Entscheidungssachverhalt
Google Fonts sind über 1.000 unterschiedliche Schriftarten, welche unentgeltlich auf eigenen Websites eingebunden werden können. Sie werden beim Aufrufen der Website dynamisch geladen. Zudem sind Google Fonts für die Google Nutzung optimiert und tragen damit zur besseren Suchmaschinenplatzierung bei. Die eingebundenen Google Fonts können dabei sowohl auf Google-, als auch auf eigenen Servern gehostet werden.
Im vorliegenden Fall setzte die Beklagte auf Google Servern gehostete Google Fonts ein. Damit wurde bei jedem Besuch der Website die IP-Adresse des Nutzers an Google (USA) übermittelt, damit Google seinerseits weiß, wohin die Fonts geschickt und angezeigt werden müssen. Eine vorherige Einwilligung für die Weitergabe personenbezogener Daten an Google wird hierbei regelmäßig nicht eingeholt und hatte auch der Kläger nicht erteilt.
Durch die Übermittlung an Google sah sich der Kläger daher in seinem Recht auf informationelle Selbstbestimmung verletzt und forderte unter anderem Schadensersatz und klagte auf Unterlassen. Das LG München folgte der Auffassung des Klägers.
Entscheidungsgründe
Eine ungekürzte IP-Adresse stellt, dem EuGH folgend (Az.: C‑582/14, Rn. 49), ein persönliches Datum dar, denn theoretisch ist es möglich, die mit einer IP-Adresse verbundene Person zu identifizieren. Ob eine Identifizierung durch Google tatsächlich erfolgt ist, ist nach Auffassung des LG München unerheblich (Rn. 5).
Nach Ansicht des Gerichts verstoße die Weitergabe der IP-Adresse an Google gegen § 13 Abs. 2 TMG a.F. (alte Fassung), Art. 6 Abs. 1 lit. a DS-GVO. Sie erfolgt damit unrechtmäßig.
- Eine Verarbeitung könne im vorliegenden Fall nur rechtmäßig sein, wenn die betroffene Person ihre Einwilligung hierzu erteilt hätte, was jedoch unbestritten nicht erfolgt sei.
- Eine Rechtmäßigkeit, gestützt auf ein berechtigtes Interesse der Beklagten i.S.d. Art. 6 Abs. 1 lit. f) DS-GVO käme nicht in Betracht. Ein berechtigtes Interesse könnte nur bejaht werden, wenn kein milderes, zur Zielerreichung ebenfalls geeignetes Mittel zur Verfügung stände. Die Möglichkeit Google Fonts durch Selbsthosting zu nutzen, sei jedoch ein solches milderes Mittel.
Das Gericht führt weiter aus:
„Die Übermittlung der IP-Adresse erfolgte nicht nur einmalig. Der damit verbundene Eingriff in das allgemeine Persönlichkeitsrecht ist im Hinblick auf den Kontrollverlust des Klägers über ein personenbezogenes Datum an Google, ein Unternehmen, das bekanntermaßen Daten über seine Nutzer sammelt und das damit vom Kläger empfundene individuelle Unwohlsein so erheblich, dass ein Schadensersatzanspruch gerechtfertigt ist.“ (Rn. 12).
Mögliche Auswirkungen für die Zukunft
Wegen der Popularität von Google Fonts ist das Risiko einer vergleichbaren Entscheidung für eine Vielzahl von Websitebetreibern vorhanden. Die dem Kläger zugesprochene Schadenersatzhöhe von 100 € mag im ersten Moment nicht hoch erscheinen, jedoch sollte nicht außer Acht gelassen werden, dass durch den Websitebetreiber (entsprechende Klage vorausgesetzt) eine vergleichbare Zahlung theoretisch an jeden Websitebesucher zu zahlen wäre.
Ferner gilt es den Unterlassungsanspruch, mit den beschriebenen Konsequenzen bei Zuwiderhandlung zu berücksichtigen. Technisch wird es dem Websitebetreiber nicht möglich sein, die Website in gegebener Form weiter zu betreiben und zeitgleich sicherzustellen, dass der Kläger keinen Zugriff mehr (von unterschiedlichen Standorten und Geräten) darauf hat.
Folglich kann der Betrieb der Beklagtenwebsite nicht unter Einbindung von Google-Webfonts fortgesetzt werden, wenn diese über Google-Server geladen werden.
Diese Gerichtsentscheidung schafft darüber hinaus einen Präzedenzfall. Eine Nutzung von Google Fonts, welche auf Google-Servern gehostet werden, ist nun mit einem eindeutigenRisiko verbunden.
Auch weitere Dienste von fremden Anbietern, die die Website beim Aufruf dynamisch laden, sind von dieser Entscheidung betroffen.
