Viele Webseitenbetreiber binden auf ihrer Webseite Google Fonts ein und holen dafür keine Einwilligung der Nutzer ein. Das hat das Landgericht München jetzt in einem Urteil (vom 20.01.2022, Az.: 3 O 17493/20) für rechtswidrig erklärt.
Die Einbindung von Google Fonts auf der Webseite ist auf zwei Arten möglich: statisch oder dynamisch.
Bei der statischen Varianten lädt der Webseitenbetreiber die Schriftart runter und lädt sie dann auf seiner Webseite wieder hoch, so dass sie dann nur lokal eingebunden wird. Bei einem Besuch der Webseite wird dann keine Verbindung zu den Servern von Google aufgebaut, so dass die Nutzung hier unproblematisch ist.
Bei der dynamischen Variante bindet der Webseitenbetreiber die Schriftart in den HTML-Code der Seite ein. Hier wird dann beim Besuch der Seite eine Verbindung zu den Google-Servern aufgebaut, da die Schriftart von dort aus dann auf der Seite ausgespielt wird. Dabei wird meist die IP-Adresse des Nutzers an Google übertragen.
Der Webseitenbetreiber, den das Urteil des Landgerichts München nun betraf, hatte Google Fonts dynamisch in seine Webseite eingebunden, jedoch keine Einwilligung der Nutzer eingeholt. Der Kläger aus diesem Verfahren verlangte deswegen Unterlassung und Schadensetzsatz.
Dem gab das Landgericht München statt. Es verurteilte den beklagten Webseitenbetreiber auf Unterlassung der Weitergabe der IP-Adresse des Klägers an Google und sprach dem Kläger einen Schadensersatz in Höhe von 100 € zu.
Der Beklagte berief sich zwar auf ein berechtigtes Interesse gemäß Art. 6 Abs. 1 f) DSGVO, doch dies ließ das Landgericht nicht gelten, insbesondere, da Fonts auch ohne dynamische Einbindung nutzbar sei. Der Anspruch auf Schadenersatz ergab sich laut Landgericht München aus dem mit der Datenweitergabe an Google verbundenen Kontrollverlust und aus dem durch den Kläger empfundenen individuellen Unwohlsein. Diese seien auch so erheblich, dass der Schadensersatzanspruch gerechtfertigt sei.
Zu beachten ist, dass zum Zeitpunkt des Verstoßes die Weitergabe an einen Server in den USA stattfand. Dort ist nach dem Urteil des EuGH kein angemessenes Datenschutzniveau gewährleistet.
Mittlerweile werden die meisten Google-Dienste von Google Ireland betrieben, dennoch kann nicht zu 100% sichergestellt werden, dass Daten nicht doch auch in die USA gelangen. Daher ist die Nutzung von Google Diensten auf der eigenen Webseite generell mit Risiken behaftet und sollte angemessen abgewogen werden. Insgesamt herrscht derzeit noch große Unsicherheit, da der EuGH das Privacy Shield für unwirksam erklärt hat. Bisher liegt jedoch auch keine Rechtssicherheit vor, was die EU-Standardvertragsklauseln angeht, die nunmehr meistens für eine Übertragung von Daten ins EU-Ausland herangezogen werden. Es ist nicht geklärt, ob diese in einem Streitfall ausreichen würden. Insofern ist derzeit dazu zu raten, nach Möglichkeit Google Fonts lokal einzubinden und möglichst keine Dienste zu nutzen, die personenbezogene Daten ins EU-Ausland übertragen.