Google-Fonts

Nutzen auch Sie Google-Fonts auf Ihrer Webseite?

Von /

Vorsicht bei der Einbindung dynamischer Inhalte auf Ihrer Webseite!

Ein aktueller Fall des Landgerichts München zeigt auf, wie aus (scheinbar) unbedeutenden Webseiten-Einstellungen, große Probleme bzw. Datenschutz-Stolpersteine für Ihr Unternehmen entstehen können. 

In einem Verfahren des LG München hatte die Betreiberin einer Webseite, Google-Schriftarten dynamisch auf Ihrer Webseite eingebunden ohne ihre Webseitenbesucher darauf hinzuweisen. 

Dies stellt bereits einen DSGVO-Verstoß dar, denn dadurch wurden unerlaubt die IP-Adressen ihrer Webseitenbesucher an Google-Server in den USA weitergeleitet. 

Was genau ist passiert? 

Google stellt auf https://fonts.google.com seit längerer Zeit eine große Auswahl von Schriftarten (Google-Fonts) kostenlos zur Verfügung. 

Diese Google-Fonts können auf zwei Möglichkeiten in eine Webseite eingebunden werden: 

1. Statische Variante: 

Hierbei wird die gewünschte Schriftart durch den Betreiber der Webseite vom Google-Server heruntergeladen und anschließend lokal in die Webseite eingebunden. Datenschutztechnisch ist diese Variante unkritisch da bei einem Webseiten Aufruf keine Verbindung zu den Google-Servern aufgebaut wird. 

2. Dynamische Variante: 

Bei dieser Variante wird bei jedem Aufruf der Webseite die benötigte Schriftart von den Google-Servern abgerufen. Die Problematik bei dieser Variante besteht darin, das bei dem Verbindungsaufbau zum Google-Server die IP-Adressen der Webseitenbesucher an Google weitergeleitet werden. 

Das LG München entschied nun in einem aktuellen Urteil, dass diese dynamische Einbindung und Weiterleitung der IP-Adressen ohne aktive Einwilligung der Webseitenbesucher gegen die DSGVO verstoße. Auf der Webseite muss eine Consent-Management Platform ( CMP ) mit einem entsprechenden Banner bei Aufruf der Webseite eingerichtet werden um der DSGVO zu entsprechen.

Das Gericht stellte fest, dass die unerlaubte Weitergabe der IP-Adresse an Google die Besucher in Ihrem allgemeinen Persönlichkeitsrecht verletze. Denn auch bei dynamischen IP-Adressen handelt es sich nach Auffassung der DSGVO um ein personenbezogenes Datum. 

Zitat aus der Urteilsbegründung: 

Die unerlaubte Weitergabe der dynamischen IP-Adresse des Klägers durch die Beklagte an Google stellt eine Verletzung des allgemeinen Persönlichkeitsrechtes in Form des informationellen Selbstbestimmungsrechts nach § 823 Abs. 1 BGB dar. Das Recht auf informationelle Selbstbestimmung beinhaltet das Recht des Einzelnen, über die Preisgabe und Verwendung seiner personenbezogenen Daten zu bestimmen. 

Bei der von der Beklagten an Google weitergegebenen dynamischen IP-Adresse handelt es sich um ein personenbezogenes Datum im Sinne von § 12 Abs. 1 und 2 TMG (in der zum Übermittlungszeitraum geltenden Fassung, im weiteren alte Fassung), § 3 Abs. 1 BDSG, Art. 4 Nr. 1 DS-GVO. 

Die dynamische IP-Adresse stellt für einen Webseitenbetreiber ein personenbezogenes Datum dar, denn der Webseitenbetreiber verfügt abstrakt über rechtliche Mittel, die vernünftigerweise eingesetzt werden könnten, um mithilfe Dritter, und zwar der zuständigen Behörde und des Internetzugangsanbieters, die betreffende Person anhand der gespeicherten IP-Adressen bestimmen zu lassen (BGH, Urteil vom 16.05.2017 – VI ZR 135/13). Dabei reicht es aus, dass für die Beklagte die abstrakte Möglichkeit der Bestimmbarkeit der Personen hinter der IP-Adresse besteht. Darauf, ob die Beklagte oder Google die konkrete Möglichkeit hat, die IP-Adresse mit dem Kläger zu verknüpfen, kommt es nicht an. 

