Suche Kostenlose Ersteinschätzung

LG München: Einbindung von Google Fonts ohne Einwilligung

google fonts dsgvo

Die dynamische Einbindung von US-Webdiensten in eine Internetseite (hier: Google Fonts) ist ohne Einwilligung der Besucher datenschutzwidrig. Websitebetreiber schulden Unterlassung und Schadensersatz (LG München, Urteil vom 20.01.2022, Az. 3 O 17493/20).

1. Was sind Google Fonts?

Google stellt auf https://fonts.google.com/ eine breite Auswahl von Schriftarten unter Apache Lizenz (Version 2.0) zur Verfügung. Diese Schriftarten dürfen prinzipiell kostenlos genutzt werden.

google fonts datenschutz

nach oben

2. Wie kann man Google Fonts in eine Internetseite einbinden?

Es gibt zwei Möglichkeiten, Google Fonts in eine Internetseite einzubinden:

  1. Statische Variante: Websitebetreiber können die gewünschte Schriftart herunterladen und erneut in den eigenen Webspace hochladen, von wo aus die Datei lokal in die Website eingebunden wird, je nach Präferenz z.B. im Format TTF, WOFF bzw. WOFF2. Besuchen Nutzer eine solche Internetseite, wird keine Verbindung zu Google-Servern aufgebaut. Datenschutzrechtlich und persönlichkeitsrechtlich ist diese Form der Einbindung daher unkritisch.
  2. Dynamische Variante: Alternativ besteht die Möglichkeit, ein Code-Snippet in den HTML-Code der Webseiten einzubinden, entweder per @import oder <link>.
    google fonts link

    Beispiel für die dynamische Einbindung der Schriftart „Comforter“ via Link-Methode.

    Hier wird bei Aufruf der Webseite eine Verbindung zum Google-Server aufgebaut und von dort die benötigte Schriftart blitzschnell zugeladen und ausgespielt. An dieser Variante ist problematisch, dass im Zusammenhang mit dem Verbindungsaufbau zum Google-Server mindestens die IP-Adresse des jeweiligen Webseitenbesuchers mit an Google übertragen wird.

nach oben

Im Verfahren vor dem Landgericht München hatte die Betreiberin einer Internetseite Google Fonts dynamisch in ihre Website eingebunden, ohne dafür vorab (über ein Consent-Banner) von jedem Besucher eine Einwilligung einzuholen. Daran störte sich der Kläger und verlangte Unterlassung und Schadensersatz.

nach oben

4. LG München: Anspruch auf Unterlassung und Schadensersatz

Das Landgericht München gab der Klage statt. Dem Kläger stehe gegen die Websitebetreiberin ein Anspruch auf Unterlassung der Weitergabe seiner IP-Adressen an Google zu (§ 823 Abs. 1 i.V.m. § 1004 BGB analog). Die unerlaubte Weitergabe der dynamischen IP-Adresse des Klägers an Google verletze dessen allgemeines Persönlichkeitsrecht in Form des informationellen Selbstbestimmungsrechts nach § 823 Abs. 1 BGB.

Spätestens seit Inkrafttreten der Datenschutzgrundverordung ist nicht mehr streitig, dass eine dynamische IP-Adresse ein personenbezogenes Datum darstellt (vgl. Art. 4 Nr. 1 DSGVO). Grund ist, dass der Webseitenbetreiber mit behördlicher Hilfe anhand der beim Internetzugangsanbieter gespeicherten IP-Adresse bestimmen lassen kann, wer der Besucher war (vgl. BGH, Urteil vom 16.05.2017, Az. VI ZR 135/13). Dabei kommt es nicht darauf an, ob diese Verknüpfungsmöglichkeit vom Websitebetreiber konkret genutzt wird. Ausreichend ist eine abstrakte Bestimmbarkeit.

nach oben

5. Einwilligung fehlt, Berufung auf berechtigtes Interesse erfolglos

Im Fall war unstreitig, dass die Beklagte keine Einwilligung für die Weitergabe der dynamischen IP-Adressen an Google von ihren Besuchern eingeholt hatte (vgl. Art. 6 Abs. 1 a) DSGVO).

