Datenschutz-Tipps: 100 € Schmerzensgeld für Google Webfonts (Urteil)

Hallo %FIRSTNAME% 😊,

na…wie sieht’s aus mit den guten Vorsätzen für dieses Jahr? Auch schon wieder alle über den Haufen geworfen? Kenne ich gut. Ein Freund von mir sagt daher gerne, dass wir uns die guten Vorsätze für das neue Jahr nicht Silvester/Neujahr machen sollten, sondern lieber in der zweiten Januar-Hälfte. Das ist übrigens die Zeit, in der die Fitness-Studios wieder leerer werden und das Anfang Januar frisch entstaubte Fahrrad-Ergometer im Schlafzimmer langsam wieder zum Klamottenständer umgewandelt wird.

Da ich dieses Jahr 50 werde (OMG! 🙀) habe ich da auch so ein paar Vorsätze. Was die mit einem gesünderen Leben und zugleich einer neuen GmbH von uns zu tun haben, kannst du dann im „Letter“-Teil dieses Newsletters weiter unten lesen. Außerdem gibt es da einen Hinweis zu einem 70 € Gutschein für eine „Gute-Vorsätze-umsetzen“-Veranstaltung an diesem Samstag. Musst du aber nicht lesen, wenn du nur auf harte Fakten stehst.

LG München I: 100 € Schadensersatz für den Einsatz von Google Webfonts

Das LG München I hat einem Besucher einer Internetseite, auf der Schriftarten von Google („Google Webfonts“ oder „Google Fonts“) eingebunden waren, ein Schmerzensgeld i.H.v. 100,00 € zugesprochen.

Ich denke, dass die meisten Datenschutzrechtler:innen das letzte Woche schon mitbekommen haben. Da jetzt aber immer mehr E-Mails von Mandantinnen und Dritten eintrudeln, die besorgt auf dieses Urteil hinweisen, nehme ich das zum Anlass, dazu hier im Newsletter etwas zu schreiben.

Was sind „Google Webfonts“

Wenn dir das Thema „Google Webfonts“ nichts sagt, dann versuche ich, das mal kurz zu erklären. Wenn du auf einer Internetseite besondere Schriftarten einsetzen möchtest, bei denen du aber nicht sicher sein kannst, dass die Besucherinnen und Besucher zufällig auch diese Schriftarten auf ihrem Rechner (bzw. mobilen Endgerät) installiert haben, dann lassen sich Schriftarten in die Internetseite so einbinden, dass im Browser deiner Besucherinnen und Besucher ebenso hübsch dargestellt werden, wie du es dir gedacht hat.

Und diese Einbindung ist denkbar einfach, da die meisten Themes und Frameworks, mit denen Internetseiten heute „gebaut“ werden (Wordpress, Typo 3 etc.), diese Google Webfonts bequem integriert haben.

Das Problem mit Google Webfonts

Wenn wir da beim „Bauen“ von Internetseiten nicht aufpassen und Google Webfonts „blind“ verwenden, dann führt dies in den meisten Fällen dazu, dass die Schriftarten durch einen Aufruf von Servern von Google eingebunden werden. Von dort werden die Schriftarten geladen. Und die Webfonts-Server von Google stehen in den USA.

Wenn du jetzt eine Internetseite aufrufst, auf der Google Webfonts eingebunden sind, dann würde dies in den eben genannten Fällen dazu führen, dass die IP-Adresse deines Endgeräts in die USA übermittelt wird.

Und das LG München I hat sich unter Bezugnahme auf die einschlägige BGH-Rechtsprechung darauf berufen, dass deine IP-Adresse in diesen Fällen ein personenbezogenes Datum von dir als Besucher:in ist.

Durch den Aufruf des Servers in den USA werden dann personenbezogene Daten in ein Drittland (USA) übermittelt. Und das ist aber nur zulässig, wenn ein angemessenes Schutzniveau im Drittland garantiert werden kann. Im Fall der USA hat der EuGH („Schrems II“-Entscheidung) jedoch geurteilt, dass in den USA grundsätzlich kein angemessenes Datenschutzniveau besteht.

