Vor kurzem gab es ein Urteil vom Landgericht München, in dem es inhaltlich um das Thema Anspruch auf Schadensersatz aufgrund der Übermittlung der IP-Adresse durch den Dienst Google Fonts ging (Urteil des LG München vom 20.01.2022 Az. 3 O 17493/20). Das Gericht setzte sich hierbei insbesondere mit der Frage nach dem immateriellen Schadensersatz auseinander.
Im vorliegenden Fall erhielt ein Webseitenbesucher 100 Euro Schmerzensgeld, weil der Betreiber der Seite Google Fonts eingebunden hatte. Hierbei handelt es sich um eine Bibliothek von verschiedensten Schriftarten, die weitestgehend kostenlos auf einer Webseite eingebunden werden können. Dabei gibt es unterschiedliche Möglichkeiten der Einbindung. Zum einen können die Schriften statisch eingebunden werden. Dies bedeutet, dass sie nach vorherigem Download der Schriften auf dem eigenen Webspace hinterlegt werden können. So kann die Webseite sie abrufen, ohne eine Verbindung mit Google eingehen zu müssen. Allerdings müssen für diese Variante natürlich grundlegende IT-Kenntnisse vorliegen, um die Schriften auf dem eigenen Webspace einzubinden.
Deutlich einfacher in der Umsetzung ist da die dynamische Einbindung, in der die Schriften einfach direkt aus der Schriftensammlung von Google geladen werden. Hierzu ist allerdings notwendig, dass die IP-Adresse des Nutzers an Google weitergeleitet wird. Es entsteht eine Serververbindung zu Google LLC in den USA. Dies ist aus Datenschutzsicht kritisch, weil auch die IP-Adresse ein personenbezogenes Datum im Sinne des Art. 4 Nr. 1 DSGVO ist. Die unberechtigte Weitergabe der personenbezogenen Daten an Google stellt für die betroffene Person einen Kontrollverlust über die eigenen Daten dar. Hinzu kommt, dass es sich beim Empfänger der Daten auch noch um ein Unternehmen in den USA handelt, für das kein angemessenes Datenschutzniveau besteht (vgl. Schrems II-Urteil). Aus diesem Grund musste der Webseitenbetreiber an die betroffene Person 100,00 Euro Schadensersatz zahlen. Google zahlt in einem solchen Fall nichts, da der Webseitenbetreiber der Verantwortliche ist, der dafür einstehen muss, welche Web-Dienste er einsetzt.
Im vorliegenden Fall versuchte der Seitenbetreiber mit dem sogenannten „berechtigten Interesse“ zu argumentieren, das allzu oft bei Marketing-Aktivitäten irriger Weise als Legitimationsgrundlage herangezogen wird. Dies ließ das Landgericht München nicht gelten. Ein berechtigtes Interesse eines Webseitenbetreibers (z.B. an einer ansprechenden Darstellung der Webseite, wie es bei Google Fonts häufig begründet wird) kann durchaus bestehen, allerdings muss der daraus resultierende Eingriff in die Privatsphäre eines Einzelnen im Sinne einer Interessensabwägung immer verhältnismäßig gegenüber den Interessen der Privatperson sein. Dies gestaltet sich bei der Nutzung von Schriftarten, damit das Design der Webseite ansprechender aussieht, leider schwierig bis unmöglich. Der Inhalt der Webseite wäre mit einer Standard-Browserschrift genauso lesbar und zugänglich. Aus diesem Grund ist das berechtigte Interesse keine Rechtsgrundlage, die für den Einsatz von Google Fonts herangezogen wird.
Im nächsten Schritt wird gerne die Einwilligung im Sinne des Art. 6 Abs. 1 lit a) DSGVO herangezogen. Auch diese ist nur unter besonderen Optionen eine Lösung. Sollten Sie beispielsweise Ihre Webseite in einer Standard-Browser-Schrift laden und die Verbindung zu Google, um die Google Fonts abzurufen, erfolgt erst nach der Einwilligung des Nutzers in Google Fonts – dann wäre dies ein datenschutzkonformer Weg. Nicht mehr datenschutzkonform wäre hingegen, wenn die Webseite geladen wird (inklusive der Google Fonts), der Cookiemanager aufgeht und der Nutzer die Nutzung von Google Fonts ablehnt. Auch wenn nach der Ablehnung des Dienstes die Webseite wieder in die Standardbrowserschriften wechselt, wurde die IP-Adresse und der Gerätename beim ersten Aufruf der Webseite bereits an Google übermittelt. Die bessere Lösung ist folglich tatsächlich der Einsatz von lokalen Schriftarten, das statische Einbinden von Google Maps auf dem eigenen Webserver oder eben „back to the roots“ zu Browser-Standardschriften.
Dies sah auch das LG München so, da auf diese Weise nicht in Persönlichkeitsrechte eingegriffen wird. Aufgrund der unberechtigten Datenverarbeitung kam es zur Verletzung des informationellen Selbstbestimmungsrechtes des Webseitennutzers. Der mit der Datenweitergabe an Google verbundene Kontrollverlust und das damit vom Kläger empfundene individuelle Unwohlsein seien laut dem LG so erheblich, dass dies einen Schadensersatzanspruch i.S.d. Art. 82 DSGVO rechtfertige.
Quellenangabe:
- Artikel „Schadensersatz-Urteil: Google Fonts und die DSGVO“, abgerufen am 16.02.2022 unter https://www.dr-datenschutz.de/schadensersatz-urteil-google-fonts-und-die-dsgvo/