Abmahnwelle wegen Nutzung von Google Fonts

Derzeit kommt es zu einer Abmahnwelle gegen tausende von Webseiten-Betreibern wegen der dynamischen Einbettung von Google Fonts auf deren Webseite.

Wie wir bereits im Februar 2022 mitgeteilt haben, hat das LG München I mit Urteil vom 20.01.2022 (3 O 17493/20) den Betreiber eines Internetauftritts, der bei der Gestaltung seiner Webseiten extern die Schriftart „Google Fonts“ eingebunden hatte, zu einem Schmerzensgeld von 100 Euro verurteilt. Der Kläger hatte vor Gericht darauf hingewiesen, dass er eine Webseite des Beklagten aufgerufen hatte und dabei – aufgrund der Nutzung von Google Fonts auf dieser Webseite – automatisch seine IP-Adresse an Google in die USA übertragen wurde, ohne dass er Kenntnis davon hatte.

Dieses Urteil veranlasste einige Anwälte, gebührenpflichte Abmahnschreiben an die Betreiber von Webseiten zu versenden, die Google Fonts in ihren Internetauftritt eingebunden haben. Dies haben wiederum einige Datenschutzaufsichtsbehörden zum Anlass genommen, darauf hinzuweisen, dass externe Schriftarten nur dann datenschutzkonform in Webseiten eingebunden werden können, falls diese Schriften nicht direkt vom Server des jeweiligen Anbieters geladen, sondern diese zunächst heruntergeladen und lokal auf dem eigenen Server gespeichert werden. Von dort können die Schriften datenschutzkonform in die Webseite eingebunden werden, ohne dass eine Verbindung zu externen Servern aufgebaut wird.

Google Fonts sind kostenlose Schriftarten des US-Konzern Google, welche zur freien Verfügung stehen. Dabei ist es vielen Webseiten-Betreiber nicht bekannt, dass Google Fonts auch durch eingebettete Google-Dienste (z. B. Google Maps, reCAPTCHA) automatisch mitgeladen werden.

Der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit (TLfDI) empfiehlt Betreibern von Websites zu prüfen, ob sie Google Fonts einsetzen und wenn ja, wie der Dienst in die Website eingebunden wird. Wer dynamische Google Fonts nutzt, sollte diese Schriftarten lokal speichern und von dort in den eigenen Internetauftritt einbinden. Wer nicht weiß wie das geht, keine Anleitungen im Internet findet, sollte sich an seinen Web-Diensteanbieter wenden. Die Firma Strato hat bspw. eine Anleitung veröffentlicht:

https://www.strato.de/blog/google-fonts-in-wordpress-lokal-hosten/ 

Die Aufsichtsbehörden raten auch davon ab, für die Einbindung der Schriftarten von externen Servern eine Einwilligung des Webseitenbesuchers gem. Art. 6 Abs. 1 Buchstabe a DSGVO bzw. Art. 49 Abs. 1 Satz 1 Buchstabe a DSGVO einzuholen. Für eine wirksame Einwilligung müssten dem Webseitenbesucher vor der Datenerhebung Informationen gem. Art. 12, 13 DSGVO zur Verfügung stehen, um zu wissen, in welchem Umfang eine Einwilligung erteilt wird. Diese Informationen müssten auch die Risiken im Zuge der Drittlandübermittlung umfassen. Überdies kann in eine Übermittlung in ein unsicheres Drittland gem. Art. 49 Abs. 1 Satz 1 Buchstabe a DSGVO nur für gelegentliche Übermittlungen eingewilligt werden. Sofern auf einer Webseite Schriftarten von externen Servern geladen und eingebunden werden, sodass bei jedem Aufruf der Webseite die IP-Adresse des Webseitenbesuchers an diese Server übermittelt wird, ist von einer systematischen, sich wiederholenden Datenverarbeitung auszugehen, sodass eine Einwilligung gem. Art. 49 Abs. 1 Satz 1 Buchstabe a DSGVO nicht möglich ist.

Fundstellen:

Pressemitteilung des Landesbeauftragten für den Datenschutz Sachsen-Anhalt vom 03.11.2022 – abrufbar im Internet unter https://www.datenschutz.de/der-landesbeauftragte-fuer-den-datenschutz-empfiehlt-webseitenbetreibern-die-lokale-einbindung-von-google-fonts/

Pressemitteilung des Thüringer Landesbeauftragten für den Datenschutz und die Informationsfreiheit (TLfDI) vom 02.11.2022 – abrufbar im Internet unter https://www.datenschutz.de/schriftarten-sind-nicht-so-banal-wie-viele-denken-google-fonts-loest-abmahnwelle-aus-2/