Ihr Versuch, sich stattdessen auf ein berechtigtes Interesse im Sinne von Art. 6 Abs. 1 f) DSGVO zu berufen, scheiterte. Google Fonts könnten laut LG München durch die Websitebetreiberin auch genutzt werden, ohne dass beim Aufruf der Webseite eine Verbindung zu einem Google-Server hergestellt wird und eine Übertragung der IP-Adresse der Webseitennutzer an Google stattfindet (vgl. statische Variante oben).

nach oben

6. Keine Pflicht des Besucher, die eigene IP-Adresse zu verschleiern

Websitebesucher seien auch nicht verpflichtet, die eigene IP-Adresse zu „verschlüsseln“ (das Gericht meint hier wohl ein verschleiern, etwa mittels VPN). Eine solche Pflicht würde dem Zweck des Datenschutzrechts zuwiderlaufen, das in erster Linie den Schutz natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten vor Beeinträchtigung bezweckt (vgl. LG Dresden, Urteil vom 11.01.2019, Az. 1 AO 1582/18).

nach oben

7. Anspruch auf 100 Euro DSGVO-Schadensersatz, u.a. wegen „Unwohlsein“

Zusätzlich sprach das Landgericht München dem Kläger Schadensersatz in Höhe von 100 Euro zu (Art. 82 Abs. 1 DSGVO).

Auf die Frage, ob ein DSGVO-Verstoß eine gewisse Erheblichkeit erreicht haben muss, um den Zuspruch von Schadensersatz zu rechtfertigen, kam es aus Sicht des Gerichts nicht an. Der mit der Datenweitergabe an Google verbundene Kontrollverlust und das damit vom Kläger empfundene individuelle Unwohlsein seien so erheblich, dass dies einen Schadensersatzanspruch rechtfertige. Berücksichtigt werden müsse auch, dass die IP-Adresse unstreitig an einen Server von Google in den USA übermittelt wurde, obgleich dort kein angemessenes Datenschutzniveau gewährleistet ist (vgl. EuGH, Urteil vom 16.07.2020, Az. C-311/18Facebook Ireland u. Schrems). Außerdem solle die Haftung aus Art. 82 Abs. 1 DSGVO präventiv weiteren Verstößen vorbeugen und Anreiz für Sicherungsmaßnahmen schaffen.

