Update: Massenabmahnungen wegen Google Fonts: Unser Antwortgenerator hilft

Das LG München I (Urt. v. 20.01.2022 – 3 O 17493/20) entschied Anfang des Jahres, dass ein Verstoß gegen die DSGVO vorliegt, wenn die dynamische Einbindung von Services in eine Website ohne Einwilligung der betroffenen Person erfolgt und die Services aus Drittländern außerhalb des Europäischen Wirtschaftsraumes (EWR) erbracht werden. Konkret ging es um Google Fonts in der Web-Variante. Websitebetreiber, die Google Fonts so nutzen, erhalten nun neben (zum Teil massenhaften) Abmahnungen auch vielfach Schadensersatzforderungen oder Aufforderungen, eine strafbewehrte Unterlassungserklärung abzugeben.

Hintergrund: Urteil des LG München I

Das LG München I bejahte den Unterlassungsanspruch des Klägers auf Weitergabe der IP-Adresse nach § 823 Abs. 1 BGB i.V.m. § 1004 BGB analog und nahm einen Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO i.H.v. 100,00 Euro an. Die unerlaubte Weitergabe der dynamischen IP-Adressen an Google stelle eine Verletzung des informationellen Selbstbestimmungsrechts nach § 823 Abs. 1 BGB dar. Bei den IP-Adressen handele es sich um personenbezogenen Daten, da es für den Websitenbetreiber abstrakt möglich sei über den Internetzugangsanbieter und der zuständigen Behörde die Betroffenen anhand der gespeicherten IP-Adresse zu identifizieren. Da der Kläger nicht eingewilligt habe und ein Rechtfertigungsgrund, insbesondere berechtigte Interessen, nicht vorliege, handele es sich um einen unzulässigen Eingriff in das allgemeine Persönlichkeitsrecht des Klägers.

Die Entscheidung des LG München hat dazu geführt, dass es nun zu massenhaften Abmahnungen an Betreiber von Websites kommt, die Google Fonts dynamisch einbinden. Darunter befinden sich teilweise auch Personen, die Aufforderungsschreiben an Betreiber von Websites schicken, die sie nie regelmäßig besucht haben und unter Berufung auf das LG München schnellen Profit machen wollen. Denn eine Forderung von 100 Euro zu zahlen erscheint einfacher, als einen Anwalt zu kontaktieren oder sogar einen behördlichen bzw. gerichtlichen Prozess in Kauf zu nehmen, weswegen betroffene Unternehmen zuweilen dazu neigen, diese Summe zu zahlen. Man gewinnt jedoch den Eindruck, dass solche Auffordernden, die massenhaft Abmahnungen versenden, in der Regel kein echtes Interesse am Datenschutz haben, sondern eher nach einer Einnahmequelle suchen.

Um dieser – nicht nur im Vorgehen, sondern auch datenschutzrechtlich – fragwürdigen Praxis entgegenzuwirken, haben wir eine erste Hilfe für Sie bereitgestellt.

Was Sie tun können – unser Generator

Die Gefahr einer Beschwerde bei der Datenschutzaufsichtsbehörde oder einer Klage ist nicht gänzlich auszuschließen. Allerdings wird wegen des Gerichtskostenvorschuss und den bestehenden Prozessrisiken regelmäßig eine Klage wegen der geringfügigen Summe nicht zu erwarten sein.

Wir unterstützen Sie, indem wir eine schnelle und kostenfreie Erwiderung an solche Abmahner zur Verfügung stellen. Hier finden Sie unseren Generator dazu. Nach Ausfüllen des Fragebogens erhalten Sie einerseits die erforderlichen Dokumente (Anschreiben an Abmahnenden, ggf. Unterlassungserklärung), andererseits auch einige Informationen zur Rechtslage, damit Sie das Risiko zuverlässig einschätzen können.

Sollten Sie darüber hinaus eine individuelle Rechtsberatung wünschen, sprechen Sie uns gerne an.

Risiken bei dem Einsatz von Google Fonts und anderen Font-Diensten

Sofern Fonts nicht auf eigenen Servern gehostet werden, führt die Nutzung von Font-Diensten zur Übermittlung von Verbindungsdaten der Nutzer (IP-Adresse) an die Server des jeweiligen Anbieters, siehe dazu das folgende Schaubild zur Übermittlung von Daten bei dem Aufruf von Websites (insb. Schritte 2 und 3):

Bei der datenschutzrechtlichen Bewertung der Einbindung solcher Font-Dienste sind dabei zwei Themenfelder zu unterscheiden, die jedoch im Ergebnis stark miteinander verwoben sind: (1) die Beurteilung der ggf. damit verbundenen Drittlandübermittlung und der Auswirkungen auf (2) die Rechtsgrundlage für die damit verbundene Verarbeitung i.S. des Art. 6 DSGVO.

