Abmahnungen wegen Google Fonts

Abmahnung Google Fonts - Websitecheck

Seit August 2022 haben sehr viele Website-Betreiber eine Abmahnung wegen der Verwendung von Google Fonts samt Schadensersatzanspruch, Zahlungsaufforderung und Unterlassungserklärung erhalten.

Gehören Sie auch dazu?

Don’t panic. Mittlerweile beschäftigt sich die Justiz mit diesem Geschäftsmodell und die Anwälte hinter dieser Abmahnwelle haben selbst ein Verfahren wegen Rechtsmissbrauchs auf dem Tisch. Wurde anfangs noch eine Zurückweisung oder die Erstattung einer Anzeige empfohlen, so wird inzwischen allgemein dazu geraten, die Schreiben zu ignorieren und abzuwarten, was bei den laufenden Verfahren herauskommt. Fakt ist: Obwohl es mittlerweile einige Trittbrettfahrer gab, scheint im November und Dezember Ruhe eingekehrt zu sein und die Welle der Abmahnschreiben ist fast vollständig abgeebbt.

Wir sind keine Juristen und dürfen demzufolge auch keine juristischen Ratschläge geben, aber aufgrund der aktuellen Lage ist unsere persönliche

Handlungsempfehlung

Eines müssen wir an dieser Stelle aber ganz klar sagen: Die Einbindung sämtlicher Google Tools (also nicht nur Google Fonts!) in eine Website ist derzeit rechtlich ausgesprochen heikel. Grund dafür ist ein Konflikt mit der Datenschutz-Grundverordnung DSGVO, die seit dem 25. Mai 2018 in der EU gilt.

Die DSGVO und das USA-Problem

Weltweit gibt es erhebliche Unterschiede in Punkto Datenschutz. Die DSGVO versucht deshalb, diese Unterschiede im Datenschutzniveau über die Unionsgrenzen hinaus durch bestimmte Vorgaben auszugleichen, um die Daten von EU-Nutzern auch außerhalb der EU zu schützen.

Die USA wird hierbei als unsicheres Drittland eingestuft, da die nationalen Gesetze zum Schutz von personenbezogenen Daten nicht mit denen des EU-Rechts vergleichbar sind. Dabei wird insbesondere kritisiert, dass US-Behörden und auch bestimmte US-Geheimdienste mit gesetzlicher Grundlage Zugriff auf alle Daten von EU-Bürgern erlangen können. Zudem gibt es keinen ausreichenden Rechtsschutz für Betroffene.

EU und USA haben zwar im März 2022 eine neue Datenschutzübereinkunft, das Trans-Atlantic Data Privacy Framework, verabschiedet, doch in Kraft getreten ist dieses Abkommen noch lange nicht und es steht in den Sternen, ob dies jemals geschehen wird.

All data collected through Google Analytics […] is hosted (i.e. stored and further processed) in the USA.

https://noyb.eu/sites/default/files/2021-05/2021-04-09_Response_to_Austrian_DPA_-_NOYB_Complaints_b.pdf

Website-Betreiber sind die Ersterheber von Daten und somit dafür verantwortlich, DSGVO-konforme Lösungen zu nutzen und zu implementieren. Google Analytics verarbeitet Nutzerdaten immer in den USA, für andere Dienste wie Google Fonts, Google Maps, Google reCAPTCHA etc. gibt es zwar keine konkreten Aussagen, aber es ist davon auszugehen, dass auch hier Daten direkt oder indirekt in die USA übermittelt werden.

Google Fonts Abmahnungen – warum?

Google Fonts sind Schriftarten, die von Google lizenzfrei für Website-Betreiber zur Verfügung gestellt werden. Werden diese Schriftarten nicht lokal, sondern nur über einen Link eingebunden, wird eine Serververbindung zu Google hergestellt und über diese Verbindung die IP-Adresse des Website-Besuchers an Google und aller Wahrscheinlichkeit nach in die USA übermittelt.

Da IP-Adressen zu den personenbezogenen Daten gehören, muss laut DSGVO zur Erfassung und Weitergabe dieser Daten eine Einwilligung des Nutzers vorliegen. Diese wird in den allermeisten Fällen bei Einbindung der Google Fonts aber nicht eingeholt, was einen Verstoß gegen geltendes Datenschutzrecht bedeutet.

Auslöser der Abmahnwelle ist ein Urteil des LG München vom 20.01.2022:

Verletzung des Persönlichkeitsrechts durch Datenschutzverstoß
Leitsätze:
1-Eine Verletzung des Rechts auf informationelle Selbstbestimmung und des Persönlichkeitsrechts stellt es dar, wenn der Inhaber einer Webseite bei Aufruf dieser Webseite durch einen Dritten dessen dynamische IP-Adresse automatisiert und ohne Zustimmung des Dritten an Google weiterleitet. (Rn. 6 – 7) (redaktioneller Leitsatz)
2-Ein Rechtfertigungsgrund für die Weitergabe einer IP-Adresse liegt nicht vor, da das Angebot von Google Fonts auch genutzt werden kann, ohne dass beim Aufruf der Webseite eine Verbindung zu einem Google-Server hergestellt wird und eine Übertragung der IP-Adresse der Webseitennutzer an Google stattfindet. (Rn. 8) (redaktioneller Leitsatz)

https://www.gesetze-bayern.de/Content/Document/Y-300-Z-BECKRS-B-2022-N-612

Zusammengefasst: Die dynamische Einbindung von US-Webdiensten in eine Website (hier: Google Fonts) ist ohne Einwilligung der Besucher datenschutzwidrig, Websitebetreiber schulden Unterlassung und Schadensersatz.

Was tun?

An dem Münchener Urteil scheiden sich zwar inzwischen sämtliche Geister, aber es empfiehlt sich grundsätzlich und dringend, die via Google Fonts genutzten Schriftarten lokal auf dem eigenen Webserver bereitzustellen.

Das hört sich einfacher an, als es ist, denn viele Themes und Plugins greifen ungefragt auf Google Fonts zu. Gerade bei veralteten Versionen kann es ziemlich tückisch sein, diese Verweise loszuwerden. Ähnliches gilt für alle anderen Google Tools, denn auch diese laden ungefragt Google Fonts oder übermitteln sensible Daten in die USA.

Best Practice: Ersetzen Sie alle Google Tools und alle anderen Plugins von Drittanbietern, die Daten in die USA senden (dazu gehören auch YouTube, Mailchimp oder Calendly) durch DSGVO-konforme Alternativen, dann sind Sie auf der sicheren Seite.

Weiterführende Links


Kontaktieren Sie uns!

Hat Ihnen dieser Artikel gefallen? Möchten Sie mehr über das Thema wissen oder können wir genau in diesem Bereich etwas für Sie umsetzen? Wir beraten Sie gerne!