nach oben

8. Kommentar von Rechtsanwalt Plutte: Was bedeutet die Entscheidung?

  1. Das Münchner Urteil betrifft nur exemplarisch den populären Dienst Google Fonts. Die vom Gericht aufgestellten Grundsätze gelten für alle aus den USA stammenden Webdienste. Gemeint sind nicht bloß Alternativangebote wie Adobe Fonts oder MyFonts, sondern buchstäblich jeder US-Dienst, der dynamisch in eine Internetseite eingebunden wird.
  2. Wer eine Internetseite betreibt und US-Dienste dynamisch einbindet, ist vom Münchner Urteil nicht direkt betroffen, wenn er ein korrekt funktionierendes Consent Banner vorschaltet, das die Aussteuerung der US-Dienste regelt. Mit anderen Worten: wer in den letzten Jahren nicht geschlafen hat und Webdienste nur nach Einwilligung des jeweiligen Besuchers feuert, macht es schon einmal besser als die Beklagte.
  3. Nicht entscheiden musste das Landgericht München die weitaus praxisrelevantere Frage, ob die vorherige Einholung von Nutzereinwilligungen per Consent Banner ausgereicht hätte, die Weitergabe von IP-Adressen in die USA zu legitimieren (das ist der heutige Standardfall). Seit dem Wegfall des Privacy Shields klafft hier die eigentliche Datenschutzlücke. EU und USA konnten sich immer noch nicht auf ein Nachfolgeabkommen einigen. Ob die EU-Standardvertragsklauseln den Boden des Privacy Shields ersetzen können, ist ungeklärt. Der EuGH hatte die seinerzeitige Fassung nicht zusammen mit dem Privacy Shield kassiert. Auch hat die EU-Kommission im Juni 2021 neue Standardvertragsklauseln erlassen, die den in der Privacy Shield-Entscheidung geäußerten Bedenken des EuGH Rechnung tragen sollen. Trotzdem ist völlig offen, ob die neuen EU-Standardvertragsklauseln im Streitfall halten. Hier sollte man nicht träumen. Das Kernproblem auf US-Seite besteht unverändert fort. Dort ist es Strafverfolgungsbehörden und Geheimdiensten erlaubt, unter bestimmten Voraussetzungen auf Server von US-Firmen und die dort liegenden Kundendaten zuzugreifen – selbst wenn die Server im Ausland stehen, z.B. in Irland. Betroffene haben keine Rechtsschutzmöglichkeit. Diesen Makel kann auch die eleganteste EU-Standardvertragsklausel nicht heilen, zumal die Zugriffe der US-Behörden offenbar nicht alle über offizielle Kanäle erfolgen.
  4. Sollte sich die Sichtweise des Landgerichts München durchsetzen, stellt sie einen Freibrief für Abmahnungen und Schadensersatzforderungen dar. Das deutschsprachige Internet ist voll von Websites, die US-Webdienste ohne Consent Banner einsetzen. Um sich zum klageberechtigten Betroffenen zu machen, reicht ein einziger Klick.

nach oben

Autor: Niklas Plutte

Niklas Plutte ist Rechtsanwalt und Fachanwalt für gewerblichen Rechtsschutz mit Sitz in Mainz. Folgen Sie ihm bei Twitter, Facebook und LinkedIn!

19 Kommentare Schreibe einen Kommentar

  1. Hallo Herr Plute, wir nutzen das Plugin von DSGVO wpliftup.de um die Fonts von unserem eigenen Webspeicher einzubinden. Ist es denn laut dem Gerichtsurteil erlaubt, dass wir die Fonts herunterladen und selbst hosten oder bekommen wir dann Ärger? Bislang hat dies immer gut bei uns funktioniert, da wir nicht programmieren können, wäre es sehr schade, wenn dies nicht mehr geht. Vielen Dank.

    Antworten

    • Wenn Sie die Fonts herunterladen und bei sich lokal einbinden, stellen sich die im Urteil geschilderten Probleme nicht, weil keine Verbindung zu Drittservern aufgebaut wird. In Ihrer Konstellation geht es daher allein um die Frage, ob der Download sowie die lokale Einbindung seitens des Font-Anbieters erlaubt ist oder nicht. Das müssten Sie klären.

      Antworten

  2. Hallo Herr Plute,
    ich schätze es sogar so ein, dass in diesem Fall eine Einwilligung nach Artikel 6 auch nicht statthaft sein dürfte.
    Immerhin handelt es sich um einen unsicheren Drittstaat. Danach müsste doch Artikel 49 als einziger einschlägig anzuwenden sein. Dieser steht doch aber unter der klaren Prämisse einer Ausnahme. Die Einwilligung kann daher auch nur dann rechtskonform sein, wenn diese ausnahmsweise also nicht regelmäßig erfolgt. Das Laden von Ressourcen, die vital für einen Webseite sind dürfte doch dann aber nicht auf eine Ausnahmeregelung gestützt werden können?

    Antworten

  3. Was ist eigentlich mit Blogging-Plattformen wie wordpress.com, die man kostenlos verwendet, also nicht selbst hostet, und daher keinerlei Möglichkeit hat, Plugins einzubinden oder richtige Cookiebanner mit Auswahlmöglichkeiten zu erstellen?

    Im Prinzip ruft man als EU-Nutzer dann ja eine US-Seite auf.

    Anders gefragt: Darf man als deutscher Blogger das WordPress.com-Angebot überhaupt rechtskonform nutzen, wenn man von Automattic abhängig ist und nix Wichtiges selbst einstellen kann?

