LG München I: Verwendung von Google Fonts unzulässig

In letzter Zeit rücken vermehrt Anwendungen in den datenschutzrechtlichen Fokus, die personenbezogene Daten – insbesondere IP-Adressen von Website-Besuchern – an Unternehmen wie Google oder Facebook übermitteln (etwa zuletzt in Bezug auf Google Analytics). Hier reiht sich nun ein aktuelles Urteil des Landgerichts München I ein, wonach die Nutzung der Online-Schriftarten von Google Fonts auf einer Website jedenfalls in einer bestimmten Variante unzulässig sein kann.

Technischer Hintergrund

Google bietet ein quasi unerschöpfliches Repertoire an Schriftarten an, mit denen Website-Betreiber ihre Seiten attraktiver und individueller gestalten können als mit den üblichen Standardschriften. Diese sogenannten Webfonts können auf zwei verschiedene Arten in eine Website eingebunden werden:

  1. Bei der ersten Variante wird die Schriftart direkt auf dem Server bzw. Webspace des Website-Betreibers gespeichert, von dem sie der Browser des Besuchers beim Aufruf der Seite abruft. Diese Variante ist datenschutzrechtlich unbedenklich.
  2. Bei der zweiten Variante wird die Schriftart nicht auf dem eigenen Server gespeichert, sondern wird bei jedem Aufruf der Website vom Browser des Nutzers direkt von einem Server von Google geladen. Problem: Hierbei wird die IP-Adresse des Besuchers an Google übermittelt.

Die Beklagte im Rechtsstreit vor dem LG München I (Urteil vom 20.01.2022, Az. 3 O 17493/20) hatte auf ihrer Website Google Fonts in der zweiten Variante eingebunden. Das Landgericht stellte fest, dass die Übermittlung der IP-Adresse an Google (ohne vorherige ausdrückliche Einwilligung des Nutzers gemäß Art. 6 Abs. 1 lit. a DSGVO) datenschutzwidrig sei. Insbesondere könne der Einsatz nicht auf „berechtigte Interessen“ des Website-Betreibers im Sinne des Art. 6 Abs. 1 lit. f DSGVO gestützt werden, da Google Fonts – wie oben erläutert – auch so eingesetzt werden kann, dass keine Verbindung zu Google-Servern hergestellt wird und die IP-Adresse dementsprechend nicht übertragen wird („Variante 1“).

Im Ergebnis verurteilte das Gericht die Beklagte zur Unterlassung sowie zur Zahlung eines Schadensersatzes in Höhe von EUR 100,00 an den Website-Besucher gemäß Art. 82 Abs. 1 DSGVO. Begründung:

Der [mit der Übermittlung der IP-Adresse] verbundene Eingriff in das allgemeine Persönlichkeitsrecht ist im Hinblick auf den Kontrollverlust des Klägers über ein personenbezogenes Datum an Google, ein Unternehmen, das bekanntermaßen Daten über seine Nutzer sammelt und das damit vom Kläger empfundene individuelle Unwohlsein so erheblich, dass ein Schadensersatzanspruch gerechtfertigt ist. Berücksichtigt werden muss dabei auch, dass unstreitig die IP-Adresse an einen Server von Google in den USA übermittelt wurde, wobei dort kein angemessenes Datenschutzniveau gewährleistet ist (vgl. EuGH, Urteil vom 16.7.2020 – C-311/18 (Facebook Ireland u. Schrems), NJW 2020, 2613) und die Haftung aus Art. 82 Abs. 1 DS-GVO präventiv weiteren Verstößen vorbeugen soll und Anreiz für Sicherungsmaßnahmen schaffen soll.

Randnotiz: Grundlage des Urteils war, dass es sich bei dynamischen IP-Adressen nach ständiger Rechtsprechung (etwa BGH, Urteil vom 16.05.2017, Az. VI ZR 135/13) um personenbezogene Daten handelt, die dem Datenschutzrecht unterfallen. Dies wird von Laien oft verkannt. Das Datenschutzrecht gilt eben nicht nur für Namen, Adressen und Telefonnummern.

Auswirkungen auf die Praxis

Website-Betreiber sollten mit Hinblick auf dieses Urteil Webfonts wie beispielsweise Google Fonts so einsetzen, dass sie direkt auf dem eigenen Webserver gespeichert werden („Variante 1“).

Wer – aus welchen Gründen auch immer – die Schriftart weiterhin extern gehostet nutzen möchte („Variante 2“), sollte dies spätestens nach diesem Urteil allenfalls noch auf Grundlage einer Einwilligung. Jedoch hat diese Variante aus unserer Sicht erhebliche Tücken. So könnte die Einwilligung theoretisch zwar im Rahmen eines Consent Tools eingeholt werden. Dies dürfte jedoch in der Praxis häufig bereits am rechtskonformen Wording des Einwilligungstextes scheitern, insbesondere da die Übermittlung der IP-Adresse nichts mit „Cookies“ zu tun hat. Zudem ist zu bedenken, dass die Browser sämtlicher Nutzer, die keinen Consent erteilen, die Schriftart dann nicht laden und stattdessen eine Standardschrift verwenden. Das Design der Website wäre damit hinüber.

Photo by Brett Jordan on Unsplash

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.