser Übermittlung erteilt hatte. Das LG München I sah darin einen verbundenen Eingriff in das allgemeine Persönlichkeitsrecht, im Hinblick auf den Kontrollverlust des Klägers über ein personenbezogenes Datum an Google. Die Weiterleitung der IP-Adresse an Google, ein Unternehmen, das bekanntermaßen Daten über seine Nutzer sammelt und das damit vom Kläger empfundene individuelle Unwohlsein, sah das LG München I als so erheblich an, dass es neben einem Unterlassungsanspruch, einen Schadenersatzanspruch nach der DSGVO als gerechtfertigt ansah.
Was genau sind denn eigentlich Google Fonts?
Einfach gesagt, ist „Fonts“ ein anderes Wort für „Schriftarten“. Noch vor wenigen Jahren war es schwierig, Schriften, die nicht auf jedem Endgerät installiert waren, darzustellen. D.h. öffnete ein Nutzer eine Webseite und hatte er die dort verwendete Schriftart nicht bei sich auf dem Gerät installiert, wurden ihm die Inhalte von Webseiten oder Apps nicht richtig angezeigt. Die Inhalte verschoben sich zum Teil und zeigten sich nicht in ihrer originalen Optik.
Um dieses Problem zu lösen, stellt Google seit 2010 kostenlose Schriften für jeden öffentlich zugänglich bereit. Damit kann jeder diese Fonts nutzen und sie direkt in ihre Webseiten einbinden oder in ihren Programmen nutzen. Die Installation der Schriftarten beim Webseitenbesucher erübrigte sich damit.
Wie können Google Fonts eingebunden werden?
Google Fonts können über zwei verschiedene Wege in Webseiten eingebunden werden: Sie können zum einen dynamisch oder statisch eingebunden werden.
Der Unterschied zwischen diesen beiden Varianten besteht darin, dass bei der statischen Einbindung, die Fonts bei Google Fonts heruntergeladen und lokal auf dem eigenen Server platziert werden. Eine Verbindung zu den Servern von Google muss folglich nicht erfolgen, da die Fonts nicht mehr von den Servern bei Google geladen werden müssen, sondern sich bereits auf dem eigenen Server befinden.
Bei der dynamischen Einbindung dagegen, werden die Fonts von einem Server bei Google abgerufen, in eine vorliegende Struktur eingefügt und als HTML Code dem Nutzer präsentiert. Bei jedem Besuch wird durch eine hergestellte Verbindung zu den Servern von Google, die Seite mit ihren Inhalten neu generiert. D.h. dynamische Seiten aktualisieren sich selbst. Je nach Schriftart und deren Verbreitung kann es zudem gut sein, dass diese schon im Browser-Cache des Besuchers liegt, sie also bei Einbindung über den Google Server nicht noch einmal geladen werden müsste und im Gegensatz zu der statischen Einbindung direkt angezeigt werden kann. Um jedoch zu wissen, an wen der eingebundene Font ausgeliefert werden soll, benötigt Google die IP-Adresse des Besuchers.
Ruft man also eine Seite mit dynamischen eingebundenen Fonts von Google auf, wird automatisch die IP-Adresse des Besuchers an Google weitergegeben. Und genau darin liegt das Problem: Bei der weitergegeben dynamischen IP-Adresse des Besuchers, handelt es sich um ein personenbezogenes Datum i.S.v. § 3 Abs. 1 BDSG, Art. 4 Nr. 1 DSGVO, mithilfe dessen Dritte die betreffende Person anhand der gespeicherten IP-Adressen bestimmen können. (BGH, Urteil vom 16.05.2017 – VI ZR 135/13). Um als Webseitenbetreiber eine dynamische IP-Adresse an Drittanbieter weiterzuleiten, muss man also vorher eine entsprechende Einwilligung des Besuchers nach Art. 6 Abs. 1 lit. a DSGVO einholen, z.B. über einen Cookie-Banner. Tut man dies nicht, liegt ein unzulässiger Eingriff in das allgemeine Persönlichkeitsrecht des Besuchers vor.
Was hat das LG München I über Google Fonts entschieden?