    Antworten

  4. Aber das tolle bei CDNs ist doch, dass das an Weltweit verteilte server geht. rufe ich also fonts.googleapis.com aus Deutschland heraus auf, geht die anfrage bis nach Frankfurt.

    mit tracert kann man das ganze nachprüfen. Die IP verlässt also hier erstmal nicht die EU. Meiner Meinung nach haben die Anwälte der Verteidigung schlampig gearbeitet

    Antworten

  5. Hallo Anonym, da irrst Du Dich, die Daten bleiben nicht in Frankfurt „hängen“. Vielleicht liest Du Dir mal die Beschreibung von Google selbst durch, was die Google Fonts API macht, bevor Du hier Anwälten schlechte Arbeit vorwirfst.
    Wenn Du Dir zudem das Urteil mal näher anschaust, hat im konkreten Fall der Webseiten-Betreiber die unzulässige Übertragung an Google sowie das Fehlen einer vorherigen Nutzer-Einwilligung bzw. eines entsprechenden Drittanbieter-Hinweises eingeräumt (Stichwort: unstreitig).
    Das Urteil ist demnach sachlich nicht zu beanstanden. Über die Frage, ob ein entsprechend inhaltlich gestalteter „Cookie-Banner“ oder ein Hinweis auf die dynamische Einbindung von Google Fonts ausreichend gewesen wäre, um eine Datenschutz-Verletzung zu vermeiden, musste das Gericht aus dem o.g. Grund nicht entscheiden.
    Insofern ist die Einschätzung von RA Plutte zutreffend, Google Fonts am besten lokal einzubinden um keinerlei Angriffsfläche zu bieten. Häufig vorgebrachte Argumente, wie z. B. „schnellere Ladezeiten durch die dynamische Einbindung“, sind bereits verschiedenfach widerlegt worden. Von daher verfing das hierzu vorgetragene berechtigte Interesse des Webseitenbetreibers nicht.
    Wenn also wie hier für den Betreiber eine einfache technische Möglichkeit bestand, seine Webseite so zu programmieren, dass keine DSGVO-Verletzung vorliegt, kann er sich nicht auf berechtigtes Interesse berufen, denn die Schutzinteressen des Webseiten-Nutzers (informationelle Selbstbestimmung) wiegen in dem Fall schwerer.

    Antworten

  6. > Das Urteil ist demnach sachlich nicht zu beanstanden.
    Doch. Es ist gerade in der Sache falsch.
    Die IP-Adresse wird nicht vom Seitenbetreiber „weitergegeben“. Niemals, zu keinem Zeitpunkt.

    Ich finde es bedenklich, wenn solche technisch falschen Beschreibungen dann sogar in gerichtlichen Entscheidungen zu lesen sind.

    Die Webseite des Betreibers, der fremde Dienste einbindet oder anderweitig externe Ressourcen wie in diesem Fall Google Fonts lädt, VERWEIST den Clienten (der Web-Browser) des Nutzers darauf.

    Der Client ruft diese externen Ressourcen ab und dabei erfährt dieser Drittdienst aufgrund der Natur des IP (Internet Protocol) die IP-Adresse des Clients (welche über ein Proxy oder VPN oder ähnliches verschleiert werden kann).
    Es ist ausschließlich eine Verbindung zwischen Client und Webserver der externen Ressource.

    D.h. die Anklage ist schon falsch formuliert. Das Urteil ebenso. Gar schändlich!
    Richtiger wäre die Formulierung, dass der Betreiber den Browser des Besuchers zum Laden externer Dateien auf einen fremden Server verweist. Eine WEITERGABE der IP-Adresse durch den Webseitenbetreiber findet dabei nicht statt. Man könnte dies nur als Weitergabe bezeichnen, wenn diese IP-Adresse beim Aufruf der externen Datei im Request Body oder in den Request Headern mitgesendet werden würde.

