Das Landgericht München hat ein Urteil (Az. 3 O 17493/20) gefällt:
Wer dynamische Webinhalte, wie Google Fonts, ohne die Einwilligung des Besuchers einbindet, handelt rechtswidrig und verstößt gegen die DSGVO. Webseitenbetreiber können auf Unterlassung und Schadensersatz verklagt werden.
Des Weiteren können ein Ordnungsgeld von bis zu 250.000 Euro oder eine Ordnungshaft von bis zu 6 Monaten drohen.
Wann und warum das Einbinden von Schriftartendiensten gefährlich für Webseitenbetreiber werden kann und wie Sie handeln können, erfahren Sie hier.
Die "Google Fonts Klage" - Was war der Anlass?
Bei einem Webseitenaufruf wurde eine IP-Adresse des Klägers an Google, also ein US-Unternehmen, übermittelt, und zwar aufgrund der dynamisch eingebundenen Google Font.
Da dies ohne das Wissen oder der Einwilligung (Art. 6 Abs. 1 a) DSGVO) des Webseitenbesuchers und Klägers geschah, klagte dieser auf Unterlassung und Schadensersatz.
Dem wurde stattgegeben und dem Kläger ein Schadensersatz von 100 Euro zugesprochen (dem Kläger steht ein Schadensersatzanspruch aus Art. 82 Abs. 1 DS-GVO zu).
Sollte die IP-Adresse des Klägers weiterhin beim Besuch der Webseite an Google übermittelt werden, muss die Webseitenbetreiberin mit einem Ordnungsgeld von bis zu 250.000 Euro oder einer Ordnungshaft von bis zu sechs Monaten rechnen.
Die Beklagte hatte keine Einwilligung für die Weitergabe der dynamischen IP-Adressen an Google von ihren Besuchern eingeholt, z. B. über ein Consent-Banner.
Worauf stützt sich das Urteil?
Weitergabe personenbezogener Daten an Unternehmen in den USA
Das Recht auf informationelle Selbstbestimmung (nach § 823 Abs. 1 BGB ) beinhaltet das Recht des Einzelnen,
über die Preisgabe und Verwendung seiner personenbezogenen Daten zu bestimmen.
“Dynamische IP-Adressen stellen für den Betreiber einer Webseite ein personenbezogenes Datum dar, denn er verfügt abstrakt über die rechtlichen Mittel, die vernünftigerweise eingesetzt werden könnten, um mithilfe Dritter, und zwar der zuständigen Behörde und des Internetzugangsanbieters, die betreffende Person anhand der gespeicherten IP-Adressen bestimmen zu lassen”.
Die Weitergabe der IP-Adresse des Nutzers stelle daher laut Gericht einen Eingriff in das allgemeine Persönlichkeitsrecht dar.
Aufgrund der unkontrollierbaren Übermittlung personenbezogener Daten (ohne Einverständnis des Besuchers der Website) an das Unternehmen Google, das bekanntermaßen Daten über seine Nutzer sammelt, sei ein Schadensersatzanspruch gerechtfertigt.
Websitebesucher seien auch nicht verpflichtet, die eigene IP-Adresse zu „verschlüsseln“ (z. B. mit VPN), um solche Eingriffe in das Datenschutzrecht zu verhindern.
Denn es geht v. a. darum, natürliche Personen bei der Verarbeitung ihrer personenbezogenen Daten zu schützen, nicht sie zu beeinträchtigen.
Zudem sei der Einsatz von Schriftartendiensten wie Google Fonts auch möglich ist, ohne dass eine Verbindung von Besuchern zu Google Servern hergestellt werden muss.
DSGVO konforme Einbindung - Was kann ich tun?
Wichtiger Hinweis:
Das Urteil betrifft die DSGVO und nicht die Cookie-Einwilligung!
Das Cookie-Popup schützt Sie nicht vor Fällen dieser Art und ersetzt nicht die Einwilligung des Webseiten-Besuchers.
Google Fonts sind Schriftarten, die Google in großer Anzahl und Vielfalt kostenlos zur Verfügung stellt.
Statisch versus dynamische Webinhalte
Man muss Google Fonts nicht zwingend über externe (Google) Server einbinden, also mithilfe eines Code-Snippets im HTML-Code der Website (dynamische Einbindung).
Sondern man kann die entsprechenden Schriftarten auch herunterladen und intern auf dem eigenen Server einsetzen (statische Einbindung).
Auf diese Weise wird keine Verbindung zu Google-Servern aufgebaut und es werden keine Persönlichkeitsrechte verletzt.
Das müssen Webseitenbetreiber beachten
Nicht nur Google Fonts betroffen
Laut Rechtsanwalt Plutte betrifft das Münchner Urteil nur exemplarisch den Dienst Google Fonts.
"Sollte sich die Sichtweise des Landgerichts München durchsetzen, stellt sie einen Freibrief für Abmahnungen und Schadensersatzforderungen dar. Das deutschsprachige Internet ist voll von Websites, die US-Webdienste ohne Consent Banner einsetzen. Um sich zum klageberechtigten Betroffenen zu machen, reicht ein einziger Klick".
Die vom Gericht aufgestellten Grundsätze (nach dem Urteil des Landgerichts München) beziehen sich nicht nur auf die Einbindung von Google Fonts.
Sie gelten auch für alle aus den USA stammenden Webdienste, die dynamisch in eine Internetseite eingebunden werden.
Somit ist jede Art von CDN (Content Delivery Network) aus den USA betroffen.
Um einer möglichen Klage zu entgehen, müssen Webseiten die Inhalte wie Schriftarten, Skripte oder Bilder auf dem eigenen Server einbinden.
Eine alternative Lösung könnte die korrekte Einbindung eines Consent Banners und damit die eindeutige Nutzereinwilligung sein.
Unklar bleibt jedoch, ob es in diesem Fall ausgereicht hätte, um die Weitergabe von IP-Adressen in die USA zu rechtfertigen.
Über diese Variante hat das Landgericht bis jetzt nicht geurteilt, da im vorliegenden Fall kein Consent Banner eingesetzt wurde.
Welche Skripte sind betroffen?
Die dynamische Einbindung von:
- Google Fonts
- Youtube Videos
- Google Recaptcha
- Google Maps
- Google Analytics & Adwords
- Sämtliche Social-Networks (z. B. Facebook Tweet)
Wie stelle ich fest, ob ich betroffen bin?
Sie können anhand der Developer Tools überprüfen, ob Daten an Dritte übermittelt werden.
Wenn Sie sich auf der entsprechenden Website befinden (in Chrome/Firefox),
drücken Sie F12, um die Developer Tools zu aktivieren.Es geht ein seitliches Fenster auf, das Ihnen weitere Informationen anzeigt.
Wenn Sie auf den Reiter "Sources" klicken, sehen Sie die Dateien, die beim Webseitenaufruf extern geladen werden.
DSGVO konforme Lösungen - Wir helfen Ihnen
Wir bieten (unabhängig von Ihrem verwendeten CMS) DSGVO konforme Lösungen und helfen Ihnen bei der Umsetzung.
Bei Fragen und Support stehen wir Ihnen jederzeit zur Verfügung.
Quellen: