DSGVO-Verstoß: Abmahnung wegen Einbindung von Google Fonts

seperator
471363880

Viele Unternehmen erhalten derzeit erneut Abmahnungen und Forderungsschreiben von Privatleuten als auch von Anwälten, in denen sie aufgefordert werden einen Betrag zwischen 100 und 500 Euro als Schadenersatzleistung aufgrund eines angeblichen DSGVO-Verstoßes zu zahlen.

Der Verstoß begründet sich in der Einbindung von Google Fonts auf den Unternehmens-Webseiten der angeschriebenen Unternehmen. Grundlage hierfür ist ein Urteil des Landgericht München, welches im Januar 2022 die Einbindung von Google Fonts mit der Begründung verboten hatte, dass dabei unerlaubt personenbezogene Daten an Google in die USA weitergegeben werden (LG München, Urteil v. 20.01.2022, Az. 3 O 17493/20). Das Landgericht München hatte dem Kläger 100 Euro als immateriellen Schadenersatz zugesprochen und bei wiederholtem Verstoß ein Ordnungsgeld von bis zu 250.000 Euro angedroht.

Hintergrund: Was sind Google Fonts?
Google Fonts sind eine Schriftarten-Sammlung, die auf Webseiten extern eingebunden werden können. Der Nutzen für die Webseitenbetreiber besteht darin, dass sie so aus einer größtmöglichen Auswahl an Schriftarten für ihre Webseite wählen können. Sofern ein Besucher nun die Webseite besucht, wird die vom Anbieter ausgewählte Schriftart vom Google Server heruntergeladen und angezeigt. In diesem Zuge wird auch die IP-Adresse des Besuchers automatisch an Google übermittelt. Weil IP-Adressen gem. Urteil des EuGH vom 19.10.2016 (Az. C-582/14) und gem. Urteil des BGH vom 16.05.2017 (Az. VI ZR 135/13) als personenbezogene Daten gelten, ist die Weiterleitung ohne die ausdrückliche Einwilligung des Besuchers daher nicht erlaubt. Dies gilt auch für dynamische IP-Adressen, also IP-Adressen, die sich beispielsweise täglich ändern.

Woran sehe ich, ob meine Webseite Google Fonts benutzt?

Sie können relativ schnell und einfach prüfen, ob Ihre Webseite Google Fonts verwendet. Öffnen Sie Ihre Webseite hierzu in einem Webbrowser Ihrer Wahl. Klicken Sie nun mit der rechten Maustaste auf einen beliebigen Punkt Ihrer Webseite und klicken Sie auf „Seitenquelltext anzeigen„. Nun öffnet sich ein Fenster mit Ihrem Webseiten-Code. Drücken Sie nun die Buchstabenkombination „STRG+F“ und suchen Sie nach „fonts.googleapis.com„. Sofern Sie einen entsprechendes Ergebnis finden, verwendet Ihre Webseite Google Fonts.

Beispiel:

Lösung

Es gibt nun zwei Möglichkeiten Google Fonts datenschutzkonform einzusetzen:

Option 1: Schriftarten lokal einbinden
Die ausgewählten Schriftarten können unter https://fonts.google.com kostenfrei bei Google heruntergeladen und auf Ihren Webserver hochgeladen werden. Die Schriftarten müssen anschließen noch mittels einer CSS-Datei lokal in Ihre Webseite eingebunden werden. Dies ist üblicherweise Aufgabe eines Webentwicklers oder Webdesigners. Schon werden die Schriftarten lokal von Ihrem Server geladen und Ihre Webseite baut keine Verbindung mehr zur Google Fonts API auf.

Option 2: Google Fonts mit Einwilligung der Webseiten-Besucher
Die etwas aufwändigere Methode besteht im sogenannten „Opt-In-Verfahren“.

Denn: es ist schließlich nicht verboten, die Google Fonts Schriftarten zu benutzen. Sie müssen Ihre Webseiten-Besucher allerdings vorher um Erlaubnis bitten. Denn sobald eine Schriftart (= eng. Font) vom Browser Ihres Webseitenbesuchers angefordert wird, wird dessen IP-Adresse von Google erfasst und für Analysezwecke verwendet. Dies findet sich so auch transparent in den Google AGB zur Google Fonts API wieder. In den AGB beschreibt Google außerdem wie die erfassten Daten genau analysiert werden.

Damit das nicht passiert, müssen Sie also ein Script einbinden, bei dem der Webseiten-Besucher beim Besuch Ihrer Webseite mittels Pop-up aufgefordert wird, sich aktiv für oder gegen die Google Schriftarten zu entscheiden. Das Script überprüft dann den Einwilligungsstatus und lädt Google Fonts erst bei vorhandener Einwilligung.

Bitte beachten Sie: Solange keine Einwilligung seitens des Besuchers vorliegt, wird die über Google Fonts eingebundene Schriftart auch nicht geladen. Das kann unter Umständen zu einer verzerrten Wahrnehmung der Webseite führen, wenn keine Fallback-Schriftart im CSS definiert wurde. Der Fallback sollte unbedingt eine Systemschriftart sein, die auf allen Betriebssystemen funktionierende Schriftarten beinhaltet.
Gerne beraten wir Sie bei der datenschutzkonformen Einbindung von Google Fonts.

Update vom 21.09.2022: Sofern Sie ein Aufforderungsschreiben durch den Rechtsanwalt Kilian Lenard aus Berlin im Auftrage des Herrn Martin Ismail zugesandt bekommen haben, empfehlen wir Ihnen die Kontaktaufnahme zur Rechtsanwaltskanzlei Jan B. Heidicker. Die Kanzlei ist der Auffassung, dass die Forderung trotz wohlmöglich bestehenden Datenschutzverstoßes unberechtigt ist, weil die gerügte Persönlichkeitsrechtsverletzung nicht vorliegen dürfte. Hierzu können Sie telefonisch Kontakt mit der Kanzlei unter der Rufnummer 02307/17062 aufnehmen oder Ihr Aufforderungsschreiben direkt per E-Mail an: [email protected] senden. Die Kanzlei rät dringend davon ab vorschnell zu zahlen und von einer Kontaktaufnahme mit der Gegenseite Abstand zu nehmen.

Wichtiger Hinweis: Bitte beachten Sie, dass wir keine Steuer- oder Rechtsberatung erbringen dürfen und mit dieser Information keine Steuer- oder Rechtsberatung erbracht wird. Es handelt sich um allgemeine und öffentlich zugängliche Informationen, die auf den jeweiligen Sachverhalt Ihres Unternehmens im Einzelfall anzupassen und aus steuer- und rechtlicher Sicht zu bewerten sind. Bitte holen Sie eine auf Ihre Umstände zugeschnittene Beratung Ihres Steuer- bzw. Rechtsberaters ein, bevor Sie Entscheidungen über die sich in Zusammenhang mit diesem Thema befindlichen Informationen treffen. Für die Richtigkeit der in diesem Artikel enthaltenen Angaben können wir trotz sorgfältiger Prüfung keine Gewähr übernehmen.