    Als Entwickler (u.a. Web) finde ich ohnehin, dass man die statische Variante vorziehen sollte. Denn ein CDN, besonders wenn es lediglich um Schriftdateien und dergleichen geht, lohnt sich eigentlich nur wenn man einen weltweiten Dienst anbietet und weltweit eine starke Nutzerbasis hat. Ansonsten überwiegen – von der Ladezeit her – die zusätzlichen DNS-Abfragen (für jeden CDN-Host, der sich von dem der eigentlichen Webseite unterscheidet, wird beim Seitenaufbau eine zusätzliche DNS-Abfrage notwendig) die minimal höhere Netzwerklatenz, sollte man sich geographisch etwas weiter weg vom Server befinden.

    Die Entscheidung erscheint mehr wie eine menschliche Beurteilung der Sachlage im Sinne des vermeintlich Geschädigten, weniger als eine sachlich und technisch richtige Beurteilung dessen, was Stand der Dinge und/oder nötig ist.

    Schadenersatz wegen Unwohlseins. Das ist doch ein Scherz, oder? Ich muss mir auf unzähligen Webseiten täglich irgendwelche Werbeeinblendungen antun und fühl mich dabei selten wohl. Die Werbung wird ohne Zustimmung aus verschiedenen Werbe-Netzwerken geladen. Wenn ich das unterbinden möchte, brauche ich einen Ad-Blocker oder muss die betroffenen Adressen per hosts-Datei auf ::1 oder 127.0.0.1 setzen, dann ist direkt Ruhe.
    Sollte man diese Webseiten nun alle verklagen? Aber wahrscheinlich gäbe es im Falle der Werbung wirklich ein berechtigtes Interesse, wobei hier im Gegensatz zum Laden der Google Fonts durch das Tracking tatsächlich Schaden entsteht, denn wenn man auf Amazon was gesucht hat, bekommt man es tagelang noch aufdringlich über die Werbebanner wieder präsentiert.

    Dem Kläger kann man nur raten, solche CDN-Adressen eben lokal auf dem eigenen Gerät zu sperren. Oder möchte dieser jeden zweiten Tag einen Webseitenbetreiber verklagen, weil ihm unwohl ist? Das ist nun mal so wie das Web heutzutage funktioniert. Man muss Webseiten, bei deren Nutzung man sich unwohl fühlt, nicht nutzen.
    Einfach offline bleiben kann auch helfen.

    Antworten

  7. Hallo Herr Ruthard, als Web-Entwickler ist Ihnen sicherlich bekannt, dass ein Script oder Code auf einer Webseite, der einen datenschutzrelevanten Drittdienst (insbesondere mit Bezug zu unsicherem Drittland) ausführt, ohne dass der Nutzer hierzu seine vorherige Einwilligung erteilt hat, nicht DSGVO-konform ist. Ausnahme kann ein berechtigtes Interesse sein, sofern dieses die Schutzinteressen des Webseiten-Nutzers überwiegt.

    Im konkreten Fall „zwingt“ die dynamische Einbindung der Google Fonts den Browser des Webseiten-Nutzers, die GoogleFonts API bzw. die Google Server aufzurufen, ohne dass der Nutzer hiervon Kenntnis geschweige denn eine Widerspruchsmöglichkeit hat. Ursache dafür ist der auf der Webseite verwendete Programmcode – und dafür (und die aufgrund des Programmiercodes erfolgte Weitergabe der IP-Adresse) verantwortlich im datenschutzrechtlichen Sinn ist der Webseitenbetreiber, welcher die Webseite ohne weiteres – und diese Ansicht vertreten Sie ja auch – mittels statischer Einbindung der GoogleFonts betreiben bzw. entsprechend programmieren könnte.

    Ihre sehr liberale Sicht, dass ein Internetnutzer selber dafür verantwortlich sei, sich mit AdBlockern etc. vor unliebsamer Datenweitergabe zur Wehr zu setzen, teilen die Gerichte bisher – m. E. zu Recht – nicht. Siehe auch den Verweis auf das Urteil des LG Dresden.

