Blog


22
Nov

Abmahnungen wegen der Verwendung von „Google Fonts“ – Rechtslage, Reaktionsmöglichkeiten und Vermeidungsstrategien

In diesem Jahr erhalten zahlreiche Webseitenbetreiber Abmahnschreiben, mit denen ein Verstoß gegen die Datenschutzgrundverordnung (DSGVO) und eine Verletzung des allgemeinen Persönlichkeitsrechts der Webseitenbesucher wegen der Einbindung von „Google Fonts“ auf der betroffenen Webseite behauptet wird. Wegen dieser angeblichen Rechtsverletzungen erheben die Abmahnenden verschiedene Ansprüche, unter anderem verlangen sie die Zahlung von Schadensersatz. Aufgrund der Abmahnwelle stellt sich die Frage, ob die geltend gemachten Ansprüche so wirklich bestehen, wie auf solche Abmahnungen reagiert werden kann und welche Maßnahmen notwendig sind, um Abmahnungen dieser Art zu vermeiden.

Was ist „Google Fonts“?

„Google Fonts“ ist ein Verzeichnis von Schriftarten des US-Konzerns Google, das erstmals 2010 zur freien Verwendung bereitgestellt wurde. Dabei kann jeder Webseitenbetreiber die angebotenen Schriftarten ohne Zahlung von Lizenzgebühren frei auf seiner Website verwenden. Die Schriftarten aus dem „Google Fonts“ Verzeichnis können auf zwei unterschiedlichen Wegen in die jeweilige Website eingebunden werden: Webseitenbetreiber können die bevorzugte Schriftart herunterladen, um sie dann im eigenen Webspace wieder hochzuladen. Dadurch wird die Datei lokal in die Internetseite eingebunden, ohne dass beim Aufrufen der Website eine Verbindung zum Google-Server aufgebaut wird. Die zweite Möglichkeit ist die von Google angebotene dynamische Variante. Bei dieser wird in Folge des Aufrufens der Website eine Verbindung zu einem Google-Server hergestellt, der die ausgewählte Schriftart zulädt und ausspielt. Die Schriftart wird also nicht auf dem eigenen Server hochgeladen, sondern wird mit dem Aufrufen der Website über den Google-Server nachgeladen. Bei der Verbindung mit dem Google-Server wird jedoch mindestens die IP-Adresse des Websitebesuchers an Google-Server in den USA weitergeleitet.

 

Die rechtlichen Grundlagen

Abmahnungen werden nur gegenüber denjenigen Webseitenbetreibern ausgesprochen, die „Google Fonts“ im Wege der dynamischen Einbindung benutzen. Die Abmahnenden behaupten, die Übermittlung der IP-Adressen an Google-Server in den USA sei rechtswidrig.

Die Abmahnenden führen dafür zunächst die Rechtsprechung des EuGH ins Feld, nach der eine dynamische IP-Adresse, die von einem Anbieter von Online-Mediendiensten beim Zugriff einer Person auf dessen Website gespeichert wird, ein personenbezogenes Datum im Sinne des Art. 4 Nr. 1 DSGVO darstellt (EuGH, Urt. v. 19. Okt. 2016 – Az.: C-582/14 – Breyer; im Anschluss daran BGH, Urt. v. 16. Mai 2017 – Az.: VI ZR 135/13). Die Abmahnenden stützen sich weiter auf die viel beachtete Entscheidung Facebook Ireland u. Schrems des EuGH, in der der Gerichtshof den sogenannten Angemessenheitsbeschluss der EU-Kommission, nach dem die Vorgaben des „EU-US Privacy Shields“ dem Datenschutzniveau der Europäischen Union entsprechen sollen, für ungültig erklärt hatte (EuGH, Urteil vom 16.7.2020 – C-311/18 – Facebook Ireland u. Schrems). Daraus folgern die Abmahnenden, dass die mit der „Google Fonts“ Nutzung im Wege der dynamischen Einbindung der Schriften einhergehende Übermittlung der IP-Adresse des Websitebesuchers auf den US-amerikanischen Google-Server eines datenschutzrechtlichen Rechtfertigungstatbestands bedürfe. An einem solchen fehle es aber, da die Webseiten-Besucher insbesondere keine Einwilligung zur Datenübermittlung (Art. 6 Abs. 1 lit. a) DSGVO) erteilt hätten. Neben dem Verstoß gegen das Datenschutzrecht liege deshalb auch eine Verletzung des allgemeinen Persönlichkeitsrechts in seiner Einzelausprägung als Recht auf informationelle Selbstbestimmung vor.

