Rechtswidriger Einsatz von Google Fonts und potenzielle Schadensersatzansprüche
Die Gestaltung von Webseiten und Datenschutz
Die DSGVO-konforme Gestaltung von Webseiten stellt weiterhin eine große Herausforderung dar. Zum Einsatz kommen Werkzeuge von US-amerikanischen Dienstleistern wie Google, LinkedIn, u.a., die eine Datenübermittlung in die USA implizieren. Problemstellung dabei ist die Verarbeitung personenbezogener Daten von Webseiten-Nutzern (z.B. IP-Adressen), die durch den Einsatz von Werkzeugen auf Webseiten erfolgt. Spätestens seit Einführung des Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) ist festgelegt, dass der Zugriff auf und die Speicherung von Informationen in der Endeinrichtung des Nutzers (Smartphone, Laptop, Tablet, etc.) unter Einwilligungsvorbehalt steht (vgl. § 25 TTDSG). Mehr Details zum TTDSG finden Sie in der Ausgabe 01/2022 unseres Newsletters.
Zusätzlich besteht bei US-amerikanischen Dienstleistern das Risiko des Datenzugriffs durch U.S.-Behörden. Dies war einer der Hauptgründe für den Europäischen Gerichtshof, den bestehenden Angemessenheitsbeschluss mit den USA (EU-US Privacy Shield) zu kippen (siehe Schrems II-Entscheidung, C-311/18). Bei der Gestaltung der eigenen Webseite muss der Verarbeitung und Übermittlung personenbezogener Daten, u.a. der IP-Adressen, entsprechend Rechnung getragen werden.
Was ist das Problem mit Google Fonts?
Google Fonts ist ein Werkzeug, das beim Betreiben von Webseiten regelmäßig zum Einsatz kommt. Mit Google Fonts stellt der US-amerikanische Konzern eine breite Auswahl von Schriftarten („font“, engl. für „Schriftart) zur Verfügung, die kostenlos zur Gestaltung der Webseite genutzt werden können.
Google Fonts setzt dabei keine Cookies. Allerdings werden beim Einsatz von Google-Fonts dynamische IP-Adressen durch Google erhoben und zu Analysezwecken verwendet, zumindest in der Online-Einbindung von Google Fonts. Für die Datenerhebung und -übermittlung ist in der Regel der Webseitenbetreiber verantwortlich. Hierzu braucht es eine Rechtsgrundlage, wofür ein berechtigtes Interesse (gem. Art. 6 Abs. 1 lit. f DSGVO) nicht ausreicht. Der Einsatz von Google Fonts in der Online-Einbindung bedarf der Einwilligung (gem. Art. 6 Abs. 1 lit. a DSGVO).
Alternativ zur Online-Einbindung besteht die Möglichkeit, Google Fonts lokal einzubinden, um die Datenübertragung an Google zu vermeiden. Die Schriften werden dabei nicht online, sondern lokal von eigenen Servern geladen. Dies soll technisch gewisse Nachteile bergen (verlängerte Ladezeiten, Anzeigen in Fallback-Font, bis Google Font geladen wurde), unterbindet allerdings die Datenverarbeitung durch Google. Hierbei muss bewertet werden, ob die Datenverarbeitung vom berechtigten Interesse der verantwortlichen Stelle abgedeckt ist.
Google Fonts als Grund für Schadensersatzansprüche und Abmahnungen
Im Januar 2022 hatte das Landesgericht München erstmalig dem Nutzer einer Webseite, auf der Google Fonts ohne Einwilligung eingebunden wurde, Schadensersatz in Höhe von 100 EUR zugesprochen (siehe LG München, Urteil vom 20.01.2022, Az. 3 O 17493/20). Das Landesgericht München hielt fest, dass die unerlaubte Weitergabe der dynamischen IP-Adresse des Klägers an Google eine Verletzung des allgemeinen Persönlichkeitsrechts in Form des informationellen Selbstbestimmungsrechts nach § 823 Abs. 1 BGB darstellt.
Während die Entscheidung nachvollziehbar ist, hat das Urteil des Landesgerichts München unvorhergesehene Folgen. Privatpersonen und Rechtskanzleien nehmen das Urteil zum Anlass, gezielt nach Webseiten zu suchen, die Werkzeuge wie Google Fonts rechtswidrig einsetzen. Verschiedene Quellen berichten von Abmahnwellen sowohl in Deutschland als auch in Österreich. Auch unsere Mandanten haben teilweise Abmahnungen erhalten, wobei Google Fonts nur eines von vielen Themen ist, die an den Webseiten bemängelt werden. Sofern Sie also Google Fonts und vergleichbare Werkzeuge auf Ihrer Webseite einsetzen, empfehlen wir, diese datenschutzrechtlich prüfen zu lassen und ggf. die Einwilligung zur Datenverarbeitung der Nutzer einzuholen.
Neues Seminar des Bitkom Consult-Teams zu Datenschutzrecht im digitalen Marketing
Wir möchten Sie in diesem Rahmen auf unser neues Seminar Datenschutzrecht im digitalen Marketing aufmerksam machen. In diesem interaktiven Workshop beschäftigen wir uns mit den Auswirkungen der DSGVO auf die Gestaltung von Webseiten, Social Media-Kanälen, und weiteren Werbemaßnahmen wie Cross-Device-Tracking, CMPs, Tracking-Tools sowie CRM-Systemen. Wir zeigen die rechtlichen Grundlagen des Datenschutzes auf und behandeln anschließend konkret die Herausforderungen, die Ihnen im Marketing regelmäßig begegnen. Außerdem werden wir gemeinsam Fallbeispiele aus der Praxis diskutieren und die auftretenden Herausforderungen in einem modellhaften Prozess lösen.
