Das ist passiert
Das Landgericht München hat den Betreiber einer Webseite dazu verurteilt, die IP-Adresse des Klägers nicht mehr dem Betreiber des Dienstes Google Fonts (Google) offenzulegen. Bei Zuwiderhandlung droht dem Betreiber ein gerichtliches Ordnungsgeld bis 250.000 Euro. Darüber hinaus verurteilte es den Betreiber zur Auskunft und zur Zahlung von 100 Euro zuzüglich Zinsen (LG München, Urteil vom 19.01.2022, Az. 3 O 17493/20).
Was ist Google Fonts
Webdesign lebt von Schriftarten
Moderne Webseiten sind mehr als nur eine bloße Informationsplattform. Sie sind Visitenkarte, Aushängeschild und dienen der Präsentation der Identität des Unternehmens. Wesentlich für das Design einer Webseite ist die Auswahl der richtigen Schriftart (englisch: Font).
Was macht der Dienst Google Fonts?
Google bietet unter der Domain fonts.google.com den praktischen Dienst „Google Fonts“ an. Schriftarten können Nutzer dort kostenfrei betrachten und ausgewählen. Sind die gewünschten Schriftarten gewählt, leitet die Seite den Nutzer auch an, wie diese in die Webseite eingebunden werden können. So schlägt die Anwendung automatisch die Einbindung via Link-Tag in der Kopfzeile des Dokuments vor. Alternativ wird auch der notwendige Code für eine Import-Anweisung (@import) in Stylesheets (.css oder inline) ausgegeben:
Bsp. 1:
<link rel=“preconnect“ href=“https://fonts.googleapis.com“>
<link rel=“preconnect“ href=“https://fonts.gstatic.com“ crossorigin>
<link href=“https://fonts.googleapis.com/css2?family=Roboto:wght@500&display=swap“ rel=“stylesheet“>
Bsp. 2:
<style>
@import url(‚https://fonts.googleapis.com/css2?family=Roboto:wght@500&display=swap‘);
</style>
Auf diese Weise sind die Schriftarten ohne nennenswerten Aufwand schnell eingebunden.
Wieso Google Fonts insbesondere in Baukasten-Systemen vorkommt
Viele Webseiten, die mit einem Baukastensystem erstellt wurden, setzen Google Fonts ein. Das hat verschiedene Gründe. Einer davon dürfte sein, dass sich die Schriftarten aufgrund ihrer großzügigen Lizenz und der eindeutigen Syntax problemlos integrieren lassen. Man kann dem Nutzer also eine gewaltige Auswahl von Schriftarten anbieten, ohne diese in jeder Instanz selbst ausliefern zu müssen.
Auf manche Nutzer dieser Baukästen kommt nun eventuell zusätzlicher Ärger zu (siehe unten).
Was ist das Problem mit Google Fonts?
Grundsätzlich gibt es überhaupt kein Problem mit dem Dienst. Er funktioniert seit Jahren zuverlässig auf unzähligen Webseiten. Allerdings muss er datenschutzkonform eingesetzt werden. Die von Google standardmäßig vorgeschlagenen Anweisungen für die Einbindung stellen das allerdings regelmäßig nicht ohne weitere Vorkehrungen sicher.
Standardeinstellung: Laden der Schriftarten von Google
Die vorgeschlagenen Einstellungen von Google sehen vor, dass die Schriftarten von Googles Servern geladen werden. Das hat unzweifelhaft den Vorteil, dass sich der Betreiber nicht damit beschäftigen muss, die Schriftarten herunterzuladen, auf den eigenen Server hochzuladen und sodann den Pfad im Stylesheet entsprechend anzupassen. Es hat aber den entscheidenden Nachteil, dass die vom Betreiber ausgelieferte Webseite den Browser des Nutzers anweist, eine Verbindung mit den Servern von Google herzustellen, um die Schriftarten zu laden und anzuzeigen.
Hierbei wird die IP-Adresse des Besuchers nebst Meta-Informationen zum anfragenden Endgerät an Google übertragen.
Alternative: Selbsthosting
Google bietet mittlerweile auch die Möglichkeit an, die ausgewählten Schriftarten herunterzuladen, um diese selbst zu hosten. Diese Möglichkeit stellt aus datenschutzrechtlicher Sicht kein Problem dar. Alternativ kann auch der Dienst „Google Webfonts Helper“ genutzt werden (https://google-webfonts-helper.herokuapp.com/fonts).
Die Entscheidung des LG München
IP-Adressen sind ein personenbezogenes Datum
Das LG München folgt der Argumentation des Bundesgerichtshofs (BGH, Urteil vom 16.05.2017 – VI ZR 135/13) und geht mit ihm davon aus, dass der Webseitenbetreiber abstrakt über die rechtlichen Mittel verfügt, die vernünftigerweise eingesetzt werden könnten, um mithilfe Dritter den betreffenden Besucher anhand der gespeicherten IP-Adressen bestimmen zu lassen. Damit kommt es folgerichtig zu dem Ergebnis, dass es sich bei IP-Adressen um ein personenbezogenes Datum nach Art. 4 Nr. 1 DSGVO handelt.
Weitergabe an Google war rechtswidrig
Diese personenbezogenen Daten habe der Betreiber durch Einbindung des Dienstes Google Fonts an die Firma Google weitergegeben. Da der Nutzer in diese Weitergabe nicht eingewilligt habe (etwa durch ein vorgeschaltetes Consent-Banner oder auf andere nach Art. 6 Abs. 1 lit. a DSGVO zulässige Weise), sei die Weitergabe auch rechtswidrig gewesen.
