Google Fonts immer lokal einbinden! - LG München: Schadensersatz wegen Einbindung von Google Fonts

hammerDas Landgericht München I verurteilte die Betreiberin einer Website zu Unterlassung und Schadensersatz (Urteil vom 20.01.2022, Az. 3 O 17493/20). Sie hatte denn Dienst Google Fonts auf ihrer Website eingebunden, wobei eine Weiterleitung der IP-Adresse des klagenden Website-Besuchers an Google erfolgte. Die Website-Betreiberin habe aber kein berechtigtes Interesse an der Weiterleitung auf die externen Google-Server, da der Einsatz von Google Fonts auch möglich sei, ohne dabei eine Verbindung zu Google-Servern herzustellen, nämlich indem man die Schriftarten lokal intalliert.

IP-Adressen sind personenbezogene Daten

Bei der dynamischen Einbindung von Google Fonts auf einer Website werden Schriftarten über einen Google-Server nachgeladen, sobald der Besucher die Website aufruft..
Über die Serververbindung zu Google LLC in den USA wird auch die IP-Adresse des Website-Nutzers an Google weitergeleitet.
Diese IP-Adresse stelle ein personenbezogenes Datum dar, „denn der Webseitenbetreiber verfügt abstrakt über rechtliche Mittel, die vernünftigerweise eingesetzt werden könnten, um mithilfe Dritter, und zwar der zuständigen Behörde und des Internetzugangsanbieters, die betreffende Person anhand der gespeicherten IP-Adressen bestimmen zu lassen“ (Urteil des LG München, Rn. 5). Das entschied bereits der Bundesgerichtshof (Urteil vom 16.05.2017 - VI ZR 135/13), auf dessen Ausführungen sich das LG München bezieht.

Kein berechtigtes Interesse an der Weitergabe der IP-Adresse

Die Website-Betreiberin hatte für die Weiterleitung der IP-Adresse keine Einwilligung des Website-Besuchers eingeholt, sondern sich auf ein berechtigtes Interesse im Sinne des Art. 6 Abs. 1 lit. f DS-GVO berufen.
Ein solches liegt laut dem LG München nicht vor, „denn Google Fonts kann durch die Beklagte auch genutzt werden, ohne dass beim Aufruf der Webseite eine Verbindung zu einem Google-Server hergestellt wird und eine Übertragung der IP-Adresse der Webseitennutzer an Google stattfindet“ (Urteil des LG München, Rn. 8).

Anspruch auf Unterlassung und Schadensersatz

Die automatische Weitergabe der IP-Adresse an Google durch die Website-Betreiberin verletze den Website-Besucher mangels Rechtfertigung in seinem allgemeinen Persönlichkeitsrecht.
Deshalb bejaht das LG München einen Anspruch des klagenden Website-Besuchers gegen die Website-Betreiberin auf Unterlassung der Weitergabe von IP-Adressen des Klägers an Google aus § 823 Abs. 1 in Verbindung mit § 1004 BGB analog.
Dem Kläger stehe außerdem Schadensersatz in Höhe von 100 Euro gemäß Art. 82 Abs. 1 DSGVO zu.
Der dafür erforderliche Schaden kann gemäß Art. 82 Abs. 1 DS-GVO auch ein immaterieller Schaden sein. Die Frageüber eine Notwendigkeit zur Überschreitung einer gewissen Erheblichkeitsschwelle für die Ersatzfähigkeit des Schadens,bedarf aus Sicht des Gerichts vorliegend keiner Antwort.
Die Übermittlung der IP-Adresse sei nicht nur einmalig gewesen und sei an Google erfolgt, „ein Unternehmen, das bekanntermaßen Daten über seine Nutzer sammelt“ und seinen Sitz in den USA hat – einen Drittstatt ohne geeignete Datenschutzgarantien. Vor diesem Hintergrund sei der „Eingriff in das allgemeine Persönlichkeitsrecht […] im Hinblick auf den Kontrollverlust des Klägers über ein personenbezogenes Datum an Google […] und das damit vom Kläger empfundene individuelle Unwohlsein so erheblich, dass ein Schadensersatzanspruch gerechtfertigt ist“ (Urteil des LG München, Rn. 12).

