LG München: Die Einbindung von Google Fonts ist rechtswidrig, falls keine Zustimmung vorliegt
Die Einbindung von Google Fonts, Google Maps, YouTube, Vimeo, Icon-Anbieter Font Awesome und weiteren dynamischen Webinhalten in Webseiten ist Branchenstandard. Auch die Nutzung von CDNs (Content Delivery Networks = Anbieter, die Inhalte auf speziellen Servern hosten um sie schneller abrufbar zu machen), wird immer beliebter. Warum? Sie helfen, die Ladegeschwindigkeit einer Webseite zu optimieren und damit im Google Ranking zu punkten.
Vor allem Templates, also bereits programmierte Webseitenvorlagen, die man kaufen kann, beinhalten viele der oben genannten Services und Inhalte wie Schriften, Skripte, Icons und Bilder. So weit, so praktisch.
Einbindung von Google Fonts: Verstoß gegen die DSGVO?
Nun urteilte das Landgericht München am 20.1.2022: Die Einbindung von Google Fonts ist rechtswidrig und verstößt gegen die DSGVO, wenn nicht vorher die Zustimmung des Nutzers eingeholt wird. Begründung:
„Dynamische IP-Adressen stellen für den Betreiber einer Webseite ein personenbezogenes Datum dar, denn er verfügt abstrakt über die rechtlichen Mittel, die vernünftigerweise eingesetzt werden könnten, um mithilfe Dritter, und zwar der zuständigen Behörde und des Internetzugangsanbieters, die betreffende Person anhand der gespeicherten IP-Adressen bestimmen zu lassen.“
Das ausführliche Urteil finden Sie hier.
Hintergrund des Urteils zur Einbindung von Google Fonts:
Durch die Nutzung von Google Fonts (Definition siehe weiter unten) und weiteren dynamischen Webinhalten von US-Webdiensten wird die IP-Adresse des Nutzers an Google & Co. übermittelt. Doch eben diese Weitergabe der dynamischem IP-Adresse verletzt die Persönlichkeitsrechte und ist somit nicht DSGVO-konform, wenn der User nicht vorher explizit eingewilligt hat.
Dass gerade US-Anbieter betroffen sind, hängt mit dem sogenannten Schrems-II-Urteil des Europäischen Gerichtshofs und dem damit verbundenen Ende des Privacy Shields zusammen. Denn aktuell gibt es kein Abkommen zwischen den USA und der EU, das regelt, wie und ob personenbezogene Daten in die USA übermittelt werden dürfen.
Eine tiefergehende Analyse bietet dazu u.a. die Webseite von Rechtsanwalt Plutte.
Was sind Google Fonts genau und wie werden sie in eine Webseite eingebunden?
Google Fonts ( Font = Schrift) sind eine Sammlung von mehr als 1000 frei verfügbare Schriftarten, die jeder kostenfrei nutzen kann. Erfinder/ Urheber dieser Schriften sind viele unterschiedliche Designer, die der Allgemeinheit die Nutzungsrechte an ihren Schriften gratis einräumen. Google ist also nicht Urheber/ Rechteinhaber dieser Schriften, sondern stellt die Infrastruktur bereit. Warum macht Google das? Natürlich um Daten zu sammeln. Denn Google Fonts können entweder per Skript in die Webseite geladen werden oder auf den eigenen Server geladen werden und von dort aus auf der Webseite zum Einsatz kommen. Ersteres nutzt Google, falls nicht ein Cookie-Blocker zum Einsatz kommt. Und genau um diesen Fall geht es im aktuellen Gerichtsurteil.
Was bedeutet das Urteil zur Einbindung von Google Fonts für Webseitenbetreiber?
Google Fonts und andere Dienste, die die IP-Adresse auslesen, sind nicht datenschutzkonform, falls der Webseitenbesucher nicht vorher explizit zugestimmt hat, dass seine Daten übermittelt werden dürfen. Um Ihre Webseite auch nach dem Urteil DSGVO-konform zu betreiben, haben Sie zwei Möglichkeiten:
Lösung 1: Alle Inhalte lokal einbinden oder nur Dienste nutzen, die keine Daten auslesen
Einige konkrete Beispiele sind:
- Fonts direkt auf den eigenen Server laden anstatt Google Fonts zu nutzen.
- Bilder und Icons selber hosten: Keine Nutzung von Content Delivery Networks für Bilder und Icons, außer, der Service liest keine Userdaten aus.
- Keine Einbindung von Google Maps / Open Street Map und stattdessen nur ein Link auf den Routenplaner. Alternativ ein datenschutzfreundliches PlugIn wie dieses hier von Dr. DSGVO.
- Skripte prüfen: Gibt es weitere Skripte, die personenbezogene Daten übertragen (meist nein). Falls ja, ersetzen oder konform einbinden (siehe Lösung 2).
Wer mit uns bereits arbeitet, weiß, dass wir empfehlen, Schriften lokal zu installieren, Bilder so klein wie nur möglich ausgeben um auf ein CDN zu verzichten und viel Wert auf die Datenschutzinformationen und das korrekte Erstellen des Cookie-Consent-Banners legen. Und damit sind wir beim zweiten Lösungsansatz:
Lösung 2: Cookie-Consent-Tool korrekt einrichten/ einbinden
All diese wundervollen Helferlein, die Ihrem User das Leben leicht machen und Ihre PageSpeed optimieren, können Sie weiterhin nutzen, wenn Sie die Zustimmung des Nutzers per Cookie-Consent eingeholt haben.
Prüfen Sie daher also Ihr Cookie-Consent-Tool, ob es alle zustimmungspflichtigen Sachverhalte abdeckt, um die Anforderungen nach dem o.g. Gerichtsurteil zu erfüllen.
Fazit zur Einbindung von Google Fonts & Co.
Um Ihre Webseite weiterhin DSGVO-konform zu betreiben, müssen Sie als Webseitenbetreiber Inhalte wie Schriftarten, Skripte oder Bilder selbst hosten oder die Zustimmung Ihrer User zur Weitergabe der IP-Adresse über ein Consent-Banner eingeholt haben. Tun sie das nicht, schulden sie Unterlassung und Schadensersatz. Bleibt abzuwarten, on die nächste Welle der Abmahnungen anrollt wie bei den Änderungen des Telemediengesetzes und der Einführung der DSGVO.
Wenn Sie unsicher sind, ob Ihre Webseite diese neuen Anforderungen erfüllt, fragen Sie uns gerne. Wir prüfen Ihre Webseite und Ihr Cookie-Consent-Banner und unterbreiten Ihnen eine individuelle Lösung.
