Schadensersatz wegen unzulässiger Nutzung von Google Webfonts

Viele Webseitenbetreiber oder Verantwortliche generell dürften diese Problematik rund um die Drittlandsübermittlung nicht auf ihrem Zettel haben. Wenn sich Verantwortliche um die Konsequenzen und Herausforderungen rund um die das sog. Schrems II-Urteil des EuGH Gedanken machen, geht es meist um Office 365, die Nutzung von Videkonferenztools mit Drittlandsbezug oder generell um die massenhafte Übermittlung von Beschäftigtendaten in Konzernstrukturen.
Dass das Thema viele Verantwortliche auch bei dem Thema „Nutzung bzw. Einbindung von Schriftarten auf Webseiten“ einholen kann, macht ein Urteil des Landgericht München i seiner Entscheidung (Urteil vom 20.01.2022, Az. 3 O 17493/20) deutlich. Das Gericht sprach hier einen Unterlassungsanspruch und Schadensersatz (hier 100 €) wg. Weitergabe von IP-Adresse an Google durch Nutzung von Google Fonts gegen den Beklagten aus.
Was war passiert und was sind Google Fonts?
Google Fonts bietet die Option, Schriften auf der eigenen Website zu nutzen, ohne dass diese auf den eigenen Server hochgeladen werden müssen. In diesem Fall werden beim Aufruf der Webseite durch einen Benutzer die Schriften über einen Google-Server nachgeladen. Dieser externe Aufruf bewirkt, dass Daten an Google übertragen werden. Vielfach dürfte diese Drittlandsübermittlung, die es bei genauer Betrachtung ist, wegen der niederschwelligen Nutzungsmöglichkeit auf dem Radar vieler Fachabteilungen und auch des Datenschutzbeauftragten nicht auftauchen.
Die Leitsätze des Gerichts zeigen aber recht deutlich, dass auch die datenschutzkonforme Einbindung von Webfonts durchaus ein Thema für den Datenschutz sein muss und ggf. sogar mindestens als Bulletpoint im Verzeichnis der Verarbeitungstätigkeiten auftauchen sollte:
„1. Dynamische IP-Adressen stellen für den Betreiber einer Webseite ein personenbezogenes Datum dar, denn er verfügt abstrakt über die rechtlichen Mittel, die vernünftigerweise eingesetzt werden könnten, um mithilfe Dritter, und zwar der zuständigen Behörde und des Internetzugangsanbieters, die betreffende Person anhand der gespeicherten IP-Adressen bestimmen zu lassen.
2. Der Einsatz von Schriftartendiensten wie Google Fonts kann nicht auf Art. 6 Abs. 1 S.1 lit. f DS-GVO gestützt werden, da der Einsatz der Schriftarten auch möglich ist, ohne dass eine Verbindung von Besuchern zu Google Servern hergestellt werden muss. Es besteht keine Pflicht des Besuchers, seine IP-Adresse zu „verschlüsseln“ [„verschleiern“].
3. Die Weitergabe der IP-Adresse des Nutzers in der o.g. Art und der damit verbundene Eingriff in das allgemeine Persönlichkeitsrecht ist im Hinblick auf den Kontrollverlust über ein personenbezogenes Datum an Google, ein Unternehmen, das bekanntermaßen Daten über seine Nutzer sammelt und das damit vom Nutzer empfundene individuelle Unwohlsein so erheblich, dass ein Schadensersatzanspruch gerechtfertigt ist.
Dabei lassen sich bei Bedarf die begehrten Google Schriftarten auch offline und damit datenschutzfreundlich einbinden. Nicht nur über die Google-Suchmaschine lassen lassen sich zahlreiche gute Tutorials finden, die eine datenschutzkonforme Einbindung erläutern ;-).
(Foto: Sashkin – stock.adobe.com)
Letztes Update:06.02.22
Das könnte Sie auch interessieren
-
Webinar Verarbeitungsverzeichnis softwaregestützt erstellen, dokumentieren, pflegen und archivieren
Mit dem webbasierten Management-System DataAgenda Datenschutz Manager können Sie alle Maßnahmen zum Datenschutz erfassen, verwalten und dokumentieren (VVT, DSFA etc.) und so Ihre Rechenschaftspflicht gemäß DS-GVO erfüllen. Der Referent zeigt, wie Sie mit einem Verzeichnis der Verarbeitungstätigkeiten (VVT) gemäß Art. 30 DS-GVO einen zentralen Baustein der Datenschutzdokumentation erstellen. Sie erfahren, wie der DataAgenda Datenschutz Manager
Mehr erfahren -
BSI veröffentlicht Handreichung zur NIS-2-Geschäftsleitungsschulung
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine neue Handreichung zur Geschäftsleitungsschulung im Rahmen der NIS-2-Umsetzung veröffentlicht. Die Publikation richtet sich an Führungsebenen von Unternehmen und Einrichtungen, die künftig unter die NIS-2-Regulierung fallen – also als „wichtige“ oder „besonders wichtige Einrichtungen“ gelten. Ziel ist es, Geschäftsleitungen auf ihre neuen Pflichten im Bereich Cybersicherheit
Mehr erfahren -
Refurbished Notebook mit ungelöschten Daten – wer ist verantwortlich?
Der Erwerb gebrauchter oder „refurbished“ IT-Geräte wirft nicht nur technische, sondern auch datenschutzrechtliche Fragen auf. Besonders heikel wird es, wenn auf einem erworbenen Notebook noch personenbezogene Daten des Vorbesitzers vorzufinden sind. Doch wer trägt in diesem Fall die Verantwortung nach der DS-GVO? Verantwortlichenbegriff nach Art. 4 Nr. 7 DS-GVO Nach Art. 4 Nr. 7 DS-GVO
Mehr erfahren