Auf vielen Websites werden Google Fonts verwendet. In einem neuen Urteil des Landgerichts München I geht es nun darum, ob man Schadenersatz verlangen kann, wenn Google Fonts dynamisch und ohne vorherige Einwilligung des Nutzers eingebunden sind. Startet hier gerade die nächste Abmahnungswelle?!

Welches neue Urteil gibt es zu Google Fonts?

Das Landgericht München I hat ein neues, aktuelles Urteil über Ansprüche gegen einen Websitebetreiber erlassen, der Google Schriftarten (Google Fonts) genutzt hat. Die Google Fonts wurden dynamisch eingebunden, sodass die Schriftart für die Website bei jedem Aufruf über die Google Server geladen wurde. So war das auch in dem Fall des Klägers geschehen:

Der Kläger hatte eine Website besucht, die seine IP-Adresse an Google übermittelt, um die Schriftarten auf der Website anzeigen zu können. Dies erfolgte, ohne dass der Kläger seine Einwilligung zu dieser Übermittlung erteilt hatte. Das LG München I sah darin einen verbundenen Eingriff in das allgemeine Persönlichkeitsrecht, im Hinblick auf den Kontrollverlust des Klägers über ein personenbezogenes Datum an Google. Die Weiterleitung der IP-Adresse an Google, ein Unternehmen, das bekanntermaßen Daten über seine Nutzer sammelt und das damit vom Kläger empfundene individuelle Unwohlsein, sah das LG München I als so erheblich an, dass es neben einem Unterlassungsanspruch, einen Schadenersatzanspruch nach der DSGVO als gerechtfertigt ansah.

Was genau sind denn eigentlich Google Fonts?

Einfach gesagt, ist „Fonts“ ein anderes Wort für „Schriftarten“. Noch vor wenigen Jahren war es schwierig, Schriften, die nicht auf jedem Endgerät installiert waren, darzustellen. D.h. öffnete ein Nutzer eine Webseite und hatte er die dort verwendete Schriftart nicht bei sich auf dem Gerät installiert, wurden ihm die Inhalte von Webseiten oder Apps nicht richtig angezeigt. Die Inhalte verschoben sich zum Teil und zeigten sich nicht in ihrer originalen Optik.

Um dieses Problem zu lösen, stellt Google seit 2010 kostenlose Schriften für jeden öffentlich zugänglich bereit. Damit kann jeder diese Fonts nutzen und sie direkt in ihre Webseiten einbinden oder in ihren Programmen nutzen. Die Installation der Schriftarten beim Webseitenbesucher erübrigte sich damit.

Wie können Google Fonts eingebunden werden?

Google Fonts können über zwei verschiedene Wege in Webseiten eingebunden werden: Sie können zum einen dynamisch oder statisch eingebunden werden.

Der Unterschied zwischen diesen beiden Varianten besteht darin, dass bei der statischen Einbindung, die Fonts bei Google Fonts heruntergeladen und lokal auf dem eigenen Server platziert werden. Eine Verbindung zu den Servern von Google muss folglich nicht erfolgen, da die Fonts nicht mehr von den Servern bei Google geladen werden müssen, sondern sich bereits auf dem eigenen Server befinden.

Bei der dynamischen Einbindung dagegen, werden die Fonts von einem Server bei Google abgerufen, in eine vorliegende Struktur eingefügt und als HTML Code dem Nutzer präsentiert. Bei jedem Besuch wird durch eine hergestellte Verbindung zu den Servern von Google, die Seite mit ihren Inhalten neu generiert. D.h. dynamische Seiten aktualisieren sich selbst. Je nach Schriftart und deren Verbreitung kann es zudem gut sein, dass diese schon im Browser-Cache des Besuchers liegt, sie also bei Einbindung über den Google Server nicht noch einmal geladen werden müsste und im Gegensatz zu der statischen Einbindung direkt angezeigt werden kann. Um jedoch zu wissen, an wen der eingebundene Font ausgeliefert werden soll, benötigt Google die IP-Adresse des Besuchers.

Ruft man also eine Seite mit dynamischen eingebundenen Fonts von Google auf, wird automatisch die IP-Adresse des Besuchers an Google weitergegeben. Und genau darin liegt das Problem: Bei der weitergegeben dynamischen IP-Adresse des Besuchers, handelt es sich um ein personenbezogenes Datum i.S.v. § 3 Abs. 1 BDSG, Art. 4 Nr. 1 DSGVO, mithilfe dessen Dritte die betreffende Person anhand der gespeicherten IP-Adressen bestimmen können. (BGH, Urteil vom 16.05.2017 – VI ZR 135/13). Um als Webseitenbetreiber eine dynamische IP-Adresse an Drittanbieter weiterzuleiten, muss man also vorher eine entsprechende Einwilligung des Besuchers nach Art. 6 Abs. 1 lit. a DSGVO einholen, z.B. über einen Cookie-Banner. Tut man dies nicht, liegt ein unzulässiger Eingriff in das allgemeine Persönlichkeitsrecht des Besuchers vor.

Was hat das LG München I über Google Fonts entschieden?

Genauso entschied auch das LG München I zu Gunsten des Klägers. Das LG München I sprach dem Kläger einen Anspruch auf Unterlassung der Weitergabe von IP-Adressen des Klägers an Google aus § 823 Abs. 1 i.V.m. § 1004 BGB analog, als auch einen Anspruch auf Schadensersatzanspruchi.H.v. 100 € aus Art. 82 Abs. 1 DSGVO zu.

