Zurück zur Übersicht
10.11.2023

Abmahnungen zu Google Fonts

Mit dem Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) wurden bedrohliche Abmahnwellen wegen kleinster Verstöße prognostiziert. In der Praxis bleiben diese bislang weitgehend aus, im Jahr 2022 ist nun allerdings eine größere Welle von Abmahnungen los geschwappt. Auslöser war ein Urteil des Landgerichts München vom 20. Januar 2022, in welchem festgestellt wurde, dass die Übertragung von Nutzungsdaten im Internet durch die Einbindung von Schriftarten von Google eine Verletzung des Persönlichkeitsrechts durch einen Datenschutzverstoß darstellt. Die Einbindung der Schriftarten als sogenannte Webfonts erfolgte im Fall des Urteils dynamisch, das heißt, dass Google die Schriftarten auf eigenen Servern bereitstellt und der oder die Websitebetreiber/-in diese Schriftarten in das eigene Angebot integriert.

Wird die Website aufgerufen, werden IP-Adresse und Gerätedaten automatisch an Google übertragen. Da diese Datenübertragung durch den Aufruf einer Website erfolgt, ist die Betreiberin oder der Betreiber der Website auch datenschutzrechtlich Verantwortlicher. Hierfür ist eine Rechtsgrundlage erforderlich. Art 6. Abs. 1 Buchst. f DSGVO („berechtigtes Interesse“) ist aufgrund der möglichen Übermittlung in einen Drittstaat außerhalb der EU nicht anwendbar (zudem ist die Übermittlung für den Zweck der Darstellung von Schriftarten schlicht nicht erforderlich), es bedarf also einer Einwilligung. Auch diese Rechtsgrundlage ist infrage zu stellen, da eine vollständige Information von Betroffenen über die Datenverarbeitung von Google sowie mögliche Rechtsfolgen einer Übermittlung nicht möglich sind. Dennoch wird eine Einwilligung geduldet, wenn klar erkennbar ist, dass ein Datentransfer stattfinden kann und die Nichterteilung einer Einwilligung problemlos möglich ist.

Die dynamische Einbindung von Google Fonts stellt, wie seitens der Aufsichtsbehörden seit vielen Jahren angemahnt und durch das oben genannte Urteil bestätigt, einen klaren Verstoß gegen das Datenschutzrecht dar. Die im Urteil zugestandenen 100 Euro Schadensersatz haben nun Abmahnanwälte auf den Plan gerufen, welche im Namen der Mandantschaft Websites mit dynamisch eingebundenen Google Fonts abmahnen. Neben den 100 Euro werden dann noch Anwaltskosten gefordert. So fragwürdig dieses Vorgehen sein mag, so vermeidbar ist es auch.

Die Schriftarten von Google können nämlich auch von der Betreiberin oder dem Betreiber der Website kostenlos heruntergeladen und in das eigene Angebot integriert werden. Der Aufwand hält sich in Grenzen und zumindest was Schriftarten betrifft, ist man sicher vor Post vom Abmahnanwalt oder auch von der Datenschutzaufsicht. Es gibt aber auch in diesem Jahr bei meiner Behörde trotz der umfangreichen Berichterstattung zum konkreten Thema noch reichlich Beschwerden über den Einsatz von Google Fonts, in vielen Fällen auch berechtigt. Im Gegensatz zum Abmahnanwalt versucht meine Behörde, den Missstand zunächst durch einen Hinweis mit Fristsetzung zu beheben und nicht gleich mit einem Bußgeld zu ahnden. Es ist dennoch zu empfehlen, den eigenen Webauftritt auf problematische Datenverbindungen zu prüfen, mitunter werden diese nicht absichtlich implementiert, sondern entstehen durch die Nutzung von Website-Baukästen oder Content-Management-Systemen. Eine einfache Möglichkeit der Prüfung ist neben der Nutzung von Browser-Tools der Online-Scanner Webkoll. Es ist davon auszugehen, dass solche Abmahnungen, wie zu Google Fonts, in Zukunft auch andere weitverbreitete Dienste in den Blick nehmen, das Vorgehen lässt sich leicht übertragen.

Aus der Praxis

Zum Schluss ein Tipp aus der Prüf-Praxis: Ein Verantwortlicher hatte sich im Beschwerdeverfahren zurückgemeldet, dass er Google Fonts nur einsetze, wenn mithilfe eines Cookie-Banners eine Einwilligung erteilt werde. Keine schöne Lösung, aber noch tolerabel. Beim Test durch meine Behörde tauchten die Verbindungen zu den Google Fonts aber trotz Bestätigung des Ablehnen-Buttons hartnäckig weiter auf. Es stellte sich heraus, dass zwar für die direkte Einbindung von Google Fonts eine Einwilligung abgefragt und bei Nichterteilung auch korrekt nicht ausgespielt wurde. Allerdings war ein YouTubeVideo (ohne Einwilligung) eingebunden, welches seinerseits weitere Ressourcen von Google abgerufen und ausgeliefert hat, darunter auch Google Fonts. Zum einen ist die Einbettung des YouTube-Videos ohne Einwilligung an sich bereits ein Datenschutzverstoß. Wenn jedoch vorher gefragt wird, ob Google Fonts genutzt und bei einem klaren „Nein“ dennoch ausgespielt werden, lädt das Beschwerden (und gegebenenfalls auch ein/e Abmahner/ in) förmlich ein. Als Betreiber/in einer Website sollte man daher genau hinschauen und im Auge behalten, dass eingebettete Inhalte Dritter immer eine Datenverbindung auslösen und damit einer Rechtsgrundlage bedürfen sowie weitere Dienste ihrerseits nachladen. Es bleibt kompliziert…


Was ist zu tun?

Auf eine dynamische Einbindung von Schriftarten im eigenen Webangebot sollte verzichtet werden. Es sei denn, es gibt eine klare Regelung zur Auftragsverarbeitung, und eine Datenübermittlung außerhalb der EU ist ausgeschlossen.

Quelle: SDTB Sachsen

Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:

Dieser Absatz enthält Affiliatelinks/Werbelinks