 

Entscheidung des Landgerichts München vom 20.01.2022

Tatsächlich entschied das Landgericht München (LG München, Urt. v. 20. Jan. 2022 – Az.: 3 O 17493/20) Anfang des Jahres 2022, dass die dynamische Einbindung von „Google Fonts“ auf Webseiten datenschutzrechtlich zu beanstanden sei. Die IP-Adresse sei ein personenbezogenes Datum, in dessen Übermittlung der Webseitenbesucher nicht eingewilligt habe. Auf den Rechtfertigungsgrund des Art. 6 Abs. 1 lit. f) DSGVO, der die Datenverarbeitung auch ohne Einwilligung erlaubt, wenn dies zur Wahrung der „berechtigten Interessen“ des Datenverarbeiters erforderlich ist, könne sich der Webseitenbetreiber nicht berufen, da es ihm möglich sei, von der dynamischen Einbindung abzusehen und „Google Fonts“ ohne Übertragung der IP-Adresse der Webseitenbesucher an Google in den USA zu nutzen. Der Webseitenbesucher sei auch nicht verpflichtet, seine eigene IP-Adresse vor dem Besuch der Seite zu verschlüsseln. Nach Ansicht des Landgerichts München begründet der Verstoß gegen das Datenschutzrecht auch eine Verletzung des allgemeinen Persönlichkeitsrechtes in Form des informationellen Selbstbestimmungsrechts, das durch § 823 Abs. 1 BGB geschützt sei.

 

Landgericht München spricht Webseitenbesucher Schadensersatzanspruch zu

Nach Auffassung des Landgerichts München hat der Webseitenbesucher zunächst einen Anspruch auf Unterlassung der Weitergabe von IP-Adressen an Google (§ 823 Abs. 1 i.V.m. § 1004 BGB analog). Außerdem könne der Webseitenbesucher Auskunft über seine verarbeiteten personenbezogenen Daten verlangen, die unter anderem die Verarbeitungszwecke umfasst (Art. 15 DSGVO).

Das Landgericht München verurteilte den Webseitenbetreiber überdies zur Zahlung von Schadensersatz. Gemäß Art. 82 DSGVO steht dem Betroffenen ein Schadensersatzanspruch zu, wenn ihm durch den datenschutzrechtlichen Verstoß ein „materieller oder immaterieller Schaden“ entstanden ist. Bemerkenswert ist, dass das Landgericht München – ein materieller Schaden war in dem entschiedenen Fall nicht ersichtlich – das Bestehen eines immateriellen Schadens auf Seiten des Webseitenbesuchers bejahte. Zur Begründung führt das Landgericht zum einen aus, dass der in dem zu entscheidenden Fall klagende Webseitenbesucher die Webseite mehrmals besucht habe und deshalb eine unzulässige Datenübermittlung nicht nur einmalig stattgefunden habe; damit sei ein „Kontrollverlust“ über das personenbezogene Datum einhergegangen. Zum anderen führte das Landgericht generell ins Feld, dass Google ein Unternehmen sei, das „bekanntermaßen Daten über seine Nutzer sammelt“ und dass die Übermittlung der Daten in die USA stattgefunden habe, wo ausweislich der Entscheidung Facebook Ireland u. Schrems „kein angemessenes Datenschutzniveau gewährleistet“ sei. All dies verstärke das „individuelle Unwohlsein“ des klagenden Webseitenbesuchers.

