LG MÜNCHEN I ZUR NUTZUNG VON GOOGLE FONTS


In unserem Blog-Beitrag „Analyse, Karten, Schriftarten & Co. – Datenschutz bei Internetseiten“ haben wir bereits im Februar des vergangenen Jahres auf die datenschutzrechtlichen Besonderheiten bei der Implementierung von Drittinhalten auf der Internetseite betrachtet. In diesem Zusammenhang empfahlen wir die Installation von Webschriftarten auf den Servern der verantwortlichen Stelle. Mit Urteil vom 20. Januar 2022 hat das LG München I (Az. 3 O 17493/20) nun entschieden, dass die dynamische Einbindung von Google Fonts nicht auf das berechtigte Interesse der verantwortlichen Stelle gestützt werden kann.


WAS SIND WEBSCHRIFTARTEN UND GOOGLE FONTS?

Internetseiten stellen neben Präsenzen in sozialen Netzwerken zunehmend eines der wichtigsten Kommunikationskanäle von Unternehmen und Behörden dar. Dementsprechend ist das Bedürfnis groß, die Elemente der Internetseite an die Corporate Identity des Unternehmens anzupassen sowie durch die Nutzung besonderer Schriftarten den Wiedererkennungswert zu erhöhen. Verschiedene Anbieter stellen hierfür umfangreiche Bibliotheken an Webschriftarten, meist zur kostenfreien Nutzung, zur Verfügung. Einer der am meist verbreitetsten Anbieter in diesem Bereich ist Google mit dem Produkt „Google Fonts“.


WIESO IST DAS DATENSCHUTZRECHTLICH RELEVANT?

In der Regel können derartige Schriftarten über zwei verschiedene Varianten auf einer Internetseite implementiert werden: Zu unterscheiden ist zwischen der Installation der Webschriftarten auf den Server der verantwortlichen Stelle („statisch“) und dem permanenten Abruf der Webschriftarten über die Server des Anbieters der Webschriftarten („dynamisch“).

Während bei der Einbindung der Webschriftarten über die Server der verantwortlichen Stelle keine datenschutzrechtlichen Besonderheiten zu beachten sind, sieht das bei einem Abruf über die Server des jeweiligen Anbieters anders aus: Rufen Nutzende eine Internetseite auf, welche über eine dynamische Implementierung von Webschriftarten verfügt, erfolgt zugleich ein Verweis auf die Bibliothek des jeweiligen Anbieters. Hierbei erfolgt eine Übermittlung personenbezogener Daten, zum Beispiel in Form von IP-Adressen. Oftmals ist damit automatisch eine Verarbeitung der personenbezogenen Daten in datenschutzrechtlichen Drittländern verbunden. So beispielsweise auch bei der Nutzung von Google Fonts. Zwar verfügt Google ebenfalls über Server innerhalb der Europäischen Union, jedoch kann grundsätzlich eine weltweite Datenverarbeitung nicht ausgeschlossen werden. Eine solche unterliegt stets den speziellen datenschutzrechtlichen Vorschriften des Kapitel V der Datenschutz-Grundverordnung (DS-GVO).


WAS HAT DAS GERICHT ENTSCHIEDEN?

Im Rahmen des benannten Verfahrens beanstandete der Kläger die dynamische Nutzung von Google Fonts sowie die hierbei stattfindende Übermittlung personenbezogener Daten ohne Einwilligung der jeweiligen Nutzenden. Die beklagte verantwortliche Stelle stützte die Einbindung von Google Fonts und die diesbezügliche Datenverarbeitung auf die Rechtsgrundlage des berechtigten Interesses gemäß Art. 6 Abs. 1 Satz 1 lit. f) DS-GVO. Das Gericht stellte diesbezüglich eine unerlaubte Weitergabe der IP-Adresse des Klägers und mithin eine Verletzung des Rechts auf informationelle Selbstbestimmung fest. Nach Ansicht des Gerichtes könne die dargestellte Datenverarbeitung nicht auf die Rechtsgrundlage des berechtigten Interesses gestützt werden, da eine Nutzung von Webschriftarten auch ohne Übermittlung personenbezogener Daten möglich sei.

Weiterhin steht dem Kläger ein Schadensersatzanspruch aus Art. 82 Abs. 1 DS-GVO zu. Dies gilt insbesondere vor dem Hintergrund des Kontrollverlustes des Klägers über seine personenbezogenen Daten sowie die Übermittlung personenbezogener Daten in datenschutzrechtliche Drittländer. Für das Gericht erscheint der geltend gemachte Schadensersatz von 100 € für angemessen. Die beklagte verantwortliche Stelle hat darüber hinaus  zukünftig vergleichbare Datenverarbeitungen zu unterlassen. Zuwiderhandlungen können mit einem Ordnungsgeld von bis zu 250.000 €, ersatzweise mit Ordnungshaft bis zu sechs Monaten geahndet werden.


EMPFEHLUNGEN FÜR DIE PRAXIS

Verantwortlichen Stellen ist anzuraten sämtliche Internetseiten auf den Einsatz von Webschriftarten und vergleichbaren Diensten von Drittanbietern (z.B. Content Delivery Networks, kurz: CDN) zu untersuchen. Zu empfehlen ist dabei grundsätzlich die Implementierung dieser Dienste und Elemente auf den Servern der verantwortlichen Stelle.

Die Nutzung der Rechtsgrundlage der Einwilligung kann für die benannten Datenverarbeitungen nicht empfohlen werden: Findet bei der jeweiligen Verarbeitungstätigkeit eine Übermittlung personenbezogener Daten in ein datenschutzrechtliches Drittland statt, richtet sich diese Verarbeitung nach Kapitel V der DS-GVO. Dabei kann zwar ebenfalls eine Einwilligung nach Art. 49 Abs. 1 Satz 1 lit. a) DS-GVO herangezogen werden, jedoch ausschließlich im Ausnahmefall. Ein solcher Ausnahmefall ist im Rahmen regelmäßig wiederkehrender Datenverarbeitungen für eine Vielzahl von Nutzenden jedoch nach Auffassung der Aufsichtsbehörden grundsätzlich zu verneinen.

Sofern Unsicherheiten in der Anwendung des Gerichtsurteils oder in der weiteren Handhabung der datenschutzrechtlichen Vorschriften im Zusammenhang mit der Internetseite bestehen, empfehlen wir die Kontaktaufnahme mit Ihrem Datenschutzbeauftragten. Gern hilft Ihnen in diesen Fällen auch das DID Dresdner Institut für Datenschutz weiter.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Mitgliedschaften des Dresdner Instituts für Datenschutz