Und da im vorliegenden Fall keine anderen Maßnahmen vom Seitenanbieter getroffen wurden, hat das LG München I die Datenverarbeitung als rechtswidrig eingestuft. Und ich denke, da hat das LG München I in dem Fall Recht.

„Aua…Aua…“ – ein Datentransfer in die USA hat mich am Knie verletzt

Wegen der Rechtswidrigkeit der Datenverarbeitung hat das LG München I dem Kläger zudem ein Schmerzensgeld i.H.v. 100,00 € zugesprochen. Ob das nun gerechtfertigt ist oder nicht…da können wir unterschiedlicher Auffassung sein.

Ob für die Anerkennung eines immateriellen Schadens („Schmerzensgeld“) ein Schaden erheblich oder zumindest „spürbar“ sein muss, ist in der Rechtsprechung bisher nicht einheitlich entschieden worden. Das LG München I meinte jedenfalls in diesem Fall auch nicht, über diesen Streit entscheiden zu müssen. Das Schmerzensgeld sei vielmehr wegen des „Kontrollverlusts“ des Klägers über ein personenbezogenes Datum und des damit individuell vom Kläger empfundenen „Unwohlseins“ gerechtfertigt.

Ich persönlich halte das für Unfug und weit überzogen und würde den Sachverhalt schon technisch anders einschätzen. Aber meine Meinung ist hier letztlich nicht relevant.

100,00 € sind nicht viel, aber…

Jetzt könnten wir ja vielleicht meinen, dass 100 € ja gar nicht viel sind und es der Beklagten in diesem Fall auch ganz Recht geschehe, da sie ja auch so einige Fehler im Hinblick auf die Einbindung der Google Webfonts eingeräumt zu haben scheint.

Das Problem ist aber, dass es hier nur um einen Besucher einer Website geht. Was passiert nun, wenn eine Organisation wie die EuGD oder sonstige Organisationen, die darauf spezialisiert sind, Massen von Verbraucher:innen zugleich zu vertreten, um Ansprüche geltend zu machen, tätig wird. Dann können auf Anbieter von Internetseiten auf einmal vielleicht 2.500 x 100,00 € zukommen. Da reden wir dann schon über Beträge, die vielen Unternehmen ernsthaft weh tun können.

Apropos EuGD…den Gründer der EuGD – Thomas Bindl – habe ich bei der letzten Datenschutzkonferenz in Düsseldorf kennengelernt. Beim abendlichen Bierchen. Das war sehr spannend und Thomas ist wirklich ein sehr netter, fairer und ausgesprochen fachkundiger Zeitgenosse. Und ich freue mich schon auf die diesjährige Datenschutzkonferenz im September.

Aber zurück zum Thema „Schmerzensgeld“ für einen vermeintlichen „Kontrollverlust“ wegen einer IP-Adresse…
„Selbst schuld“ könnten wir jetzt sagen… „warum setzen die denn auch so ein Zeug wie Google Webfonts ein?“. Tja…das Problem ist, dass viele Anbieter von Internetseiten gar nicht wissen, dass Google Webfonts eingesetzt werden.

Da wird mal schnell ein Wordpress-Plugin installiert oder ein Update…und zack…hat das Entwickler-Team wegen Faulheit oder Unkenntnis über ein Script-Aufruf Google Webfonts auf deiner Seite aktiviert.

Ist mir selbst gerade letzte Woche wieder passiert und mir nur durch Zufall aufgefallen. Da waren es zwar nicht Google Webfonts aber „Symbole“ von „Font Awesome“, die ein Plugin aufgerufen hat, in dem Server in den USA aufgerufen wurden.

Wie binde ich denn Google Webfonts datenschutzkonform ein?

