Warnung vor Forderungsschreiben wegen der Verwendung von Google Fonts
Bundesweit mehren sich derzeit Meldungen zu Schreiben von Privatpersonen an Unternehmen, in denen die Betriebe zur Zahlung eines Schadensersatzes in Höhe von 100 Euro wegen einer vermeintlich datenschutzwidrigen Einbindung von Google Fonts auf ihrer Unternehmens-Webseite aufgefordert werden. Auch in Oberfranken wurden bereits erste Betriebe mit derartigen Forderungen konfrontiert. Mitgliedsunternehmen, die ein solches Forderungsschreiben erhalten haben, können sich an die Industrie- und Handelskammer wenden.
Die Absender der Schreiben machen geltend, dass infolge der Verwendung von Google Fonts auf der Unternehmens-Homepage ihre IP-Adresse beim Besuch der Website ohne ihr Einverständnis an Google-Server in den USA übermittelt worden sei. Hierbei handle es sich um eine rechtswidrige Datenübermittlung ohne entsprechende Rechtsgrundlage für die Schadensersatz verlangt werde. In den Schreiben wird dabei auf ein Urteil des Landgerichts München vom 20. Januar 2022 (Az. 3 O17493/20) Bezug genommen, das in einem gleichgelagerten Fall einen Schadensersatzanspruch des Klägers in Höhe von 100 Euro wegen Verletzung seines allgemeinen Persönlichkeitsrechts aufgrund der unbefugten Übermittlung seiner personenbezogenen Daten (d.h. der IP-Adresse) bejahte. Gemäß dem Urteil des Landgerichts München kann die Datenübermittlung insbesondere nicht auf ein berechtigtes Interesse des Website-Betreibers gestützt werden, da der Einsatz der Google Fonts auch möglich ist, ohne eine Verbindung zu Google aufzubauen.
Hintergrund:
Durch sogenannte Webfonts, zu denen auch Google Fonts gehören, haben Website-Betreiber die Möglichkeit, auf ihrer Internetseite verschiedene Schriftarten zu nutzen. Werden Google Fonts auf der Internetseite dynamisch eingebunden, wird bei jedem Aufruf der Seite, die jeweilige Schriftart von Google-Servern in den USA nachgeladen und die IP-Adresse des Website-Besuchers in diesem Zuge automatisch an Google übermittelt. Um Google Fonts auf diese Weise datenschutzkonform einzubinden, muss von jedem Seitenbesucher vorab eine informierte Einwilligung eingeholt werden, in der insbesondere auch auf die derzeitigen mit einer Datenübermittlung in die USA verbundenen Risiken hingewiesen wird. Zudem müssen die für Datenübermittlungen in Drittländer geltenden Anforderungen erfüllt werden.
Deutlich empfehlenswerter, da einfacher und datenschutzfreundlicher, ist hingegen die lokale Einbindung der Webfonts. Hierbei werden die gewünschten Schriftarten vom Anbieter der Webfonts heruntergeladen und lokal auf den eigenen Servern gespeichert. Eine Datenübermittlung an externe Dritte findet in diesem Fall nicht statt. Daher bedarf es auch keiner gesonderten Einwilligung der Seitenbesucher.
Was ist zu tun?
Betriebe sollten prüfen, ob und auf welche Weise Google Fonts oder andere Webfonts auf ihrer Unternehmens-Website eingebunden werden. Dies kann u.a. über den Quellcode der Website herausgefunden werden, der in der Regel über das Anwendungsmenü im Browser aufgerufen werden kann. Google Fonts werden verwendet, wenn sich dort die Einträge „fonts.googleapis.com“ oder „fonts.gstatic.com“ wiederfinden. Sollten tatsächlich Webfonts genutzt werden, wird empfohlen, diese wie oben beschrieben lokal über die Speicherung auf eigenen Servern einzubinden.