Die Web Fonts Abmahnwelle rollt: Der Einsatz von Google Fonts & Co kann teuer werden

Fast kein Webseitenbetreiber kann oder möchte heutzutage auf die sogenannten Web Fonts verzichten. Dabei handelt es sich um individuelle Schriftarten die Betreiber auf ihrer Webseite einbinden und dabei helfen, die optische Attraktivität ihrer Webseiten zu erhöhen. Der bekannteste Vertreter auf dem Gebiet der Web Fonts ist dabei Google Fonts von Google.

In seinem Urteil vom 20. Januar 2022 (Az. 3 O 17493/20) hat das Landgericht München (LG München) die Einbindung von Google Fonts ohne vorherige Einwilligung des Webseitennutzers als unzulässig erklärt und dem Kläger einen immateriellen Schadensersatz von 100 Euro zugesprochen.

In der Folge erhalten aktuell zahlreiche Webseitenbetreiber wettbewerbsrechtliche Abmahnungen. Zu Beginn der Datenschutz-Grundverordnung (DS-GVO) wurde von vielen Seiten eine Abmahnwelle befürchtet, welche aber nicht eintrat. Doch durch Google Fonts ist nun die erste datenschutzrechtliche Abmahnwelle gestartet und Unternehmen sollten diese im Blick behalten. Der Blogbeitrag erläutert die wesentlichen datenschutzrechtlichen Hintergründe und gibt kurzen Einblick in mögliche Maßnahmen um Web Fonts datenschutzkonform zu nutzen.

Dynamische Einbindung ohne Einwilligung

Im Mittelpunkt der datenschutzrechtlichen Problematik und somit auch des Urteils des LG München, steht die dynamische Einbindung von Google Fonts ohne Einwilligung der Betroffenen auf einer Webseite sowie die damit verbundene Übermittlung von personenbezogenen Daten in die USA.

Damit der Browser des Webseitenbesuchers die in Google Fonts enthaltenen Schriftarten erkennen und richtig wiedergeben kann, muss er auf die entsprechende Schriftdatei zugreifen können. Diese Datei kann vom Webseitenbetreiber auf einem eigenen Server bereitgestellt werden (sog. lokales Hosting) oder auf externen Servern eines Drittanbieters liegen (sog. dynamisches Hosting).

Beim dynamischen Hosting werden die Schriftdateien von Servern des Google Konzerns in den Browser des Internetnutzers geladen und dabei zugleich dessen personenbezogenen Daten - wie z. B. die IP-Adresse an Google übermittelt.

Für die Verarbeitung personenbezogener Daten und somit auch für die Übermittlung an einen Dritten, fordert die Europäische-Datenschutz-Grundverordnung (DS-GVO) das Vorliegen eines Erlaubnistatbestandes nach Art. 6 Abs. 1 DS-GVO. Als Rechtsgrundlage kommt für die Anwendung von Google Fonts regelmäßig nur die Einwilligung des Webseitennutzers nach Art. 6 Abs. 1 S. 1 lit. a DS-GVO in Betracht.

Hier liegt das erste datenschutzrechtliche Problem, denn häufig ist Webseitenbetreibern gar nicht bewusst, dass sie aufgrund der Übermittlung an Dritte zur Einholung einer Einwilligung verpflichtet sind. Liegt eine solche aber nicht vor, handelt es sich bei der Übermittlung um einen Datenschutzverstoß im Sinne der DS-GVO.

Übermittlung personenbezogener Daten in die USA

Datenschutzrechtlich problematisch ist neben dem Fehlen einer Einwilligung auch die Übermittlung personenbezogener Daten an die Server von Google in den USA.