    Wer eine Webseite betreibt, hat sicherzustellen, dass diese den gesetzlichen Anforderungen (im konkreten Fall der DSGVO) entspricht.

    Nur weil es unzählige Seitenbetreiber gibt, die aus welchen Gründen auch immer, nicht DSGVO-konform unterwegs sind, heißt das nicht, dass es damit weniger ungesetzlich ist. Oder – sehr vereinfacht dargestellt: Wenn Sie bei Rot über eine Ampel fahren und die Polizei Sie dabei erwischt, spielt es auch keine Rolle, wie viele Leute bisher irgendwo über rote Ampeln gefahren sind, ohne erwischt zu werden.

    Was spricht denn eigentlich dagegen, CDN´s auf Servern in Europa zu betreiben? Warum müssen, wenn ich Sie richtig verstehe, denn immer Daten über den großen Teich und wieder zurück wandern, wenn diese CDN´s auch datenschutzkonform überall verteilt in Europa gehostet werden könnten?

    Antworten

  8. Hallo,
    zunächst einmal vielen Dank für die Zusammenfassung des Urteils und den daraus resultierenden Konsequenzen
    .

    Mich würde folgendes interessieren, da man dieses Verhalten sehr oft beobachten kann und es in diesem Fall noch einmal konkret wird: Ist es erlaubt, die Schriftarten im gleichen Moment zu laden bzw. laden zu lassen, wie der Content- bzw. Consent-Banner einer Website angezeigt wird?

    Wenn ja, ist dieses Verhalten meiner Meinung nach relativ fragwürdig, denn, wenn man davon ausgeht, dass der Benutzer sich durch den Content-Banner entscheidet, die Seite nicht zu verwenden bzw. einem Laden von Ressourcen aus US-Quellen zu widersprechen, wurden bereits genau jene Ressourcen geladen.
    Oder reicht es in dem Fall aus, darauf hinzuweisen, wobei ich mir dann auch hier wieder die Frage nach der Sinnhaftigkeit stellen würde.

    Vielen Dank im Voraus und Viele Grüße

    Antworten

  9. Hallo Herr Plutte,

    vielen Dank für die Zusammenfassung des Urteils. Eine Frage dazu hätte ich aber noch: Wenn laut dem LG München bereits das Einbinden von Google-Fonts illegal sein soll, weil dabei angeblich die IP weitergegeben wird – ist es dann nicht theoretisch auch schon illegal, als Deutscher eine eigene Webseite zu betreiben und diese bei Google zu hosten?

    Wenn ich beispielsweise die Domain „beispiel.de“ besitze, und miete mir dazu einen Webspace bei Google oder irgendeinem anderen US-Unternehmen um mir meine Webseite zu bauen, dann zeigt diese Domain direkt auf einen Server bei Google. Ruft ein Besucher dann die Seite „beispiel.de“ auf, dann wird dabei natürlich auch eine Anfrage an den Webspace bei Google gesendet, auf dem meine Webseite läuft. Ohne, dass ich den armen Besucher da vorher drüber informiert habe …

    Ist das dann nicht auch illegal? Mit diesem Urteil hat das LG München mMn den Grundstein gelegt, sämtlichen Deutschen den Betrieb einer Internetseite komplett zu verbieten. Die Nutzung von gemietetem Webspace im nicht-DE-Ausland, die Nutzung eines CDN wie Akamai oder Fastly ist doch Standard für jede Webseite mit ein bisschen mehr Traffic, und wenn einem irgendwann mal die Webseite per DDoS angegriffen wird, dann bleibt einem auch nur noch Cloudflare (ebenfalls US-Anbieter), um seine Seite trotzdem online zu halten …

    Selbst ihre eigene Webseite (ra-plutte.de) könnte damit theoretisch schon illegal sein, da sie beim Aufruf der Hauptseite Content von provenexpert.com einbindet – welches in den USA in einem Google-Rechenzentrum gehostet wird. Wenn also sogar die Webseite eines IT-Fachanwalts theoretisch abgemahnt werden könnte, wie sollen dann „Normalsterbliche“ jemals rechtssicher eine Webseite betreiben können bei so hirntoten Urteilen wie dem im Artikel erwähnten?

