Google-Fonts – externe Einbindung datenschutzrechtlich problematisch

Die Website ist als Außenauftritt von Unternehmen und Informationskanal für Interessierte nicht mehr wegzudenken. Gleichzeitig gilt es rechtliche Vorgaben zu beachten, wie beispielsweise Informationspflichten, durch die auch Angriffsflächen entstehen. Eine mögliche Angriffsfläche stellt der Einsatz externer Dienste oder eingebundener Inhalte dar, wie den sogenannten „Google-Fonts“.

Aus datenschutzrechtlicher Sicht wird der Einsatz solcher Dienste und Inhalte relevant, wenn mit ihrer Hilfe eine Datenverarbeitung stattfindet. In einem Urteil des Landgericht München (Urt. v. 20.01.2022 – 3 O 17493/20) wurde die Datenverarbeitung durch die Einbindung von Google-Fonts auf einer Website als datenschutzrechtlich problematisch angesehen.

Hintergrund der Google-Fonts

Bei Web-Fonts handelt es sich um Schriftarten die auf einer Website eingebunden und dargestellt werden können. Verschiedene Anbieter stellen hierzu Schriftartenbibliotheken bereit und bieten Website-Betreibern hiermit individuelle Gestaltungsmöglichkeiten und eine größere Auswahl als Alternative zu den ansonsten verfügbaren Standardschriftarten. Speziell bei den „Google-Fonts“ handelt es sich um Schriftarten, die von „Google“ bereitgestellt werden. Für die Einbindung dieser Schriftarten bestehen zwei Möglichkeiten.

Im Falle der Google-Fonts kann die Einbindung über die Google-Server stattfinden und somit durch Hosting auf fremden Servern. Bei dem Besuch einer Website werden die Schriftarten dann von den Google-Servern hinzugeladen und auf dem Endgerät des Besuchers dargestellt. Für das Hinzuladen und die damit verbundene Übertragung wird zumindest die IP-Adresse des Besuchers an die Server von Google übermittelt. Wie bereits durch den Bundesgerichtshof (BGH Urt. v. 16.05.2017 – VI ZR 135/13) festgestellt, stellen (dynamische) IP-Adressen ein personenbezogenes Datum dar. Bei der Übermittlung der IP-Adresse an die Google-Server in den USA sind daher die datenschutzrechtlichen Vorgaben zu beachten.

Als weitere Möglichkeit und Alternative zu dem Hosting der Schriftarten auf fremden Servern, können Website-Betreiber auch lokale Einbindungen vornehmen. Hierzu sind die Google-Fonts herunterzuladen und lokal einzubinden. Bei dem Besuch einer Website werden die Schriftarten über diese Variante von den lokalen Quellen hinzugeladen, es findet somit kein Datentransfer über fremde Server statt.

Urteil zu externer Einbindung der Google-Fonts

In dem Verfahren vor dem Landgericht München hatte sich der Besucher einer Website über die Einbindung der Google-Fonts beschwert, die bei dem Besuch der Website von den externen Google-Servern hinzugeladen wurden. Nach seiner Ansicht sei für die Verarbeitung der Daten und Übermittlung an die Google-Server seine Einwilligung einzuholen gewesen. Insbesondere durch die Verarbeitung auf Servern in den USA, für die derzeit kein mit der Europäischen Union vergleichbares Datenschutzniveau anerkannt wird, forderte er den Website-Betreiber zu der Zahlung eines Schadensersatzes und Abgabe einer strafbewehrten Unterlassungserklärung auf.

Der Betreiber der Website hatte sich hingegen auf „berechtigte Interessen“ nach Art. 6 Abs. S. 1 lit. f DSGVO berufen, aufgrund dessen die Art der Einbindung und Verarbeitung zulässig gewesen sei.

Das Landgericht München hat mit seinem Urteil dem Website-Besucher Recht gegeben. Nach Ansicht der Richter sei ein Rückgriff auf „berechtigte Interessen“ bei dem Einsatz von Google-Fonts nicht zulässig. Website-Besucher seien vor einer solchen Verarbeitung um ihre Einwilligung zu fragen. Dem Besucher der Website wurde daraus folgend ein Schadensersatzanspruch in Höhe von 100,00 € zugesprochen sowie der Betreiber der Website zu der Abgabe einer strafbewehrten Unterlassungserklärung verpflichtet. Das „individuelle Unwohlsein“ des Besuchers sei nach dem Gericht so erheblich, dass ein Schadensersatzanspruch gerechtfertigt sei, wobei in der Bewertung auch die Übermittlung in die USA Berücksichtigung gefunden hat.

Datenschutzrechtliche Einordnung und Relevanz für weitere Dienste

Zunächst ist festzustellen, dass es sich hierbei um das Urteil eines einzelnen Gerichts handelt und dieses speziell für den Einsatz der Google-Fonts ergangen ist. Bei der Überprüfung von Diensten mit ähnlicher Verarbeitung ist jedoch ein vergleichbares Ergebnis denkbar. Durch die relativ einfache Möglichkeit einer lokalen Einbindung, ist die Vermeidung rechtlicher Auseinandersetzungen durch diese Variante der Einbindung für Google-Fonts empfehlenswert. Zumindest die Einwilligungsmöglichkeit, die bei den Google-Fonts schwieriger umzusetzen ist, lässt sich bei anderen Website-Diensten über gängige Consent-Tools abdecken.

Grundsätzlich empfiehlt es sich bei dem Einsatz von Diensten oder der Einbindung externer Inhalte Rücksprache mit dem Datenschutzbeauftragten zu halten. Nicht zuletzt aufgrund des Inkrafttretens des TTDSG (Telekommunikation-Telemedien-Datenschutz-Gesetz), nach dem die europäischen Vorgaben einer Einwilligung auch durch den deutschen Gesetzgeber in deutsches Recht überführt wurde, weshalb für das Speichern von Informationen in Endgeräte bzw. Auslesen von Informationen aus Endgeräten von Endnutzern nach § 25 TTDSG eine solche Einwilligung der Endnutzer einzuholen ist.

Sie möchten mehr über dieses Thema erfahren?

Durch die Berücksichtigung rechtlicher Vorgaben in dem Außenauftritt von Unternehmen können Auseinandersetzungen im Arbeitsalltag vermieden werden. Wir erarbeiten mit Ihnen hierzu eine rechtlich konforme Website und erklären Ihnen wie Sie rechtssicher vorgehen.

Rufen Sie uns gerne hierzu an oder kontaktieren Sie uns über diese Webseite.

Verfasser: Frederik Sonnenburg, LL.M. (Wirtschaftsrecht)

Menü