Die dynamische Einbindung von US-Webdiensten in eine Internetseite (hier: Google Fonts) ist ohne Einwilligung der Besucher datenschutzwidrig. Websitebetreiber schulden Unterlassung und Schadensersatz (LG München, Urteil vom 20.01.2022, Az. 3 O 17493/20).
Wissen Sie nicht, ob Google Fonts auf Ihrer Internetseite dynamisch zugeladen werden? Scannen Sie Ihre Domain kostenlos auf avalex.de und erhalten Sie nach wenigen Sekunden das Ergebnis – direkt und ohne Registrierungspflicht.
Inhaltsübersicht
1. Was sind Google Fonts?
2. Wie kann man Google Fonts in eine Internetseite einbinden?
3. Problem: Dynamische Einbindung von Google Fonts ohne Einwilligung
4. LG München: Anspruch auf Unterlassung und Schadensersatz
5. Einwilligung fehlt, Berufung auf berechtigtes Interesse erfolglos
6. Keine Pflicht des Besucher, die eigene IP-Adresse zu verschleiern
7. Anspruch auf 100 Euro DSGVO-Schadensersatz, u.a. wegen “Unwohlsein”
8. Kommentar von Rechtsanwalt Plutte: Was bedeutet die Entscheidung?
1. Was sind Google Fonts?
Google stellt auf https://fonts.google.com/ eine breite Auswahl von Schriftarten unter Apache Lizenz (Version 2.0) zur Verfügung. Diese Schriftarten dürfen prinzipiell kostenlos genutzt werden.
2. Wie kann man Google Fonts in eine Internetseite einbinden?
Es gibt zwei Möglichkeiten, Google Fonts in eine Internetseite einzubinden:
- Statische Variante: Websitebetreiber können die gewünschte Schriftart herunterladen und erneut in den eigenen Webspace hochladen, von wo aus die Datei lokal in die Website eingebunden wird, je nach Präferenz z.B. im Format TTF, WOFF bzw. WOFF2. Besuchen Nutzer eine solche Internetseite, wird keine Verbindung zu Google-Servern aufgebaut. Datenschutzrechtlich und persönlichkeitsrechtlich ist diese Form der Einbindung daher unkritisch.
- Dynamische Variante: Alternativ besteht die Möglichkeit, ein Code-Snippet in den HTML-Code der Webseiten einzubinden, entweder per @import oder <link>.
Beispiel für die dynamische Einbindung der Schriftart “Comforter” via Link-Methode.
Hier wird bei Aufruf der Webseite eine Verbindung zum Google-Server aufgebaut und von dort die benötigte Schriftart blitzschnell zugeladen und ausgespielt. An dieser Variante ist problematisch, dass im Zusammenhang mit dem Verbindungsaufbau zum Google-Server mindestens die IP-Adresse des jeweiligen Webseitenbesuchers mit an Google übertragen wird.
3. Problem: Dynamische Einbindung von Google Fonts ohne Einwilligung
Im Verfahren vor dem Landgericht München hatte die Betreiberin einer Internetseite Google Fonts dynamisch in ihre Website eingebunden, ohne dafür vorab (über ein Consent-Banner) von jedem Besucher eine Einwilligung einzuholen. Daran störte sich der Kläger und verlangte Unterlassung und Schadensersatz.
4. LG München: Anspruch auf Unterlassung und Schadensersatz
Das Landgericht München gab der Klage statt. Dem Kläger stehe gegen die Websitebetreiberin ein Anspruch auf Unterlassung der Weitergabe seiner IP-Adressen an Google zu (§ 823 Abs. 1 i.V.m. § 1004 BGB analog). Die unerlaubte Weitergabe der dynamischen IP-Adresse des Klägers an Google verletze dessen allgemeines Persönlichkeitsrecht in Form des informationellen Selbstbestimmungsrechts nach § 823 Abs. 1 BGB.
Spätestens seit Inkrafttreten der Datenschutzgrundverordung ist nicht mehr streitig, dass eine dynamische IP-Adresse ein personenbezogenes Datum darstellt (vgl. Art. 4 Nr. 1 DSGVO). Grund ist, dass der Webseitenbetreiber mit behördlicher Hilfe anhand der beim Internetzugangsanbieter gespeicherten IP-Adresse bestimmen lassen kann, wer der Besucher war (vgl. BGH, Urteil vom 16.05.2017, Az. VI ZR 135/13). Dabei kommt es nicht darauf an, ob diese Verknüpfungsmöglichkeit vom Websitebetreiber konkret genutzt wird. Ausreichend ist eine abstrakte Bestimmbarkeit.
5. Einwilligung fehlt, Berufung auf berechtigtes Interesse erfolglos
Im Fall war unstreitig, dass die Beklagte keine Einwilligung für die Weitergabe der dynamischen IP-Adressen an Google von ihren Besuchern eingeholt hatte (vgl. Art. 6 Abs. 1 a) DSGVO).
Ihr Versuch, sich stattdessen auf ein berechtigtes Interesse im Sinne von Art. 6 Abs. 1 f) DSGVO zu berufen, scheiterte. Google Fonts könnten laut LG München durch die Websitebetreiberin auch genutzt werden, ohne dass beim Aufruf der Webseite eine Verbindung zu einem Google-Server hergestellt wird und eine Übertragung der IP-Adresse der Webseitennutzer an Google stattfindet (vgl. statische Variante oben).
6. Keine Pflicht des Besucher, die eigene IP-Adresse zu verschleiern
Websitebesucher seien auch nicht verpflichtet, die eigene IP-Adresse zu “verschlüsseln” (das Gericht meint hier wohl ein verschleiern, etwa mittels VPN). Eine solche Pflicht würde dem Zweck des Datenschutzrechts zuwiderlaufen, das in erster Linie den Schutz natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten vor Beeinträchtigung bezweckt (vgl. LG Dresden, Urteil vom 11.01.2019, Az. 1 AO 1582/18).
7. Anspruch auf 100 Euro DSGVO-Schadensersatz, u.a. wegen “Unwohlsein”
Zusätzlich sprach das Landgericht München dem Kläger Schadensersatz in Höhe von 100 Euro zu (Art. 82 Abs. 1 DSGVO).