    Jeder Browser besitzt standardmäßig (ohne Plugins) Einstellungen, mit denen jedermann einstellen kann, ob er externe Fonts laden möchte oder nicht. Wenn ein Besucher das nicht will, kann er das ganz einfach global einmal für alle Webseiten einstellen.
    Auch der ganze Cookie-Blödsinn gehört mMn in den Browser. Einmal im Browser einstellen welche Cookies man will und welche nicht, das an jede Webseite beim Aufruf senden, und man bräuchte keinerlei Cookie-Banner mehr …

    Oder habe ich da irgendwo einen Denkfehler?

    Antworten

    • Hallo, Sie haben recht, diese Fragen stellen sich. Denkt man die Rechtslage seit Wegfall des Privacy Shields zu Ende, läuft es auf ein abgeschottetes „EU-Internet“ heraus – einschließlich der Staaten, für die ein wirksamer Angemessenheitsbeschluss existiert. Ein solches EU-Internet will freilich keiner, es geht völlig an der Realität vorbei. Wir brauchen den Datenaustausch mit Nicht-EU-Staaten, insbesondere den USA. Solange jedoch eine Nachfolgeregelung zum Privacy Shield fehlt, die die Kritikpunkte des EuGH umschifft, besteht ein juristisches Vakuum. Den Instanzgerichten braucht man keinen Vorwurf machen. Was sollte ein Richter tun? Schlicht ignorieren, was aus der EuGH-Entscheidung zum Privacy Shield folgt, weil sich die Politik nach über einem Jahr nicht auf ein Nachfolgeabkommen einigen konnte? Wie schon in meinem Kommentar beschrieben, liegt der Hund auf US-amerikanischer Seite begraben. Solange sich die US-Gesetze bei den behördlichen Zugriffsmöglichkeiten auf US-Server nicht ändern bzw. wirksame (!) Ausnahmen bzw. Rechtschutzbehelfe für EU-Bürger etabliert werden (es ist mir schleierhaft, wie hier eine eine technisch saubere Trennung erfolgen soll), werden deutsche Gerichte die Verarbeitung personenbezogener Daten auf US-Servern als datenschutzwidrig einstufen.

      Antworten

  10. Hallo, ich bin Laie auf dem Gebiet und für mich stellt sich folgende Fragestellung:
    Wenn eine Einwilligung (z.B. per Consent-Banner) stattgefunden hätte, dann wäre die Klage wohl nicht durchgekommen. Doch wie löst man so etwas in der Praxis?
    Zählen die Fonts zu den „notwendigen“ Funktionen, die automatisch aktiv sind und der Banner gibt nur die Info darüber? Ich denke nicht. Von daher müsste es doch so ablaufen: Es wird ein Consent-Banner ohne Google Fonts geladen. Wird dort aktiv zugestimmt, dann kann die Webseite mit Google-Fonts geladen werden. Wird allerdings abgelehnt, dann muss doch eine Version der Webseite ohne Google-Fonts geladen werden? Das ist doch für nicht-Webentwickler überhaupt nicht umsetzbar. Oder habe ich hier einen Denkfehler?
    Einen Consent-Banner der das kann, habe ich nicht gefunden. Somit bleibt eigentlich nur die lokale Einbindung.

    Antworten

    • Im Ergebnis sehe ich das genauso. Die generelle US-Problematik einmal außen vor gelassen, wäre es aber technisch natürlich schon möglich, Fonts erst dann dynamisch zuzuladen, wenn der Besucher eingewilligt hat. Solange müsste die Webseite mit einer Fallback-Schrift geladen werden, zur Not „Serif“ / „Non-Serif“, die jeder Browser von Hause aus ausführt.