Genauso entschied auch das LG München I zu Gunsten des Klägers. Das LG München I sprach dem Kläger einen Anspruch auf Unterlassung der Weitergabe von IP-Adressen des Klägers an Google aus § 823 Abs. 1 i.V.m. § 1004 BGB analog, als auch einen Anspruch auf Schadensersatzanspruchi.H.v. 100 € aus Art. 82 Abs. 1 DSGVO zu.
Die Beklagte hatte sich weder die Einwilligung des Klägers zur Weiterleitung seiner IP-Adresse eingeholt, noch lässt sich nach Ansicht des Gerichts, die dynamische Einbindung der Google Fonts mit dem sog. „berechtigten Interesse“ nach Art. 6 Abs. 1 lit. f DSGVO rechtfertigen. Da es gerade andere Wege gibt Google Fonts zu benutzen, ohne dass beim Aufruf der Webseite eine Verbindung zu einem Google-Server hergestellt wird und eine Übertragung der IP-Adresse der Webseitennutzer an Google stattfindet, war eine dynamische Einbindung nicht erforderlich.
Der Kläger war auch nicht dazu verpflichtet, vor dem Aufrufen der Webseite der Verklagten seine eigene IP-Adresse mithilfe von VPN o.ä. zu verschlüsseln. Ein solches Erfordernis, würde dem Zweck des Datenschutzrechtes zuwiderlaufen, welcher in erster Linie den Schutz natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten vor Beeinträchtigung bezweckt (Vgl. auch LG Dresden, Urteil vom 11.01.2019, Aktenzeichen 1 AO 1582/18).
Gibt es Schadenersatz / Schmerzensgeld wegen „Unwohlsein“ bei Datenschutzverstößen?
Ja, entschied das LG München I.
Den Schadensersatz des Klägers begründete das LG München I aufgrund des Unwohlseins des Klägers, welches durch die Weiterleitung an Google bei ihm hervorgerufen wurde.
Zu beachten ist bei der Gewichtung des Unwohlseins vor allem, dass Google seine Server in den USA stehen hat. Das bedeutet die Server befinden sich einem Land, in welchem kein angemessenes Datenschutzniveau gewährleistet ist (vgl. EuGH, Urteil vom 16.7.2020 – C-311/18 (Facebook Ireland u. Schrems), NJW 2020, 2613).
Die Richter des LG München I setzten damit das EuGH-Urteil (Schrems II) konsequent um. Gemäß dem Urteil ist es nunmehr kaum noch möglich, Drittanbieterdienste insbesondere aus unsicheren Drittstaaten einzubinden, ohne eine vorherige Einwilligung der Webseitenbesuchenden einzuholen. Und selbst die Einwilligung gilt in Datenschutzkreisen als unsicher.
Wie kann man Google Fonts konform mit der DSGVO einbinden?
1. Um auf Nummer sicherzugehen, sollten Sie Fonts von Drittanbietern stets herunterladen und statisch in Ihre Webseite bzw. Ihr Programm einbinden. Der Download kann über Github oder den Google Webfonts Helper erfolgen. Hier können die gewünschten Schriftarten in der gewünschten Formatierung zu einem CSS-Code für die Website und als Zip-Datei zur statischen Speicherung heruntergeladen werden. [Anleitung].
2. Es sollte auch überprüft werden, ob auf Ihrer Webseite eine mögliche (illegale) Verbindung zu Drittanbietern besteht und diese, wenn möglich unterbinden. Denken Sie daran, dass nicht nur Google Schriftarten, sondern alle Schriftarten / Fonts anderer Anbieter betroffen sind, die nach dem selben Prinzip arbeiten.
3. Sollte es nicht möglich sein, die Einbindung von Drittdiensten zu unterbinden, die für den Besuch der Website nicht erforderlich sind oder personenbezogene Daten in Drittländer transferieren, gilt Folgendes: Sie sollten prüfen, ob bei einem Besuch Ihrer Webseite eine entsprechende Einwilligung eingeholt werden muss. Eine solche Einwilligung kann über einen Cookie-Banner eingeholt werden.
Wie kann man Google Fonts bei WordPress DSGVO konform einbinden?
