1

Google Fonts (Episode I)

Das Landgericht München hat einem Webseitenbesucher sowohl Schadenersatz als auch einen Unterlassungsanspruch zugestanden, weil die von ihm besuchte Webseite Google Schriftarten (Google Fonts) genutzt hat.

Link zum Urteil: https://rewis.io/urteile/urteil/lhm-20-01-2022-3-o-1749320/

Der Betreiber einer Webseite hatte unter anderem Schriftarten zur Darstellung von Text aus der kostenfreien Bibliothek von Google eingebunden. Die Einbindung erfolgt so, dass der Webbrowser des Webseitenbesuchers diese Schriftarten direkt von den Servern der Firma Google laden musste. Bei dieser Vorgehensweise wird technikbedingt die IP-Adresse des Besuchers – ein personenbezogenes Datum – an Google übermittelt. Das Gericht ging davon aus, dass sich die Server, auf denen Google diese Schriftarten bereitstellt, in einem Land außerhalb der EU befinden (USA) und die Daten des Besuchers somit in einen unsicheren Drittstaat übermittelt werden. Für die USA hatte bereits der Europäische Gerichtshof in 2020 festgestellt, dass dort kein ausreichendes Datenschutzniveau besteht („Schrems-II-Urteil“).

Nur 100 EUR?

Dem Betroffenen wurde neben einem Anspruch auf Unterlassung ein Schadensersatz von 100 EUR zugestanden. Zu dieser scheinbar geringen Summe ist zu bemerken, dass dieser Geldbetrag einem von vermutlich vielen Webseitenbesuchern zugesprochen wurde. 100 EUR, die sich mit der Anzahl weiterer betroffenen Besucher einer Webseite multiplizieren, wenn diese einen Anspruch gegen den Betreiber geltend machen würden.

Wenn Google-Schriftarten im Quellcode einer Webseite zu finden sind, kann es zukünftig für Webseitenbetreiber problematisch werden:

<link rel="preconnect" href="https://fonts.googleapis.com">
<link rel="preconnect" href="https://fonts.gstatic.com" crossorigin>
<link href="https://fonts.googleapis.com/css2?family=Roboto:ital,wght@0,500;0,700;1,400;1,500&display=swap" rel="stylesheet"> 

@import url('https://fonts.googleapis.com/css2?family=Roboto:ital,wght@0,500;0,700;1,400;1,500&display=swap');

Die Einbindung von Google Fonts, aber auch anderen externen technischen Ressourcen und Funktionalitäten von Service-Anbieter, ist weit verbreitet. Neben weiteren Diensten von Google, wie Google reCAPTCHA oder Google Maps, werden häufig Daten von Javascript-Anbietern, Chatbots, Social-Media- und Video-Plattformen, Webseiten-Monitoring-Anbietern, Logos von Kooperationspartner usw. genutzt und immer wieder direkt von den Servern dieser Anbieter geladen. Hier entstehen schnell vergleichbare Situationen wie in der Entscheidung des Landgerichts München.

So sieht eine ebenso problematische Einbindung von Java-Skript Bibliotheken aus:

<script src="https://ajax.googleapis.com/ajax/libs/jquery/1.7.1/jquery.min.js"></script>

Empfehlung

Wir empfehlen, dass Sie Betreiber von Webseiten diese aktiv überprüfen und sicherstellen, dass (soweit möglich) keine Bestandteile der Webseiten von externen Servern geladen werden. Da wo dies im Einzelfall doch unbedingt erforderlich ist, müssen zusätzliche Rahmenbedingungen geschaffen werden, damit dieser Einsatz rechtmäßig ist. Beispiele für zusätzliche Maßnahmen können das vorherige Einholen einer Einwilligung des Webseitenbesuchers oder die Qualifizierung des externen Anbieters als Auftragsverarbeiter sein. Spätestens bei Anbieter außerhalb der EU sind diese Gestaltungsmöglichkeiten jedoch nicht immer verfügbar oder rechtlich ohne Risiko.

Google Fonts können datenschutzkonform genutzt werden, wenn Sie diese z. B. herunterladen und auf dem Server speichern, auf dem auch Ihre Webseite gespeichert ist (“gehosted wird”). Die Einbindung der Schrift erfolgt dann so, dass die Schriftart von Ihrem Server und nicht denen von Google geladen wird.

Bildquellen:

  • Laptop computer displaying logo of Google Fonts: 425348116 monticellllo | stock.adobe.com