 

1. Datenübermittlung an (unsichere) Drittländer

 

Sitzt der Font-Anbieter in einem unsicheren Drittland (also Länder außerhalb von EU/EWR und ohne Angemessenheitsbeschluss) oder kommt es allgemein in der Leistungskette zur Übermittlung der Verbindungsdaten an unsichere Drittländer (z.B. Serverinfrastruktur des Anbieters im Drittland), sind bei der Übermittlung die Vorgaben aus Art. 44 ff. DSGVO zu beachten (Übermittlungen personenbezogener Daten an Drittländer oder an internationale Organisationen). Dies betrifft z.B. Google Fonts (Google LLC in den USA), Adobe Fonts (Adobe Inc. in den USA) und Dont Awesome (Fonticons, Inc. in den USA).

 

Problematisch bei diesen Diensten ist die Absicherung der Drittlandübermittlung. In Betracht kommen hier insbesondere folgende Absicherungsmechanismen:

 

  • Standarddatenschutzklauseln der EU-Kommission (kurz „SDK“) (Art. 46 Abs. 2 Buchst. c DSGVO), oder
  • eine Ausnahme nach Art. 49 DSGVO (Einwilligung i.S. des Art. 49 Abs. 1 Satz 1 Buchst. a DSGVO)

 

Inwiefern die Anbieter die Datenübermittlung auf Standarddatenschutzklauseln stützen, muss im Einzelfall geprüft werden. Problematisch sind hier in vielen Fällen (1) die undurchsichtigen Vertragskonstruktionen, (2) die fehlenden Möglichkeiten zu einer individuellen Regelung und direkten Abstimmung mit den Anbietern und (3) Unklarheiten bei der datenschutzrechtlichen Rollenkonstellation zwischen Anbieter der Website und Anbieter der externen Fonts (Übermittlung Controller-to-Controller, Verarbeitung als gemeinsam Verantwortliche oder Auftragsverarbeitung).

 

Auch wenn die Anbieter den Abschluss von SDK anbieten sollten, müsste geprüft werden, ob die SDK durch die Anbieter effektiv eingehalten werden können. Die SDK verpflichten die Parteien zur Durchführung eines sog. Transfer Impact Assessment (kurz „TIA“) und ggf. zur Regelung zusätzlicher technischer und organisatorischer Maßnahmen (kurz „TOM“). Auch dies steht und fällt mit der Mitwirkung der Anbieter.

 

Ohne eine Absicherung über SDK könnte die Übermittlung der Daten noch auf eine Einwilligung i.S. des Art 49 Abs. 1 Satz 1 Buchst. a DSGVOgestützt werden. An eine Einwilligung in die Drittlandübermittlung sind jedoch sehr hohe Anforderungen zu stellen. Die betroffene Person muss sie ausdrücklich und in Kenntnis möglicher Risiken derartiger Datenübermittlungen erteilen. Die betroffenen Personen sind also im Rahmen der Einwilligungserklärung deutlich auf die Risiken der Übermittlung der Daten an Länder ohne angemessenes Datenschutzniveau hinzuweisen. (u.a. Angabe, dass es zu Zugriffen durch Überwachungsbehörden kommen kann, gegen die den betroffenen Personen keine ausreichenden Rechtsmittel zur Verfügung stehen).

 

Die Einwilligung in die Nutzung von Google Fonts/andere Font-Dienste lässt sich damit nach unserer Bewertung nicht sicher über ein Consent-Tool abbilden. Andere Touchpoints zur Einholung einer solchen Einwilligung sind nicht ersichtlich (zu gesonderten Herausforderung bei externen Inhalten, die Fonts nachladen, siehe Ziff. 3). Erfüllt der Einwilligungsprozess einschließlich der zur Verfügung gestellten Informationen nicht die Anforderungen aus Art. 49 Abs. 1 Satz 1 Buchst. a DSGVO, wäre die Übermittlung rechtswidrig.

 

Wird für den Einsatz der externen Font-Dienste mit Bezug zu unsicheren Drittländern ohne effektive Absicherung durch SDK dennoch ein Einwilligungsprozess umgesetzt, muss dieser soweit möglich die Anforderungen aus Art. 49 Abs. 1 Satz 1 Buchst. a DSGVO abbilden. Jedenfalls muss die Einwilligung getrennt von der TTDSG-Einwilligung in das Setzen/Auslesen von Cookies und ähnlichen Technologien ausgestaltet werden (zu möglichen Gestaltungen und Herausforderungen siehe die Abb. 2 ff. in unserem Website-Beitrag zur Einwilligung in Online-Dienste nach dem Schrems II Urteil). Dies ist in der Regel nicht (hinreichend) umsetzbar, da es sowohl inhaltliche Herausforderung bei den Informations- und Risikohinweisen im Rahmen der Einwilligungserklärung geben kann wie z.T. auch technische Herausforderungen auf Seiten der Consent-Lösungen (Trennung der Einwilligungserklärung, Widerruflichkeit und Blockade von externen Inhalten ohne Einwilligung).

