Blog
Aktuelles und Relevantes

DSGVO und Google Fonts

Warum das Urteil des Landgerichts München I bzgl. Google Fonts jeden Webseitenbetreiber betrifft

Das „Google Fonts“ Urteil des Landgerichts München I vom 20.01.2022 sollte einigen Webseitenbetreibern spätestens jetzt einen Schuss vor den Bug versetzt haben. Denn wo die Rechtslage zuvor uneindeutig war, herrscht jetzt Klarheit: die dynamische Einbindung von „Google Fonts“ in Webseiten ist datenschutzwidrig. Bei Verstoß drohen Webseitenbetreibern nun Unterlassung und Schadensersatz gegenüber den Konsumenten ihres Contents. Es ist zusätzlich davon auszugehen, dass das Urteil in München künftig als Grundlage für alle anderen extern in Webseiten eingebundenen Inhalte von US-Dienstleistern gelten wird.

Warum „Google Fonts“?

Die digitale Schriftbibliothek „Google Fonts“ des Technologiekonzerns Google erfreut sich seit Jahren großer Beliebtheit in der Webseitenerstellung, da es die Einbindung von Schriftarten stark vereinfacht. Aber was macht „Google Fonts“ so begehrenswert im Webdesign?

Zunächst handelt es sich bei „Google Fonts“ um eine kostenlose Bibliothek, die dem Webseitenbetreiber ein breites Spektrum an über 1300 verschiedenen Webfonts zu Verfügung stellt. Andere, weniger populäre Schriftbibliotheken hingegen sind häufig mit hohen Anschaffungskosten und Zeitaufwand verbunden.

Aber auch in anderen Aspekten kann das Schriftartenverzeichnis von Google in der konventionellen Nutzungsweise punkten, denn dadurch, dass eine Verbindung zu den Google Servern hergestellt wird, wird der Server des Webseitenbetreibers entlastet. So hostet und lädt der Konzern die Schriften durch die firmeneigenen US-Server. Das wiederum führt zu einer verbesserten Performance der Seite im Webspace, da die Ladezeiten der Webseite durch das Outsourcing verkürzt werden. Einen weiteren Vorteil stellt die optimierte Darstellung auf unterschiedlichen Browsern und Systemen dar.

Worin liegt die Problematik bei der Nutzung von „Google Fonts“?

Zunächst scheint „Google Fonts“ also das optimale Werkzeug für die Einbindung von Webfonts darzustellen. Was viele Nutzer jedoch in den vergangenen Jahren und gerade in Hinblick auf die Einführung der DSGVO im Jahr 2018 nicht beachtet hatten, waren die datenschutzrechtlichen Konsequenzen durch die Art der Einbindung der Fonts in die Webseiten. So lassen sich zwei verschiedene Arten der Einbindung differenzieren: statisch (lokal) oder dynamisch (von externen Servern). Erstere gilt als datenschutzrechtlich unbedenklich, da keine Verbindung zum Google Server aufgebaut wird. So wird die bevorzugte Schriftart vom Webseitenbetreiber heruntergeladen und erneut im eigenen Webspace hochgeladen. Problematisch hingegen ist die dynamische Einbindung von Fonts, da hier beim Aufruf der Webseite eine Verbindung zu den Google Servern hergestellt wird. Kritisch wird dabei die unmittelbare Weitergabe von mindestens der IP-Adresse des Webseitenbesuchers an die US-Server des Konzerns gesehen – ohne dass dieser eingewilligt hat. Inwiefern die vorherige Zustimmung überhaupt möglich wäre, ist fraglich, da die Übermittlung der personenbezogenen Daten unmittelbar beim Aufrufen der Webseite geschieht.