Auf die Frage, ob ein DSGVO-Verstoß eine gewisse Erheblichkeit erreicht haben muss, um den Zuspruch von Schadensersatz zu rechtfertigen, kam es aus Sicht des Gerichts nicht an. Der mit der Datenweitergabe an Google verbundene Kontrollverlust und das damit vom Kläger empfundene individuelle Unwohlsein seien so erheblich, dass dies einen Schadensersatzanspruch rechtfertige. Berücksichtigt werden müsse auch, dass die IP-Adresse unstreitig an einen Server von Google in den USA übermittelt wurde, obgleich dort kein angemessenes Datenschutzniveau gewährleistet ist (vgl. EuGH, Urteil vom 16.07.2020, Az. C-311/18 – Facebook Ireland u. Schrems). Außerdem solle die Haftung aus Art. 82 Abs. 1 DSGVO präventiv weiteren Verstößen vorbeugen und Anreiz für Sicherungsmaßnahmen schaffen.
8. Kommentar von Rechtsanwalt Plutte: Was bedeutet die Entscheidung?
- Das Münchner Urteil betrifft nur exemplarisch den populären Dienst Google Fonts. Die vom Gericht aufgestellten Grundsätze gelten für alle aus den USA stammenden Webdienste. Gemeint sind nicht bloß Alternativangebote wie Adobe Fonts oder MyFonts, sondern buchstäblich jeder US-Dienst, der dynamisch in eine Internetseite eingebunden wird.
- Wer eine Internetseite betreibt und US-Dienste dynamisch einbindet, ist vom Münchner Urteil nicht direkt betroffen, wenn er ein korrekt funktionierendes Consent Banner vorschaltet, das die Aussteuerung der US-Dienste regelt. Mit anderen Worten: wer in den letzten Jahren nicht geschlafen hat und Webdienste nur nach Einwilligung des jeweiligen Besuchers feuert, macht es schon einmal besser als die Beklagte.
- Nicht entscheiden musste das Landgericht München die weitaus praxisrelevantere Frage, ob die vorherige Einholung von Nutzereinwilligungen per Consent Banner ausgereicht hätte, die Weitergabe von IP-Adressen in die USA zu legitimieren (das ist der heutige Standardfall). Seit dem Wegfall des Privacy Shields klafft hier die eigentliche Datenschutzlücke. EU und USA konnten sich immer noch nicht auf ein Nachfolgeabkommen einigen. Ob die EU-Standardvertragsklauseln den Boden des Privacy Shields ersetzen können, ist ungeklärt. Der EuGH hatte die seinerzeitige Fassung nicht zusammen mit dem Privacy Shield kassiert. Auch hat die EU-Kommission im Juni 2021 neue Standardvertragsklauseln erlassen, die den in der Privacy Shield-Entscheidung geäußerten Bedenken des EuGH Rechnung tragen sollen. Trotzdem ist völlig offen, ob die neuen EU-Standardvertragsklauseln im Streitfall halten. Hier sollte man nicht träumen. Das Kernproblem auf US-Seite besteht unverändert fort. Dort ist es Strafverfolgungsbehörden und Geheimdiensten erlaubt, unter bestimmten Voraussetzungen auf Server von US-Firmen und die dort liegenden Kundendaten zuzugreifen – selbst wenn die Server im Ausland stehen, z.B. in Irland. Betroffene haben keine Rechtsschutzmöglichkeit. Diesen Makel kann auch die eleganteste EU-Standardvertragsklausel nicht heilen, zumal die Zugriffe der US-Behörden offenbar nicht alle über offizielle Kanäle erfolgen.
- Sollte sich die Sichtweise des Landgerichts München durchsetzen, stellt sie einen Freibrief für Abmahnungen und Schadensersatzforderungen dar. Das deutschsprachige Internet ist voll von Websites, die US-Webdienste ohne Consent Banner einsetzen. Um sich zum klageberechtigten Betroffenen zu machen, reicht ein einziger Klick.
Moin, Ben hier von Borlabs! Wir haben ein kostenloses Plugin für WordPress entwickelt, das dabei helfen soll, Google Fonts Einbindungen von Themes und Plugins zu blockieren. Es kann hier kostenlos heruntergeladen werden: https://de.borlabs.io/borlabs-font-blocker/
Hallo Herr Plute, wir nutzen das Plugin von DSGVO wpliftup.de um die Fonts von unserem eigenen Webspeicher einzubinden. Ist es denn laut dem Gerichtsurteil erlaubt, dass wir die Fonts herunterladen und selbst hosten oder bekommen wir dann Ärger? Bislang hat dies immer gut bei uns funktioniert, da wir nicht programmieren können, wäre es sehr schade, wenn dies nicht mehr geht. Vielen Dank.
Wenn Sie die Fonts herunterladen und bei sich lokal einbinden, stellen sich die im Urteil geschilderten Probleme nicht, weil keine Verbindung zu Drittservern aufgebaut wird. In Ihrer Konstellation geht es daher allein um die Frage, ob der Download sowie die lokale Einbindung seitens des Font-Anbieters erlaubt ist oder nicht. Das müssten Sie klären.
Hallo Herr Plute,
ich schätze es sogar so ein, dass in diesem Fall eine Einwilligung nach Artikel 6 auch nicht statthaft sein dürfte.
Immerhin handelt es sich um einen unsicheren Drittstaat. Danach müsste doch Artikel 49 als einziger einschlägig anzuwenden sein. Dieser steht doch aber unter der klaren Prämisse einer Ausnahme. Die Einwilligung kann daher auch nur dann rechtskonform sein, wenn diese ausnahmsweise also nicht regelmäßig erfolgt. Das Laden von Ressourcen, die vital für einen Webseite sind dürfte doch dann aber nicht auf eine Ausnahmeregelung gestützt werden können?
Was ist eigentlich mit Blogging-Plattformen wie wordpress.com, die man kostenlos verwendet, also nicht selbst hostet, und daher keinerlei Möglichkeit hat, Plugins einzubinden oder richtige Cookiebanner mit Auswahlmöglichkeiten zu erstellen?