Jetzt können wir natürlich ewig darüber diskutieren, ob man Google Webfonts auf Basis einer Einwilligung einsetzen kann, die man sich beim Aufruf der Website von den Besucher:innen holt. Das ist nicht einfach. Und einige Aufsichtsbehörden meinen, dass das auch mit einer Einwilligung nicht gehen würde. Halte ich für falsch, aber ist hier letztlich auch egal.

Und man könnte auch darüber sinnieren, ob ich nicht Google Webfonts auf Basis der sog. „EU-Standardvertragsklauseln“ in Verbindung mit einem „Transfer Impact Assessment“ (TIA) eingesetzt werden könnten. Wenn du das aber dem kleinen Unternehmen um die Ecke so erzählst, denken die, du bist jetzt komplett durchgedreht und wirbelst nur noch mit wirren englischen Begriffen um dich.

Und letztlich ist das alles egal, weil es in den allermeisten Fällen eine ganz einfache Lösung gibt.

Denn Google erlaubt dir sogar, die „Google Fonts“ herunterzuladen und bei dir auf dem Server zu speichern und zu verwenden. Und dann bindest du die einfach „lokal“ ein.

Kannst du nicht? Dann kann dir diese Seite hier helfen: https://google-webfonts-helper.herokuapp.com/fonts

Dort kannst die gewünschten Schriftarten auswählen, herunterladen und der Clou: Du bekommst fertigen „Code“ für die Website, mit dem du die Schriftarten ganz einfach in deine Website einbinden kannst.

Wenn eine Agentur deine Website betreut, weiß die in der Regel auch, wie das geht. Wenn sie es nicht weiß, dann suche dir bitte eine neue Agentur. Meine ich ernst…denn sie wissen dann nicht, was sie tun, fürchte ich. Das Web ist kein Photoshop-Erguss.

Noch einmal zusammengefasst – deine „To dos“:

Okay…wenn du keine Lust hast, wie die Beklagte beim LG München I zu enden, dann kannst du jetzt folgendes tun:

  1. Prüfe deine Internetseiten (z.B. mit dem „Netzwerkanalyse“-Tool der Webdeveloper-Tools deines Browsers). Wenn du dort einen Aufruf findest, der „fonts.googleapis.com“ oder „fonts.gstatic.com“ beinhaltet, dann werden Server von Google aufgerufen. Die „Fonts“-Server befinden sich – soweit ich weiß – aktuell in den USA – auch dann, wenn Besucher:innen aus der EU eine Seite aufrufen.
    Wenn das für dich zu kompliziert ist, dann lass dir von der Person helfen, die deine Internetseite „gebastelt“ hat. Ansonsten gibt es auch Tools auf Internetseiten, mit denen du deine Website prüfen kannst. Ich gucke aber lieber direkt in die „rohen“ Daten.
  2. Identifiziere die Schriftarten und Schrifttypen, die du auf der Website verwendet. Ich kann dir nur empfehlen, dich hier zu beschränken. Denn je mehr Schriftarten/-typen du in die Website einbindest, umso höher werden die Ladezeiten. Und langsame Websites werden in Suchmaschinen schlechter „gerankt“.
  3. Binde die gewählten Schriftarten dann lokal ein. Wenn dein Website-Tool wie z.B. Wordpress das nicht kann (viele gute Wordpress-Themes bieten diese Funktion an wie z.B. Kadence, Astra etc.), dann verwende den oben schon erwähnten „google-webfonts-helper“
  4. Teste die Ladezeit deiner Website. Das kannst du z.B. mit GTmetrix machen. Wenn die Schriften zu lange zum Laden benötigen, dann überlege noch einmal bei Punkt 2.), ob du dich nicht weiter beschränken kannst.
  5. Sollte deine Agentur dir erzählen wollen, dass deine Seite viel schneller laden würde, wenn du die Webfonts über Aufrufe von den Google Servern laden würdest, dann mach den Test der Ladezeiten in beiden Varianten und vergleiche die Zeiten von lokaler Einbindung und Aufruf von Google Servern. Wenn du einen passablen Server nutzt und nicht irgend ein Mini-Hosting-Paket, dann habe ich noch keinen Fall gesehen, in dem die lokale Einbindung langsamer gewesen wäre. Im Gegenteil.

