Uns erreichen vermehrt Schreiben wegen der Nutzung von Google Fonts – vorwiegend von angeblichen Privatpersonen. In vielen Fällen lauten sie exakt gleich: Es wird die dynamische Einbindung von Google Fonts beanstandet und neben Unterlassung und Auskunft Schadensersatz i.H.v. 100 € verlangt. Auffällig ist die vermeintlich freundliche Wortwahl. Sollten Sie ein solches Schreiben ernst nehmen?
In den Schreiben wird dem Shopbetreiber die dynamische Einbindung von Google Fonts vorgeworfen. Google Fonts ist ein Verzeichnis mit einer Vielzahl an Schriftarten, die kostenlos verwendet werden dürfen. Diese können auf zwei unterschiedliche Arten eingebunden werden: Entweder können sie heruntergeladen, lokal abgespeichert und von dort in den eigenen Internetauftritt eingebunden werden oder dynamisch in den Internetauftritt eingebunden werden. In diesem Fall wird bei einem Aufruf der Webseite eine Verbindung zu den Servern von Google aufgebaut wird, um die Schrift von dort zu laden. Die dynamische Einbindung von Google Fonts kann man daran erkennen, dass der Quelltext der Website Verlinkungen auf „fonts.googleapis.com“ und „fonts.gstatic.com“ enthält.
Bei einer dynamischen Einbindung wird die IP-Adresse des jeweiligen Seitenbesuchers an Google übertragen. Die IP-Adresse stellt jedoch ein personenbezogenes Datum dar. Problematisch hierbei ist zudem, dass die IP-Adresse zumindest auch an Google-Server in den USA übertragen wurde. Datenübermittlungen in die USA sind jedoch nur unter den strengen Anforderungen der Art. 44 ff. DSGVO möglich, seitdem der EuGH das Privacy-Shield-Abkommen für ungültig erklärte. Er stellte in seinem Urteil klar, dass bei einer Übermittlung personenbezogener Daten in ein Drittland ein Schutzniveau erforderlich sei, das mit dem in der Union vergleichbar ist. Aufgrund der weitreichenden Zugriffmöglichkeiten der US-Sicherheitsbehörden sei in den USA jedoch kein gleichwertiges Schutzniveau gewährleistet. Außerdem eröffne das Abkommen keinen ausreichenden Rechtsschutz für Betroffene. Zwar haben sich die EU und die USA auf ein neues Datenschutzabkommen geeinigt, wann dieser neue gesetzliche Rahmen in Kraft tritt ist jedoch unklar.
Grundlage für eine Datenübertagung könnte zunächst die Einwilligung des Nutzers nach Art. 6 lit. a DSGVO sein. Dieser müsste aber auch tatsächlich wirksam eingewilligt haben. In Betracht käme möglicherweise auch ein berechtigtes Interesse des Seitenbetreibers nach Art. 6 Abs. 1 f DSGVO an dem Einsatz des Dienstes, um eine entsprechende grafische Gestaltung der Seite zu gewährleisten. Dieser Ansicht hat jedoch zuletzt das LG München eine Absage erteilt. Und genau dieses Urteil wird in den Abmahnungen angeführt.
Das LG München (Urt. v. 20.1.2022 – 3 O 17493/20) hat entschieden, dass die dynamische Einbindung ohne Einwilligung des Nutzers gegen die DSGVO verstoße. Die Verarbeitung könne auch nicht auf ein berechtigtes Interesse i.S.v. Art. 6 Abs. 1 f) DSGVO gestützt werden. Das Gericht stellte fest, dass die unerlaubte Weitergabe der dynamischen IP-Adresse den Kläger in seinem Allgemeinen Persönlichkeitsrecht verletze und verurteilte die Beklagte, es bei Meldung eines für jeden Fall der Zuwiderhandlung festzusetzenden Ordnungsgeldes bis zu 250.000,00 €, ersatzweise Ordnungshaft oder Ordnungshaft bis zu sechs Monaten zu unterlassen, bei einem Aufruf einer von der Beklagten betriebenen Internetseite durch den Kläger dessen IP-Adresse durch Bereitstellung einer Schriftart des Anbieters Google (Google Fonts) dem Anbieter dieser Schriftart offenzulegen. Das Gericht sprach dem Kläger zudem Schadensersatz i.H.v. 100 € zu – das ist genau der Betrag, der auch in den uns vorliegenden Schreiben gefordert wird.
Im entschiedenen Fall hatte der Kläger nicht in die Datenweitergabe eingewilligt. Ebenfalls entschied das Gericht, dass die Übertragung nicht auf ein berechtigtes Interesse gestützt werden könne, da Google Fonts auch ohne Übertragung genutzt werden könne:
Ein berechtigtes Interesse der Beklagten i.S.d. Art. 6 Abs. 1 f) DS-GVO, wie von ihr behauptet, liegt nicht vor, denn Google Fonts kann durch die Beklagte auch genutzt werden, ohne dass beim Aufruf der Webseite eine Verbindung zu einem Google-Server hergestellt wird und eine Übertragung der IP-Adresse der Webseitennutzer an Google stattfindet.
Zunächst sollten Sie prüfen, ob und wie Sie Google Fonts einbinden. Neben der Möglichkeit, Google Fonts lokal einzubinden, besteht die Möglichkeit, einen Consent-Manager zu implementieren, um die Einwilligung des Nutzers in die Verwendung der dynamischen Einbindung von Google Fonts einzuholen.
Wenn Sie bereits ein ähnliches Schreiben erhalten haben sollten, ist eine Beratung und Prüfung durch einen auf Abmahnungen spezialisierten Anwalt dringend zu empfehlen. Auf keinen Fall sollten Sie einfach zahlen oder eine Unterlassungserklärung abgeben!
Unser Tipp: Im Rahmen unserer Legal Products Enterprise und Ultimate übernehmen wir auch eine außergerichtliche Vertretung bei der Geltendmachung von Unterlassungs- und Aufwendungsersatzansprüchen sowie Schadensersatz-/Schmerzensgeldansprüchen nach der DSGVO (z.B. aufgrund eines nicht erteilten Auskunftsersuchens oder einer unzulässigen Datenübermittlung). Eine Lösung, um die Einwilligung wirksam einzuholen, bietet zudem der Trusted Shops Consent-Manager. Selbstverständlich erhalten Sie umfassenden Support bei der Integration. Ebenfalls enthalten ist ein Update-Service – ergeben sich Gesetzesänderungen oder relevante gerichtliche oder behördliche Entscheidungen, die auch Sie betreffen, aktualisieren wir den Consent-Manager entsprechend und informieren Sie darüber natürlich. Unser Consent-Manager ist in allen Legal Products enthalten.
sergign/Shutterstock.com