Im Prinzip ruft man als EU-Nutzer dann ja eine US-Seite auf.
Anders gefragt: Darf man als deutscher Blogger das WordPress.com-Angebot überhaupt rechtskonform nutzen, wenn man von Automattic abhängig ist und nix Wichtiges selbst einstellen kann?
Aber das tolle bei CDNs ist doch, dass das an Weltweit verteilte server geht. rufe ich also fonts.googleapis.com aus Deutschland heraus auf, geht die anfrage bis nach Frankfurt.
mit tracert kann man das ganze nachprüfen. Die IP verlässt also hier erstmal nicht die EU. Meiner Meinung nach haben die Anwälte der Verteidigung schlampig gearbeitet
Hallo Anonym, da irrst Du Dich, die Daten bleiben nicht in Frankfurt “hängen”. Vielleicht liest Du Dir mal die Beschreibung von Google selbst durch, was die Google Fonts API macht, bevor Du hier Anwälten schlechte Arbeit vorwirfst.
Wenn Du Dir zudem das Urteil mal näher anschaust, hat im konkreten Fall der Webseiten-Betreiber die unzulässige Übertragung an Google sowie das Fehlen einer vorherigen Nutzer-Einwilligung bzw. eines entsprechenden Drittanbieter-Hinweises eingeräumt (Stichwort: unstreitig).
Das Urteil ist demnach sachlich nicht zu beanstanden. Über die Frage, ob ein entsprechend inhaltlich gestalteter “Cookie-Banner” oder ein Hinweis auf die dynamische Einbindung von Google Fonts ausreichend gewesen wäre, um eine Datenschutz-Verletzung zu vermeiden, musste das Gericht aus dem o.g. Grund nicht entscheiden.
Insofern ist die Einschätzung von RA Plutte zutreffend, Google Fonts am besten lokal einzubinden um keinerlei Angriffsfläche zu bieten. Häufig vorgebrachte Argumente, wie z. B. “schnellere Ladezeiten durch die dynamische Einbindung”, sind bereits verschiedenfach widerlegt worden. Von daher verfing das hierzu vorgetragene berechtigte Interesse des Webseitenbetreibers nicht.
Wenn also wie hier für den Betreiber eine einfache technische Möglichkeit bestand, seine Webseite so zu programmieren, dass keine DSGVO-Verletzung vorliegt, kann er sich nicht auf berechtigtes Interesse berufen, denn die Schutzinteressen des Webseiten-Nutzers (informationelle Selbstbestimmung) wiegen in dem Fall schwerer.
> Das Urteil ist demnach sachlich nicht zu beanstanden.
Doch. Es ist gerade in der Sache falsch.
Die IP-Adresse wird nicht vom Seitenbetreiber “weitergegeben”. Niemals, zu keinem Zeitpunkt.
Ich finde es bedenklich, wenn solche technisch falschen Beschreibungen dann sogar in gerichtlichen Entscheidungen zu lesen sind.
Die Webseite des Betreibers, der fremde Dienste einbindet oder anderweitig externe Ressourcen wie in diesem Fall Google Fonts lädt, VERWEIST den Clienten (der Web-Browser) des Nutzers darauf.
Der Client ruft diese externen Ressourcen ab und dabei erfährt dieser Drittdienst aufgrund der Natur des IP (Internet Protocol) die IP-Adresse des Clients (welche über ein Proxy oder VPN oder ähnliches verschleiert werden kann).
Es ist ausschließlich eine Verbindung zwischen Client und Webserver der externen Ressource.
D.h. die Anklage ist schon falsch formuliert. Das Urteil ebenso. Gar schändlich!
Richtiger wäre die Formulierung, dass der Betreiber den Browser des Besuchers zum Laden externer Dateien auf einen fremden Server verweist. Eine WEITERGABE der IP-Adresse durch den Webseitenbetreiber findet dabei nicht statt. Man könnte dies nur als Weitergabe bezeichnen, wenn diese IP-Adresse beim Aufruf der externen Datei im Request Body oder in den Request Headern mitgesendet werden würde.
Als Entwickler (u.a. Web) finde ich ohnehin, dass man die statische Variante vorziehen sollte. Denn ein CDN, besonders wenn es lediglich um Schriftdateien und dergleichen geht, lohnt sich eigentlich nur wenn man einen weltweiten Dienst anbietet und weltweit eine starke Nutzerbasis hat. Ansonsten überwiegen – von der Ladezeit her – die zusätzlichen DNS-Abfragen (für jeden CDN-Host, der sich von dem der eigentlichen Webseite unterscheidet, wird beim Seitenaufbau eine zusätzliche DNS-Abfrage notwendig) die minimal höhere Netzwerklatenz, sollte man sich geographisch etwas weiter weg vom Server befinden.
Die Entscheidung erscheint mehr wie eine menschliche Beurteilung der Sachlage im Sinne des vermeintlich Geschädigten, weniger als eine sachlich und technisch richtige Beurteilung dessen, was Stand der Dinge und/oder nötig ist.
Schadenersatz wegen Unwohlseins. Das ist doch ein Scherz, oder? Ich muss mir auf unzähligen Webseiten täglich irgendwelche Werbeeinblendungen antun und fühl mich dabei selten wohl. Die Werbung wird ohne Zustimmung aus verschiedenen Werbe-Netzwerken geladen. Wenn ich das unterbinden möchte, brauche ich einen Ad-Blocker oder muss die betroffenen Adressen per hosts-Datei auf ::1 oder 127.0.0.1 setzen, dann ist direkt Ruhe.
Sollte man diese Webseiten nun alle verklagen? Aber wahrscheinlich gäbe es im Falle der Werbung wirklich ein berechtigtes Interesse, wobei hier im Gegensatz zum Laden der Google Fonts durch das Tracking tatsächlich Schaden entsteht, denn wenn man auf Amazon was gesucht hat, bekommt man es tagelang noch aufdringlich über die Werbebanner wieder präsentiert.
