Jeden Tag kontaktieren uns Kunden, weil sie wegen Google Fonts Abmahnungen erhalten haben. Wie schon mehrfach in den Medien berichtet, handelt es sich hierbei um Massenabmahnungen von diversen Kanzleien.
Worum geht es? In den Briefen wird von den Webseitenbetreibern Schadenersatz gefordert, weil Google Fonts auf der Webseite nicht datenschutzkonform eingesetzt wird.
Wie soll man sich verhalten, wenn man eine derartige Forderung erhalten hat? Sicherheitshalber sofort zahlen und die Sache gleich aus dem Weg schaffen? Tun Sie das nicht. Im folgenden Beitrag erfahren Sie, wie Sie vorgehen können, wenn Sie eine Abmahnung erhalten. Wie immer stellen unsere Empfehlungen keine Rechtsberatung dar und sind daher ohne Gewähr.
Inhaltsverzeichnis
Auf den Punkt gebracht: Was tun im Falle einer Abmahnung?
- Ruhe bewahren und die Webseite nicht abschalten!
- Prüfen (lassen), wie bzw. ob Google Fonts eingebunden sind (remote oder lokal)
- Bei Remote-Einbindung das Laden technisch unterbinden, solange keine Zustimmung des Nutzers vorliegt – oder Google Fonts lokal ablegen
- Auf rechtssichere Einbindung von weiteren Google-Diensten oder anderen Diensten achten
- Kosten nicht ungeprüft bezahlen, am besten Anwalt kontaktieren
Was ist der Grund für diese Google Fonts Abmahnungen?
Google Fonts ist ein beliebtes Schriftenverzeichnis, das ohne Lizenzgebühr verwendet werden kann. Auf Webseiten wird es entweder remote über die Google Server geladen oder lokal eingebunden.
- Die Remote-Einbindung ist jedoch nach dem „Google Fonts Urteil“ des Landgerichts München I vom 20.01.2022 bei fehlender oder fehlerhafter Einwilligung des Webseitenbesuchers rechtswidrig. Wieso das? Bei jedem Seitenaufruf werden die Schriften über einen Google Server nachgeladen. Dabei werden automatisch personenbezogene Daten der Webseiten-Besucher, in diesem Fall die IP-Adresse, an Google in die USA übermittelt.
- Die lokale Verwendung wird als datenschutzrechtlich unbedenklich eingestuft. Denn bei dieser Variante werden die Schriften heruntergeladen und auf der eigenen Seite hochgeladen. Sie werden vom eigenen Server nachgeladen und es werden keine Daten an Google gesendet.
Warum genau ist die Übermittlung der IP-Adresse an Google Server in den US ein Grund für eine Abmahnung?
Der Zweck ist das Laden der Schriften für die optisch schöne Darstellung der Inhalte auf der Seite. Dies wurde bisher mit dem berechtigten Interesse des Webseitenbetreibers (nach Art. 6 (1) lit. f DSGVO) begründet. Beim berechtigten Interesse ist der Verantwortliche (also der Webseitenbetreiber) verantwortlich, eine Interessensabwägung durchzuführen, damit der entstandene Schaden des Webseitenbesuchers nicht höher ist als der Mehrwert, den er dadurch erhält. Bisher war das soweit ok.
Inzwischen, also durch das Urteil, wird dies nun anders gewertet. Das berechtigte Interesse reicht nicht mehr aus. Die Interessensabwägung wird durch das Gericht anders bewertet. Eine Datenübermittlung in die USA (ein unsicheres Drittland) an Google soll beim Betroffenen ein ungutes Gefühl ausgelöst haben.
Man weiß ja nicht, was Google genau mit den Daten macht. Das versteckt sich letztendlich dahinter. Unsere Interpretation ist, dass der Betroffene daraus schließt, dass Google die IP-Adresse, die über den Besuch der Webseite übermittelt wurde, für eigene Zwecke verwendet. Das heißt, es gibt eine Verbindung vom Besuch dieser Webseite zu meinem Google Konto oder meinem anonymen Profil, welche wieder in meine persönliche Google-Auswertung einfließt. Das ist unsere Sicht, was wir von diesem Urteil – einfach zusammengefasst – verstehen.
Aus den Datenschutzhinweisen von Google geht das nicht hervor. Google teilt in einem FAQ zu den Google Fonts folgendes mit:
[…] Die Google Fonts-API protokolliert die Details der HTTP-Anfrage einschließlich des Zeitstempels, der angeforderten URL und aller HTTP-Header (einschließlich Verweis-URL und User-Agent-String), die in Verbindung mit der Verwendung der CSS API bereitgestellt werden.
IP-Adressen werden nicht protokolliert. […]
Google Fonts, Häufig gestellte Fragen; Häufig gestellte Fragen | Google Fonts | Google Developers, zuletzt gesichtet am 21.10.2022
Das heißt für uns aber auch, dass man einfach mal Google unter Generalverdacht stellt, weil es sich bei der Firma um einen großen Datenriesen handelt. Das kann nun jeder für sich interpretieren, wie er möchte.
