Vor einigen Wochen hat das Landgericht München I mit Urteil vom 20.01.2022 – Az. 3 O 17493/20 die Betreiberin einer Website für den Einsatz von Google Fonts neben Unterlassung zu einem Schadensersatz in Höhe von 100 Euro verurteilt. Von unseren Kunden haben wir wegen dieses Urteils zahlreiche Rückfragen erhalten, die auf einen gewissen Grad der Verunsicherung schließen lassen. Um der Verunsicherung und einem rechtlichen Risiko entgegenzuwirken, sollten daher die nachfolgenden Informationen beachtet werden.
Bei Google Fonts handelt es sich um ein Verzeichnis mit über 1300 Schriftarten, die kostenlos für die Einbettung auf Websites von Google zur Verfügung gestellt werden. Technischer Hintergrund ist hierbei, dass die meisten Endgeräte wie Computer, Handys oder Tablets nicht sämtliche von Websiteprogrammierern verwendeten Schriftarten vorinstalliert haben. Um die Website und die darauf verwendeten Schriftarten trotzdem richtig auf den Endgeräten darstellen zu können, sind viele Websites so programmiert, dass die Schriftarten zur Darstellung dann von einem Google-Server heruntergeladen werden.
Was hat das mit Datenschutz zu tun?
Datenschutzrechtlich ist dieses Herunterladen der Google Fonts jedoch nicht unbedenklich, da die Server, von denen die Fonts heruntergeladen werden, in den USA stehen. Denn beim Herunterladen der Schriftarten wird die IP-Adresse des Websitenutzers an den Server von Google in die USA übermittelt. Die IP-Adresse wiederum stellt ein personenbezogenes Datum dar, welches nur mit einer qualifizierten Einwilligung verarbeitet und in die USA übermittelt werden darf.
In dem Urteil des Landgerichts München I wurde durch das Gericht festgestellt, dass der Websitenutzer nicht um eine entsprechend qualifizierte Einwilligung gebeten wurde. Mithin hat die Websitebetreiberin das Recht auf informationelle Selbstbestimmung des Websitenutzers verletzt. Denn die Websitebetreiberin hätte vor Weiterleitung der IP-Adresse an die Google-Server in den USA vorab eine Einwilligung über einen Consent-Banner einholen müssen.
Das Landgericht München I hat dabei dem Kläger neben einem Unterlassungsanspruch auch einen Schadensersatzanspruch in Höhe von 100 Euro gem. Art. 82 Abs. 1 DSGVO zugesprochen. In diesem Zusammenhang kann dahingestellt bleiben, so das Gericht, ob eine Erheblichkeitsschwelle erreicht bzw. überschritten werden muss und sog. Bagatellschäden auszuschließen sind, um einen Schadensersatzanspruch bejahen zu können. Vielmehr stellt das Landgericht München I darauf ab, dass die Übermittlung der IP-Adresse an Google einen Kontrollverlust des Betroffenen über ein personenbezogenes Datum darstellt und das damit verbundene Unwohlsein so erheblich ist, dass der Schadensersatzanspruch in der Höhe gerechtfertigt ist. Hierbei muss auch berücksichtigt werden, dass die IP-Adresse an einen Google-Server in den USA weitergeleitet wurde, wobei dort kein angemessenes Datenschutzniveau gewährleistet ist.
Was sollte beachtet werden?
Insofern verdeutlicht das Urteil des Landgerichts München I, dass auch bei solch kleinen Details wie der Programmierung und Implementierung von Schriftarten auf Websites mit einem Schadensersatzrisiko seitens der Websitebetreiber gerechnet werden muss, wenn das Herunterladen der Schriftarten nicht datenschutzkonform erfolgt und nicht an eine qualifizierte Einwilligung geknüpft wird. Da das Einholen einer solchen Einwilligung häufig nicht ganz einfach und hierbei vieles streitig ist, sollten diejenigen Websitebetreiber, die auf Nummer sicher gehen wollen, unbedingt darüber nachdenken, die Webfonts lokal auf dem Webserver zu implementieren. Auf eine dynamische Einbindung der Fonts sollte dann verzichtet werden, denn durch die statische Einbindung der Fonts wird eine Weiterleitung der IP-Adresse in die USA oder andere unsichere Drittstaaten von Anfang an unterbunden. Diese Empfehlung sollte vor dem Hintergrund des Urteils des Landgerichts München I dann unbedingt auch für alle vergleichbaren Produkte von anderen Anbietern von Fonts berücksichtigt werden.
Martin F.
18. Juni 2022 @ 9:44
Hallo Max B.,
das ist mir auch passiert, obwohl ich die Fonts statisch auf unserem Server habe. Es gibt aber eine „prefetch“ Abfrage an Goofle, die ich übersehen habe.
Darf ich fragen, ob Sie den sog. „Schadensersatz“ gezahlt haben?!
Danke!
Anonymous
17. Juni 2022 @ 21:46
Kann/darf eine Privatperson ebenfalls eine solche Entschädigung verlangen? Wenn ja, auch ohne vorherige Abmahnung oder Ermahnung?
Michael Rohde
21. Juni 2022 @ 15:53
Hallo,
vielen Dank für Ihren Kommentar.
Der Schadensersatzanspruch ergibt sich aus der Verletzung des Persönlichkeitsrechts.
Dieses Recht können nur natürliche Personen geltend machen.
Daher kann der Schadensersatz nur von einer Privatperson beansprucht werden.
Viele Grüße
Max B.
16. Juni 2022 @ 11:36
Unglaublich, aber ja hilft alles nichts. Wir wurden genau aus diesem Grund auch abgemahnt, und das scheint System zu haben.