Dem Kläger kann man nur raten, solche CDN-Adressen eben lokal auf dem eigenen Gerät zu sperren. Oder möchte dieser jeden zweiten Tag einen Webseitenbetreiber verklagen, weil ihm unwohl ist? Das ist nun mal so wie das Web heutzutage funktioniert. Man muss Webseiten, bei deren Nutzung man sich unwohl fühlt, nicht nutzen.
Einfach offline bleiben kann auch helfen.
Hallo Herr Ruthard, als Web-Entwickler ist Ihnen sicherlich bekannt, dass ein Script oder Code auf einer Webseite, der einen datenschutzrelevanten Drittdienst (insbesondere mit Bezug zu unsicherem Drittland) ausführt, ohne dass der Nutzer hierzu seine vorherige Einwilligung erteilt hat, nicht DSGVO-konform ist. Ausnahme kann ein berechtigtes Interesse sein, sofern dieses die Schutzinteressen des Webseiten-Nutzers überwiegt.
Im konkreten Fall “zwingt” die dynamische Einbindung der Google Fonts den Browser des Webseiten-Nutzers, die GoogleFonts API bzw. die Google Server aufzurufen, ohne dass der Nutzer hiervon Kenntnis geschweige denn eine Widerspruchsmöglichkeit hat. Ursache dafür ist der auf der Webseite verwendete Programmcode – und dafür (und die aufgrund des Programmiercodes erfolgte Weitergabe der IP-Adresse) verantwortlich im datenschutzrechtlichen Sinn ist der Webseitenbetreiber, welcher die Webseite ohne weiteres – und diese Ansicht vertreten Sie ja auch – mittels statischer Einbindung der GoogleFonts betreiben bzw. entsprechend programmieren könnte.
Ihre sehr liberale Sicht, dass ein Internetnutzer selber dafür verantwortlich sei, sich mit AdBlockern etc. vor unliebsamer Datenweitergabe zur Wehr zu setzen, teilen die Gerichte bisher – m. E. zu Recht – nicht. Siehe auch den Verweis auf das Urteil des LG Dresden.
Wer eine Webseite betreibt, hat sicherzustellen, dass diese den gesetzlichen Anforderungen (im konkreten Fall der DSGVO) entspricht.
Nur weil es unzählige Seitenbetreiber gibt, die aus welchen Gründen auch immer, nicht DSGVO-konform unterwegs sind, heißt das nicht, dass es damit weniger ungesetzlich ist. Oder – sehr vereinfacht dargestellt: Wenn Sie bei Rot über eine Ampel fahren und die Polizei Sie dabei erwischt, spielt es auch keine Rolle, wie viele Leute bisher irgendwo über rote Ampeln gefahren sind, ohne erwischt zu werden.
Was spricht denn eigentlich dagegen, CDN´s auf Servern in Europa zu betreiben? Warum müssen, wenn ich Sie richtig verstehe, denn immer Daten über den großen Teich und wieder zurück wandern, wenn diese CDN´s auch datenschutzkonform überall verteilt in Europa gehostet werden könnten?
Hallo,
zunächst einmal vielen Dank für die Zusammenfassung des Urteils und den daraus resultierenden Konsequenzen
.
Mich würde folgendes interessieren, da man dieses Verhalten sehr oft beobachten kann und es in diesem Fall noch einmal konkret wird: Ist es erlaubt, die Schriftarten im gleichen Moment zu laden bzw. laden zu lassen, wie der Content- bzw. Consent-Banner einer Website angezeigt wird?
Wenn ja, ist dieses Verhalten meiner Meinung nach relativ fragwürdig, denn, wenn man davon ausgeht, dass der Benutzer sich durch den Content-Banner entscheidet, die Seite nicht zu verwenden bzw. einem Laden von Ressourcen aus US-Quellen zu widersprechen, wurden bereits genau jene Ressourcen geladen.
Oder reicht es in dem Fall aus, darauf hinzuweisen, wobei ich mir dann auch hier wieder die Frage nach der Sinnhaftigkeit stellen würde.
Vielen Dank im Voraus und Viele Grüße
Hallo Herr Plutte,
vielen Dank für die Zusammenfassung des Urteils. Eine Frage dazu hätte ich aber noch: Wenn laut dem LG München bereits das Einbinden von Google-Fonts illegal sein soll, weil dabei angeblich die IP weitergegeben wird – ist es dann nicht theoretisch auch schon illegal, als Deutscher eine eigene Webseite zu betreiben und diese bei Google zu hosten?
Wenn ich beispielsweise die Domain “beispiel.de” besitze, und miete mir dazu einen Webspace bei Google oder irgendeinem anderen US-Unternehmen um mir meine Webseite zu bauen, dann zeigt diese Domain direkt auf einen Server bei Google. Ruft ein Besucher dann die Seite “beispiel.de” auf, dann wird dabei natürlich auch eine Anfrage an den Webspace bei Google gesendet, auf dem meine Webseite läuft. Ohne, dass ich den armen Besucher da vorher drüber informiert habe …
Ist das dann nicht auch illegal? Mit diesem Urteil hat das LG München mMn den Grundstein gelegt, sämtlichen Deutschen den Betrieb einer Internetseite komplett zu verbieten. Die Nutzung von gemietetem Webspace im nicht-DE-Ausland, die Nutzung eines CDN wie Akamai oder Fastly ist doch Standard für jede Webseite mit ein bisschen mehr Traffic, und wenn einem irgendwann mal die Webseite per DDoS angegriffen wird, dann bleibt einem auch nur noch Cloudflare (ebenfalls US-Anbieter), um seine Seite trotzdem online zu halten …
Selbst ihre eigene Webseite (ra-plutte.de) könnte damit theoretisch schon illegal sein, da sie beim Aufruf der Hauptseite Content von provenexpert.com einbindet – welches in den USA in einem Google-Rechenzentrum gehostet wird. Wenn also sogar die Webseite eines IT-Fachanwalts theoretisch abgemahnt werden könnte, wie sollen dann “Normalsterbliche” jemals rechtssicher eine Webseite betreiben können bei so hirntoten Urteilen wie dem im Artikel erwähnten?
