Abmahnungen wegen Google Fonts

Google Fonts

Derzeit erhalten verantwortliche Stellen wieder vermehrt Abmahnungen aufgrund einer rechtswidrigen Einbindung von Google Fonts. Teilweise wird in diesem Zusammenhang ebenfalls eine vollumfängliche Auskunft nach Art. 15 DS-GVO oder Löschung der personenbezogenen Daten nach Art. 17 DS-GVO verlangt. Was es mit derartigen Abmahnungen auf sich hat, wie Sie einer solchen Abmahnung vorbeugen können und was Sie tun können, wenn Sie bereits eine solche Abmahnung erhalten haben, erfahren Sie in diesem Blog-Beitrag.


Nutzung von Google Fonts

In der Regel können Schriftarten wie Google Fonts über zwei verschiedene Varianten auf einer Internetseite implementiert werden: Zu unterscheiden ist zwischen der Installation der Webschriftarten auf den Server der verantwortlichen Stelle („statisch“) und dem permanenten Abruf der Webschriftarten über die Server des Anbieters der Webschriftarten („dynamisch“).

Während bei der Einbindung der Webschriftarten über die Server der verantwortlichen Stelle keine datenschutzrechtlichen Besonderheiten zu beachten sind, sieht das bei einem Abruf über die Server des jeweiligen Anbieters anders aus: Rufen Nutzende eine Internetseite auf, welche über eine dynamische Implementierung von Webschriftarten verfügt, erfolgt zugleich ein Verweis auf die Bibliothek des jeweiligen Anbieters. Hierbei erfolgt eine Übermittlung personenbezogener Daten, zum Beispiel in Form von IP-Adressen. Oftmals ist damit automatisch eine Verarbeitung der personenbezogenen Daten in datenschutzrechtlichen Drittländern verbunden. So beispielsweise auch bei der Nutzung von Google Fonts. Zwar verfügt Google ebenfalls über Server innerhalb der Europäischen Union, jedoch kann grundsätzlich eine weltweite Datenverarbeitung nicht ausgeschlossen werden. Eine solche unterliegt stets den speziellen datenschutzrechtlichen Vorschriften des Kapitel V der Datenschutz-Grundverordnung (DS-GVO).

Das LG München I stellte mit seinem Urteil vom 20. Januar 2022 (Az. 3 O 17493/20) fest, dass eine dynamische Einbindung von Google Fonts unter diesen Voraussetzungen nicht auf Grundlage des sogenannten berechtigten Interesses gemäß Art. 6 Abs. 1 Satz 1 lit. f) DS-GVO gestützt werden könne (wir berichteten). Weiterhin erschien dem Gericht der geltend gemachte Schadenersatz in Höhe von 100€ angemessen.


Mit dem Urteil folg(t)en Abmahnungen

Auf Grundlage dieses Urteils stützen sich nun zahlreiche Abmahnungen – sowohl von Rechtsanwälten als auch von Privatpersonen. Nach einer ersten Abmahnwelle im Sommer dieses Jahres, erreichen nun auch im Herbst wieder zahlreiche verantwortliche Stellen derartige Schreiben. Dabei sind nicht ausschließlich verantwortliche Stellen betroffen, welche Google Fonts direkt nutzen, sondern ebenfalls solche, die andere Google-Dienste ohne Einwilligung der Nutzenden verwenden, die wiederum auf Google Fonts zurückgreifen.

In den Abmahnungen heißt es beispielsweise: „Mein Mandant nimmt Sie als Verantwortlicher im Sinne des Art. 4 Ziffer 7 DS-GVO (Datenschutz-Grundverordnung) in Anspruch. Denn nach dem Aufruf Ihrer Website musste meine Mandantschaft feststellen, dass Sie nicht die Zustimmung meiner Mandantschaft besitzen, seine IP-Adresse zu nutzen bzw. an den Internet-Konzern Google durch Nutzung von Google Fonts weiterzuleiten. Diesen Verstoß kann meine Mandantschaft leicht durch Screenshots und andere Urkunden nachsehen. So wurden von unserer Mandantschaft mit folgendem Aufrufen seine IP übergeben: […]. Dazu haben wir folgenden Request-Header dokumentiert: […].