 

Der Ansatz ist also ausschließlich unter Hinnahme erheblicher datenschutzrechtlicher Risiken möglich (insb. Untersagungsverfügung, Bußgeld, Abmahn- und Schadensersatzrisiken wegen einer unzulässige Datenübermittlung an ein Drittland).

 

2. Rechtsgrundlage i.S. der Art. 6 Abs. 1 Satz 1 DSGVO

 

Werden Font-Dienste eingesetzt, bei denen es nicht zu problematischen Drittlandübermittlungen kommt oder sind solche Übermittlungen ausnahmsweise entsprechend abgesichert (insb. über SDK, siehe Ziff. 1), kann der Einsatz ggf. auf eine Interessenabwägung i.S. des Art. 6 Abs. 1 Satz 1 Buchst. f DSGVO gestützt werden.

 

Der Einsatz von externen Fonts verbessert in der Regel die Performance der Website, stellt ein vom Verantwortlichen gewünschtes Layout sicher und erhöht die Kompatibilität mit den unterschiedlichen Endgeräten der Website-Nutzer (wirtschaftliche Interessen und das Interesse an der Gestaltung, dem Betrieb und der Verfügbarkeit der digitalen Produkte). Der Einsatz externer Anbieter kann auch geeignet sein, um diese Ziele zu erreichen. In Fällen, in denen keine Datenübermittlungen an unsichere Drittländer stattfinden, sind auf Seiten der betroffenen Person i.d.R. keine überwiegenden Interessen an dem Ausbleiben der Verarbeitung erkennbar.

 

Eine Einwilligung in den Einsatz der Font-Dienste bei problematischen Drittlandkonstellationen kann nicht ausschließlich auf Art. 6 Abs. 1 Satz 1 Buchst. a DSGVO gestützt werden, da dann jedenfalls die Absicherung der Drittlandübermittlung weiterhin der Rechtmäßigkeit entgegenstehen kann (siehe zu den Anforderungen Ziff. 1).

 

3. Sonderfall: Nachlanden von Fonts (z.B. YouTube, Google Fonts und Google reCAPTCHA)

 

Die Einbindung von YouTube (auch in der noCookie-Variante) und anderen Google-Diensten, die Inhalte auf der Seite ausrollen (z.B. Google Maps und reCAPTCHA) kann dazu führen, dass Google Fonts auf der Website nachgeladen werden. Die Übermittlung der IP-Adresse an die Google LLC ist dabei i.d.R. nicht durch die Einwilligung der Nutzer in die Einbindung der YouTube Videos bzw. die Einbindung der anderen Google Dienste gedeckt. Auch bei entsprechender Anpassung der Consent-Tools bleibt fraglich, ob damit die oben aufgeführten Anforderungen an eine Einwilligung in die Übermittlung an ein Drittland erfüllt werden können (s. oben Ziff. 1 und Ziff. 2). Auch Zusatzlösungen wie z.B. vorgeschaltete Flächen („Bitte bestätigen Sie, dass Sie YouTube-Videos einbinden möchten“) helfen hier nicht. Auch lässt sich die Problematik der automatisch nachladenden Fonts bei Nutzung der Google-Dienste nicht durch lokal gespeicherte Fonts lösen, da die Google-Dienste diese Verbindung zu den „eigenen Fonts“ automatisch auslösen.

 

Wird die Einwilligungslösung unter Hinnahme der damit verbundenen Risiken umgesetzt, müssten die Einwilligungstexte entsprechend angepasst werden. Es muss zum Ausdruck kommen, dass die Einwilligung in die Nutzung von YouTube (bzw. die anderen Google-Dienste) auch gleichzeitig die Nutzung von Google Fonts und die damit verbundenen Drittlandübermittlung mit sich bringt.  Bei der Nutzung von Standardkonfigurationen vieler Consent-Tools lässt sich diese Verknüpfung von Google Fonts und YouTube (soweit erkennbar) nicht ohne Weiteres auflösen, so dass hier individuelle Anpassungen erforderlich sein können.

 

YouTube (und ggf. weitere Google-Dienste wie Google Maps) können also nur unter Hinnahme der damit verbundenen zusätzlichen datenschutzrechtlichen Risiken genutzt werden, ansonsten müssen die Dienste deaktiviert werden.

 

 4. Zusammenfassung

 

Eine sichere Lösung sieht aktuell wie folgt aus:

 

Die Schriftarten werden lokal auf eigenen Servern bzw. auf Servern von Dienstleistern gespeichert, bei denen es keine problematischen Drittlandübermittlungen gibt.  Auf die Nutzung von Diensten/Apps, die automatisch Fonts von Servern in Drittländern nachladen, wird vollständig verzichtet.