Online-Händler und Website-Betreiber erhalten zurzeit vermehrt Schreiben mit einer Schadensersatzforderung: Betroffene, meist Privatpersonen, bemängeln dabei die dynamische Einbindung des Drittanbieters Google Fonts. Dadurch würde beim Aufruf der Website automatisch und ohne Zustimmung des Betroffenen eine Verbindung zu Google-Servern hergestellt und personenbezogene Daten in die USA übermittelt. Gefordert wird ein Schadensersatz in Höhe von 100 Euro. Häufig lauten die Schreiben gleich. Wir wurden gefragt, ob Empfänger die Schreiben ernst nehmen müssen. 

Dynamische Einbindung von Google Fonts – Worum geht es hier?

Im Schreiben kritisiert wird die dynamische Einbindung von Google Fonts. Über Google Fonts werden verschiedene Schriftarten angeboten, die Betreiber von Websites einbinden können. Dabei gibt es verschiedene Wege der Einbindung in die Website. Einerseits die statische – hier werden die Schriftarten heruntergeladen und fest in die Website eingebunden. Andererseits die dynamische: Hier wird beim Aufruf der Website eine Verbindung zu Google Servern in den USA aufgebaut und die Schriftart von dort geladen. Bei der dynamischen Einbindung wird die IP-Adresse des Besuchers der Website an Google übertragen. Da es sich dabei hier um ein personenbezogenes Datum handelt, gilt die DSGVO.

Damit tun sich zwei Probleme auf: Einerseits ist die Übermittlung von Daten in die USA wegen des fehlenden gleichwertigen Datenschutzniveaus immer noch so eine Sache – hier müssen die besonderen Anforderungen der Art. 44ff. DSGVO eingehalten werden. Vor allem aber braucht es auch eine Rechtsfertigungsgrundlage für die stattfindende Datenverarbeitung. 

Hintergrund: Entscheidung des Landgerichts München verlangt Einwilligung

In den Schadensersatzschreiben wird hier dann auf ein Urteil des LG München verwiesen (Urteil v. 20.01.2022, Az. 3 O 17493/20) – wir berichteten. Dieses hat sich erst kürzlich mit der dynamischen Einbindung von Google Fonts beschäftigt und festgestellt: Für die Datenübermittlung, wie sie bei dieser Form der Einbindung geschieht, braucht es die Einwilligung des Besuchers. Andernfalls dürfe die Übermittlung nicht stattfinden. Auf das berechtigte Interesse können sich Website-Betreiber laut dem Urteil nicht berufen. Google Fonts könne schließlich auch statisch eingebunden werden, wobei es gar nicht erst zur Übermittlung der IP-Adresse komme. Auch im Urteil wurde der Betroffenen ein Schadensersatz in Höhe von 100 Euro zugebilligt, da ihre Einwilligung in die Datenverarbeitung nicht vorlag. 

Schadensersatzschreiben – Wie kann damit umgegangen werden? 

Betroffene, die ein solches Schreiben mit der Forderung einer Geldzahlung und ggf. einer Androhung weiterer Schritte erhalten haben, fragen sich berechtigterweise, wie sie damit umgehen sollen – insbesondere da es sich um ein zurzeit häufig auftretendes Phänomen handelt. Hier ist wohl zunächst eine Prüfung sinnvoll, ob der Vorwurf überhaupt zutreffend ist. Empfänger sollten sich also fragen: 

  • Nutze ich Google Fonts überhaupt? 
  • Habe ich Google Fonts statisch eingebunden? Falls ja, findet in diesem Rahmen keine Übermittlung der IP-Adresse und der Vorwurf ist nicht zutreffend. 
  • Habe ich Google Fonts dynamisch eingebunden? Dass dies der Fall ist, kann daran erkannt werden, dass der Website-Quelltext auf „fonts.googleapis.com“ und „fonts.gstatic.com“verlinkt. 

Liegt eine dynamische Einbindung vor, sollten ggf. entsprechende Anpassungen vorgenommen werden, um datenschutzrechtliche Verstöße zu vermeiden. So kann etwa auf die statische Einbindung umgestellt werden. Es stellt sich dann auch die Frage, ob nun auf das Schreiben eingegangen und gar der Betrag gezahlt werden sollte. Der Überlegung könnte aber entgegenstehen, dass es sich scheinbar um ein massenhaft und womöglich rechtsmissbräuchlich erstelltes Schreiben handelt. So fällt auf, dass es sich häufig um die gleichen Absender handelt, die sich als Privatperson ausgeben. Zudem weisen die Schreiben häufig einen identischen Text auf. Der Verdacht, dass es in diesem Fall vor allem um die schnelle Generierung von Einnahmen durch die Zahlung der Empfänger geht, liegt insofern nicht völlig fern – auch wenn die Rechtslage nach dem Urteil des LG München relativ eindeutig ist.

Dieses Urteil gilt übrigens auch für fertige (WordPress-)Templates, welche die Google Fonts beispielsweise über ein Plugin nachladen. Jedoch ist auch diese Verwendung nicht DSGVO-konform. Hier ist ebenso eine individuelle Nachbesserung des Webseiten-Besuchers notwendig. Eine Anleitung dazu gibt es hier.

Wie steht es um mögliche Folgen?

Nicht irrelevant bei der Überlegung ist sicherlich auch der Umstand, dass derjenige, der den Schadensersatz gerichtlich geltend machen will, einerseits zunächst beweispflichtig wäre und die Sache darlegen muss. Andererseits dürfte die Person zudem erstmal die Gerichtskosten vorstrecken müssen, bevor das Gericht tätig wird. Inwiefern der Absender des Schreibens die Prozessrisiken auf sich nehmen will und welchen Erfolg das Vorgehen hier versprechen würde, das kann an dieser Stelle kaum beurteilt werden. Vorstellbar ist ebenfalls, dass der Absender die Angelegenheit womöglich per Beschwerderecht an eine Datenschutzbehörde weiterleitet und die Sache dort weiterverfolgt wird. 

Dass es im Falle einer ausbleibenden Reaktion in jedem Fall zu keinen Folgen kommt, kann an dieser Stelle vernünftigerweise nicht pauschal behauptet werden. Ob und wie Betroffene letztlich auf das Schreiben reagieren, das ist am Ende die eigene unternehmerische Entscheidung. 

Soll auf Nummer Sicher gegangen werden, kann nur zu einer Beratung und Einzelfallbetrachtung durch einen Rechtsanwalt oder Datenschutzbeauftragten geraten werden. Hier können gegebenenfalls auch Ansprüche gegen den Absender geprüft werden. Daneben kann bei Abmahnungen grundsätzlich empfohlen werden, ohne Beratung nicht einfach zu zahlen oder eine Unterlassungserklärung abzugeben. 

Sie wollen immer über die neuesten Entwicklungen im Online-Handel informiert sein? Mit unseren Newslettern erhalten Sie die wichtigsten Top-News und spannende Hintergründe direkt in Ihr E-Mail-Postfach – Jetzt abonnieren!