Anzeige

Datenschutz: Schadenersatz wegen dem Einsatz von Webfonts

Das Landgericht München I sieht im Einsatz von Google Webfonts einen Verstoß gegen den Datenschutz und die DSGVO. Dem Kläger wurden Schadenersatz von 100 Euro zugesprochen. Für ITler klingt dies wie ein schlechter Schwerz, dieses Urteil könnte aber weitreichende Konsequenzen für alle Webseitenbetreiber haben. Ebenso gibt es die Richtung für den Einsatz von US-Tools vor. Wir klären den Sachverhalt und was nun zu tun ist.

LG München I: 100 Euro Schadensersatz für den Einsatz von Google Webfonts (Bild: via Canva Pro)Das LG München I hat einem Besucher einer Internetseite, auf der Schriftarten von Google (»Google Webfonts« oder »Google Fonts«) eingebunden waren, ein Schmerzensgeld in Höhe von 100 Euro zugesprochen.

Webfonts und das Problem

Grundsätzlich sorgen Webfonts dafür, dass die Webseite immer wie gewünscht bei allen Nutzern gleich gut angezeigt wird, auch wenn die Besucherinnen und Besucher den Font nicht auf ihrem Rechner installiert haben.

In dem Sinn ist ein Webfont erst einmal etwas Gutes. Nun stehen aber die Webfonts-Server von Google, und auch von Adobe, in den USA und dies ist aus Datenschutzsicht ein Problem. Ruft ein Nutzer eine Internetseite auf, auf der Google Webfonts eingebunden sind, führt dies dazu führen, dass die IP-Adresse seines Endgeräts in die USA übermittelt wird.

Für Datenschützer ist die IP-Adresse ein personenbezogenes Datum des Webseiten-Besuchers, welches durch den Aufruf des Servers in den USA in ein Drittland (USA) übermittelt wird. Laut EuGH (»Schrems II«-Urteil) besteht in den USA kein angemessenes Datenschutzniveau. Eine Übermittlung von personenbezogenen Daten ist rechtswidrig, sofern keine Einwilligung der Nutzer vorliegt.

Urteil in Fachkreisen umstritten

Wegen dieser Rechtswidrigkeit der Datenverarbeitung hat das LG München I dem Kläger nun ein Schmerzensgeld von 100 Euro zugesprochen. Ein hierzulande sehr bekannter Datenschutzexperte hat dies in seinem Newsletter mit »Aua…Aua… – ein Datentransfer in die USA hat mich am Knie verletzt« umschrieben. Sehr treffend!

Ob das Urteil gerechtfertigt ist oder nicht, die Fachwelt ist sich hier nicht einig. Während die einen von einem gerechtfertigten Schmerzensgeld, wegen des Kontrollverlusts über sein personenbezogenes Datum, schwadronieren, halten es andere für kompletten Unfug.

Nun könnte man 100 Euro als nicht viel abtun. Allerdings geht es nur um einen Besucher einer Webseite. Was aber, wenn auf Massenabmahnungen spezialisierte Organisationen? Da reden wir dann durchaus über Beträge, die Unternehmen und Webseitenbetreiber weh tun können. Dies könnte eine wahre Abmahnflut auslösen.

Erschwerend kommt, dass Webeseitenbetreiber oft gar nicht wissen, dass Google Webfonts eingesetzt werden. Wir nutzen beispielsweise auf einer Schwesterseite das Wordpress-Theme Divi und dort kann man die Google Webfonts abwählen. Haben wir natürlich gemacht. Nun kann aber ein Update oder ein Plugin die Webfonts unbemerkt wieder aktivieren. Wir sind hier sensibilisiert und achten künftig darauf. Aus unserer Sicht kann man dies aber nicht von jedem Webseitenbetreiber verlangen.

Google Webfonts datenschutzkonform einsetzen

Google erlaubt die Google Fonts herunterzuladen, auf dem eigenen Server zu speichern und lokal zu verwenden. Eine Hilfe zum Einbinden der Google Webfonts gibt es hier:

Um zu prüfen, ob Ihre Webseite betroffen ist, können Sie unter anderem:

  1.  Internetseite mit dem »Netzwerkanalyse«-Tool der Webdeveloper-Tools des Browsers überprüfen: Findet sich dort ein Eintrag, der »fonts.googleapis.com« oder »fonts.gstatic.com« beinhaltet, werden Server von Google aufgerufen. Die »Fonts«-Server befinden sich bis dato in den USA, auch wenn Besucher:innen aus der EU eine Seite aufrufen.
  2. Schriftarten und Schrifttypen identifizieren, die auf der Webseite verwendet werden. Je weniger Schriftarten/-typen zum Einsatz kommen, desto schneller die Ladezeiten der Webseite.
  3. Die gewählten Schriftarten lokal einbinden.
  4. Ladezeit der Webseite testen, z.B. mit GTmetrix. Sollten die Schriften zu lange zum Laden benötigen, eventuell weiter beschränken, falls möglich (siehe Punkt 2).
  5. Bei sehr günstigen Hosting-Paketen kann es sein, dass die Webfonts über die Google-Server schneller laden. Ein Hosting mit einem etwas schnellerem Server wird auf jeden Fall preiswerter sein als ein mögliches »Schmerzensgeld«… 😉


Anmerkung der Redaktion

Karl FröhlichKarl Fröhlich

Mit diesem Urteil hat die Gerichtsbarkeit dem Datenschutz einen Bärendienst erwiesen – mal wieder. Die DSGVO hatte einen denkbar schlechten Start und solche Urteile schüren nur weiter den Unmut, bringen in der Sache aber rein gar nichts.

Verstehen Sie mich nicht falsch, Datenschutz ist wichtig, sehr wichtig. Und auch kleine Firmen und Webseitenbetreiber sollen alles richtig machen und DSGVO-konform agieren. Trotzdem gibt es weit wichtigere Probleme, die es zu lösen gilt. Die Übermittlung einer IP-Adresse in die USA zum Zwecke des Abrufs eines Webfonts gehört nicht dazu.

Von diesem Kläger hätte ich mir zuerst nachweisen lassen, dass er Google nicht als Suchmaschine nutzt, sondern ausschließlich ein europäisches Äquivalent. Zudem müsste er mir glaubwürdig erläutern, was eine IP-Adresse ist und was diese macht. Dem Beklagten hätte man eine Handlungsanweisung an die Hand geben sollen, wie er die Webfonts lokal einbindet. Unternimmt er nichts, kann man immer noch an Maßnahmen denken, aber auf keinen Fall ein Schmerzensgeld festlegen. So tut man nur den Abmahnorganisationen etwas Gutes, sonst niemanden.

Wir ITler stehen ständig mit amerikanischen Firmen in Kontakt und sind hier natürlich generell etwas anders aufgestellt und relaxter. Den ungestörtem Adresshandel diverser Social-Media-Plattformen und Online-Marketing-Agenturen wollen auch wir nicht. Hier gilt es anzusetzen und für eine bessere Aufklärung zu sorgen. Die Nutzer und Betroffenen, für die der Datenschutz eigentlich gemacht ist, sind genervt und glauben eher den Unternehmen, die den Datenschutz als Innovationsverhinderer diffamieren. Wobei dies natürlich eine Aufgabe der Datenschützer ist und nicht der Gerichtsbarkeit. 😉


Anzeige