Schadenersatz für den Einsatz von Google Fonts auf der Webseite

Ein guter Grund, die Schriftarten lokal zu hosten.

21.02.2022

Das Thema Drittstaaten-Transfer personenbezogener Daten lässt uns aktuell keine Ruhe. Im Januar sprach das LG München (AZ 3 O 17493/20) einem Webseitenbesucher ein Schmerzensgeld aufgrund immateriellen Schadens zu. Interessant ist der Grund für den Schadenersatz. Dieser erlittene immaterielle Schaden liegt nämlich im Kontrollverlust des Klägers über seine personenbezogenen Daten, nachdem er eine Webseite besuchte und feststellte, dass diese Google Fonts nutzte.

Sie lesen richtig, es wurde ein Schmerzensgeld für die Nutzung von Google Fonts verhängt. Wie konnte es dazu kommen?

Technischer Hintergrund für Nicht-Techniker*innen

Google Fonts sind von Google kostenlos zur Verfügung gestellte Zeichensätze, die auf der eigenen Webseite eingebunden und genutzt werden dürfen. In der von Google präferierten Standardkonfiguration werden die Zeichensätze auf den Servern von Google gehostet und beim Laden der Seiten dynamisch dort abgerufen – sie werden extern eingebunden. Das hat den großen Vorteil, dass aufgrund der enormen Verbreitung von Google Fonts, sich diese bereits häufig in den Browser-Caches befinden. Das heißt, sie müssen gar nicht mehr heruntergeladen werden, was die Ladezeiten der Webseiten wiederum beschleunigt. Und schnell ladende Webseiten sind nicht nur angenehmer zu besuchen, sie werden auch von Google in den Suchergebnissen besser behandelt als langsam ladende. Es gibt also durchaus gute Gründe, Google Fonts einzusetzen.

Alternativ zur externen Einbindung und dem Nachladen der Schriftarten von den Google Servern können (und dürfen) die Fonts auch lokal auf dem eigenen Webserver gehostet und von dort geladen werden. Optisch ist dies für die Nutzer*innen kein Unterschied, lediglich die Ladezeiten können je nach Webserver geringfügig länger sein.

Wird irgendetwas vom Browser aus dem Internet geladen – sei es eine Webseite, seien es Bilder oder eben Fonts, wir nennen es nachfolgend einheitlich Ressource – so erfolgt die Kommunikation mithilfe der sogenannten IP-Adresse („Internetprotokoll-Adresse“). Die IP-Adresse ist vergleichbar mit der Anschrift oder der Telefonnummer. Wenn eine Ressource angefordert wird, so muss der Lieferant (zum Beispiel der Webserver) wissen, wohin er sie schicken soll. Das bedeutet, dass bei jeder Anfrage im Internet dem Server zwingend die IP-Adresse des Anfragenden Rechners („Client“) mitgeteilt wird. Ohne dass der Server die IP-Adresse des Clients kennt, kann keine Kommunikation im Internet stattfinden.

Das hat zur Folge, dass bei jedem Aufruf einer Webseite, in dessen Rahmen externe (also nicht auf dem Webserver gespeicherte) Ressourcen eingebunden werden, die IP-Adresse des Clients an die externen Server, welche die Ressourcen ausliefern, bekannt gegeben wird. Google erfährt also alle IP-Adressen aller Clients, die Webseiten aufrufen, auf denen Google Fonts extern eingebunden werden.

Datenschutzrechtlicher Hintergrund für Nicht-Datenschützer*innen

Nun sitzt Google in einem sogenannten Drittstaat, nämlich den USA. Als Drittstaat bezeichnet man grob alle Staaten, die nicht zum räumlichen Geltungsbereich der DSGVO gehören. Das sind fast alle Staaten außerhalb von EU/EWR. Für die Übermittlung personenbezogener Daten in Drittstaaten gibt es in der DSGVO das Kapitel V, welches die Art. 44 bis 50 DSGVO umfasst. Dort wird umfassend geregelt, unter welchen Voraussetzungen personenbezogene Daten in Drittstaaten übermittelt werden dürfen. Werden diese Voraussetzungen nicht erfüllt, ist der Transfer verboten.

Zu diesen Voraussetzungen gehört, dass sogenannte Garantien geliefert werden müssen, die sicherstellen, dass das Datenschutzniveau beim Empfänger auf das Niveau der DSGVO angehoben wird. Bezüglich der USA hat der EuGH in seinem sogenannten „Schrems-2“-Urteil klargestellt, dass dieses Niveau in den USA aus mehreren Gründen nicht demjenigen der DSGVO entspricht. Zu diesen Gründen zählen unter anderem die Überwachungsmöglichkeiten und -tätigkeiten der Geheimdienste und der Ermittlungsbehörden. Die entsprechende Gesetzgebung („FISA“, „CLOUD Act“) führt nach Meinung des EuGH letztlich dazu, dass die betroffenen Personen jegliche Kontrolle über ihre personenbezogenen Daten verlieren und darüber hinaus keinen wirksamen Rechtsschutz dagegen in Anspruch nehmen können. Warum dies so ist, können Sie unter anderem hier nachlesen.