Wie soll man auf die Abmahnung reagieren?
Wenn auch Sie zum Kreis der Empfänger gehören, raten wir Ihnen zu den folgenden Schritten:
- Bewahren Sie Ruhe!
- Schalten Sie die Webseite nicht ab.
- Prüfen Sie (oder lassen Sie prüfen), ob Ihre Webseite Google Fonts oder andere einwilligungspflichtige Erweiterungen lädt. Falls dies der Fall ist, unterbinden Sie dieses Laden technisch und lassen Sie es nur zu, wenn der User einwilligt. Tipps, wie Sie Drittverbindungen Ihrer Webseite prüfen können, finden Sie in unserem Blogbeitrag für datenschutzfreundliche Webseiten.
- Alternativ können Sie Google Fonts auch lokal ablegen und von dort laden.
- Binden Sie Google-Dienste wie Google Maps, YouTube-Videos, reCaptcha etc. rechtssicher ein: Holen Sie sich die Einwilligung, bevor Sie externen Google-Content laden. Ebenfalls können Sie die Einwilligung für externe Inhalte wie, die YouTube-Videos einholen oder Sie verlinken auf YouTube-Videos.
- Nutzen Sie datenschutzfreundliche Captcha-Alternativen oder Kartendienste.
- Bezahlen Sie die im Schreiben geforderten Kosten nicht ungeprüft, sondern nehmen Sie Kontakt mit Ihrem Anwalt auf.
- Alternativ können Sie auch ein Musterschreiben verwenden, zum Beispiel von der Kanzlei WBS. Dies wurde zum Download veröffentlicht: https://www.wbs-law.de/it-und-internet-recht/datenschutzrecht/google-webfont-musterschreiben-61157/.
Was tun? Ist die Abmahnung überhaupt gerechtfertigt?
Auch hier sollten Sie vorsichtig sein. Uns liegt aktuell ein Abmahnschreiben einer Kanzlei vor, das die Behauptung aufstellt, die IP-Adresse des Users wurde aufgrund der geladenen Schriften an Google übertragen.
Unsere Partner von Pixeltypen_ haben uns das Schreiben weitergeleitet, mit der Bitte mal einen Blick darauf zu werfen. Sie können keine Drittverbindung erkennen. Tatsächlich! Die Seite lädt keine Google Schriften, solange man nicht explizit einwilligt. Es stimmt, im Code findet man einen Link zu Google, um die Schriftarten zu laden. Aber nur, weil der Link im Code der Seite steht, heißt es ja noch lange nicht, dass das Skript auch ausgeführt wird. Hier hätte ein wenig technisches Verständnis des Anwalts schon Sinn gemacht.
Was möchten wir damit sagen? Ob die Abmahnungen überhaupt gerechtfertigt sind, steht auf einem anderen Blatt, aber diese ist tatsächlich auch noch falsch! Seien Sie also doppelt vorsichtig und geraten Sie – wie schon geschrieben – nicht in Panik.
(Wie) kann man diese Abmahnungen vermeiden?
Gänzlich vermeiden kann man die Abmahnungen nicht. Stellen Sie auf jeden Fall die richtige Einbindung externer Dienste auf Ihrer Webseite sicher. Hier haben wir zusammengefasst, was bei einer Webseite berücksichtigt werden muss.
Eine Google Fonts Abmahnung vermeiden – die wichtigsten best practices
Laden Sie Ihre Webseite und prüfen Sie, ob bzw. welcher externe Content geladen wird, bzw. welche Drittverbindungen bestehen. Dies können Sie z.B. über ein kleines Browser-Plugin, wie uMatrix recht einfach überprüfen.
Sollten Sie feststellen, dass externer Inhalt geladen wird oder Drittverbindungen bestehen, dann müssen Sie jede dieser Verbindungen bewerten.
- Wer / wann wird die Verbindung aufgebaut?
- Zu welchem Zweck besteht die Verbindung?
- Ist das Ziel in der EU oder einem anerkannten Drittland?
- Ist das Ziel, z.B. die USA, also ein unsicheres Drittland?
Ist die Datenübermittlung notwendig zum Zweck einer funktionsfähigen Webseite, benötigen Sie keine Einwilligung. Geht es um reine Analysen oder zu personenbezogenen Marketingzwecken, dann benötigen Sie eine Einwilligung des Users, egal ob im Drittland oder nicht.
Bei der Übertragung in unsichere Drittländer stellt sich natürlich auch die Frage, ob ein Funktionieren der Webseite ohne diese Drittverbindung überhaupt möglich wäre. Ist dies nicht der Fall, können Sie die Seite auch ohne Einwilligung laden.
Bei nice to have Drittverbindungen, wie wir jetzt bei Google Fonts sehen, empfehlen wir auf jeden Fall eine Einwilligung.