Jeder Browser besitzt standardmäßig (ohne Plugins) Einstellungen, mit denen jedermann einstellen kann, ob er externe Fonts laden möchte oder nicht. Wenn ein Besucher das nicht will, kann er das ganz einfach global einmal für alle Webseiten einstellen.
Auch der ganze Cookie-Blödsinn gehört mMn in den Browser. Einmal im Browser einstellen welche Cookies man will und welche nicht, das an jede Webseite beim Aufruf senden, und man bräuchte keinerlei Cookie-Banner mehr …
Oder habe ich da irgendwo einen Denkfehler?
Hallo, Sie haben recht, diese Fragen stellen sich. Denkt man die Rechtslage seit Wegfall des Privacy Shields zu Ende, läuft es auf ein abgeschottetes “EU-Internet” heraus – einschließlich der Staaten, für die ein wirksamer Angemessenheitsbeschluss existiert. Ein solches EU-Internet will freilich keiner, es geht völlig an der Realität vorbei. Wir brauchen den Datenaustausch mit Nicht-EU-Staaten, insbesondere den USA. Solange jedoch eine Nachfolgeregelung zum Privacy Shield fehlt, die die Kritikpunkte des EuGH umschifft, besteht ein juristisches Vakuum. Den Instanzgerichten braucht man keinen Vorwurf machen. Was sollte ein Richter tun? Schlicht ignorieren, was aus der EuGH-Entscheidung zum Privacy Shield folgt, weil sich die Politik nach über einem Jahr nicht auf ein Nachfolgeabkommen einigen konnte? Wie schon in meinem Kommentar beschrieben, liegt der Hund auf US-amerikanischer Seite begraben. Solange sich die US-Gesetze bei den behördlichen Zugriffsmöglichkeiten auf US-Server nicht ändern bzw. wirksame (!) Ausnahmen bzw. Rechtschutzbehelfe für EU-Bürger etabliert werden (es ist mir schleierhaft, wie hier eine eine technisch saubere Trennung erfolgen soll), werden deutsche Gerichte die Verarbeitung personenbezogener Daten auf US-Servern als datenschutzwidrig einstufen.
Hallo, ich bin Laie auf dem Gebiet und für mich stellt sich folgende Fragestellung:
Wenn eine Einwilligung (z.B. per Consent-Banner) stattgefunden hätte, dann wäre die Klage wohl nicht durchgekommen. Doch wie löst man so etwas in der Praxis?
Zählen die Fonts zu den „notwendigen“ Funktionen, die automatisch aktiv sind und der Banner gibt nur die Info darüber? Ich denke nicht. Von daher müsste es doch so ablaufen: Es wird ein Consent-Banner ohne Google Fonts geladen. Wird dort aktiv zugestimmt, dann kann die Webseite mit Google-Fonts geladen werden. Wird allerdings abgelehnt, dann muss doch eine Version der Webseite ohne Google-Fonts geladen werden? Das ist doch für nicht-Webentwickler überhaupt nicht umsetzbar. Oder habe ich hier einen Denkfehler?
Einen Consent-Banner der das kann, habe ich nicht gefunden. Somit bleibt eigentlich nur die lokale Einbindung.
Im Ergebnis sehe ich das genauso. Die generelle US-Problematik einmal außen vor gelassen, wäre es aber technisch natürlich schon möglich, Fonts erst dann dynamisch zuzuladen, wenn der Besucher eingewilligt hat. Solange müsste die Webseite mit einer Fallback-Schrift geladen werden, zur Not “Serif” / “Non-Serif”, die jeder Browser von Hause aus ausführt.
Danke für die schnelle Antwort! Wenn der Besucher allerdings aktiv dazu einwilligen muss, wird es viele geben, die ablehnen und somit eine (unschöne) Fallback-Schrift sehen.
Technisch möglich ist das bestimmt, aber leider nicht für alle, die nicht selber programmieren können. Ich habe nach Tools (für WordPress) recherchiert, aber keins gefunden. Nicht mal große Anbieter (Borlabs, Complianz, Usercentrics) bieten das an. Scheint also nicht so ganz einfach zu sein. Somit ist die Einbindung mit Einwilligung für die meisten nicht umsetzbar und es bleibt nur die lokale Einbindung. Wirklich ärgerlich, wenn man bedenkt was das Urteil für praktisch jede Webseite hierzulande bedeutet.
Danke für die Infos!
Hallo Matthias, von einer Einbindung mittels Einwilligung würde ich mit Blick auf die fehlende Rechtssicherheit was die Übertragung der Daten in die USA abraten, siehe auch Punkt 3 im Kommentar von RA Plutte. Die lokale Einbindung der Schriftarten ist hier eindeutig vorzuziehen und dafür gibt´s verschiedene funktionierende Plugins für WordPress, z.B. OMGF.
Finde ich super, ich hab lange auf ein solches Urteil gewartet, ist nicht auszuhalten, was manche Seiten an massenhaft externen Datenquellen einbinden.
Ich werde aufgrund dieses Urteils nun selbst Klage gegen einen Onlineshop einreichen, der hat allerdings deutlich mehr im Hintergrund eingebunden (u.a. Facebook).
Edit: Das hier erläuterte Urteil des LG München zum Thema Google Fonts ist inzwischen rechtskräftig geworden. Bleibt also abzuwarten, ob nun tatsächlich eine Abmahnwelle durch´s Land rollt.
Die Frage ist doch dann eigentlich, welche Rechtskraft das Urteil des Landgericht München überhaupt hat. Bindend ist es außerhalb des Prozesses für niemanden, da eine solche Bindungswirkung in Deutschland nur Entscheidungen des Bundesverfassungsgerichts zukommt. Und selbst bei solchen gibt es dann teilweise Richter in der Provinz, die sich nicht daran halten und gegensätzliche Entscheidungen treffen. Außerhalb Deutschlands verpufft die Wirkung dann komplett. Zwar gilt in der kompletten EU das GDPR, aber so seltsam wie die deutsche DSGVO ist es eigentlich nirgends.
Im Übrigen finde ich es immer wieder sehr interessant, über was für Kleinigkeiten man sich in Deutschland aufregt. Über jedes Komma, was in die USA übermittelt wird, wird gestritten. Aber die gleichen Leute installieren sich dann die Apps chinesischer Online-Shops auf ihr Huawei-Handy, um etwas zu bestellen.
