LG München: Einsatz von Google Fonts ohne Einwilligung ist rechtswidrig und begründet Schadenersatzpflicht des Websitebetreibers
Das Landgericht München hat in einem Urteil vom 20.01.2022 (AZ: Az. 3 O 17493/20) entschieden, dass der Einsatz von Google Fonts auf Webseiten nicht mehr auf die berechtigten Interessen des Webseitenbetreibers gemäß Art. 6 Abs. 1 lit. f DSGVO gestützt werden kann. Zur Begründung wurde die Schrems II Entscheidung des EuGH aus dem Jahr 2020 herangezogen.
Für die Nutzung von Google Fonts sei stets eine Einwilligung des Nutzers erforderlich, sofern die Google Fonts nicht lokal beim Websitenbetreiber (auf einem Server) gespeichert werden. Webseitenbetreiber können daher bei Verstoß auf Unterlassung und Schadensersatz verklagt werden. Im hier thematisierten Fall wurde der Websitenbetreiber zu einem Schadenersatz in der Höhe von 100,00 € verurteilt.
Anlässlich dieser Entscheidung ist in er Praxis nun ein vermehrtes Aufkommen von Abmahnungen von Privatpersonen festzustellen, die einen angeblich rechtswidrigen Umgang ihrer personenbezogenen Daten auf Websites beanstanden und den genannten Schadenersatzbetrag fordern.
Der technische Hintergrund der Entscheidung ist folgender:
Wenn eine von Googles Schriftarten (= englisch Font) vom Browser des Besuchers bei dem Besuch der Webseite angefordert wird, wird dessen IP-Adresse von Google erfasst und für Analysezwecke verwendet. Bei den so erhobenen dynamischen IP-Adressen handelt es sich um personenbezogene Daten, da es dem Webseitenbetreiber abstrakt möglich ist, die betreffende Person zu identifizieren.
Vor dem Urteil des Landgerichts München konnte man den Einsatz von Google Fonts auf Art. 6 Abs. 1 S.1 lit. f DSGVO, die berechtigten Interessen, stützen. Nun kann der Einsatz von Schriftartendiensten wie Google Fonts nicht mehr auf Art. 6 Abs. 1 S.1 lit. f DSGVO gerechtfertigt werden, da kein berechtigtes Interesse des Webseitenbetreibers besteht, die Schriftart über externe Google-Server einzubinden. Schließlich könne man anstatt dessen die Google Fonts auch herunterladen und vom eigenen Server lokal ausliefern, ohne dass eine Verbindung von Besuchern zu Google Servern hergestellt werden muss, so das LG München.
Der Beklagte hatte im Verfahren vor dem LG München außerdem eingewandt, dass der Besucher der Webseite auch seine IP-Adresse etwa durch Nutzung eines VPN verschleiern könnte. Diesen Einwand lehnte das Landgericht München jedoch ab. Dem Webseitenbesucher dies abzuverlangen, würde den Zweck des Datenschutzrechtes, welches in erster Linie den Schutz natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten vor Beeinträchtigung bezweckt, gar umkehren, da durch eine solche Verpflichtung der Rechteinhaber bei der Ausübung seiner schützenswerten Rechte eingeschränkt werden würde.
Die einzig rechtssichere Möglichkeit der Einbindung von Google Fonts über die Google Server ist nach Ansicht des Gerichts in München nun die Einwilligung des Webseitenbesuchers.
Für eine DSGVO-konforme Einwilligung ist es allerdings notwendig, dass der Nutzer informiert und nach seiner Einwilligung gefragt wird, bevor ein URL Call von Google Fonts zur Google Fonts API stattfindet, also bevor Google Fonts ausgespielt und die Verbindung zu den Google Servern hergestellt wird. Eine Nennung in der Datenschutzerklärung der Website kann das nicht leisten. Ähnlich wie bei den Cookies müsste also ein Banner verwendet werden, ähnlich wie das Cookie-Banner. Solange keine Einwilligung seitens des Besuchers vorliegt, wird dann die über Google Fonts eingebundene Schriftart nicht geladen.
Vor diesem Hintergrund erscheint es einfacher und rechtssicherer, die Möglichkeit zu nutzen, Google Fonts lokal einzubinden. Dabei werden die Schriften heruntergeladen und für den Besucher vom eigenen Server und nicht von den Google-Servern geladen. Hierbei werden keine Daten an Google als Drittanbieter gesendet.
Abschließend sei jedoch zu dieser Entscheidung angemerkt, dass die Entscheidung des LG München aus prozessrechtlicher Sicht in der genannten Art und Weise ausgefallen ist, da der dem Urteil zu Grunde liegende Sachverhalt, hier das Übermitteln von personenbezogenen Daten an Google Server in den USA, unstreitig war. Insofern wurde in dem Fall des LG München nicht thematisiert, ob tatsächlich personenbezogene Daten an Google Server in den USA transferiert wurden, denn der dortige Beklagte hatte dies im Verfahren vor dem LG München schlichtweg akzeptiert. Die Beweislast, dass Daten tatsächlich an Google Server in die USA transferiert werden, liegt bei demjenigen, der Schadenersatz fordert. Insofern könnte ein Verfahren bei entsprechender Argumentation auch mit einer Klagabweisung zu Lasten des Klägers enden.