|

LG München I: 100 € Schadensersatz für den Einsatz von Google Webfonts

Datenschutz, Rechtsprechung

Das LG München I hat einem Besucher einer Internetseite, auf der Schriftarten von Google („Google Webfonts“ oder „Google Fonts“) eingebunden waren, ein Schmerzensgeld i.H.v. 100,00 € zugesprochen. Das Urteil findest du hier.

Ich denke, dass die meisten Datenschutzrechtler:innen das vorletzte Woche schon mitbekommen haben.

Was sind „Google Webfonts“

Wenn dir das Thema „Google Webfonts“ nichts sagt, dann versuche ich, das mal kurz zu erklären. Wenn du auf einer Internetseite besondere Schriftarten einsetzen möchtest, bei denen du aber nicht sicher sein kannst, dass die Besucherinnen und Besucher zufällig auch diese Schriftarten auf ihrem Rechner (bzw. mobilen Endgerät) installiert haben, dann lassen sich Schriftarten in die Internetseite so einbinden, dass im Browser deiner Besucherinnen und Besucher ebenso hübsch dargestellt werden, wie du es dir gedacht hat.

Und diese Einbindung ist denkbar einfach, da die meisten Themes und Frameworks, mit denen Internetseiten heute „gebaut“ werden (Wordpress, Typo 3 etc.), diese Google Webfonts bequem integriert haben.

Das Problem mit Google Webfonts

Wenn wir da beim „Bauen“ von Internetseiten nicht aufpassen und Google Webfonts „blind“ verwenden, dann führt dies in den meisten Fällen dazu, dass die Schriftarten durch einen Aufruf von Servern von Google eingebunden werden. Von dort werden die Schriftarten geladen. Und die Webfonts-Server von Google stehen in den USA.

Wenn du jetzt eine Internetseite aufrufst, auf der Google Webfonts eingebunden sind, dann würde dies in den eben genannten Fällen dazu führen, dass die IP-Adresse deines Endgeräts in die USA übermittelt wird.

Und das LG München I hat sich unter Bezugnahme auf die einschlägige BGH-Rechtsprechung darauf berufen, dass deine IP-Adresse in diesen Fällen ein personenbezogenes Datum von dir als Besucher:in ist.

Durch den Aufruf des Servers in den USA werden dann personenbezogene Daten in ein Drittland (USA) übermittelt. Und das ist aber nur zulässig, wenn ein angemessenes Schutzniveau im Drittland garantiert werden kann. Im Fall der USA hat der EuGH („Schrems II“-Entscheidung) jedoch geurteilt, dass in den USA grundsätzlich kein angemessenes Datenschutzniveau besteht.

Und da im vorliegenden Fall keine anderen Maßnahmen vom Seitenanbieter getroffen wurden, hat das LG München I die Datenverarbeitung als rechtswidrig eingestuft. Und ich denke, da hat das LG München I in dem Fall Recht.

„Aua…Aua…“ – ein Datentransfer in die USA hat mich am Knie verletzt

Wegen der Rechtswidrigkeit der Datenverarbeitung hat das LG München I dem Kläger zudem ein Schmerzensgeld i.H.v. 100,00 € zugesprochen. Ob das nun gerechtfertigt ist oder nicht…da können wir unterschiedlicher Auffassung sein.

Ob für die Anerkennung eines immateriellen Schadens („Schmerzensgeld“) ein Schaden erheblich oder zumindest „spürbar“ sein muss, ist in der Rechtsprechung bisher nicht einheitlich entschieden worden. Das LG München I meinte jedenfalls in diesem Fall auch nicht, über diesen Streit entscheiden zu müssen. Das Schmerzensgeld sei vielmehr wegen des „Kontrollverlusts“ des Klägers über ein personenbezogenes Datum und des damit individuell vom Kläger empfundenen „Unwohlseins“ gerechtfertigt.