So nebenbei bemerkt. Jede Email, die man über Gmail oder Outlook (Office 365) schickt oder empfängt, läuft über amerikanische Server. Zumindest werden Daten an die Dienstanbieter übermittelt (Microsoft hat dazu sogar einen Absatz in seinen AGBs, dass die Daten in die USA gehen). Müsste ein Kunde, der einem eine Anfrage per Email schickt, dann nicht auch vorher seine Zustimmung dazu geben? Was passiert, wenn der Empfänger die Email dann auf einem Mac öffnet, auf dem die iCloud angemeldet ist? Oder auf einem Android Handy, auf dem WhatsApp läuft? Wenn man eine Mobilfunknummer auf einem iPhone anruft, wird automatisch über die Apple Server abgeglichen, ob diese mit FaceTime und iMessage registriert ist. Ich habe noch nie meine Zustimmung irgendwo hinterlegen können, dass ich damit einverstanden bin.
Wir haben jetzt die erste Mail bekommen von einer Privatperson, die 100€ will, weil die Fonts von Google geladen wurden. Haben die 100€ gezahlt – auch wenn es super ärgerlich ist.
Verstehe ich. Für alle anderen: Lassen Sie es darauf ankommen und verweigern Sie die Zahlung. Gruß NP
Die Abmahnwelle startet jetzt offenkundig auch in Österreich:
https://www.kleinezeitung.at/oesterreich/6165832/Verstoss-gegen-Datenschutz_Aufregung-um-Unterlassungsschreiben
Wir haben auch eine Aufforderung zur Zahlung von 100€ erhalten und sind am überlegen, was wir tun sollen. Uns schrieb eine Manuela B. aus München. Der Text wird offenkundig mehrfach verwendet und es sieht sehr danach aus, dass sich dahinter ein Geschäftsmodell verbirgt.
Auf der anderen Seite lag der Verstoß gegen die DSGVO vor und das Urteil des LG München ist einschlägig. Also die Webseite ändern, bezahlen und hoffen, dass nicht noch weitere Briefe kommen?
Sehr geehrter Herr Plutte,
wir haben auch eine Email bekommen, von einer Person, die unser Dienst nicht verwenden kann, da dieses lokal und sie anscheinend nicht in unserer Region wohnhaft ist. Sie hat ein öffentliche Adresse oder Hoteladresse angegeben.
Wir haben die erste Email ignoriert, bekommen eine zweite. Die 100€ können wir zahlen, aber hier ist definitiv ein Missbrauch dieses Urteils, den wir auf keinen Fall unterstützen möchten.
Wenn wir die Zahlung verweigern sollen, welchen Grund sollen wir nennen?
Vielen Dank für Ihre Hilfe!
Sunny P.
Grundsätzlich ist die Annahme, dass eine IP Adresse ein personenbezogenes Datum und damit schützenwert ist, schon Mal eine streitbare Ansicht. Sie können ja mal in Ihre Logs schauen und mir dann einen Brief an meine Adresse schicken. Viel Spaß dabei. Kein US Unternehmen kann einfach so hergehen und mit einer x-beliebigen IP auf einen deutschen Provider zugehen, um rauszufinden, zu welchem Anschluß diese zu einem bestimmten Zeitpunkt gehörte.
Und das deutsche System krankt daran, dass die erste Abmahnung bereits kostenbewährt ist. Ist in anderen Ländern nicht so.
Die DSGVO wurde mal erschaffen, um den massenhaften Missbrauch von Daten durch einzelne Unternehmen besser in den Griff zu bekommen. Und das kommt dabei heraus: Kleine Betreiber mit normalen Webseiten, die best practices im Webdesign umsetzen (ist ja nicht nur google, sondern haufenweise libraries über CDNs, die extra extern eingebunden werden, damit man Ressourcen schont und Aktualisierungen/Verbesserungen automatisch erfährt – eben das berechtigte Interesse), werden abgemahnt. Und sowas wird vom LG München auch noch bestätigt. Ein echtes Trauerspiel ist das.
Und der Witz an der Sache: Der Abmahner sucht in http://www.google.com nach Seiten, die die google fonts dynamisch einbinden. Schauen Sie in Ihre LOGs!
Das hosten der Schriftarten auf eigenem Server ist m.E. kein Problem, schnell umsetzbar und damit dann auch das Problem vom Tisch.
ABER es werden auch meist andere Plug-Ins auf der Homepage genutzt die in dem Zuge vergessen werden – z.B. Kartenausschnitte bei Anfahrtsbeschreibungen mit Google Maps oder das liebe reCAPTCHA um bots fernzuhalten. Hier sind dann Alternative zu verwenden da diese Plug-ins nicht “abgeklemmt” werden können.
Hallo,
da das Urteil ja vom Februar 2022 oder so stammt, sollte man sich nun mal die Dinge wieder genauer ansehen. Denn in den FAQs von Google bezogen auf Google Fonts ist ein entscheidender Hinweis hinterlegt “Ip-Adressen werden NICHT protokolliert”.
https://developers.google.com/fonts/faq
Also hat auch Google seine Schnittstellen angepasst und das Urteil samt aktueller Abmahnungen die sich auf dasselbige berufen ist nicht mehr ganz gültig, oder doch?
Vielleicht kann man das nochmal aus rechtlicher Sicht hinterfragen/prüfen?
Hallo,
was ich mich frage, ob die Gerichte auch ihre eigenen Seiten im Blick haben.
Besuche ich bspw. die Homepage den Landgerichts München unter http://www.justiz.bayern.de kann ich sehen, dass mein Browser zwei POST Request an Google schickt. Zu gstatic wurde der GET Request zumindest unterbunden “NS_BINDING_ABORTED”.
Hier gibt es auch keinen Consent Banner, dass ich der Übermittelung hätte zustimmen können. Es gibt nur einen Cookie Banner.