Bereits im Rahmen des prominenten Urteils „Schremms II“ (C-311/18 „Schrems II“) entschied der Europäische Gerichtshof, dass nach aktuell geltendem US-Recht, der Schutz personenbezogener Daten von EU-Bürgern nicht ausreichend gewährleistet ist und erklärte die damalige Rechtsgrundlage für Datenübermittlungen in die USA (sog. „Privacy Shield“) für ungültig. Seitdem gelten die USA als datenschutzrechtlicher „unsicherer Drittstaat“ womit sich eine Übermittlung personenbezogener Daten nicht ohne erheblichen Mehraufwand umsetzen lässt (Blogbeitrag vom 11.02.2022). Stammt der Web Font-Anbieter wie im Fall Google Fonts aus einem Nicht-EU-Ausland, gestaltet sich insbesondere die Umsetzung der Anforderungen des Art. 44 ff. DS-GVO für Webseitenbetreiber als herausfordernd.

Rechtsfolgen

Werden Google Fonts auf einer Webseite ohne das Vorliegen einer wirksamen Einwilligung und der gegeben falls erforderlichen Einhaltung der Art. 44 ff. DS-GVO nachweisen zu können, dynamisch eingebunden (dynamisches Hosting) ist die Übermittlung der IP-Adresse wie auch weiterer personenbezogener Daten nicht rechtmäßig. Nach Auffassung des LG München kommt in einem solchen Fall ein Anspruch gegen den Webseitenbetreiber auf Unterlassen der Weitergabe der IP-Adresse nach § 823 Abs. 1 i. V. m. § 1004 BGB analog sowie auf immateriellen Schadensersatz nach Art. 82 Abs. 1 DS-GVO in Betracht. Zudem droht wie oben erläutert, eine wettbewerbsrechtliche Abmahnung.

Datenschutzkonforme Nutzung von Google Fonts & Co.

Zahlreiche Behörden geben Unternehmen Informationen für die datenschutzkonforme Nutzung von Web Fonts an die Hand, so auch die Empfehlungen des Bayerischen Landesbeauftragten für den Datenschutz (BayLfD). Eine Möglichkeit für Webseitenbetreiber Web Fonts weiterhin zu nutzen, ist es die Schriftarten im Rahmen des lokalen Hostings auf dem eigenen Server zu platzieren. Durch dieses Vorgehen werden im Rahmen der Nutzung von Web Fonts keine IP-Adressen und auch keine anderen personenbezogenen Daten an Dritte übermittelt. Eine Einwilligung nach Art. 6 Abs. 1 S. 1 lit. a DS-GVO ist aufgrund eines nicht vorhandenen Einsatzes von Third-Party-Cookies somit (zumindest theoretisch) entbehrlich. Allerdings birgt auch diese Methode gewisse datenschutzrechtliche Risiken, denn es kann nicht ausgeschlossen werden, dass Google Dienste wie YouTube oder Google Maps in Verknüpfung mit Google Fonts zumindest die IP-Adresse der Nutzer an Google übermitteln.

Sollten Unternehmen durch lokales Hosting längere Ladezeiten befürchten, sollten diese dafür sorgen, dass die gewünschte Schriftart bei einer externen Einbindung bis zur Erteilung der Einwilligung nicht geladen wird. Bis zu diesem Zeitpunkt, darf die Webseite nur provisorisch, d.h. mit Standard Schriftarten des jeweiligen Browsers dargestellt werden.

Fazit

Aufgrund der datenschutzrechtlichen Risiken sollten gerade Webseitenbetreiber, die auch andere Dienste von Google wie etwa YouTube oder Google Maps nutzen, Google Fonts lediglich nach Einholung einer ausdrücklichen und vorherigen Einwilligung im Sinne des Art. 6 Abs. 1 S. lit. a DS-GVO in ihre Webseiten einbinden. Dies lässt sich durch sog. Consent Management Plattformen bewerkstelligen. Zudem sollte nicht vergessen werden, die Datenschutzerklärungen entsprechend anzupassen und über die Datenverarbeitung bezüglich Google Fonts zu informieren. Nur sofern keine anderen Google Dienste genutzt werden und Google Fonts lokal eingebunden wird, kann die Datenverarbeitung auf das berechtigte Interesse gestützt werden. In dem Fall ist eine Einwilligung nicht erforderlich. Unternehmen sollten sich beim Einsatz von Web Fonts in jedem Fall datenschutzrechtlich beraten lassen, um dem Risiko von Abmahnungen und Schadensersatzklagen zu minimieren.