Ich persönlich halte das für Unfug und weit überzogen und würde den Sachverhalt schon technisch anders einschätzen. Aber meine Meinung ist hier letztlich nicht relevant.

100,00 € sind nicht viel, aber…

Jetzt könnten wir ja vielleicht meinen, dass 100 € ja gar nicht viel sind und es der Beklagten in diesem Fall auch ganz Recht geschehe, da sie ja auch so einige Fehler im Hinblick auf die Einbindung der Google Webfonts eingeräumt zu haben scheint.

Das Problem ist aber, dass es hier nur um einen Besucher einer Website geht. Was passiert nun, wenn eine Organisation wie die EuGD oder sonstige Organisationen, die darauf spezialisiert sind, Massen von Verbraucher:innen zugleich zu vertreten, um Ansprüche geltend zu machen, tätig wird. Dann können auf Anbieter von Internetseiten auf einmal vielleicht 2.500 x 100,00 € zukommen. Da reden wir dann schon über Beträge, die vielen Unternehmen ernsthaft weh tun können.

Apropos EuGD…den Gründer der EuGD – Thomas Bindl – habe ich bei der letzten Datenschutzkonferenz in Düsseldorf kennengelernt. Beim abendlichen Bierchen. Das war sehr spannend und Thomas ist wirklich ein sehr netter, fairer und ausgesprochen fachkundiger Zeitgenosse. Und ich freue mich schon auf die diesjährige Datenschutzkonferenz im September.

Aber zurück zum Thema „Schmerzensgeld“ für einen vermeintlichen „Kontrollverlust“ wegen einer IP-Adresse…

„Selbst schuld“ könnten wir jetzt sagen… „warum setzen die denn auch so ein Zeug wie Google Webfonts ein?“. Tja…das Problem ist, dass viele Anbieter von Internetseiten gar nicht wissen, dass Google Webfonts eingesetzt werden.

Da wird mal schnell ein Wordpress-Plugin installiert oder ein Update…und zack…hat das Entwickler-Team wegen Faulheit oder Unkenntnis über ein Script-Aufruf Google Webfonts auf deiner Seite aktiviert.

Ist mir selbst gerade letzte Woche wieder passiert und mir nur durch Zufall aufgefallen. Da waren es zwar nicht Google Webfonts aber „Symbole“ von „Font Awesome“, die ein Plugin aufgerufen hat, in dem Server in den USA aufgerufen wurden.

Wie binde ich denn Google Webfonts datenschutzkonform ein?

Jetzt können wir natürlich ewig darüber diskutieren, ob man Google Webfonts auf Basis einer Einwilligung einsetzen kann, die man sich beim Aufruf der Website von den Besucher:innen holt. Das ist nicht einfach. Und einige Aufsichtsbehörden meinen, dass das auch mit einer Einwilligung nicht gehen würde. Halte ich für falsch, aber ist hier letztlich auch egal.

Und man könnte auch darüber sinnieren, ob ich nicht Google Webfonts auf Basis der sog. „EU-Standardvertragsklauseln“ in Verbindung mit einem „Transfer Impact Assessment“ (TIA) eingesetzt werden könnten. Wenn du das aber dem kleinen Unternehmen um die Ecke so erzählst, denken die, du bist jetzt komplett durchgedreht und wirbelst nur noch mit wirren englischen Begriffen um dich.

Und letztlich ist das alles egal, weil es in den allermeisten Fällen eine ganz einfache Lösung gibt.

Denn Google erlaubt dir sogar, die „Google Fonts“ herunterzuladen und bei dir auf dem Server zu speichern und zu verwenden. Und dann bindest du die einfach „lokal“ ein.

Kannst du nicht? Dann kann dir diese Seite hier helfen: https://google-webfonts-helper.herokuapp.com/fonts

Dort kannst die gewünschten Schriftarten auswählen, herunterladen und der Clou: Du bekommst fertigen „Code“ für die Website, mit dem du die Schriftarten ganz einfach in deine Website einbinden kannst.