Der Letter-Teil – Das Jahr startet hektisch

Hattest du auch ein so einen ruhigen Silvesterabend? Boah…während früher feucht-fröhlich mit Freunden gefeiert wurde, hat Corona uns dieses Jahr einen heftigen Strich durch die Rechnung gemacht.

Aber so konnten wir jedenfalls als Familie ein bisschen verschnaufen. Für die Umsetzung der guten Vorsätze im Bereich Fitness blieb nur wenig Zeit. Und Simone (wenn du es nicht weißt…Simone ist meine „bessere Hälfte“) hat die nächste Ferienwohnung nach der Renovierung online und in die Portale gebracht: „BEACH HOUSE II“
Im Gegensatz zum „BEACH HOUSE I“ sind hier aktuell auch noch im Sommer „Plätze“ frei.

Ich habe mich derweil um den Start der neuem GmbH gekümmert, bei der ich jetzt auch endlich sagen kann, worum es geht. Das neue Unternehmen („So ist gut GmbH“) setzt eine weitere Schnapsidee von mir um und ist ein „Newsletter“-Business. Du kannst den „So ist gut“-Newsletter hier abonnieren.
Und wenn du wissen willst, worum es da geht, kannst du es hier nachlesen.

Ach…und dann hatte ich oben einen Rabatt-Gutscheincode über 70,00 € erwähnt. Den habe ich meinem Kumpel und Ernährungsmediziner Niels Schulz-Ruhtenberg für die Online-Teilnhame an seinem „Gesundheitstag“ aus dem Kreuz geleiert. Sozusagen als erstes „So ist gut“-Umsetzungsprojekt. Wenn du wissen möchtest, was es damit auf sich hat und was das mit meiner besseren Strandfigur (😂) zu tun hat, kannst du das hier erfahren: Guck mal…Papa ist schwanger

Vielleicht erkennst du dich da ja auch irgendwie wieder…passt auf jeden Fall zu den guten Vorsätzen…

Aber noch ein Hinweis: Der Gutschein-Code („soistgut-gt02“) bezieht sich auf eine Online-Veranstaltung am Samstag (05.02.2022). Du solltest dich also etwas beeilen.

Künftig werde ich dann weitere Gutschein-Aktionen jenseits des Datenschutzes im „So ist gut“-Newsletter platzieren und nicht mehr hier. Und auch das ist gut so und stört dann hier auch nicht mehr.

Und natürlich würde ich mich riesig freuen, wenn du den „So ist gut“-Newsletter abonnierst. Der erscheint jeden Sonntag und macht hoffentlich auch dir ein bisschen Spaß. Wahrscheinlich kannst du u.a. mir ständig beim Scheitern zusehen. 🤪

Auch auf der Datenschutz-Guru-Seite und für diesen Newsletter wird es einige Neuigkeiten geben. Aber das erfährst du dann zu gegebener Zeit. Der „Datenschutz-Tipps“-Newsletter erscheint künftig jedenfalls jeden Mittwoch.

Beste Grüße

Stephan Hansen-Oest


Datenschutz-Guru GmbH
Im Tal 10a
24939 Flensburg
Germany

Tel.: +49 461 40 68 245 0
Fax: +49 461 40 68 245 9

E-Mail: sh@datenschutz-guru.de
https://www.datenschutz-guru.de

Geschäftsführer: Stephan Hansen-Oest
Registergericht: Amtsgericht Flensburg, HRB 13436 FL

Den Newsletter kannst du abbestellen, wenn du auf diesen Link klickst: Newsletter abbestellen

Wenn du deine E-Mail-Adresse ändern möchtest (oder einen Vornamen hinzufügen/löschen), dann kannst du das hier tun: Profil aktualisieren


%SENDER-INFO-SINGLELINE%