Google Fonts immer lokal einbinden! - LG München: Schadensersatz wegen Einbindung von Google Fonts

Datenschutzrecht-Blog

hammerDas Landgericht München I verurteilte die Betreiberin einer Website zu Unterlassung und Schadensersatz (Urteil vom 20.01.2022, Az. 3 O 17493/20). Sie hatte denn Dienst Google Fonts auf ihrer Website eingebunden, wobei eine Weiterleitung der IP-Adresse des klagenden Website-Besuchers an Google erfolgte. Die Website-Betreiberin habe aber kein berechtigtes Interesse an der Weiterleitung auf die externen Google-Server, da der Einsatz von Google Fonts auch möglich sei, ohne dabei eine Verbindung zu Google-Servern herzustellen, nämlich indem man die Schriftarten lokal intalliert.

IP-Adressen sind personenbezogene Daten

Bei der dynamischen Einbindung von Google Fonts auf einer Website werden Schriftarten über einen Google-Server nachgeladen, sobald der Besucher die Website aufruft..
Über die Serververbindung zu Google LLC in den USA wird auch die IP-Adresse des Website-Nutzers an Google weitergeleitet.
Diese IP-Adresse stelle ein personenbezogenes Datum dar, „denn der Webseitenbetreiber verfügt abstrakt über rechtliche Mittel, die vernünftigerweise eingesetzt werden könnten, um mithilfe Dritter, und zwar der zuständigen Behörde und des Internetzugangsanbieters, die betreffende Person anhand der gespeicherten IP-Adressen bestimmen zu lassen“ (Urteil des LG München, Rn. 5). Das entschied bereits der Bundesgerichtshof (Urteil vom 16.05.2017 - VI ZR 135/13), auf dessen Ausführungen sich das LG München bezieht.

Kein berechtigtes Interesse an der Weitergabe der IP-Adresse

Die Website-Betreiberin hatte für die Weiterleitung der IP-Adresse keine Einwilligung des Website-Besuchers eingeholt, sondern sich auf ein berechtigtes Interesse im Sinne des Art. 6 Abs. 1 lit. f DS-GVO berufen.
Ein solches liegt laut dem LG München nicht vor, „denn Google Fonts kann durch die Beklagte auch genutzt werden, ohne dass beim Aufruf der Webseite eine Verbindung zu einem Google-Server hergestellt wird und eine Übertragung der IP-Adresse der Webseitennutzer an Google stattfindet“ (Urteil des LG München, Rn. 8).

Anspruch auf Unterlassung und Schadensersatz

Die automatische Weitergabe der IP-Adresse an Google durch die Website-Betreiberin verletze den Website-Besucher mangels Rechtfertigung in seinem allgemeinen Persönlichkeitsrecht.
Deshalb bejaht das LG München einen Anspruch des klagenden Website-Besuchers gegen die Website-Betreiberin auf Unterlassung der Weitergabe von IP-Adressen des Klägers an Google aus § 823 Abs. 1 in Verbindung mit § 1004 BGB analog.
Dem Kläger stehe außerdem Schadensersatz in Höhe von 100 Euro gemäß Art. 82 Abs. 1 DSGVO zu.
Der dafür erforderliche Schaden kann gemäß Art. 82 Abs. 1 DS-GVO auch ein immaterieller Schaden sein. Die Frageüber eine Notwendigkeit zur Überschreitung einer gewissen Erheblichkeitsschwelle für die Ersatzfähigkeit des Schadens,bedarf aus Sicht des Gerichts vorliegend keiner Antwort.
Die Übermittlung der IP-Adresse sei nicht nur einmalig gewesen und sei an Google erfolgt, „ein Unternehmen, das bekanntermaßen Daten über seine Nutzer sammelt“ und seinen Sitz in den USA hat – einen Drittstatt ohne geeignete Datenschutzgarantien. Vor diesem Hintergrund sei der „Eingriff in das allgemeine Persönlichkeitsrecht […] im Hinblick auf den Kontrollverlust des Klägers über ein personenbezogenes Datum an Google […] und das damit vom Kläger empfundene individuelle Unwohlsein so erheblich, dass ein Schadensersatzanspruch gerechtfertigt ist“ (Urteil des LG München, Rn. 12).

Fazit: Lokale Einbindung von Google Fonts

Die Übermittlung von IP-Adressen an Google aufgrund des Einsatzes von Google Fonts auf einer Website ist nach Ansicht des LG München nicht durch berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO)zu rechtfertigen. Website-Betreiber können beim Einsatz von Google Fonts auf die Datenweitergabe verzichten.
Sie sind nicht darauf angewiesen, die benötigte Schriftart von Google-Servern nachzuladen und beim Aufruf der Website eine Verbindung zum Google-Server aufzubauen.
Stattdessen können Website-Betreiber eine Schriftart auf dem eigenen Server hinterlegen und auf ihrer Website einbinden. Somit besteht keine Verbindung zum Google-Server.
Durch die lokale Einbindung von Google Fonts können Website-Betreiber sich DSGVO-konform verhalten und benötigen auch keine Einwilligung der Nutzer.
Wir empfehlen daher die lokale Einbindung der Schriftarten, zumal davon auszugehen ist, dass die dynamische Einbindung von Google Fonts auch nicht auf eine Einwilligung gestützt werden kann.
Durch das Ende des EU-US-Privacy-Shield-Abkommens existiert zurzeit kein Angemessenheitsbeschluss, der ein ausreichendes Datenschutzniveau in den USA anerkennt. Standarddatenschutzklauseln sind ebenfalls keine geeignete Garantien für den Datentransfer in die USA, da diese nicht vor dem Zugriff durch US-Behörden schützen. Das hat zuletzt z.B. die österreichische Datenschutzbehörde entschieden.
Eine Einwilligung gemäß Art. 49 Abs. 1 S. 1 lit. a DSGVO kann ebenfalls nicht als Rechtsgrundlage dienen. Die Vorschrift soll nur bei gelegentlichen Datenübermittlungen anwendbar sein (Erwägungsgrund 111 der DSGVO). Ihre Anwendung auf regelmäßige Datentransfers widerspricht ihrem Charakter als Ausnahmevorschrift, wie die Datenschutzkonferenz betont.

Co-Autor: Wissenschaftliche Mitarbeiterin - Stud. jur. Caroline Weis

Bildquelle: Bild von succo auf Pixabay

Rechtsanwalt Marcus Dury LL.M. - Fachanwalt für IT-Recht
Autor: Rechtsanwalt Marcus Dury LL.M. - Fachanwalt für IT-Recht
Kanzleiinhaber, Fachanwalt für IT-Recht
Autoren-Info:
Rechtsanwalt Marcus Dury LL.M., Fachanwalt für IT-Recht, hat sich auf die rechtliche Beratung in Fragen des IT-Rechts und den damit verbundenen Rechtsgebieten (Urheberrecht, Markenrecht und Wettbewerbsrecht) spezialisiert. Er ist Inhaber von DURY LEGAL Rechtsanwälte.