Ich glaube, dass die ganze Sache mit der IP Adresse nicht vollständig durchdacht ist. Eine IP Adresse ist eine technische Notwendigkeit des Internets, genauso wie eine Rufnummer. Auch hier muss ich nicht erst zustimmen, dass meine Rufnummer im Anrufsverzeichnis des Angerufenen gespeichert werden darf.
Aber das kann man sicherlich vortrefflich diskutieren und politisch zumindest ist die DSVGO zunächst einmal so gewollt.
Im Zuge dieser Abmahnwelle in Österreich bezüglich Fonts und der Übermittlung von IP Adressen, habe ich mich gefragt, wie ich mit KundInnen umgehe, die ihre Website im unsicheren nicht europäsichen Ausland hosten.
Müssen diese Kundinnen ihre Website zwingend in Europa hosten ? Scheinbar riskiert ja aufgrund dieses Urteils jeder, der seine Website nicht in der EU hostet, das Risiko einer Abmahnung, weil jeder europäische Websitebesucher seine personenbezogene IP Adresse eben zu diesem unsicheren nicht europäischen Server schickt und automatisch in den Server-Logfiles gespeichert wird, selbst wenn die Dauer vlt nur 1ms ist.
Müssen nun alle Websitebetreiber ihre nicht EU gehosteten Seiten für EU Bürger sperren ?
Guten Tag,
Aktuell ändere ich zwar bei jeden meiner Kunden das Laden der Google Fonts.
Jedoch Zweifel ich stark das Urteil und dem geschuldeten Interesse des Klägers an.
Müsste der Kläger nicht einen Nachweis erbringen das er Google nicht nutzt?
Dieses Gerichtsurteil betrifft ja die Google Fonts, nur wurde hier nicht weiter gedacht.
Wie bei anderen bereits erwähnt, kann man dann auch 50% sämtlicher Elektronischen
Unterhaltungsmedien verbieten lassen. Ich als Webdesigner habe dazu folgende Theorie:
Der Kläger müsste nachweisen das er die folgenden Dinge nicht Aktiv nutzt:
Sonnst würde er ja Magengeschwüre von dem ganzen “Unwohlsein” erhalten.
– Google Suche (USA)
– Bing Suche (USA)
– Android Handys
– Google Android Auto
– Android Tablets
– Android Watches
– Google Recaptcher
– Google Business
– Google Drive
– Google Docs
– Google Maps
– Alle Webseiten die Daten in der USA erheben (Schätzungsweise 80%)
Ich will die Liste nicht weiter ausfüllen, doch da gibt es sicherlich noch so einiges was verboten werden müsste.
Bleiben wir mal bei den Webseiten, dort zählt ja auch die Google-Suche (lädt Roboto von den Google Servern).
Er sollte definitiv nicht mehr Googlen wie er seine Eier kochen soll, sonnst kommt das Unwohlsein wieder.
DSGVO hin oder her, super das wir in dem Bereich endlich etwas unternehmen. Jedoch schafft es Deutschland wieder mal, alles falsch anzugehen.
Lieber Herr Putte,
wenn Google die IP Adresse beim Laden der Google-Fonts nicht protokolliert, ist dann die Übergabe der IP-Adresse an Google nicht unerheblich, mithin die Abmahnung obsolet?
Zitat aus einer derartigen Abmahnung an einen meiner Kunden (1/ >25.000)
Denn nach dem Aufruf Ihrer Website musste meine Mandantschaft feststellen dass Sie nicht die Zustimmung meiner Mandantschaft besitzen, seine IP Adresse zu nutzen bzw. an den Internet Konzern Google durch Nutzung von Google Fonts weiterzuleiten.
Diesen Verstoß kann meine Mandantschaft leicht durch Screenshots und andere Urkunden nachsehen. So wurden von unserer Mandantschaft mit folgendem Aufrufen seine IP übergeben.
https://fonts.gstatic.com/s/robotoslab/v24/BngbU:XZYTXPivIBgJJSb6s3BzlRRfKOFbvjovoSmYWRj.woff2
Dazu haben wir folgenden Request Header dokumentiert {sec-ch-ua=, Referer=https://virtual-world.de/, Origin=https://virtualworld.de, sec-ch-ua-mobile=?0, User-Agent=Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTM L, like Gecko) Chrome/105.0.0.0 Safari/537.36, sec-ch-ua-platform=}
II.
Die IP-Adresse stellt eine personenbezogene Datei im Sinne der Art. 7 Ziffer 1 DSGVO dar. Sie haben ohne Zustimmung meiner Mandantschaft damit gearbeitet, indem Sie Google Fonts in Ihrer Website integriert haben.
Liebe Grüße
Hallo Herr Plutte!
Wie vorher erwähnt, steht ja in https://developers.google.com/fonts/faq “IP-Adressen werden nicht protokolliert”. Könnten Sie, Herr Plutte, (und natürlich die Anderen) dazu bitte eine Antwort geben, ob dieser ganze IP-Wahnsinn nicht hiermit hinfällig ist.
Dann bräuchte ich nämlich auch nicht mehr, wie bisher, in der Datenschutzerklärung Folgendes schreiben, was ja bisher also auch nicht rechtmäßig gewesen wäre:
“Externe Schriftarten von Google, Inc., https://www.google.com/fonts („Google Fonts“). Die Einbindung der Google Fonts erfolgt durch einen Serveraufruf bei Google (in der Regel in den USA). Datenschutzerklärung: https://www.google.com/policies/privacy/, Opt-Out: https://www.google.com/settings/ads/.”
Hallo Herr Kastl, danke wir schauen es uns mal an.
Das ist eine riesige Katastrophe – Mittlerweile werden Millionen von Unternehmen angeschrieben – insbesondere Kleinuinternehmen – Abmahnwelle wie sie im Buche steht. Es gibt mittlerweile automatische Scripte, die die Verstöße aufspüren – mittlerweie verlangen Abmahnanwwälte bis zui 200€ gegen das Unwohlsein ihrer Mandanten. Alles nur weil ein Richter keinen Plan von IT hatte, paranoide Datenschützer und unsicheren Rechtsräumen die gnadenlos von windigen Anwälten genutzt werden.
