In letzter Zeit erhalten immer mehr Webseitenbetreiber Schreiben mit Schadensersatzforderungen oder auch Abmahnungen wegen Datenschutzverletzungen durch den Einsatz von Google Fonts. Der BVPA klärt auf.
Quick-Tipp
Ersetzen Sie dynamisch eingebundene externe Schriftarten wie Google Fonts durch statische, lokal gespeicherte Schriftarten und vermeiden Sie somit datenschutzrechtliche Schadensersatzforderungen und Abmahnungen.
Basis der Abmahnwelle: Urteil des LG München
Hintergrund derartiger Schreiben ist eine Entscheidung des Landgerichts (LG) München vom 20.01.2022 zum Aktenzeichen 3 O 17493/20, welches dem Besucher einer Webseite einen datenschutzrechtlichen Schadensersatzanspruch in Höhe von 100 Euro gegen den Betreiber dieser Webseite zusprach. Diese Entscheidung wird nun von den Verfassern der Forderungsschreiben (aus-)genutzt, um eine finanzielle Forderung gegen vermutlich zahlreiche weitere Webseitenbetreiber geltend zu machen.
Datenschutztechnische Zusammenhänge
Google Fonts sind Schriftarten, die von Google kostenfrei zur Verfügung gestellt werden und die (deshalb) sehr beliebt und weit verbreitet sind. Diese Schriftarten können auf zweierlei Weise in eine Webseite eingebunden werden: dynamisch, so dass per kurzem Skriptbefehl beim Aufruf der Webseiten durch den User die Schrift von Google-Servern geladen werden, oder statisch, wozu die Schriftart auf den eigenen Server geladen und von dort aus aufgerufen wird. Das Datenschutzproblem entsteht bei der dynamischen Einbindung der Google Fonts. Dazu wird die IP-Adresse des Users an Google in die USA übermittelt, so dass Google die Information, wer welche Webseite aufruft, erfährt, speichern und für ihre eigenen (werblichen) Geschäftsinteressen verwenden kann.
Fehlende Rechtsgrundlage für die Datenübermittlung
Das rechtliche Problem ist nun, dass der Webseitenbetreiber als Verantwortlicher für die Übermittlung der IP-Adressen seiner Webseitenbesucher an Google in den USA angesehen wird. Diese Datenübermittlung ist aus zwei Gründen rechtswidrig:
1. Es fehlt die Rechtsgrundlage: Die Übermittlung lässt sich nicht auf die Rechtsgrundlage des berechtigten Interesses, Art. 6 Abs. 1 f) DSGVO, stützen und eine (wirksame) Einwilligung, Art. 6 Abs. 1a) DSGVO in Verbindung mit Art. 7 DSGVO, liegt nicht vor. Nach Ansicht von Aufsichtsbehörden lässt sich eine solche Einwilligung in die Drittlandübermittlung auch nicht rechtswirksam einholen.
2. Zum anderen fehlt es an einer Garantie bzw. Rechtsgrundlage für die Datenübermittlung in die USA, die als datenschutzrechtlich unsicheres Drittland angesehen werden. Dies führt nun nach Ansicht des Gerichts zu einem „Kontrollverlust“ über die personenbezogenen Daten (man hat keinen Einfluss mehr darauf, was Google mit dieser Information macht) der zu einem so erheblichen Unwohlsein des Nutzers führen kann, dass ein Schadenersatzanspruch in Höhe von 100 Euro gerechtfertigt ist. Nach Art. 82 DSGVO hat nämlich die von einer Datenschutzverletzung betroffene Person - anders als nach altem deutschen Datenschutzrecht – nicht nur einen materiellen, sondern auch einen immateriellen Schadenersatzanspruch (ähnlich Schmerzensgeld).
Fazit
Ob diese bislang einzige landgerichtliche Entscheidung der Weisheit der Rechtsprechung letzter Schluss ist, bleibt fraglich, lohnt sich jedoch kaum zu hinterfragen – insbesondere in Anbetracht der leichten Möglichkeit das Problem zu vermeiden und wegen der ökonomischen Aspekte. Es lohnt bei einer Schadensersatzforderung von 100 Euro schlicht nicht, diese mit ungewissem Erfolg notfalls vor Gericht anzufechten, wenn allein die Anwaltsstunde leicht ein Mehrfaches des Schadensersatzbetrages kosten kann.
Dringend zu empfehlen ist, die eigene Webseite auf die Einbindung dynamischer Schriften zu überprüfen, z.B. durch https://webbkoll.dataskydd.net/de oder https://www.dsgvoscan.de/ und dynamisch eingebundene Schriften umgehend lokal zu hosten und statisch einzubinden. Wie das geht, sollte jeder Webmaster wissen oder schnell „googeln“ können.
RA David Seiler
www.ds-law.eu
Weiterführende Hinweise
Der Bayerische Landesbeauftragte für den Datenschutz (BayLfD): Aktuelle Kurz-Information 42: Externe Schriftarten auf Webseiten bayerischer öffentlicher Stellen: https://www.datenschutz-bayern.de/datenschutzreform2018/aki42.html
RA Seiler: Update: TTDSG und Webseiten-Datenschutz – Welchen Änderungsbedarf gibt es durch neue rechtliche Entwicklungen im Webseiten-Datenschutz? https://www.ds-law.eu/ttdsg-und-webseiten-datenschutz/