auctores
Menü Zur Startseite
Startseite

Wer Schriftarten von Google dynamisch einbindet, kann abgemahnt werden. - Bild: peterschreiber.media/Adobe Stock

Schadenersatzforderungen wegen Google Webfonts

Massenhaft Abmahnungen von Privatpersonen wegen DSGVO-Verstoß

Viele deutsche Website-Betreiber*innen erhalten derzeit E-Mails mit Schadenersatzforderungen: Die Absender*innen weisen darauf hin, dass der von ihnen besuchte Internetauftritt Google Webfonts nutzt und deshalb ohne Vorwarnung personenbezogene Daten in die USA übermittelt. Unter Berufung auf ein Urteil des Landgerichts München (Az. 3 O 17493/20) fordern sie nicht nur das Abstellen der Datenschutzverletzung, sondern auch 100 Euro Schadenersatz für die persönliche Beeinträchtigung.

Die Schadenersatzforderungen kommen von unterschiedlichen Absendern aus ganz Deutschland. Sie sind inhaltlich meist sehr ähnlich formuliert. Anwälte und Datenschutzbeauftragte betroffener Unternehmen berichten inzwischen, dass etliche Absender*innen gleichlautende E-Mails an viele Unternehmen verschickt haben.

Diese Schreiben sind meist keine klassische Abmahnung mit Unterlassungs- und Verpflichtungserklärung, sondern eher freundlich-persönlich formuliert. Zudem liegt die auf das Münchner Urteil gestützte Forderung von 100 Euro weit unter den Beträgen, die in der Regel bei Abmahnungen aufgerufen werden. Jedoch weisen die Absender*innen häufig darauf hin, dass für DSGVO-Verstöße „ein Ordnungsgeld von 250.000 Euro, ersatzweise Haft“ angedroht sind, auch wenn man das den Website-Betreiber*innen natürlich nicht zumuten will.

Münchner Urteil: Google Fonts ohne Zustimmung rechtswidrig

Das Landgericht München hatte bereits im Januar entschieden, dass Besucher*innen einer Website gegenüber den Website-Betreiber*innen Ansprüche auf Unterlassung, Auskunft und Schadenersatz geltend machen können, wenn die Website Google Fonts einbindet und dadurch eine Weitergabe personenbezogener Daten an Google erfolgt.

„Die unerlaubte Weitergabe der dynamischen IP-Adresse des Klägers durch die Beklagte an Google stellt eine Verletzung des allgemeinen Persönlichkeitsrechtes in Form des informationellen Selbstbestimmungsrechts nach § 823 Abs. 1 BGB dar“, so das Gericht. Der Schadenersatz sei gerechtfertigt für das vom Kläger empfundene individuelle Unwohlsein wegen des Kontrollverlusts, der sich aus der Datenweitergabe an Google ergeben habe.

Im konkreten Fall hatte die Website eine von Google bereitgestellte Schriftart dynamisch eingebunden. Für die gewünschte Darstellung der Seiten musste der Browser deshalb eine Verbindung zu den Servern von Google aufbauen. Auch wenn es aus fachlicher Sicht Zweifel gibt, ob Google solche Aufrufe und das Laden von Schriften überhaupt mit personenbezogenen Daten verknüpft, ist das Gericht der Ansicht, dass Besucher*innen hier erst ihre Zustimmung geben müssen. Nicht geklärt wurde allerdings, auf welche Art diese Zustimmung erfolgen kann.

Risiko auch durch andere Dienste

Auch wenn sich das Münchner Urteil nur auf Google Webfonts bezieht, ist es nicht beschränkt auf Google Fonts oder auch deren Alternativen wie Adobe Fonts oder MyFonts. Vielmehr impliziert es, dass die Einbindung anderer Skripte und Dienste speziell von US-Anbietern ebenso zu behandeln ist. Das Risiko für Website-Betreiber*innen vergrößert sich durch zwei weitere Urteile.

Bereits im Juli 2020 hatte der Europäische Gerichtshof (EuGH) im „Schrems II“-Urteil (Az. C-311/18) entschieden, dass personenbezogene Daten von EU-Bürgern nur an Drittländer übermittelt werden dürfen, wenn sie in diesem Drittland einen im Wesentlichen gleichwertigen Schutz genießen wie in der EU. Für die USA hat er ein solches angemessenes Schutzniveau verneint. Und mit Urteil vom 28.04.2022 (Az. C-319/20) hat der EuGH festgelegt, dass bei Datenschutzverstößen auch Verbraucherschutzverbände direkt und ohne Auftrag Abmahnungen erheben können.

Probleme vermeiden – nicht nur bei Webfonts

Wer seine Website ohne Risiko mit Google Webfonts aufhübschen will, kann das ohne Zustimmungshürde tun: Die meisten der von Google kostenlos bereitgestellten Schriftarten müssen nicht live von Google-Servern geladen werden. Die mit Blick auf die DSGVO empfehlenswertere Variante ist es, die Schriften auf dem eigenen Webserver zu speichern und so direkt in den Auftritt zu integrieren. Dieses Verfahren setzt Auctores seit jeher bei für Kunden umgesetzten Websites ein.

Google Webfonts können auch auf anderen Pfaden ihren Weg in einen Webauftritt finden: Google Maps etwa nutzt für seine Kartendarstellung ebenfalls die Schriftarten des Mutterkonzerns. Wer in seinem Webauftritt heute – über vier Jahre nach Inkrafttreten der DSGVO – noch eine Google-Karte hat, die direkt beim Seitenauftritt erscheint, hat deshalb das gleiche Problem wie jemand, der Google Webfonts dynamisch einbindet.

Wer nicht auf Google Maps verzichten will, sollte heute längst eine datenschutzkonforme Variante nutzen, etwa eine 2-Klick-Lösung, bei der die Karte erst nach expliziter Zustimmung per Mausklick angezeigt wird. Wenn die Karte auf der Website nicht so wichtig ist, reicht oft ein Link auf den Routenplaner bei Google Maps. Außerdem können Website-Betreiber*innen die Open-Source-Alternative OpenStreetMap nutzen. Auctores bietet hier die DSGVO-konforme Integration mit selbst gehosteten Kartendaten an.

Ob Karten, Videos oder Social-Media-Posts – wer in seinen Auftritt externe Inhalte, speziell von US-Plattformen, integrieren will, muss in jedem Fall die explizite, informierte Zustimmung der Besucher*innen einholen. Erst nach dieser Zustimmung dürfen die Inhalte angezeigt werden. Dies lässt sich in den meisten Fällen über ein entsprechend detailliertes Cookie-Banner regeln, das beim ersten Aufruf der Website angezeigt wird. Zusätzlich haben sich spezifische Abfragen direkt am jeweiligen externen Inhalt bewährt. Neben den Erläuterungen im Cookie-Banner sollten auch die Datenschutzhinweise ausreichende Hinweise auf den Umgang mit Nutzerdaten und eine eventuelle Übermittlung an Drittanbieter geben.

Wer schon eine Schadenersatzforderung erhalten hat, sollte die genannten Probleme auf jeden Fall schnellstmöglich abstellen und sich juristischen Rat bezüglich des weiteren Vorgehens einholen.

Update 28.10.2022: Zusätzlicher Link mit Informationen zur neuen Abmahnwelle

« zurück