Aufbauend auf der Sachverhaltsdarstellung wird ein Anspruch auf Löschung und Unterlassung gemäß Art. 17 DS-GVO sowie § 823 Abs. 1 i.V.m. § 1004 BGB, ein Anspruch auf Auskunft über die Datenverarbeitung entsprechend Art. 15 DS-GVO sowie ein Anspruch auf Schadenersatz entsprechend Art. 82 Abs. 1 DS-GVO geltend gemacht. Weiterhin wird die Zahlung einer Vergleichssumme angeboten, nach deren Bezahlung sich die Mandantschaft dazu verpflichtet „keine weiteren juristischen Schritte aus dieser Cause [sic] gegen Sie einzuleiten.


Empfohlene Maßnahmen

Grundsätzlich ist jedem Betreiber einer Internetseite zu empfehlen, die eigenen Internetseiten stets auf eine rechtskonforme Einbindung etwaiger Drittinhalte zu überprüfen. Findet im Rahmen einer solchen Einbindung eine Übermittlung personenbezogener Daten (z.B. IP-Adressen) statt, bedarf es hierfür regelmäßig der informierten Einwilligung der Nutzenden. Gern unterstützen wir Sie auch bei einer entsprechenden Überprüfung Ihrer Internetseite, kommen Sie hierfür jederzeit auf uns zu!

Haben Sie bereits eine Abmahnung erhalten, stellen Sie sich sicher die Frage, wie Sie hierauf am besten reagieren können. Hierbei bestehen verschiedene Möglichkeiten:

  • Sie können den angegebenen Vergleichsbetrag bezahlen. Damit unterstützen Sie jedoch grundsätzlich auch dieses Vorgehen sogenannter „Abmahn-Anwälte“.
  • Sie können die Abmahnung ignorieren. Oftmals werden die Abmahnungen flächendeckend immer wieder durch identische Personen geltend gemacht. Das lässt darauf schließen, dass hierbei vorsätzlich Internetseiten mit fehlerhafter Einbindung einwilligungsbedürftiger Drittinhalte aufgesucht werden, um etwaige Ansprüche geltend zu machen. Dies ist grundsätzlich rechtsmissbräuchlich, sodass diese Ansprüche voraussichtlich nicht gerichtlich geltend gemacht werden können. Hinsichtlich der Betroffenenrechte kann sich auf die Ausnahmeregelung des Art. 12 Abs. 5 DS-GVO (offenkundig unbegründete oder exzessive Anträge einer betroffenen Person) gestützt werden. Fraglich ist, ob vorliegend die betroffene Person hierüber informiert werden müsste – sofern diese tatsächlich existiert. Die Gefahr einer weiteren Verfolgung der datenschutzrechtlichen Rechte ist zudem voraussichtlich gering.
  • Sie können die Ansprüche zurückweisen. Alternativ können Sie ebenfalls mit Unterstützung eines rechtlichen Beistandes die Ansprüche umfassend zurückweisen und eine Verweigerung der Bearbeitung der Betroffenenanfragen mitteilen. Ersten Rückmeldungen zufolge wird dann jedoch teilweise versucht, das Szenario weiter zu konstruieren. So wurden in weiteren Schritten beispielsweise angebliche Vollmachten übermittelt, welche sich nicht weiter überprüfen ließen. Im Ergebnis besteht somit auch hier keine vollumfängliche Rechtssicherheit.


Fazit

Auch wenn die geltend gemachten Ansprüche aller Voraussicht nach vor Gericht keinen Bestand haben dürften, zeigt sich wieder einmal, dass mit dem datenschutzkonformen Betrieb einer Internetseite viel Stress erspart bleiben kann. Eine regelmäßige Überprüfung der dortigen Datenverarbeitungen ist stets zu empfehlen. Wie im Einzelfall bei dem Vorliegen einer Abmahnung weiter vorgegangen wird, obliegt unter Berücksichtigung der obigen Argumente der verantwortlichen Stelle. Jedenfalls sollte spätestens zu diesem Zeitpunkt eine detaillierte Prüfung und Überarbeitung der Internetseite erfolgen.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Mitgliedschaften des Dresdner Instituts für Datenschutz