Datenschutz auf Webseiten Teil 1: Google Webfonts datenschutzkonform nutzen

Datenschutzrechtliche Aspekte bei der Einbindung von Google Webfonts

 

Was sollten Webseitenbetreiber beim Thema Datenschutz auf Webseiten beachten? Welche Konsequenzen können bei Datenschutzverstößen auf Webseiten drohen? Dieser Beitrag ist der erste Teil einer Serie. Er befasst sich mit der Frage, ob und wie Webseitenbetreiber Google Webfonts datenschutzkonform nutzen können.

 

Bei Datenschutzverstößen auf Webseiten drohen dem Betreiber Bußgelder und Sanktionen durch die Datenschutzbehörden sowie Inanspruchnahmen durch Betroffene und Mitbewerber. Gerade die Datenschutzbehörden schauen beim Thema Datenschutz ganz genau hin, wenn man in deren Fokus rückt. Sie können dann umfassende Auskünfte zum betriebsinternen Datenschutzkonzept verlangen und sogar Bußgelder und andere Sanktionen wie z.B. eine Betriebsuntersagen verhängen. Ferner sind es Wettbewerber, welche unter bestimmten Umständen bei Datenschutzverstößen auf Webseiten Abmahnungen aussprechen können. Immer häufiger sind es aber auch die Betroffenen, also die Internetnutzer, die eigene Ansprüche (z.B. Schadensersatz) geltend machen können. Daher beschäftigen sich in letzter Zeit die deutschen Gerichte immer häufiger mit Verfahren, bei denen es um die Zahlung von Schadensersatz wegen Datenschutzverstößen auf Webseiten, beispielsweise in Bezug auf die Verwendung von Google Webfonts, geht.

 

Nachfolgend erläutern wir die datenschutzrechtlichen Aspekte der Verwendung von Google Webfonts und zeigen Risiken für Webseitenbetreiber, Webdesigner und Agenturen sowie mögliche Lösungsansätze auf.

 

 

Was sind Google Webfonts?

 

Google Fonts ist eine Bibliothek mit 1.426 Open-Source-Schriftfamilien zur bequemen und kostenlosen Nutzung in digitalen Produkten und im Internet. Wenn Webseiten erstellt werden, werden sehr häufig diese sog. Google Webfonts eingebunden. Sinn und Zweck ist es, dadurch Schriftarten auf der eigenen Webseite zu verwenden, die dann bei dem jeweiligen Webseitenbesucher bzw. in dessen Webbrowser optisch richtig angezeigt werden. Benutzt man dagegen nicht weit verbreitete Schrifttypen kann dies dazu führen, dass diese auf dem Endgerät des Webseitenbesuchers nicht richtig angezeigt werden. Google Fonts bringen also viele Vorteile. Allerdings werden diese zunichte gemacht, wenn man nicht beachtet, wie man Google Webfonts datenschutzkonform nutzen kann.

 

 

Sind Google Webfonts datenschutzkonform und was ist das datenschutzrechtliche Problem mit Google Webfonts?

 

Wenn Google Webfonts beim Erstellen der Webseite eingebunden wird, tut sich ein erhebliches Datenschutzproblem auf. Grund dafür ist, dass wenn in einem solchen Falle ein Besucher auf die Webseite oder den Webshop geht, die Schriftarten vom Server von Google geladen werden. Diese Google Webfonts Server stehen in den USA und es werden beim Abruf der Schriften automatisch personenbezogene Daten (insbesondere die IP-Adresse des Endgeräts, verwendeter Browser, verwendetes Betriebssystem, Zeitstempel, aufgerufene URL) auf die Server von Google übermittelt.

 

Bei den USA handelt es sich aus europarechtlicher Sicht im datenschutzrechtlichen Sinne um ein sog. „unsicheres“ Drittland. Der EuGH hat im 16. Juli 2020 in seiner sog. Schrems II Entscheidung (Az.: C-311/18) entschieden, dass die USA bzw. das US-Recht kein ausreichendes Schutzniveau im Sinne der europäischen Datenschutzgrundverordnung (DSGVO) gewährleisten. Wird die IP-Adresse eines Webseitenbesuchers beim Laden der Google Webfonts vom Google-Server automatisch und „ohne weitere Maßnahmen“ in die USA übertragen, stellt dies einen Datenschutzverstoß dar. Dies nach Ansicht des Landgericht München selbst dann, wenn die personenbezogenen Daten gegenüber Google „offengelegt“ und von Google nur zu Statistik-/Analysezwecken genutzt und anschließend nicht gespeichert werden. Dies kann jeden einzelnen Webseitenbesucher in seinen Persönlichkeitsrechten verletzen und Ansprüche gegen den Seitenbetreiber auslösen.