Eigentlich sollte sich das Landgericht München dafür verantworten – Für jeden Abmahnbrief – diesbezüglich schon gut 2 Mio verschickt mal 170€ = 340 Millionen Euro Schadenersatz – Viel Spaß Herr Richter
Google Fonts sind überll eingebunden und werden bei 90 % aller WordPress Themes dynamisch nachgeladen
und insbesondere in veralteten Webseiten-
NA ja.. Deutschland und Digitalisierung? Entwicklungsland. Sie ist dazu von solchen Richter*innen (habe ich genug Sternchen gemacht? Nicht, dass ich gleich angeklagt werde) verurteilt. Jobs, Gates, Mask, Brin hätten hier keine Chancen. Wir sind vor jegliche Entwicklung abgesichert.
Nur die Einbindung von Google Fonts stellt nicht automatisch eine Datenübertragung in die USA dar. Das Google Caching Network nimmt automatisch den kürzesten Weg und meine Aufrufe aus verschiedenen deutschen Netzwerken landen immer in Frankfurt. Von daher müssten die “Abmahner” erst einmal nachweisen, das tatsächlich eine Verbindung mit einem US-Server zu Stande kam.
Hallo Herr Plutte
in diesem Verfahren vor dem LG München wegen Googlefonts wurde seitens des Beklagten keinerlei Gegenwehr vorgetragen, daher wurden seitens des Richters auch gar keine Beweise für eine tatsächlich vorliegende Rechteverletzung eingefordert, obwohl die Beweislast beim Kläger gelegen hätte. Der Beklagte wurde veurteilt, weil dem Richter keine andere Chance gegeben war, ein anderes Urteil zu fällen. Ich finde, dass sich derzeit viel zu wenig Experten fragen, warum sich ein Beklagter hier dem Prozessrisiko ausgesetzt hat, statt die 100 Euro zu zahlen, um anschließend OHNE EIN WORT ein Urteil zu akzeptieren, das mit geeigneter prozessualer Abwehr der Vorwürfe so nicht gefällt worden wäre.
Denke nur ich, dass Kläger und Beklagte im Anschluss ersteinmal ein Bierchen getrunken, die Verfahrenskosten aufgeteilt und auf den gemeinsamen Erfolg angestoßen haben? Schließlich ist dieses Urteil die Keimzelle der aktuellen Abmahnungen. Auch der Zeitplan verwundert: So schnell kann es nur zu einem LG Urteil kommen, wenn beide Seiten sich einig sind.
LG Usch
Guten Tag, liegt der bemängelte Verstoß ausschließlich in der Datenübertragung in die USA oder allgemein in einer unbewilligten Übertragung an Dritte, egal ob in Deutschland, der EU oder Nicht-EU? Viele Website-Baukästen, z.B. der vom deutschen Webhosting-Unternehmen Strato, binden Schriftarten dynamisch von Servern Dritter ein (z.B. cm4all.com). Diese befinden sich zwar in Deutschland oder der EU, eine Einwilligung des Seitenbesuchers liegt aber trotzdem in der Regel nicht vor und gerade in solchen Baukästen-Systemen fehlt dem Benutzer oft die Möglichkeit einzugreifen. Vielen Dank für Ihre Antwort! Freundliche Grüße, Leonhard Schüller
Wenn also jemand seine gesamte (!) Webseite bei einem Anbieter in den USA gehostet hat, dürfte diese in Europa nicht aufrufbar sein, denn bereits das Aufrufen des Consent Banners erfolgt über den Server in den USA, ein “Vorschalten” ist nicht möglich …
Abgesehen davon gibt es auch noch so etwas wie einen Browser-Cache (Zwischenspeicher), in welchem bereits zuvor mit diesem Browser abgerufene Schriftarten abgelegt werden. Bloß weil im Header einer Webseite Google Fonts eingebunden sind, bedeutet das NICHT automatisch, dass diese Schriftarten von Google abgerufen werden. Nämlich dann nicht, wenn sie sich bereits im Browser-Cache befinden oder gar direkt am Gerät fix installiert sind.
Von Content Delivery Networks (CDN), welche derartiges Caching auf Serverebene betreiben, fange ich lieber gar nicht an, sonst bräche das juristische Kartenhaus vollends in sich zusammen.
Hallo Herr Schmallenberg,
wie Sie dem Urteil entnehmen können, hat die Beklagte den Datenschutzverstoß eingeräumt (“unstreitig”). Mit welcher Begründung hätte Ihrer Auffassung nach denn die Gegenseite das ergangene Urteil angreifen wollen?
Wie Ihnen außerdem sicherlich bekannt ist, bedarf es für die Zulassung der Klage einer Begründung, welche das Gericht laut Urteil auch weitestgehend bejaht hat. Insofern ist hier davon auszugehen, dass der Kläger einen substantiierten (Klage)Vortrag eingebracht hat, andernfalls wäre die Klage abgewiesen worden.
Wenn sich zudem beide Seiten einig gewesen wären, hätte – wie in diesen Fällen durchaus gängige Praxis – sicherlich ein Vergleich das Verfahren beendet. Dies hätte wie gesagt vorausgesetzt, dass beide Partein sich hierzu einig sind – was offenkundig nicht der Fall war, sonst wäre es nicht zu einem Urteil gekommen.
Auch erschließt sich mir Ihre Theorie rechnerisch nicht:
Die Gerichtskosten sind durch die unterlegene Partei zu begleichen, ebenso wie die verauslagten Kosten des Klägers für den Klägervertreter. Die Kosten für den Beklagtenvertreter muss die Beklagte selbst tragen.
Was hat der Kläger bzw. die Beklagte denn hier verdient und wie hätten sie das teilen sollen? Der Kläger die 100 EUR Schadensersatz mit der Beklagten, welche für dieses Urteil vermutlich um die 1.500 EUR an Kosten zu verauslagen hatte, wenn man die unterste Grenze von 5.001 EUR Streitwert für die Landgerichtszuständigkeit zugrundelegt? Das erscheint doch wohl reichlich krude…
Wenn man vergleichbare Verfahren betrachtet, erscheint auch die Verfahrensdauer für den vorliegenden Sachverhalt – entgegen Ihrer Auffassung – durchaus im üblichen Rahmen.