Viele Unternehmen – auch aus dem Kreis unserer Mandanten – erhalten derzeit Abmahnschreiben im Zusammenhang mit der dynamischen Einbindung von Google Fonts auf ihren Webseiten. Hierbei wird beanstandet, dass aufgrund der dynamischen Einbindung von Google Fonts personenbezogene Daten der Nutzer, insbesondere die IP-Adresse, an die Server von Google übermittelt werden. Unter Verweis auf eine Anfang des Jahres ergangene Entscheidung des Landgerichts München I werden die Unternehmen aufgefordert, Schadensersatz an den betroffenen Nutzer zu leisten.
Nachfolgend möchten wir Ihnen die Problematik im Einzelnen näherbringen und Ihnen konkrete Handlungsempfehlungen anbieten, falls auch Ihr Unternehmen mit entsprechenden Forderungen konfrontiert wird.
- Was ist Google Fonts?
Google stellt seinen Nutzern eine Reihe von Schriftarten zur Verfügung, die unter dem Namen „Google Fonts“ bekannt sind. Diese Schriftarten können von jedem Webseitenbetreiber genutzt und grundsätzlich kostenfrei auf den Webseiten eingebettet werden. Google Fonts zählt heutzutage zu den etabliertesten Schriftarten im Netz.
- Wie kann Google Fonts auf Webseiten integriert werden?
Google Fonts kann auf eine Webseite entweder „statisch“ oder „dynamisch“ integriert werden.
– Bei der statischen Variante können Webseitenbetreiber die gewünschte Schriftart herunterladen und erneut auf eigene Server hochladen, von wo aus die Schriftart lokal in die Webseite eingebunden wird. Es wird hierbei keine Verbindung zu Google-Servern hergestellt.
– Bei der dynamischen Variante wird bei Aufruf der Webseite eine Verbindung zu Google-Servern in den USA hergestellt und von dort die benötigte Schriftart zugeladen und ausgespielt. Im Zusammenhang mit dem Verbindungsaufbau zu Google-Servern wird mindestens die IP-Adresse des jeweiligen Webseitenbesuchers an Google und damit außerhalb die EU übermittelt.
- Was ist das Problem bei einem Transfer personenbezogener Daten in die USA?
Die Entscheidung des Europäischen Gerichtshofs vom 16. Juli 2020 (Az. C-311/18; auch bekannt als „Schrems II“) beschäftigt Unternehmen bereits seit geraumer Zeit (hierzu haben wir bereits berichtet. Demnach stellt sich eine Datenübermittlung an Unternehmen in den USA, die ausschließlich auf das EU – US Privacy Shield gestützt wird, als unzulässig dar. Insoweit ist eine rechtssichere Verwendung von Services wie Google Maps, Google Analytics oder Ähnlichem derzeit kaum – bisweilen überhaupt nicht – darstellbar.
- Urteil des Landgerichts München I vom 20. Januar 2022 (Az. 3 O 17493/20)
Im Kontext der Schrems II-Entscheidung des EuGH hat das Landgericht München I mit Urteil vom 20. Januar 2022 (Az. 3 O 17493/20) die Betreiberin einer Website für den rechtswidrigen Einsatz von Google Fonts zur Unterlassung, Auskunft sowie Schadensersatz verurteilt.
Die dem Urteil zugrundeliegende dynamische Einbindung von Google Fonts führe nach Überzeugung des Gerichts dazu, dass personenbezogene Daten der Webseiten-Besucher an Google Server in den USA weitergeleitet werden. Diese Datenübermittlung in die USA als ein datenschutzrechtlich unsicheres Drittland sei jedoch ohne eine gesonderte Legitimationsgrundlage – etwa eine Einwilligung des Webseitenbesuchers – datenschutzrechtlich nicht erlaubt. Da eine solche Legitimationsgrundlage nicht vorgelegen habe, sei die Weiterleitung der Daten an Google rechtwidrig und stelle eine Verletzung des Rechts auf informationelle Selbstbestimmung dar.