Wird nun eine Webseite aufgerufen, die extern gehostete Google Fonts nutzt, landet durch den Abruf der Fonts bei Google die IP-Adresse Clients womit ein personenbezogenes Datum in die USA übermittelt wird.

Genau diese Übermittlung wurde von dem Kläger bemängelt. Üblicherweise wird als Rechtsgrundlage für die Nutzung von Google Fonts (und auch anderer Webfonts) das berechtigte Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO angeführt, so auch im aktuellen Fall. Wir würden auch zustimmen, dass ein solches berechtigtes Interesse vorlag, schließlich ist die Nutzung von Google Fonts eine kostengünstige und technisch gute Lösung, die eigene Webseite ansprechend zu gestalten. Allerdings muss bei der Argumentation für ein berechtigtes Interesse auch geprüft werden, ob die gewählte Lösung notwendig ist, dieses berechtigte Interesse zu erfüllen. Hierbei ist stets auch zu prüfen, ob es ein sogenanntes milderes Mittel gibt, welches geeignet ist, den Zweck zu erfüllen. „Milder“ bedeutet in diesem Fall, dass der Eingriff in die informationelle Selbstbestimmung der betroffenen Personen weniger weitreichend ausfällt. Und ein solches milderes Mittel steht mit der Nutzung lokal installierter Google Fonts zur Verfügung. Darüber hinaus wäre auch noch zu prüfen, ob die betroffenen Personen ein überwiegendes Interesse am Ausbleiben der Verarbeitung haben. Hier kommt nun das Datenschutzniveau in den USA ins Spiel.

Die Beurteilung der Verarbeitungssituation und der Rechtsgrundlage hat das Gericht zu der Entscheidung veranlasst, dass die Nutzung extern gehosteter Google Fonts auf Basis eines berechtigten Interesses nicht möglich ist, sofern nicht zusätzliche Garantien geschaffen werden. Alternativ könnten die betroffenen Personen gemäß der Ausnahme aus Art. 49 Abs. 1 lit. a DSGVO in die Übermittlung einwilligen.

Unsere Meinung

Wir haben schon häufiger thematisiert, dass wir die Ansicht vertreten, dass die pauschale Klassifizierung der IP-Adresse als personenbezogenes (beziehungsweise personenbeziehbares) Datum unglücklich ist und an der Realität vorbei geht. Insbesondere wenn sich die betroffene Person mit mehreren Nutzer*innen hinter einem Anschluss befindet, der mit NAT arbeitet, wird das Argument, dass es möglich sei, die Person zu identifizieren mit steigender Personenzahl, die denselben Anschluss nutzen (zum Beispiel in einem Unternehmen) unseres Erachtens immer schwächer. Und selbst wenn die IP-Adresse als personenbezogenes Datum angesehen wird, ist doch das für die betroffenen Personen aus der Übermittlung an Google resultierende Risiko vermutlich nicht höher als das Risiko, das aus der Beteiligung amerikanischer Rechenzentren (zum Beispiel von Century Link) am deutschen Internetknoten DE-CIX resultiert.

Es wirkt aktuell so, als seien die Gerichte und die Aufsichtsbehörden für den Datenschutz etwas „auf Krawall gebürstet“ und wollten Exempel statuieren. Das aus diesen Urteilen resultierende Risiko für die Unternehmen ist unseres Erachtens enorm und wir empfehlen allen Webseitenbetreiber*innen, den Einsatz von Tools und Diensten, die in irgendeiner Weise einen Drittstaatenbezug haben, zu überdenken. Mit der Formulierung „in irgendeiner Weise“ meinen wir, dass nicht nur geprüft werden muss, ob eine direkte Übermittlung in einen Drittstaat erfolgt, sondern diese Prüfung über sämtliche Sub-Auftragnehmer und deren Sub-Sub-Auftragnehmer im Endeffekt die gesamte Dienstleisterkette entlang erfolgen muss. Darüber hinaus muss auch die Konzernstruktur betrachtet werden, denn auch die Beauftragung der EU-Tochter eines in einem Drittstaat ansässigen Unternehmens (zum Beispiel Google Ireland) ist risikobehaftet.

Abschließend wäre zu dem Urteil noch zu sagen, dass sich die Höhe des Schmerzensgelds auf € 100 beläuft. Diese Summe erscheint auf den ersten Blick geradezu lächerlich gering. Im Einzelfall würden wir dem auch zustimmen. Falls jedoch dieser Fall Schule macht und sich die Klagen häufen, können sich die Einzelsummen für ein Unternehmen schnell zu einer sehr großen Gesamtsumme aufaddieren.

Benötigen Sie Unterstützung bei der Dienstleisterauswahl? Melden Sie sich bei uns, wir unterstützen Sie gerne!