Viele Webseiten setzen den Dienst „Google Fonts“ ein, mit dem Schriftarten über den Google-Server geladen werden. Rechtlich ist das ein Risiko, wie eine aktuelle Entscheidung des Landgerichts München I zeigt, in dem ein Webseitenbetreiber auf Unterlassung und Zahlung von Schadensersatz verurteilt wurde.

Inhalt

Weitergabe dynamischer IP-Adresse nur mit Einwilligung 


Google Fonts wird in der Regel sofort geladen, wenn ein Nutzer die Webseite aufruft. Damit wird seine IP-Adresse automatisch an Google weitergegeben. Weil sich über die IP-Adresse ermitteln lässt, wer eine Webseite besucht hat, beispielsweise durch Strafverfolgungsbehörden, handelt es sich um ein personenbezogenes Datum. 
„Die dynamische IP-Adresse stellt für einen Webseitenbetreiber ein personenbezogenes Datum dar, denn der Webseitenbetreiber verfügt abstrakt über rechtliche Mittel, die vernünftigerweise eingesetzt werden könnten, um mithilfe Dritter, und zwar der zuständigen Behörde und des Internetzugangsanbieters, die betreffende Person anhand der gespeicherten IP-Adressen bestimmen zu lassen.“ - LG München I, Urteil vom 20.01.2022 – 3 O 17493/20 
Daraus folgt, dass die Weitergabe der IP-Adresse nur erlaubt ist, wenn der Webseitenbetreiber hierfür eine Rechtsgrundlage hat. Das Landgericht geht davon aus, dass die Einbindung von Google Fonts nicht nach Art. 6 Abs. 1 lit. f) DSGVO auf berechtigte Interessen gestützt werden kann. Denn der Abruf der Schriftarten vom Google-Server ist nicht erforderlich, weil diese genauso gut auf dem eigenen Server installiert werden können: 
„Ein berechtigtes Interesse der Beklagten i.S.d. Art. 6 Abs. 1 f) DS-GVO, wie von ihr behauptet, liegt nicht vor, denn Google Fonts kann durch die Beklagte auch genutzt werden, ohne dass beim Aufruf der Webseite eine Verbindung zu einem Google-Server hergestellt wird und eine Übertragung der IP-Adresse der Webseitennutzer an Google stattfindet.“ - 
LG München I, Urteil vom 20.01.2022 – 3 O 17493/20 

Webseitenbetreiber zur Unterlassung verurteilt 


In der Konsequenz hätte der Webseitenbetreiber eine Einwilligung des Nutzers nach Art. 6 Abs. 1 lit. a) DSGVO einholen müssen. Dies könnte beispielsweise über ein Consent-Banner geschehen, durch das der Nutzer ausdrücklich und informiert in die Verarbeitung seiner Daten einwilligt – und zwar bevor seine Daten an Google gesendet werden. 

Da es an der erforderlichen Einwilligung fehlte, verurteilte das Landgericht den beklagten Webseitenbetreiber zur Unterlassung. 

Schadensersatz in Höhe von 100 € 


Daneben hat das Landgericht den Webseitenbetreiber zudem zur Zahlung eines Schadensersatzes in Höhe von 100 € verurteilt. Der mit der unrechtmäßigen Datenverarbeitung verbundene Eingriff in das allgemeine Persönlichkeitsrecht sei 
„im Hinblick auf den Kontrollverlust des Klägers über ein personenbezogenes Datum an Google, ein Unternehmen, das bekanntermaßen Daten über seine Nutzer sammelt und das damit vom Kläger empfundene individuelle Unwohlsein so erheblich, dass ein Schadensersatzanspruch gerechtfertigt ist.“ 
Ergänzend führt das Gericht an, dass die IP-Adresse an Server von Google in den USA übermittelt worden sei. Dort seien die Daten des Nutzers aber nicht angemessen geschützt. Dass in den USA kein angemessenes Datenschutzniveau herrscht, hat der Europäische Gerichtshof im Jahr 2020 festgestellt

Was folgt aus der Entscheidung für Webseitenbetreiber? 


Die Entscheidung des Landgerichts München I hat Signalwirkung. Denn sie betrifft sie einen weit verbreiteten Dienst, sodass eine Vielzahl von Webseitenbetreibern betroffen sind. Sie ist zudem auf eine Vielzahl weiterer Dienste übertragbar, bei denen Daten in die USA übertragen werden. 

Webseitenbetreiber sollten sich daher nicht darauf verlassen, dass sie alle Dienste in ihrer Datenschutzerklärung erwähnt haben, sondern dringend prüfen, ob die Voraussetzungen für ihren Einsatz gegeben sind. Denn sollte sich die Auffassung des Landgerichts durchsetzen, drohen Abmahnungen. Denn letztlich könnte jeder Nutzer einen Schaden geltend machen. 

Empfehlenswert ist daher, die Webseite zum einen datensparsam zu gestalten, also möglichst auf Drittanbieter zu verzichten und auf dem eigenen Server gehostete Dienste einzusetzen. Wenn Drittanbieter genutzt werden, sollte im Einzelnen geprüft werden, ob eine Einwilligung des Nutzers einzuholen ist. 

Welche Dienste auf Ihrer Webseite eingebunden sind, finden Sie mit unserer automatisierten Analyse heraus. Eine Datenschutzerklärung können Sie im Handumdrehen mit unseren Generatoren erstellen.