Wer seine Website auf WordPress Basis betreibt und Admin-Rechte hat, kann sich über das Plugin OMGF die Google Fonts mit wenigen Klicks statisch einbinden. Wie das geht, ist Schritt für Schritt im Blog des Webentwicklers Daniel Kaiser beschrieben.
Und wer sich nicht sicher ist, ob die eigene Website Google Fonts enthält, kann diese über den Webcheck von Sicher3 überprüfen lassen. Bitte beachten, dass damit nur die index-Seite überprüft wird, sofern man nicht explizit konkrete URLs überprüfen lässt.
Aktuelle Abmahnwelle von Rechtsanwälten (Stand: Oktober 2022) Kilian Lenard
Die Google Fonts Abmahnwelle wird mittlerweile auch von Abmahnanwälten vorangetrieben. Besonders tut sich da der Herr Rechtsanwalt Kilian Lenard, Chausseestraße 130, Berlin hervor. Angeblich vertritt er einen Martin Ismail, im Dorfe 40, Hannover, der sehr fleißig darin ist, deutschlandweit nach Google Fonts URLs in Websites zu suchen. Herr Ismail sei Teil der „Interessensgemeinschaft Datenschutz“, die bisher unseres Wissens nach nicht außerhalb dieser Abmahnwelle in Erscheinung getreten ist. Obwohl es auch Abmahnanwälten in der Regel nur um Angstmache und schnelles Geld geht, sollte man die Abmahnung ernst nehmen und sich beraten lassen.
Aktuelle Abmahnwelle (Stand: Juli 2022) „Manuela Bennar“
Viele Webseitenbetreiber erhalten seit Juni 2022 Abmahnungen, u.a. von einer Damen aus München, wegen Datenschutzverstößen auf ihren Websites durch die fehlerhafte Einbindung von Google Fonts. Eine ganze Welle an Abmahnungen erhalten Unternehmen derzeit von einer Dame aus einem Mehrparteienhaus in der Holzwiesenstraße 13 in 81737 München. Zunächst wird in dem Schreiben erklärt, welche Website besucht wurde. Bildschirmfotos werden in der Anlage beigefügt. Die Gläubigerin gibt ihre angeblich eigene IP-Adresse an, um damit ihre Aktivlegitimation zu begründen und erklärt mit Bedauern, dass auf der Website des Adressaten Google Fonts dynamisch (also mit Datenübermittlung) eingebunden wurden. Das ist meist aus dem Quelltext einer Seite ersichtlich. Daher ist es besonders einfach, das Internet systematisch nach diesen Rechtsverstößen zu durchsuchen.
Im nächsten Schritt geht die Gläubigerin auf die Art des Rechtsverstoßes und das Urteil des Landgerichts München vom 20. Januar 2022 über Google Fonts ein. Es wird behauptet, dass es um einen identischen Sachverhalt ginge.
Auf der zweiten Seite des Schreibens wird auf das Vorlageverfahren am EuGH über die Frage der Erheblichkeitsschwelle bei immateriellen Schadenersatzansprüchen hingewiesen. Gegen Zahlung von 100 Euro wäre man (angeblich) auf der sicheren Seite. Tatsächlich ist aber so, dass Unternehmen meist dann erst recht viele weitere derartige Forderungen bekommen.
Was kann ich gegen eine Abmahnung wegen Google Fonts tun?
Wenn Sie eine Abmahnung erhalten haben, sollten Sie sofort tätig werden. Unterschreiben Sie nichts, ohne Rücksprache! Nehmen Sie jederzeit gern Kontakt zu uns auf, damit wir die Legitimität der Abmahnung und Ansprüche prüfen können.
In vielen Fällen werden Abmahnungen von ausländischen Firmen und Kanzleien versendet, die angreifbare Fehler enthalten. Schon Kleinigkeiten reichen aus, um Ihnen ggf. einen Anspruch auf Kostenerstattung wegen einer unberechtigten Abmahnung zu verschaffen.
Im Fall einer Abmahnung nehmen Sie bitte Kontakt zu uns auf. Sie erhalten eine kostenlose Ersteinschätzungper E-Mail 🙂
—
Dieser Blogbeitrag ist unter freundlicher Mitarbeit von Frau Rechtsreferendarin Diana Bernet entstanden.
