Schadensersatz wegen unzulässiger Nutzung von Google Webfonts

Viele Webseitenbetreiber oder Verantwortliche generell dürften diese Problematik rund um die Drittlandsübermittlung nicht auf ihrem Zettel haben. Wenn sich Verantwortliche um die Konsequenzen und Herausforderungen rund um die das sog. Schrems II-Urteil des EuGH Gedanken machen, geht es meist um Office 365, die Nutzung von Videkonferenztools mit Drittlandsbezug oder generell um die massenhafte Übermittlung von Beschäftigtendaten in Konzernstrukturen.

Dass das Thema viele Verantwortliche auch bei dem Thema “Nutzung bzw. Einbindung von Schriftarten auf Webseiten” einholen kann, macht ein Urteil des Landgericht München i seiner Entscheidung (Urteil vom 20.01.2022, Az. 3 O 17493/20) deutlich. Das Gericht sprach hier einen Unterlassungsanspruch und Schadensersatz (hier 100 €) wg. Weitergabe von IP-Adresse an Google durch Nutzung von Google Fonts gegen den Beklagten aus.

Was war passiert und was sind Google Fonts?

Google Fonts bietet die Option, Schriften auf der eigenen Website zu nutzen, ohne dass diese auf den eigenen Server hochgeladen werden müssen. In diesem Fall werden beim Aufruf der Webseite durch einen Benutzer die Schriften über einen Google-Server nachgeladen. Dieser externe Aufruf bewirkt, dass Daten an Google übertragen werden. Vielfach dürfte diese Drittlandsübermittlung, die es bei genauer Betrachtung ist, wegen der niederschwelligen Nutzungsmöglichkeit auf dem Radar vieler Fachabteilungen und auch des Datenschutzbeauftragten nicht auftauchen.
Die Leitsätze des Gerichts zeigen aber recht deutlich, dass auch die datenschutzkonforme Einbindung von Webfonts durchaus ein Thema für den Datenschutz sein muss und ggf. sogar mindestens als Bulletpoint im Verzeichnis der Verarbeitungstätigkeiten auftauchen sollte:

“1. Dynamische IP-Adressen stellen für den Betreiber einer Webseite ein personenbezogenes Datum dar, denn er verfügt abstrakt über die rechtlichen Mittel, die vernünftigerweise eingesetzt werden könnten, um mithilfe Dritter, und zwar der zuständigen Behörde und des Internetzugangsanbieters, die betreffende Person anhand der gespeicherten IP-Adressen bestimmen zu lassen.

2. Der Einsatz von Schriftartendiensten wie Google Fonts kann nicht auf Art. 6 Abs. 1 S.1 lit. f DS-GVO gestützt werden, da der Einsatz der Schriftarten auch möglich ist, ohne dass eine Verbindung von Besuchern zu Google Servern hergestellt werden muss. Es besteht keine Pflicht des Besuchers, seine IP-Adresse zu „verschlüsseln“ [“verschleiern”].

3. Die Weitergabe der IP-Adresse des Nutzers in der o.g. Art und der damit verbundene Eingriff in das allgemeine Persönlichkeitsrecht ist im Hinblick auf den Kontrollverlust über ein personenbezogenes Datum an Google, ein Unternehmen, das bekanntermaßen Daten über seine Nutzer sammelt und das damit vom Nutzer empfundene individuelle Unwohlsein so erheblich, dass ein Schadensersatzanspruch gerechtfertigt ist.

Dabei lassen sich bei Bedarf die begehrten Google Schriftarten auch offline und damit datenschutzfreundlich einbinden. Nicht nur über die Google-Suchmaschine lassen lassen sich zahlreiche gute Tutorials finden, die eine datenschutzkonforme Einbindung erläutern ;-).

(Foto: Sashkin – stock.adobe.com)