      Antworten

  11. Danke für die schnelle Antwort! Wenn der Besucher allerdings aktiv dazu einwilligen muss, wird es viele geben, die ablehnen und somit eine (unschöne) Fallback-Schrift sehen.

    Technisch möglich ist das bestimmt, aber leider nicht für alle, die nicht selber programmieren können. Ich habe nach Tools (für WordPress) recherchiert, aber keins gefunden. Nicht mal große Anbieter (Borlabs, Complianz, Usercentrics) bieten das an. Scheint also nicht so ganz einfach zu sein. Somit ist die Einbindung mit Einwilligung für die meisten nicht umsetzbar und es bleibt nur die lokale Einbindung. Wirklich ärgerlich, wenn man bedenkt was das Urteil für praktisch jede Webseite hierzulande bedeutet.

    Danke für die Infos!

    Antworten

  12. Hallo Matthias, von einer Einbindung mittels Einwilligung würde ich mit Blick auf die fehlende Rechtssicherheit was die Übertragung der Daten in die USA abraten, siehe auch Punkt 3 im Kommentar von RA Plutte. Die lokale Einbindung der Schriftarten ist hier eindeutig vorzuziehen und dafür gibt´s verschiedene funktionierende Plugins für WordPress, z.B. OMGF.

    Antworten

  13. Finde ich super, ich hab lange auf ein solches Urteil gewartet, ist nicht auszuhalten, was manche Seiten an massenhaft externen Datenquellen einbinden.

    Ich werde aufgrund dieses Urteils nun selbst Klage gegen einen Onlineshop einreichen, der hat allerdings deutlich mehr im Hintergrund eingebunden (u.a. Facebook).

    Antworten

  14. Edit: Das hier erläuterte Urteil des LG München zum Thema Google Fonts ist inzwischen rechtskräftig geworden. Bleibt also abzuwarten, ob nun tatsächlich eine Abmahnwelle durch´s Land rollt.

    Antworten

  15. Die Frage ist doch dann eigentlich, welche Rechtskraft das Urteil des Landgericht München überhaupt hat. Bindend ist es außerhalb des Prozesses für niemanden, da eine solche Bindungswirkung in Deutschland nur Entscheidungen des Bundesverfassungsgerichts zukommt. Und selbst bei solchen gibt es dann teilweise Richter in der Provinz, die sich nicht daran halten und gegensätzliche Entscheidungen treffen. Außerhalb Deutschlands verpufft die Wirkung dann komplett. Zwar gilt in der kompletten EU das GDPR, aber so seltsam wie die deutsche DSGVO ist es eigentlich nirgends.
    Im Übrigen finde ich es immer wieder sehr interessant, über was für Kleinigkeiten man sich in Deutschland aufregt. Über jedes Komma, was in die USA übermittelt wird, wird gestritten. Aber die gleichen Leute installieren sich dann die Apps chinesischer Online-Shops auf ihr Huawei-Handy, um etwas zu bestellen.

    So nebenbei bemerkt. Jede Email, die man über Gmail oder Outlook (Office 365) schickt oder empfängt, läuft über amerikanische Server. Zumindest werden Daten an die Dienstanbieter übermittelt (Microsoft hat dazu sogar einen Absatz in seinen AGBs, dass die Daten in die USA gehen). Müsste ein Kunde, der einem eine Anfrage per Email schickt, dann nicht auch vorher seine Zustimmung dazu geben? Was passiert, wenn der Empfänger die Email dann auf einem Mac öffnet, auf dem die iCloud angemeldet ist? Oder auf einem Android Handy, auf dem WhatsApp läuft? Wenn man eine Mobilfunknummer auf einem iPhone anruft, wird automatisch über die Apple Server abgeglichen, ob diese mit FaceTime und iMessage registriert ist. Ich habe noch nie meine Zustimmung irgendwo hinterlegen können, dass ich damit einverstanden bin.

    Antworten

Schreibe einen Kommentar

Pflichtfelder sind mit * markiert.


Kanzlei Plutte Menü
Kostenlose Ersteinschätzung