Informationen zur Problematik der Einbindung von Diensten, die im Drittland gehostet werden, entnehmen Sie gerne unseren folgenden Artikeln:
„Cookie Consent Tool „Cookiebot“ – Verstoß gegen die DS-GVO?“
Zu ergänzen ist hinsichtlich des letztgenannten Artikels, dass der dort behandelte Beschluss des VG Wiesbaden in Folge einer Beschwerde beim hessischen Verwaltungsgerichtshof wegen prozessualer Mängel aufgehoben wurde (Hessischer Verwaltungsgerichtshof: 10 B 2486/21 vom 17.01.2022).
Entsprechend dem Verwaltungsgerichtshof habe der Antragsteller den Anordnungsgrund im Sinne von § 123 Abs. 3 VwGO i.V.m. § 920 Abs. 2 ZPO nicht glaubhaft machen können. Insbesondere liege in seinem Fall keine Gefahr im Verzug durch eine spätere Hauptsacheverhandlung. Ihm stehe es frei, die Website der Antragsgegnerin nicht weiter aufzurufen, da er keine studien- oder berufsbezogene Beziehung zu der Hochschule unterhalte und deshalb nicht auf die Verfügbarkeit der Hochschulwebsite angewiesen sei. Damit sei die Rechtsgrundlage für einen einstweiligen Rechtsschutz nicht gegeben.
Eine Entscheidung im Hauptsacheverfahren steht indes noch aus. Das Risiko beim Einsatz von Diensten mit Drittlandbezug rechtswidrig Daten in ein unsicheres Drittland zu übermitteln, besteht aufgrund der im Beschluss getroffenen Aussagen, weiterhin fort. An unseren, im Artikel getroffenen Empfehlungen, möglichst auf Anbieter ohne Drittlandbezug zurückzugreifen, wird deshalb festgehalten.
Unsere Empfehlungen
Das Risiko, dass aus dem Einsatz von Google-Webfonts erwächst, sollte nicht ignoriert werden.
Die folgenden Lösungsansätze bieten sich zur Risikobehandlung an:
- Bei Nutzung dynamischer Inhalte sollten diese möglichst auf den eigenen Servern gehostet werden. Auf dynamische Website-Fonts sollte zugunsten der Nutzung statischer Inhalte verzichtet werden. Hierbei ist zu beachten, dass diese Lösung zu einer Performance-Einschränkung der Webseite führen kann und regelmäßig einen höheren Aufwand zur Pflege der Webseite mit sich bringt, da bspw. im Fall der Google-Webfonts die Schriftarten “händisch” aktualisiert werden müssen. Ferner beinhalten statische Inhalte nicht die individuellen Marketingmöglichkeiten, die dynamische Inhalte mit sich bringen. (z.B. angepasste Ergebnisvorschläge für Neukunden, im Vergleich zu Bestandskunden)
- Grundsätzlich ist es erforderlich bei Nutzung fremdgehosteter Inhalte eine Einwilligung des Websitebesuchers in die Weitergabe der Daten einzuholen. Die rechtkonforme Nutzung von Google-Webfonts setzt somit eine aktive (Opt-In), bestätigende und insbesondere informierte Handlung des Nutzers VOR einer Datenübertragung an Google voraus. Erst hiernach dürfen die entsprechenden dynamischen Inhalte aufgerufen werden. Eine Umsetzung dieser Anforderung ist zumindest technisch schwieriger. Zum einen wird ein Rückgriff auf ein Consent Manager System nötig, welches wirksam das Aufrufen der Google-Webfonts bis zur Einwilligung durch den Nutzer blockiert. Zum anderen muss auf der entsprechenden Website eine Fallback Lösung eingebunden werden. Das heißt, wenn ein Besucher der Nutzung der Google-Webfonts nicht zustimmt, wird die Website ohne diese Schriftarten angezeigt. Bei fehlender Fallback Lösung wird der Webinhalt damit nicht oder nicht ordnungsgemäß dargestellt. Die Fallbacklösung sollte eine Systemschriftart sein, die auf allen Betriebssystemen funktionierende Schriftarten beinhaltet.
- Nur wenn keine andere, dem Grunde nach vergleichbare, Lösung gegeben ist, welche ohne einer Datenübermittlung an Dritte auskommt, besteht die Möglichkeit, die Nutzung dynamischer Dienste mit dem berechtigten Interesse i.S.d. Art. 6 Abs. 1 lit f) DS-GVO zu rechtfertigen. In diesem Fall ist jedoch eine detaillierte Auseinandersetzung mit den gegebenen technischen Möglichkeiten zur Erreichung des angestrebten Ziels und den dem Ziel gegenüberstehenden Interessen erforderlich.