- Schadensersatzforderungen durch angeblich betroffene Nutzer
In der Folge der Entscheidung des Landgericht München I ist jüngst vermehrt zu beobachten, dass unter Bezugnahme auf die dortigen Entscheidungsgründe Schadensersatzansprüche gegen Unternehmen unter dem Hinweis geltend gemacht werden, bei Besuch der Unternehmens-Webseite seien aufgrund eines dynamischen Einsatzes von Google Fonts personenbezogene Daten an Google übermittelt worden.
Die Schreiben haben alle einen nahezu identischen Wortlaut und legen die Vermutung nahe, dass es den „betroffenen“ Nutzern weniger um die rechtmäßige Verarbeitung ihrer personenbezogenen Daten, als um das „schnelle Geld“ geht. Es spricht vieles dafür, dass entsprechende Anspruchssteller gezielt Webseiten von Unternehmen auf eine rechtswidrige Einbindung von Google Fonts hin untersuchen, um sodann standardisierte Aufforderungsschreiben zur Geltendmachung von Schadenersatzansprüchen an die betroffenen Unternehmen zu versenden.
Dieses Vorgehen legt grundsätzlich einen Rechtsmissbrauch der Anspruchsteller nahe, bei dessen Nachweis der Anspruch ausgeschlossen wäre. Dies ist jedoch stets eine Frage des Einzelfalls.
- Handlungsempfehlungen
Auch wenn von den (angeblich) Betroffenen oftmals nur verhältnismäßig geringe Beträge als Schadensersatz geltend gemacht werden, sollten Unternehmen einer entsprechenden Forderung nicht voreilig nachkommen. Gerne unterstützen wir Sie bei der Bewertung, wie mit einem geltend gemachten Anspruch umgegangen werden sollte und begleiten Sie selbstverständlich außergerichtlich als auch gerichtlich bei der Abwehr unberechtigter Forderungen.
Darüber hinaus zeigen auch diese jüngsten Ereignisse einmal mehr die grundsätzlichen Problematiken, die sich bei der Einbindung entsprechender Services externer Dienstleister – insbesondere der Big-Tech-Firmen mit Sitz in den USA wie etwa Google, Facebook, Twitter, Cloudflare, LinkedIn – stellen.
Tatsächlich – dies zeigt die Praxis – entsprechen eine Vielzahl von Webseiten, die derzeit Auslöser von Schadenersatzforderungen aufgrund des Einsatzes von Google Fonts sind, auch in anderen Bereichen nicht den datenschutzrechtlichen Anforderungen.
Neben der unmittelbaren Verteidigung gegen entsprechende Schadenersatzansprüche ist daher die datenschutzrechtliche Compliance – vor allem in Bezug auf die durch das Unternehmen verantworteten Webseiten – von höchster Relevanz, um nachteiligen Rechtsfolgen wie Bußgeldern, Abmahnungen, Unterlassungs-, Auskunfts- und Schadensersatzansprüchen zuvor zu kommen. Sehr gerne unterstützen wir Ihr Unternehmen daher auch dabei, entsprechende Situation gar nicht erst entstehen zu lassen.
Die obigen Ausführungen sind allgemein gehalten und können Besonderheiten des Einzelfalls nicht berücksichtigen. Bei tatsächlicher Betroffenheit sind auf jeden Fall eine individuelle Analyse und Beratung erforderlich. Gerne stehen die Ihnen bekannten Ansprechpartner unserer Kanzlei hierfür zur Verfügung.
Ihre Ansprechpartner
Julian N. Modi | Senior Manager, Rechtsanwalt
Dr. Viktor Stepien | Senior Manager, Rechtsanwalt
Robin Fiedler | Rechtsanwalt
Die Sonderinformation als PDF-Datei finden Sie im Nachgang verlinkt