Im Idealfall können Sie es vermeiden, dass Daten der Webseitenbesucher in ein unsicheres Drittland übertragen werden. Machen wir uns nichts vor, der Idealfall ist eben nicht die Realität. Natürlich wird es Features oder Erweiterungen geben, die eine Drittverbindung in die USA notwendig machen und dann auch personenbezogene Daten übertragen. In diesem Fall versuchen Sie zu unterscheiden, ob Sie verschiedene Klassen der übertragenen Daten bilden können. Das heißt, dass weitere personenbezogene Daten wie z.B. E-Mail Adresse oder persönliche Angaben erst nach Einwilligung übermittelt werden.
Und wenn wir schon beim Thema Datenschutz sind…
Hinterfragen Sie bei dieser Gelegenheit, wie es um das Thema Datenschutz in Ihrem Unternehmen bestellt ist. Sie sehen, wie schnell man eine selbst Abmahnung erhalten kann.
Haben Sie die wesentlichen Anforderungen der DSGVO umgesetzt? Wir sagen ganz bewusst „die wesentlichen Anforderungen“. Ganz blank dazustehen ist tatsächlich ein Risiko. Ein Bußgeld (nicht gleich eine Abmahnung) wäre daher nicht ganz aus der Luft gegriffen.
Gern werfen wir einen Blick auf Ihren Datenschutz und / oder unterstützen Sie beim Update Ihres Datenschutzmanagements. Schreiben Sie uns einfach eine Anfrage per Mail oder über unser Formular.
Ist meine Webseite datenschutzkonform?
Sie haben Bedenken, ob Ihre Webseite DSGVO-konform ist? Wir sehen sie uns an und erstellen Ihnen einen ausführlichen Webseitenbericht inkl. Datenschutzerklärung. Weiter prüfen wir, ob einwilligungspflichtige Datenübermittlungen stattfinden oder ob Cookies gesetzt werden. Wie sieht es mit Kontaktformularen oder Newsletteranmeldung auf Ihrer Webseite aus?
Gerne erstellen wir Ihnen ein Angebot. Schreiben Sie uns einfach eine Anfrage per Mail oder über unser Formular.
Die gute Nachricht bei einer Google Fonts Abmahnung zum Schluss
Schadensersatz nur bei tatsächlichem Schaden
Nicht jeder Anwalt teilt die Meinung, dass Schadensersatz oder Schmerzensgeld in dieser Angelegenheit angemessen sind. In einem Schlussantrag am EuGH hat der Generalanwalt Campos Sánches-Bordona betont, dass Schmerzensgeld nur fällig wird, wenn es sich tatsächlich um einen materiellen oder immateriellen Schaden handelt und dieser auch nachweisbar ist.
Es liegt noch kein EuGH-Urteil vor, allerdings ist die Kernaussage, dass kein Schadensersatzanspruch besteht, wenn kein Schaden entstanden ist. Ja, das würde uns der gesunde Menschenverstand auch sagen. Hoffen wir, dass das Gericht spätestens Anfang 2023 darüber entsprechend entscheidet.
Eine Verletzung der DSGVO kann zwar ein Bußgeld nach sich ziehen, welches von den Datenschutzbehörden eingefordert wird. Dies bedingt aber nicht automatisch, dass auch ein Schmerzensgeld oder Schadensersatz beansprucht werden kann, so jedenfalls die Meinung von Sánches-Bordona. Mehr dazu finden Sie direkt in diesem Artikel (extern).
Einstweilige Unterlassungsverfügung
Zum Abschluss: Die guten Nachrichten vermehren sich wohl genauso schnell wie die Anzahl der Abmahnungen, die verschickt werden.
Der Rechtsanwalt Arno Lampmann hat nach einer Aussage auf LinkedIn beim Landgericht Baden Baden eine einstweilige Unterlassungsverfügung erwirken können. Damit wird dem Kläger verboten, weitere Abmahnungen zur Google Fonts Nutzung an das Partnernetzwerk seiner Mandantin zu schicken.
Es scheint, als zeichnet sich ein Lichtstreifen am Horizont ab.
Guten Tag,
auch wir sind von diesen Abmahnungen betroffen. Mittlerweile ist das Problem abgestellt. Aber meine Frage dazu: Wie lange kann denn noch abgemahnt werden? Kann jemand noch eine Abmahnung schicken, wenn das Problem bereits vor 14 Tagen beseitigt wurde?
Vielen Dank für Ihre Hilfe!
Die Begründung für die Rechtswidrigkeit der externen Einbindung der Schriften finde ich nachvollziehbar. Dem Seitenbesucher sollte klar sein, ob seine Daten an Google übermittelt werden. Die lokale Einbindung ist ja rechtlich in Ordnung. Das sollte den Webentwicklern klar sein. Über die Höhe des Schadensersatzes kann man sich sicherlich streiten.