Kategorien
IT-Recht & Technologierecht

DSGVO-Verstoß durch Laden von Google Fonts über externen Server

Das Landgericht München I (3 O 17493/20) hat entschieden, dass eine unerlaubte Weitergabe einer dynamischen IP-Adresse beim Laden von Google Fonts über einen externen Server – hier bei Übermittlung an Google selbst – eine Verletzung des allgemeinen Persönlichkeitsrechtes darstellt. Die Entscheidung hat viel Aufmerksamkeit erfahren und wird gerne fälschlicherweise zusammengefasst als „Verwendung von Google Fonts als DSGVO Verstoß“. Dabei liegt der Vorwurf nicht im Einsatz von Google Fonts, sondern vielmehr im Nachladen über einen externen Server ohne vorherige Einwilligung.

DSGVO-Verstoß durch IP-Adressen-Übermittlung

Es geht dabei darum, dass wie bisher (noch!) verbreitet Google Fonts beim Aufruf einer Webseite nachgeladen wurden, indem die Google-Server kontaktiert wurden, wodurch die – hier dynamische – IP-Adresse des Nutzers übermittelt wurde. Diese automatische Weitergabe der IP-Adresse an Google war mit dem Landgericht ein nach dem Datenschutzrecht unzulässiger Eingriff in das allgemeine Persönlichkeitsrecht, da vorliegend unstreitig nicht vorher gemäß § 13 Abs. 2 TMG a.F., Art. 6 Abs. 1 a) DSGVO eingewilligt wurde.

Externe Einbindung technisch nicht zwingend

Gerne wird in diesem Zusammenhang auf eine technische Notwendigkeit verwiesen: Es lag für das Gericht aber eben kein Rechtfertigungsgrund vor. Ein berechtigtes Interesse i.S.d. Art. 6 Abs. 1 f) DSGVO, lag für das Gericht (nachvollziehbar) nicht vor, denn Google Fonts kann auch genutzt werden, ohne dass beim Aufruf der Webseite eine Verbindung zu einem Google-Server hergestellt wird und eine Übertragung der IP-Adresse der Webseitennutzer an Google stattfindet.

Wie nutzt man Google Fonts DSGVO-konform?

Dass es hier um Google Fonts geht, ist aus meiner Sicht nur deswegen hervorzuheben, weil diese so exorbitant häufig verwendet werden. Im Kern ist es wie immer: Einbindung von Inhalten externer Server nur nach vorheriger Einwilligung, ob es dann technisch um Analyseprodukte, lustige Videos oder Schriftarten geht, spielt keine Rolle. Am einfachsten wird bei selbst erstellten Seiten sein, die Schriftarten lokal zu hinterlegen; bei fertigen Lösungen wie WordPress kann auf Plug-ins wie OMGF gesetzt werden, die die benötigten Schriftarten lokal hinterlegen.

Webseitennutzer muss IP-Adresse nicht verstecken

Der Kläger war auch nicht verpflichtet, vor dem Aufrufen der Webseite der Beklagten seine eigene IP-Adresse zu verschlüsseln. Dies vom Kläger zu verlangen, würde dem Zweck des hier betroffenen Datenschutzrechtes, welches in erster Linie den Schutz natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten vor Beeinträchtigung bezweckt, zuwiderlaufen, sondern diesen vielmehr umkehren, da durch eine solche Verpflichtung der Rechteinhaber bei der Ausübung seiner schützenswerten Rechte eingeschränkt werden würde {LG Dresden, Urteil vom 11.01.2019, Aktenzeichen 1 AO 1582/18).

Unterlassungsanspruch und Schadensersatz bei Einsatz von Google Fonts über externen Server ohne Einwilligung: Rechtsanwalt Ferner

Gerade Webagenturen müssen dies auf dem Schirm haben: Inzwischen haben die großen IT-Medien berichtet, so dass das Problem als bekannt vorausgesetzt werden darf. Da Werbeagenturen in diesem Fall haften können, sollte man Kunden zumindest über die Problematik informieren.

Schmerzensgeld bei externer Einbindung

Es wurde auch ein Schadensersatzanspruch (Art. 82 Abs. 1 DSGVO) zugesprochen. Hier berücksichtigte das Gericht, dass die Übermittlung der IP-Adresse nicht nur einmalig erfolgt ist und der hiermit verbundene Eingriff in das allgemeine Persönlichkeitsrecht m Hinblick auf den Kontrollverlust des Nutzers über ein personenbezogenes Datum an Google so erheblich war, dass ein Schadensersatzanspruch gerechtfertigt war. Berücksichtigt werden musste aus Sicht des Gerichts dabei, dass die IP-Adresse an einen Server von Google in den USA übermittelt wurde, wobei dort kein angemessenes Datenschutzniveau gewährleistet ist und die Haftung präventiv weiteren Verstößen vorbeugen soll. Die Hohe des geltend gemachten Schadensersatzes war im Hinblick auf die inhaltliche Schwere und Dauer der Rechtsverletzung aus Sicht des Gerichts mit 100 Euro angemessen.

Weiterer Grund: Schnellere Webseite

Übrigens, gleich, was man von dieser Rechtslage halten mag: Ein weiterer guter Grund für eine lokale Einbindung externer Schriftarten ist der messbare Geschwindigkeitsverlust. Die externe Verwendung von Google Fonts führte jedenfalls in meinen Messungen früher selbst bei Google Insights zu spürbaren Leistungsverlusten.

Avatar of Rechtsanwalt Jens Ferner (Fachanwalt für Strafrecht & Fachanwalt für IT-Recht)
Letzte Artikel von Rechtsanwalt Jens Ferner (Fachanwalt für Strafrecht & Fachanwalt für IT-Recht) (Alle anzeigen)
Avatar of Rechtsanwalt Jens Ferner (Fachanwalt für Strafrecht & Fachanwalt für IT-Recht)

Von Rechtsanwalt Jens Ferner (Fachanwalt für Strafrecht & Fachanwalt für IT-Recht)

Auf Strafverteidigung & Wirtschaftsstrafrecht spezialisiert übernehmen wir ausschließlich Strafverteidigungen, Ordnungswidrigkeiten und Strafvollstreckungssachen.
Rechtsanwalt Jens Ferner ist als Fachanwalt für Strafrecht und Fachanwalt für IT-Recht Ihr Profi in Strafverteidigung, speziell in Cybercrime, Wirtschaftsstrafrecht und Arbeitsstrafrecht sowie bei Unternehmens-Bußgeldern