Das komplette Urteil finden Sie hier.

Das Gericht sprach dem Kläger, der die Webseite besuchte, 100 € Schadensersatz zu. Auch wenn wie in diesem Fall der Schadensersatzanspruch milde ausfiel und anfallende Gerichtskosten sowie Zeitaufwendungen außer Acht gelassen werden, macht das Urteil erneut deutlich, wie wichtig eine umfassende Beratung sowie professionelle Erstellung Ihrer Unternehmenswebseite ist. 

Denn auch kleine Unternehmen können (wenn auch unwissentlich) gegen Auflagen der DSGVO verstoßen. Schließlich ging es bei diesem Verfahren lediglich um die dynamische Einbindung von Google-Fonts was jahrelang auf einem Großteil aller Webseiten praktiziert wurde. 

Die dynamische Einbindung von Webseiteninhalten geht jedoch weit über das Bereitstellen von Schriftarten hinaus, etliche Webseiten setzen mittlerweile auch bei Bildern, Videos, CSS sowie Javascript-Dateien auf dynamische Einbindungen und nutzen dafür das weit verbreitete CDN ( Content Delivery Network ).  

CDN ist ein Verbund aus Servern, auf denen statische Webseiteninhalte ausgelagert werden, um diese dem Webseitenbesucher vom nächstgelegenen Server bereitstellen zu können.  

Ein prinzipiell nachvollziehbarer Ansatz, da das Ziel dieser Technik ist, die Aufrufgeschwindigkeit der Webseite zu erhöhen und die Anfragelast zu reduzieren. 

Je nach Art der geladenen Ressourcen fällt es jedoch schwer, Besuchern zu erklären, warum sie für den Einsatz einer Schriftart Ihre IP-Adresse an Google oder andere Dienstleister außerhalb der EU übermitteln müssen, ohne vorher gefragt zu werden. Zumal der Kunde keinen unmittelbar erkennbaren Vorteil davon hat, dass die Dateien von einem fremden Server kommen. Die Pflicht, die Zustimmung des Kunden einzuholen, liegt daher bei den Betreibern der Webseite und wird bis heute in vielen Fällen rechtswidrig nicht erfüllt.  

Eine Schwierigkeit dabei ist dem Kunden bereits die Startseite mit der Einwilligung zu präsentieren, ohne die benutzte Schriftart vorher von einem CDN abzurufen. 

Die Einhaltung des umfangreichen DSGVO Regelwerks ist bei weitem keine leichte Gesetzgebungsaufgabe und gerade in Verbindung mit der immer komplexer werdenden digitalen Vernetzung eine rasend wachsende und kaum mehr überschaubare Herausforderung, insbesondere für kleine und mittelständische Unternehmen. 

Eine zu befürchtende Abmahnwelle hat noch nicht begonnen, doch es bleibt abzuwarten welche weiteren Entwicklungen sich aus diesem Präzedenzfall des LG in München für viele Webseiten-Betreiber noch ergeben werden. 

Gerne unterstützen wir sie bei der Umsetzung der DSGVO auf Ihrer Webseite, damit sie auch Weiterhin kein Problem mit Abmahnungen bekommen. Nehmen Sie direkt Kontakt zu uns auf! 

cookie

Wir respektieren Ihre Privatsphäre

Damit unsere Webseite funktioniert, setzen wir technisch notwendige Cookies ein. Um unser Angebot zu verbessern und Ihnen alle Funktionen wie interaktive Karten oder Formularschutz zu bieten, benötigen wir Ihre Zustimmung für weitere Dienste von Google (Analytics, Maps, reCAPTCHA). Dabei werden Daten in die USA übertragen. Bitte treffen Sie Ihre Auswahl. Sie können Ihre Einstellungen jederzeit ändern.