 

 

Ist eine Nutzung von Google Webfonts datenschutzkonform möglich?

 

Eine automatische Offenlegung personenbezogener Daten durch die Weitergabe der IP-Adresse lässt sich rechtlich nicht mit einem sog. berechtigten Interesse des Webseitenbetreibers im Sinne Art. 6 lit. f DSGVO begründen. Es ist daher insbesondere nicht ausreichend, in der Datenschutzerklärung der Webseite ein berechtigtes Interesse als Rechtfertigung für die Verarbeitung personenbezogener Daten (Übermittlung an Google) bei der Einbindung von Google Fonts mittels der von Google dafür bereitgestellten API anzuführen.

 

Vielmehr bedarf es nach einer aktuellen Entscheidung des LG München hierfür zumindest einer ausdrücklichen, vorherigen und freiwilligen Einwilligung (LG München I, Urteil v. 20.01.2022, 3 O 17493/20).

 

Eine Vielzahl von Datenschutzbehörden sind sogar der Auffassung, dass auch eine Einwilligung datenschutzrechtlich keine Lösung für einen solchen Datentransfer in die USA sei und die Einbindung von Google Webfonts mittels der Google API folglich generell rechtswidrig sei. Die Einbindung von Google Webfonts mit Hilfe der von Google bereitgestellten Google Font API ist somit im Ergebnis mit erheblichen rechtlichen Unsicherheiten und Haftungsrisiken verbunden.

 

 

Ist eine Nutzung von Google Webfonts datenschutzkonform d.h. ohne eine Datenübertragung in die USA möglich?

 

Ja – man kann Google Webfonts datenschutzkonform einbinden!

 

Hierzu wird empfohlen, die gewünschten Schriftarten (Fonts) über die Webseite von Google kostenlos herunterzuladen und auf dem eigenen Server des Webseitenbetreibers lokal zu speichern und von dort aus auf der Webseite einzubinden. Damit wird wohl auf technischer Ebene ein Abruf der Schriftarten über die Google Server in den USA beim Besuch der Webseite und somit auch eine damit einhergehende Übermittlung personenbezogener Daten in die USA unterbunden. Für Webseiten, die auf WordPress basieren, gibt es hierfür mittlerweile sogar spezielle Plug-ins, die die benötigten Schriftarten lokal hinterlegen. Dadurch kann der automatische Transfer von personenbezogenen Daten auf die Server von Google unterbunden werden.

 

 

Wann besteht für Webseitenbetreiber Handlungsbedarf?

 

Zunächst sollte überprüft werden, ob und wie Google Webfonts auf der eigenen Webseite verwendet werden d.h., ob Google Webfonts datenschutzkonform eingebunden sind. Sofern eine Einbindung mittels der Google Font API erfolgt und somit ein Datentransfer an Google stattfindet, sollte dies unverzüglich geändert werden.

 

Denn mittlerweile interessieren sich neben den Datenschutzbehörden und Wettbewerbern auch die Webseitenbesucher, die datenschutzrechtlich die Betroffenen solcher Datenschutzverstöße darstellen, für die datenschutzkonforme Nutzung ihrer personenbezogenen Daten. Denn wie die oben zitierte aktuelle Entscheidung des Landgericht München I (Urteil v. 20.01.2022, 3 O 17493/20) zeigt, verurteilen Gerichte Webseitenbetreiber mittlerweile wegen Datenschutzverstößen zur Unterlassung und wegen sog. immateriellen Schadens zur Zahlung von Schadensersatz.