Keine Rechtfertigung durch Art. 6 Abs. 1 lit. f DSGVO: Kein berechtigtes Interesse
Insbesondere stellte das Gericht fest, dass der Betreiber sich nicht auf ein berechtigtes Interesse an der Einbindung von externen Schriftarten berufen könne. Denn die eingesetzten Schriftarten können eben gerade auch genutzt werden, ohne dass eine Verbindung zu den Diensten von Google hergestellt werden muss.
Keine Verpflichtung des Nutzers, Gegenmaßnahmen zu treffen
Der Nutzer sei auch nicht verpflichtet gewesen, seine IP-Adresse „zu verschlüsseln“. Freilich ist es nicht möglich, seine IP-Adresse zu verschlüsseln. Was das Gericht hingegen meint, ist klar: Es liegt nicht in der Verantwortung des Nutzers, seine Identität durch geeignete Maßnahmen (etwa durch das Vorschalten eines VPN) zu verschleiern.
Unterlassungsanspruch aus §§ 823, 1004 BGB analog auch im Zusammenhang mit DSGVO-Verstößen möglich
In der streitigen Frage, ob neben der DSGVO auch Rechtsinstrumente aus dem nationalen Recht anwendbar sind, hat das LG München – ohne hierzu näheres auszuführen – angenommen, dass die Regelungen der §§ 823, 1004 BGB analog auch mit Blick auf datenschutzrechtliche Verstöße, die unter die DSGVO fallen, Anwendung findet.
Damit ist der Weg frei für Unterlassungsansprüche.
Anders hat dies jüngst das Landgericht Wiesbaden gesehen (LG Wiesbaden, Urteil vom 21.01.2022, Az. 10 O 14/21).
Schadensersatz aus Art. 82 DSGVO in Höhe von 100 Euro wegen Unwohlsein
Zudem verurteilte das Gericht den Betreiber zur Zahlung von 100 Euro Schadensersatz. Ob dabei – wie von einigen Gerichten angenommen – eine Erheblichkeitsschwelle erreicht werden müsse, brauchte das LG München nach seiner Ansicht nicht zu entscheiden. Denn gerade bei der Weitergabe der Daten an Google, ein amerikanisches Unternehmen, das bekanntermaßen Daten über seine Nutzer sammle, entstehe ein erhebliches Unwohlsein. Andererseits war verurteilte das Gericht wiederum „nur“ zur Zahlung von 100 Euro.
Einordnung: Diese Entscheidung betrifft nicht nur Google Fonts
Auch wenn Google Fonts ein plakatives Beispiel für das Problem ist: Die Bedeutung der Entscheidung dürfte erheblich weiter gehen. Das Einbinden externer Ressourcen, die ebenso gut lokal gehostet werden können, ist ohne Einwilligung des Nutzers meistens rechtswidrig. Wer seine Webseite den Vorgaben der DSGVO entsprechend gestaltet hat, dürfte dies nicht überraschen. Die Entscheidung ist gleichwohl eine gute Gelegenheit, das eigene Projekt nochmals zu prüfen.
Handlungsempfehlungen
Um dem Risiko von Abmahnungen und Schadensersatzansprüchen zu begegnen, sollten Webseitenbetreiber dringend prüfen, ob sie auf ihren Seiten externe Ressourcen ohne wirksame Zustimmung der Besucher einsetzen. Hierzu zählen beispielsweise Dienste wie externe Schriftarten (Google Fonts, Adobe Fonts etc.) und JavaScript CDNs wie JSDelivr.
Betreiber, die Ihre Webseite mit Baukastensystemen betreiben, sollten diese nochmals kritisch prüfen. Gerade diese setzen sehr häufig auf externe Ressourcen. Sollte das bei Ihnen der Fall sein, empfehlen wir Ihnen dringend, sich mit dem entsprechenden Anbieter in Verbindung zu setzen und auf eine Nachbesserung hinzuwirken.
Wenn Sie sich nicht sicher sind, ob Sie entsprechende Dienste und Ressourcen einsetzen, sprechen Sie uns an.
Fazit
Die Entscheidung des LG München spricht nur das aus, was eigentlich schon längst klar war. Sie ist jedoch wegen des erheblichen Abmahnpotentials von großer Bedeutung und sollte nochmals Anlass dazu geben, die eigene Webseite einer kritischen Prüfung zu unterziehen.
Vorsorglich sollten sich Betreiber auch darauf einstellen, dass Unterlassungsansprüche wegen DSGVO Verstößen höchstrichterlich gehalten werden. Andernfalls droht nämlich das nationale Schutzniveau von Grundrechten durch abschließende Vorschriften der EU unterlaufen zu werden.
Ausblick
Aktuell ist wieder einiges in Bewegung:
- Die EU verhandelt weiter mit der US-Regierung über einen verstärkten Nachfolger des für ungültig erklärten Privacy-Shields. Mit der Einführung eines solchen Abkommens könnte die Nutzung von US-Diensten wieder einfacher werden. Aktuell sind Datentransfers in die USA nur über SCCs denkbar.
- Bis 31. März 2022 müssen die ersten Unternehmen zwingend in das nunmehr als Vollregister ausgelegte „Transparenzregister“ eigetragen sein. Dieses dient der Bekämpfung von Geldwäsche. Spätestens bis Ende des Jahres müssen alle betroffenen Unternehmen eingetragen sein. Ansonsten drohen Bußgelder.
- Dem EuGH liegen aktuell gleich mehrere Vorlagen zur Entscheidung vor, welche die DSGVO betreffen. Mehrere deutsche Gerichte möchten wissen, ob bei Schadensersatzansprüchen nach Art. 82 DSGVO eine gewisse Erheblichkeitsschwelle der Beeinträchtigung der Interessen von Betroffenen überschritten werden muss. Sollte der EuGH diese Frage verneinen, könnte eine nie zuvor dagewesene Klageflut
Bild: AdobeStock_425348116, monticellllo