Datenschutshinweise
Notwendig
expand_more

Diese Cookies sind für die grundlegende Funktionalität unserer Webseite unerlässlich. Sie ermöglichen Kernfunktionen wie die Seitennavigation, den sicheren Zugang zu geschützten Bereichen, das Speichern Ihrer Datenschutzeinstellungen oder das Verwalten Ihres Warenkorbs. Ohne diese Cookies kann die Webseite nicht ordnungsgemäß funktionieren. Eine Einwilligung für die Nutzung essenzieller Cookies ist nach § 25 Abs. 2 Nr. 2 TDDDG nicht erforderlich.

Google Maps
expand_more

Wir nutzen den Kartendienst von Google Maps, um Ihnen interaktive Karten direkt auf unserer Webseite anzuzeigen und eine bequeme Nutzung der Karten-Funktion zu ermöglichen, z.B. zur Standortanzeige oder zur Routenplanung. Wenn Sie diesen Dienst aktivieren, wird eine Verbindung zu den Servern von Google in den USA hergestellt. Dabei wird Ihre IP-Adresse und möglicherweise weitere Informationen (z.B. Ihr Standort, Browserdetails) an Google übertragen und dort gespeichert. Google verarbeitet diese Daten auch für eigene Zwecke wie die Verbesserung des eigenen Dienstes oder für personalisierte Werbung. Wir haben keine Kontrolle über die weitere Datenverarbeitung durch Google. Rechtsgrundlage für die Nutzung ist Ihre Einwilligung gemäß Art. 6 Abs. 1 S. 1 lit. a DSGVO sowie § 25 Abs. 1 TDDDG. Mit Ihrer Zustimmung willigen Sie zugleich ein, dass Ihre Daten in die USA übermittelt werden (Art. 49 Abs. 1 lit. a DSGVO). Die USA gelten aus Sicht des Europäischen Gerichtshofs als ein Land mit einem nach EU-Standards unzureichenden Datenschutzniveau. Es besteht insbesondere das Risiko, dass Ihre Daten durch US-Behörden zu Kontroll- und Überwachungszwecken verarbeitet werden können, möglicherweise auch ohne Rechtsbehelfsmöglichkeiten.

Google ReCAPTCHA
expand_more

Zum Schutz unserer Formulare (z.B. Kontakt- oder Kommentarfunktion) vor Spam und Missbrauch durch automatisierte Programme (sog. „Bots“) setzen wir den Dienst Google reCAPTCHA ein. Dieser Dienst prüft, ob eine Eingabe durch einen Menschen oder missbräuchlich durch ein Computerprogramm erfolgt.

Google Analytics
expand_more

Um unsere Webseite stetig zu verbessern und die Inhalte auf die Interessen unserer Besucher abzustimmen, verwenden wir Google Analytics, einen Webanalysedienst der Google LLC. Google Analytics verwendet Cookies, die eine Analyse Ihrer Benutzung der Webseite ermöglichen. Die durch die Cookies erzeugten Informationen (einschließlich Ihrer IP-Adresse, die vor der Speicherung anonymisiert wird) werden an einen Server von Google in den USA übertragen und dort gespeichert. Google nutzt diese Informationen in unserem Auftrag, um Ihre Nutzung der Webseite auszuwerten, Reports über die Webseitenaktivitäten zusammenzustellen und um weitere mit der Webseitennutzung verbundene Dienstleistungen zu erbringen. Google kann diese Daten auch für eigene Zwecke nutzen und mit anderen Daten von Ihnen zusammenführen. Rechtsgrundlage für die Nutzung ist Ihre Einwilligung gemäß Art. 6 Abs. 1 S. 1 lit. a DSGVO sowie § 25 Abs. 1 TDDDG. Mit Ihrer Zustimmung willigen Sie zugleich ein, dass Ihre Daten in die USA übermittelt werden (Art. 49 Abs. 1 lit. a DSGVO). Die USA gelten aus Sicht des Europäischen Gerichtshofs als ein Land mit einem nach EU-Standards unzureichenden Datenschutzniveau. Es besteht insbesondere das Risiko, dass Ihre Daten durch US-Behörden zu Kontroll- und Überwachungszwecken verarbeitet werden können, möglicherweise auch ohne Rechtsbehelfsmöglichkeiten.

Nach oben scrollen