Fazit: Lokale Einbindung von Google Fonts

Die Übermittlung von IP-Adressen an Google aufgrund des Einsatzes von Google Fonts auf einer Website ist nach Ansicht des LG München nicht durch berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO)zu rechtfertigen. Website-Betreiber können beim Einsatz von Google Fonts auf die Datenweitergabe verzichten.
Sie sind nicht darauf angewiesen, die benötigte Schriftart von Google-Servern nachzuladen und beim Aufruf der Website eine Verbindung zum Google-Server aufzubauen.
Stattdessen können Website-Betreiber eine Schriftart auf dem eigenen Server hinterlegen und auf ihrer Website einbinden. Somit besteht keine Verbindung zum Google-Server.
Durch die lokale Einbindung von Google Fonts können Website-Betreiber sich DSGVO-konform verhalten und benötigen auch keine Einwilligung der Nutzer.
Wir empfehlen daher die lokale Einbindung der Schriftarten, zumal davon auszugehen ist, dass die dynamische Einbindung von Google Fonts auch nicht auf eine Einwilligung gestützt werden kann.
Durch das Ende des EU-US-Privacy-Shield-Abkommens existiert zurzeit kein Angemessenheitsbeschluss, der ein ausreichendes Datenschutzniveau in den USA anerkennt. Standarddatenschutzklauseln sind ebenfalls keine geeignete Garantien für den Datentransfer in die USA, da diese nicht vor dem Zugriff durch US-Behörden schützen. Das hat zuletzt z.B. die österreichische Datenschutzbehörde entschieden.
Eine Einwilligung gemäß Art. 49 Abs. 1 S. 1 lit. a DSGVO kann ebenfalls nicht als Rechtsgrundlage dienen. Die Vorschrift soll nur bei gelegentlichen Datenübermittlungen anwendbar sein (Erwägungsgrund 111 der DSGVO). Ihre Anwendung auf regelmäßige Datentransfers widerspricht ihrem Charakter als Ausnahmevorschrift, wie die Datenschutzkonferenz betont.

Co-Autor: Wissenschaftliche Mitarbeiterin - Stud. jur. Caroline Weis

Bildquelle: Bild von succo auf Pixabay

Rechtsanwalt Marcus Dury LL.M. - Fachanwalt für IT-Recht
Autor: Rechtsanwalt Marcus Dury LL.M. - Fachanwalt für IT-Recht
Kanzleiinhaber, Fachanwalt für IT-Recht
Autoren-Info:
Rechtsanwalt Marcus Dury LL.M., Fachanwalt für IT-Recht, hat sich auf die rechtliche Beratung in Fragen des IT-Rechts und den damit verbundenen Rechtsgebieten (Urheberrecht, Markenrecht und Wettbewerbsrecht) spezialisiert. Er ist Inhaber von DURY LEGAL Rechtsanwälte.

datenschutz luxemburg 2019 DURY cover

Jetzt bestellen: DURY / KERZ - Datenschutz in Luxemburg

Dieses Handbuch gibt einen praxisnahen Einblick in die Besonderheiten des luxemburgischen Datenschutzrechts und deren Zusammenspiel mit der Datenschutzgrundverordnung (DSGVO). Seit dem 25. Mai 2018 ist die DSGVO wirksam. Das neue luxemburgische Datenschutzgesetz ist seit dem 20. August 2018 in allen Datenverarbeitungsprozessen mit Bezug zu Luxemburg ergänzend zu der DSGVO zu beachten.
Im ersten Teil dieses Buches erfahren Sie, welche neuen gesetzlichen Anforderungen die DSGVO und das neue luxemburgische Datenschutzgesetz an Unternehmen in Luxemburg bzw. Konzernstrukturen mit Bezug zu Luxemburg stellen.
Im zweiten Teil des Buches finden Sie eine systematische Darstellung der DSGVO und des luxemburgischen Datenschutzgesetzes.
Es soll Ihnen im Unternehmensalltag helfen, datenschutzrechtliche Vorgaben in Luxemburg einzuhalten und diese in der Praxis mit möglichst wenig Aufwand umzusetzen.
Das Buch, inklusive des Textes des luxemburgischen Datenschutzgesetzes, ist in drei Sprachen erhältlich: Französisch, Englisch und Deutsch. Die deutsche und englische Übersetzung des Gesetzestextes sind zudem von der luxemburgischen Aufsichtsbehörde (CNPD) autorisiert, sodass Sie sicher sein können, dass Ihnen bei der Anwendung der Übersetzungen kein Nachteil gegenüber der Anwendung des ursprünglichen Gesetzeswortlauts entsteht.

Zielgruppe

Dieses Praxishandbuch richtet sich an alle, die sich mit dem Thema Datenschutz in Luxemburg beruflich beschäftigen, z. B. Datenschutzbeauftragte in Unternehmen oder Vereinen, Berater, Geschäftsführer oder sonstige IT-Verantwortliche.

Bestellen Sie jetzt per Fax unter +49 (0) 8581 754, bei Amazon.de oder auf www.shop.ruw.de