 

Reaktionsmöglichkeiten abgemahnter Webseitenbetreiber

Nicht zuletzt aufgrund der Entscheidung des Landgerichts München ist es nicht fernliegend, dass die Übermittlung von personenbezogenen Daten an Google-Server in den USA einen Verstoß gegen das Datenschutzrecht darstellt. Zwar entschied der EuGH in Facebook Ireland u. Schrems lediglich, dass der Angemessenheitsbeschluss des EU-Kommission unwirksam sei, sodass es im Grundsatz möglich bleibt, durch konkrete Datenschutzmaßnahmen zusammen mit bestimmten Vertragsklauseln im Einzelfall ein angemessenes Schutzniveau für übermittelte Daten herzustellen. Ob solche Maßnahmen und Klauseln in Bezug auf die „Google Fonts“-Nutzung tatsächlich bestehen, dürfte hingegen zweifelhaft sein.

Die in den Abmahnungen geltend gemachten Unterlassungs-, Auskunfts- und Schadensersatzansprüche sind deshalb im Grundsatz nicht ganz von der Hand zu weisen. Allerdings ist – da bislang nur ein einziges Urteil eines erstinstanzlichen Gerichts vorliegt –die Rechtslage insbesondere im Hinblick auf den Schadensersatzanspruch nicht vollständig geklärt, zumal die Argumentation des Landgerichts München zum immateriellen Schaden angreifbar erscheint. Vor allem die Betonung des „individuellen Unwohlseins“ als subjektive, pauschal und nicht weiter substantiierte Empfindung des klagenden Webseitenbesuchers erscheint problematisch (dies bemerkt auch das Landgericht Gießen, Urt. v. 3. Nov. 2022 – Az.: 5 O 195/22). Weiter besteht Rechtsunsicherheit bezüglich der Höhe eines etwaigen Schadensersatzanspruchs. Das Landgericht München sprach dem Webseitenbesucher lediglich einen Schadensersatzanspruch in Höhe von EUR 100,00 zu; der in den Abmahnungen geltend gemachte Schadensersatz geht jedoch teilweise darüber hinaus.

Abgemahnte Webseitenbetreiber sollten deshalb zunächst – soweit die Abmahnenden eine solche fordern – die geforderte Unterlassungserklärung nicht sofort abgeben und den geforderten Geldbetrag nicht ohne Weiteres zahlen, sondern sich zuvor anwaltlich beraten lassen. Dabei wird insbesondere zu prüfen sein, ob der Abmahnung – soweit diese massenhaft ausgesprochen wird – der Einwand des Rechtsmissbrauchs entgegengehalten werden kann. Rechtsmissbräuchliche Abmahnungen sind dadurch gekennzeichnet, dass sie vorwiegend dazu dienen, gegen den Abgemahnten einen Anspruch auf Ersatz von Aufwendungen oder von Kosten der Rechtsverfolgung zu generieren. Dafür kann die massenhafte Verwendung ein Indiz sein.

 

Überprüfung des eigenen Webauftritts empfehlenswert

Webseitenbetreibern, die „Google Fonts“ nutzen, ist in jedem Fall zu empfehlen, entweder auf die Nutzung von „Google Fonts“ ganz zu verzichten oder die Schriften nicht dynamisch einzubinden, sondern lokal auf dem eigenen Webserver abzuspeichern. Sollte Unsicherheit in Bezug auf die Nutzung von „Google Fonts“ bestehen, sollten die Webseitenbetreiber ihre Seite dahingehend überprüfen. Ist die dynamische Einbindung für den Webseitenbetreiber notwendig oder bietet sie für ihn einen Mehrwert, auf den er nicht verzichten will, sollte, um eine Abmahnung zu vermeiden, eine entsprechende datenschutzrechtliche Einwilligung der Webseitenbesucher eingeholt werden. Zur rechtssicheren Gestaltung der Einholung der Einwilligung sollten sich Webseitenbesucher anwaltlich beraten lassen.

 

Rechtsanwalt Lukas Gotthardt, LL.M. gotthardt(at)bock-legal.de