Wenn eine Agentur deine Website betreut, weiß die in der Regel auch, wie das geht. Wenn sie es nicht weiß, dann suche dir bitte eine neue Agentur. Meine ich ernst…denn sie wissen dann nicht, was sie tun, fürchte ich. Das Web ist kein Photoshop-Erguss.

Ein kleiner Hinweis noch: Es gibt einige Fonts von Google, die in besonderer Weise lizenziert sind und ggf. nicht lokal bzw. nur in bestimmter Weise lokal eingebunden werden kann. Schau also vor der lokalen Einbindung einmal bei dem jeweiligen Font von Google in die „License“-Bedingungen rein, um sicherzustellen, dass die Einbindung lokal mit den gewünschten Schriftarten und -formaten erfolgen kann.

Noch einmal zusammengefasst – deine „To dos“:

Okay…wenn du keine Lust hast, wie die Beklagte beim LG München I zu enden, dann kannst du jetzt folgendes tun:

  1. Prüfe deine Internetseiten (z.B. mit dem „Netzwerkanalyse“-Tool der Webdeveloper-Tools deines Browsers). Wenn du dort einen Aufruf findest, der „fonts.googleapis.com“ oder „fonts.gstatic.com“ beinhaltet, dann werden Server von Google aufgerufen. Die „Fonts“-Server befinden sich – soweit ich weiß – aktuell in den USA – auch dann, wenn Besucher:innen aus der EU eine Seite aufrufen.
    Wenn das für dich zu kompliziert ist, dann lass dir von der Person helfen, die deine Internetseite „gebastelt“ hat. Ansonsten gibt es auch Tools auf Internetseiten, mit denen du deine Website prüfen kannst. Ich gucke aber lieber direkt in die „rohen“ Daten.
  2. Identifiziere die Schriftarten und Schrifttypen, die du auf der Website verwendet. Ich kann dir nur empfehlen, dich hier zu beschränken. Denn je mehr Schriftarten/-typen du in die Website einbindest, umso höher werden die Ladezeiten. Und langsame Websites werden in Suchmaschinen schlechter „gerankt“.
  3. Binde die gewählten Schriftarten dann lokal ein. Wenn dein Website-Tool wie z.B. Wordpress das nicht kann (viele gute Wordpress-Themes bieten diese Funktion an wie z.B. Kadence, Astra etc.), dann verwende den oben schon erwähnten „google-webfonts-helper“
  4. Teste die Ladezeit deiner Website. Das kannst du z.B. mit GTmetrix machen. Wenn die Schriften zu lange zum Laden benötigen, dann überlege noch einmal bei Punkt 2.), ob du dich nicht weiter beschränken kannst.
  5. Sollte deine Agentur dir erzählen wollen, dass deine Seite viel schneller laden würde, wenn du die Webfonts über Aufrufe von den Google Servern laden würdest, dann mach den Test der Ladezeiten in beiden Varianten und vergleiche die Zeiten von lokaler Einbindung und Aufruf von Google Servern. Wenn du einen passablen Server nutzt und nicht irgend ein Mini-Hosting-Paket, dann habe ich noch keinen Fall gesehen, in dem die lokale Einbindung langsamer gewesen wäre. Im Gegenteil.
Stephan Hansen-Oest

Ich bin Rechtsanwalt & Fachanwalt für IT-Recht. Auch wenn ich mich seit 1995 mit Datenschutzrecht beschäftige, bin ich sicher kein Datenschutz-Guru. Mein Ziel ist es, Menschen dabei zu helfen, den Datenschutz in Unternehmen einfach besser zu machen. Und ich freue mich über jeden, der meinen Newsletter abonniert. Wenn du unbedingt noch mehr zu mir wissen möchtest, kannst du dir mein Profil ansehen. Und wenn du Lust hast, am Datenschutz-Coaching teilzunehmen findest du hier mehr Informationen.