Zusätzlich ist der Aspekt anzumerken, dass die USA zu den Ländern gehören, die den europäischen Datenschutzanforderungen nicht gerecht werden. Die rechtliche Grundlage für die Verarbeitung von personenbezogenen Daten in Drittländern sind die Artikel 44 ff. der DSGVO. Personenbezogene Daten dürfen nur dann an Drittländer übermittelt werden, wenn dort ein angemessenes Schutzniveau besteht. Dies wurde im transatlantischen Bezug durch das „Privacy Shield-Abkommen“ zwischen den USA und Europa geregelt. Aufgrund mangelnder Voraussetzungen für die Achtung des EU-Rechts im transatlantischen Datentransfer berief sich der EuGH jedoch im Jahr 2020 auf den oben aufgeführten Artikel der DSGVO und erklärte das Abkommen für unwirksam.

Da seither kein vergleichbar weitgehendes Abkommen zwischen der EU und den USA verabschiedet wurde, klafft hier nun eine juristische Lücke im transatlantischen Datenverkehr, die eine Präzisierung in Bezug auf das Fallbeispiel, ob ein Cookie-Banner die Weitergabe von IP-Adressen in die USA legitimiert hätte, offenlässt. Auch ob die neuen EU-Standardvertragsklauseln das Privacy Shield ersetzen können ist ungeklärt.

Das Urteil des Landgerichts München I als Fallbeispiel für die Problematik

Was genau hat zu dem Gerichtsurteil in München vom 20.01.2022 geführt?

Eine Webseitenbetreiberin hatte „Google Fonts“ dynamisch in ihre Webseite eingebunden. Dagegen hatte eine Privatperson geklagt, weil es folglich zu einer Weiterleitung deren IP-Adresse in die USA direkt zum Konzern kam. Dafür hatte die Webseitenbetreiberin keine Einwilligung eingeholt und dadurch die Persönlichkeitsrechte des Besuchers verletzt. Das Landgericht München I gab, aufgrund dieser Datenübermittlung ohne Einwilligung, der Klage statt und bestätigte den Anspruch des Klägers auf Unterlassung der Weitergabe dessen IP-Adresse an Google. Argumentiert wurde dies damit, dass durch die unerlaubte Weitergabe das informelle Selbstbestimmungsrecht des Nutzers verletzt wurde. Dies beinhaltet wiederum das Recht der einzelnen Person, über Preisgabe und Verwendung der eigenen personenbezogenen Daten zu bestimmen. Verurteilt wurde die Webseitenbetreiberin zu Unterlassung, sowie einem Schadensersatz von 100 Euro. Zusätzlich musste sie sich dem Kläger gegenüber der Aufklärung darüber verpflichten, ob und welche personenbezogenen Daten konkret gespeichert, oder verarbeitet wurden.

Was macht das „Google Fonts“ Urteil in München besonders?

Von besonderem Interesse ist das Gerichtsurteil in München vom 20.01.2022, weil die Rechtsgrundlage in der Content Delivery Network (CDN) Thematik bisher nicht einschlägig war. So standen sich zwei Rechtsgrundlagen gegenüber: Zum einen das überwiegende berechtigte Interesse des Webseitenbetreibers und zum anderen die Einwilligung des Nutzers.

Deshalb konnten sich Webseitenbetreiber in der Vergangenheit auf ein Ausnahmerecht berufen, das ihnen das „berechtigte Interesse gemäß Artikel 6 Abs. 1 lit. f DSGVO oder die Einwilligung gemäß Artikel 6 Abs. 1 lit. a DSGVO” einräumte. Dem widersprach das Landgericht München I nun mit dem Verweis auf die gleichwertige Alternative, die Schriftarten lokal, und damit datenschutztechnisch regelkonform, einzubinden.

Letzten Endes sprach sich das Gericht also eindeutig für den Kläger aus und sah dessen Datenschutz durch die dynamische Einbindung von „Google Fonts“ ohne Einwilligung gefährdet. Gleichzeitig scheiterte die Berufung der Beklagten auf ein berechtigtes Interesse.

Worauf kommt es für Webseitenbetreiber nach dem Urteil künftig an?

