Viele Anbieter von Webseiten und deren Ersteller sind von einem aktuellen Urteil des Landgerichts München (LG München) aus dem Januar betroffen. Nach Ansicht des LG München kann die Nutzung der beliebten Google Fonts ein Verstoß gegen die DSGVO darstellen, weil bei ihrer Nutzung ungefragt IP-Adressen in die USA übertragen werden.
Das LG München hat entschieden, dass der Einsatz von Google Fonts durch einen Website-Betreiber ohne das zuvor eingeholte Einverständnis des Besuchers einen Verstoß gegen die DSGVO darstellt kann. Wer dagegen verstößt, kann sich unterlassungs- und schadensersatzpflichtig machen.
Google Fonts sind Schrift-Fonts, die Google kostenlos unter einer Apache-Lizenz zur Verfügung stellt. Dies und ihre gute technische Performance machen diese Fonts beliebt bei vielen Webseiten. Allerdings ist technisch zu beachten, dass bei jedem Aufruf der Webseite nach den Grundeinstellungen bei Google die Fonts von einem US-Server geladen und dynamisch in das HTML-Dokument eingebunden werden, das dann zu dem Nutzer übertragen wird.
Damit das technisch umgesetzt werden kann, muss zuvor die Webseite die IP-Adresse des Nutzers an den Google-Server übersenden, damit dieser weiß, wohin er die Font-Daten schicken muss. Dies stellt nach Ansicht des LG München einen Verstoß gegen die DSGVO dar, wenn zuvor nicht das Einverständnis des Nutzers eingeholt werde. Ein solches Einverständnis liegt natürlich faktisch nie vor.
Im konkreten Fall sprach das Gericht dem betroffenen Nutzer einen Schadensersatz von 100 Euro zu. Problematischer ist allerdings, dass der Anbieter der Webseite jetzt das Problem abstellen muss.
Das Problem mit den dynamisch geladenen Google Fonts lässt sich technisch allerdings relativ leicht lösen. Google bietet grundsätzlich ein Code-Snippet an, mit dem man die dynamische Nutzung der Fonts aktiviert und sich in Gefahr begibt, gegen die DSGVO zu verstoßen. Stattdessen kann man die Fonts auch herunterladen und auf dem eigenen Webserver lokal hosten. So lösen die Google Fonts keine Übertragung der IP-Adresse in die USA aus.
Auch das Argument, die Weitergabe der Daten erfolge aus einem berechtigten Interesse heraus, greift nicht immer. Im vorliegenden Fall hat es das LG München verworfen
Fazit:
Die Ersteller und Anbieter von Webseiten sollten darauf achten, bei der Einbindung von Google Fonts nicht gegen die DSGVO zu verstoßen und die Webseiten entsprechend technisch gestalten. Die Google Fonts sind allerdings nur ein Beispiel. Auch bei Diensten anderer Anbieter, die von der Webseite dynamisch geladen werden, können vergleichbare Probleme entstehen.
Dr. Michael Heinrich