 

Zwar sind die aufgrund solcher Verstöße ausgeurteilten Schadensersatzbeträge hinsichtlich ihrer Höhe bisher relativ „moderat“ (i.d.R. im dreistelligen Bereich). Jedoch handelt es sich dabei immer um nur einen einzelnen Verstoß. Es ist jedoch zu beachten, dass ein solcher Anspruch theoretisch jedem einzelnen Webseitenbesucher zustehen könnte. In Abhängigkeit der Aufrufzahlen könnten sich mithin erhebliche Summen ergeben.

 

 

Was müssen Werbeagenturen, Webdesigner und Webagenturen beachten?

 

Da zum Thema wie man Google Webfonts datenschutzkonform nutzen und einbinden kann seit einiger Zeit in allen großen Medien berichtet wird, sollten Webdesigner, Webagenturen und andere Agenturen bei der Erstellung von Webseiten unbedingt darauf achten, Google Webfonts datenschutzkonform einzubinden und Kunden über die Problematik aufzuklären. Andernfalls können Haftungsansprüche des Kunden gegenüber der Agentur entstehen. Webseiten, die von einer Agentur erstellt wurden und die offensichtlich nicht datenschutzkonform sind, dürften regelmäßig mängelbehaftet sein. Dies kann zu nicht unerheblichen Schadensersatzforderungen des Kunden gegenüber der Agentur führen.

 

Agenturen sind daher gut beraten, sich bezüglich der rechtlichen Fallstricke im Internet und Onlinehandel und insbesondere in Bezug auf datenschutzrechtliche Aspekte anwaltlich beraten zu lassen. Zudem ist eine Datenschutzschulung für Mitarbeiter im Hinblick auf datenschutzrechtliche Themen gesetzlich vorgeschrieben und daher ebenfalls dringend zu empfohlen.

 

 

Fazit

 

Webseitenbetreiber, Webdesigner und Agenturen sollten Google Webfonts datenschutzkonform nutzen und einbinden. Lassen Sie überprüfen, ob Sie sich in Bezug auf die Verwendung von Google Webfonts auf Ihrer Unternehmenswebseite datenschutzrechtlich rechtskonform verhalten. Andernfalls besteht umgehend Handlungsbedarf!

 

Auch ein auf den ersten Blick harmlos wirkender Datenschutzverstoß kann erhebliche Folgen haben.  Neben Schadensersatzforderungen von Betroffenen sieht die DSGVO für Datenschutzverstöße Sanktionen und Bußgelder von bis zu 20 Millionen Euro oder für Unternehmen von bis zu vier Prozent des weltweiten Jahresumsatzes vor (je nachdem, welcher von den Beträgen der höhere ist).

 

⇒ Lassen Sie sich hinsichtlich Ihrer Webseite und Webauftritte datenschutzrechtlich beraten. Unsere Anwälte helfen Ihnen gern dabei, Ihre Webseite datenschutzkonform zu machen – rufen Sie uns an oder senden Sie uns eine Nachricht.

 

 

 

© Rechtsanwältin Isabelle B. Lehmann, B.A. u. Rechtsanwalt Christian Weber, WeSaveYourCopyrights Rechtsanwaltsgesellschaft mbH, Frankfurt am Main, 05.07.2022

 

 

 

Weitere Informationen zu datenschutzrechtlichen Themen

 

Fragen und Antworten zum Thema Datenschutzerklärung auf Webseiten und Webshops finden Sie hier.

 

Informationen zu unseren anwaltlichen Leistungen im Bereich des Datenschutzrechts finden Sie hier.

 

Mehr Informationen und Tipps zur DSGVO erhalten Sie in unserem FAQ zur DSGVO.

 

 

 

verwandte Suchbegriffe: Google Webfonts datenschutzkonform nutzen, Google Webfonts, Google Font, Google Font API, Google Webfonts datenschutzkonform, Haftung von Webdesigner wegen Datenschutzverstoß auf Webseite, Haftung von Agentur wegen Datenschutzverstoß auf Webseite, datenschutzkonforme Einbindung von Goolge Fonts, Google Webfonts Schadensersatz, Google Webfonts Anwalt, Schmerzensgeld wegen Datenschutzverstoß, Schmerzensgeld wegen Google Webfonts, Schadensersatz wegen Datenschutzverstoß, Schadensersatz wegen Google Webfonts, DSGVO, Datenschutzverstöße auf Webseiten, Datenschutzerklärung im Internet