Die Beklagte hatte sich weder die Einwilligung des Klägers zur Weiterleitung seiner IP-Adresse eingeholt, noch lässt sich nach Ansicht des Gerichts, die dynamische Einbindung der Google Fonts mit dem sog. „berechtigten Interesse“ nach Art. 6 Abs. 1 lit. f DSGVO rechtfertigen. Da es gerade andere Wege gibt Google Fonts zu benutzen, ohne dass beim Aufruf der Webseite eine Verbindung zu einem Google-Server hergestellt wird und eine Übertragung der IP-Adresse der Webseitennutzer an Google stattfindet, war eine dynamische Einbindung nicht erforderlich.

Der Kläger war auch nicht dazu verpflichtet, vor dem Aufrufen der Webseite der Verklagten seine eigene IP-Adresse mithilfe von VPN o.ä. zu verschlüsseln. Ein solches Erfordernis, würde dem Zweck des Datenschutzrechtes zuwiderlaufen, welcher in erster Linie den Schutz natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten vor Beeinträchtigung bezweckt (Vgl. auch LG Dresden, Urteil vom 11.01.2019, Aktenzeichen 1 AO 1582/18).

Gibt es Schadenersatz / Schmerzensgeld wegen „Unwohlsein“ bei Datenschutzverstößen?

Ja, entschied das LG München I.

Den Schadensersatz des Klägers begründete das LG München I aufgrund des Unwohlseins des Klägers, welches durch die Weiterleitung an Google bei ihm hervorgerufen wurde.

Zu beachten ist bei der Gewichtung des Unwohlseins vor allem, dass Google seine Server in den USA stehen hat. Das bedeutet die Server befinden sich einem Land, in welchem kein angemessenes Datenschutzniveau gewährleistet ist (vgl. EuGH, Urteil vom 16.7.2020 – C-311/18 (Facebook Ireland u. Schrems), NJW 2020, 2613).

Die Richter des LG München I setzten damit das EuGH-Urteil (Schrems II) konsequent um. Gemäß dem Urteil ist es nunmehr kaum noch möglich, Drittanbieterdienste insbesondere aus unsicheren Drittstaaten einzubinden, ohne eine vorherige Einwilligung der Webseitenbesuchenden einzuholen. Und selbst die Einwilligung gilt in Datenschutzkreisen als unsicher.

Wie kann man Google Fonts konform mit der DSGVO einbinden?

1. Um auf Nummer sicherzugehen, sollten Sie Fonts von Drittanbietern stets herunterladen und statisch in Ihre Webseite bzw. Ihr Programm einbinden. Der Download kann über Github oder den Google Webfonts Helper erfolgen. Hier können die gewünschten Schriftarten in der gewünschten Formatierung zu einem CSS-Code für die Website und als Zip-Datei zur statischen Speicherung heruntergeladen werden. [Anleitung]

2. Es sollte auch überprüft werden, ob auf Ihrer Webseite eine mögliche (illegale) Verbindung zu Drittanbietern besteht und diese, wenn möglich unterbinden. Denken Sie daran, dass nicht nur Google Schriftarten, sondern alle Schriftarten / Fonts anderer Anbieter betroffen sind, die nach dem selben Prinzip arbeiten.

3. Sollte es nicht möglich sein, die Einbindung von Drittdiensten zu unterbinden, die für den Besuch der Website nicht erforderlich sind oder personenbezogene Daten in Drittländer transferieren, gilt Folgendes: Sie sollten prüfen, ob bei einem Besuch Ihrer Webseite eine entsprechende Einwilligung eingeholt werden muss. Eine solche Einwilligung kann über einen Cookie-Banner eingeholt werden.

Was kann ich gegen eine Abmahnung wegen Google Fonts tun?

Wenn Sie eine Abmahnung erhalten haben, sollten Sie sofort tätig werden. Unterschreiben Sie nichts, ohne Rücksprache! Nehmen Sie jederzeit gern Kontakt zu uns auf, damit wir die Legitimität der Abmahnung und Ansprüche prüfen können.

In vielen Fällen werden Abmahnungen von ausländischen Firmen und Kanzleien versendet, die angreifbare Fehler enthalten. Schon Kleinigkeiten reichen aus, um Ihnen ggf. einen Anspruch auf Kostenerstattung wegen einer unberechtigten Abmahnung zu verschaffen.

Im Fall einer Abmahnung nehmen Sie bitte Kontakt zu uns auf. Sie erhalten eine kostenlose Ersteinschätzung per E-Mail oder am Telefon 🙂

Dieser Blogbeitrag ist unter freundlicher Mitarbeit von Frau Rechtsreferendarin Diana Bernet entstanden.

Das könnte Sie auch interessieren
Wir beraten derzeit sehr viele Opfer, die auf die sog. Europol  Betrugsmasche oder Europol Anruf ID Masche hereingefallen sind. Bei der Bundesnetzagen [...]
Weiterlesen
Wie geht der Betrug beim Online Banking Login über Phishing Websites? Sehr viele unserer Mandanten haben ihre Bank (Sparkasse, Kreissparkasse, Hypover [...]
Weiterlesen
Die SCHUFA Holding AG bietet diverse Dienstleistungen, die gerade von vielen für Opfer von Identitätsdiebstahl und Datenklau empfohlen werden. SchufaP [...]
Weiterlesen
Fast täglich erreichen uns Anfragen von Menschen, die befürchten, dass sie Ihr Geld einem unseriösen Broker anvertraut haben. Was machen Broker eigent [...]
Weiterlesen