Auch wenn es sich bei dem Gerichtsurteil des Landgerichts München I um ein Produkt des Technologiekonzerns Google handelt, lassen sich die von dem Gericht aufgestellten Grundsätze auf andere US-Dienste, die Produkte für extern in Webseiten eingebundene Inhalte bereitstellen, übertragen. Sollte sich dieses Urteil also zu einem Präzedenzfall entwickeln, müssen Webseitenbetreiber mit unmittelbaren Konsequenzen wie Abmahnungen und Schadensersatzforderungen rechnen. Für einige Webseitenbetreiber, die weiterhin auf US-Webdienste ohne Cookie-Banner zurückgreifen, könnte dies zu einer vermeidbaren, kostspieligen Angelegenheit werden.

  • Dreyer, Melvin Louis (2022): Landgericht München I. Schadensersatz wegen rechtswidriger Einbindung von „Google Fonts“. [zuletzt geprüft am: 22.2.2022]; Online verfügbar unter: www.onlinehaendler-news.de/…
  • Hegemann, Lisa (2020): Was das EuGH-Urteil für Ihre Daten bedeutet. [zuletzt geprüft am: 22.2.2022]; Online verfügbar unter: www.zeit.de/…
  • Heuser, Bettina (2022): „Google Fonts“ datenschutzkonform in WordPress einbinden. [zuletzt geprüft am: 22.2.2022]; Online verfügbar unter: www.digitalfahrschule.de/…
  • o.V. (2022): „Google Fonts“. [zuletzt geprüft am: 21.2.2022]; Online verfügbar unter: www.klare-linien.de/…
  • o.V. (2022): Schadensersatz-Urteil: „Google Fonts“ und die DSGVO. [zuletzt geprüft am: 21.2.2022]; Online verfügbar unter: www.dr-datenschutz.de/…
  • o.V. (2021):Suchmaschinen Marktanteile Deutschland 2021. [zuletzt geprüft am: 21.2.2022]; Online verfügbar unter: www.seo-summary.de/…
  • o.V. (o.D.): Entwicklungsgeschichte der Datenschutz-Grundverordnung. [zuletzt geprüft am: 21.2.2022]; Online verfügbar unter: edps.europa.eu/…
  • o.V. (o.D.):DSGVO Drittland. [zuletzt geprüft am: 22.2.2022]; Online verfügbar unter: www.dsgvo-gesetz.de/…
  • o.V. (2020): Europäischer Gerichtshof kippt US-EU-Datendeal „Privacy Shield“.[zuletzt geprüft am: 22.2.2022]; Online verfügbar unter: www.sueddeutsche.de/…
  • Plutte, Niklas (2022): LG München: Einbindung von „Google Fonts“ ohne Einwilligung. [zuletzt geprüft am: 21.2.2022]; Online verfügbar unter: www.ra-plutte.de/…
  • Schwenke, Thomas (2021): Keine Angst vor US-Datentransfers ohne Privacy Shield – Muster, Ratschläge und Checkliste für Standardvertragsklauseln. [zuletzt geprüft am: 22.2.2022]; Online verfügbar unter: www.datenschutz-generator.de/…
  • Strauß, Kathrin & Weiss Maike (2020): EU-U.S. Privacy Shield – Folgen des EuGH Urteils für Unternehmen. [zuletzt geprüft am: 22.2.2022]; Online verfügbar unter: www.datenschutzexperte.de/…
  • Tremmel, Moritz (2022): Einbindung von „Google Fonts“ ist rechtswidrig. [zuletzt geprüft am: 21.2.2022]; Online verfügbar unter: www.golem.de/…
  • Weiss, Maike (2020): Wie hängen „Google Fonts“ mit der DSGVO zusammen? [zuletzt geprüft am: 21.2.2022]; Online verfügbar unter: www.datenschutzexperte.de/…
  • Wegmann, Monika (o.D.): Gedanken… Sinn und Unsinn / Vor- und Nachteile von zahlungspflichtigen Webfonts. [zuletzt geprüft am: 21.2.2022]; Online verfügbar unter: www.nextag.ch/…

Share: 

Share on linkedin
Share on facebook
Share on twitter