Es wurde leider kein Ergebnis gefunden. Bitte versuchen Sie es erneut.

keine Ergebnisse
Affiliate-Marketing
Afterbuy
Amazon
Apotheken-Online-Shop
Apps (Datenschutzerklärung)
Argato
Avocadostore
Azoo
Booklooker
Branchbob
Brick Owl
BrickLink
Cardmarket
Cdiscount.com
Check24
Chrono24
Coaching
commerce:seo
Conrad
Consulting
CosmoShop
Decathlon
Delcampe
Dienstleistungen
Discogs
Dropshipping
Dropshipping-Marktplatz
eBay
ecwid
eGun
Einkaufsbedingungen (B2B)
ePages
Etsy
Etsy (digitale Inhalte)
Facebook
Facebook (Warenverkauf)
Fairmondo
Fernunterricht
For-vegans
Fotografie und Bildbearbeitung
Freizeitkurse
Galaxus
Galeria
Gambio
Gambio-Cloud
Gastro-Lieferservice (Restaurants)
German Market
Germanized for WooCommerce
GTC for Shopify
GTC-Kaufland.de
Handmade at Amazon
home24
Homepage
Hood
Hornbach
Hosting
Hosting B2B
Individuelle Kundenkommunikation (B2B)
Individuelle Kundenkommunikation (B2C)
Instagram
Instagram (Warenverkauf)
Jimdo
Joomla
JTL
Kasuwa
Kaufland
Kaufland - alle Sprachen
Kleinanzeigen.de
Kleinanzeigen.de (Vermietung)
Lightspeed
LinkedIn
Lizenzo
Magento
Manomano
Mediamarkt
MeinOnlineLager
metro.de
modified eCommerce-Shops
Online-Shop
Online-Shop (digitale Inhalte)
Online-Shop - B2B
OpenCart
Otto
Oxid-Shops
Palundu
Pinterest
plentymarkets
Praktiker
Prestashop
Printkataloge
Productswithlove
RAIDBOXES
Restposten
Restposten24
Ricardo.ch
Selbstbedienungsläden
Seminare
SHOMUGO
Shop - Online-Kurse (live oder on demand)
Shop - Verkauf von eigener Software
Shop - Verkauf von fremder Software
Shop - Vermietung von Waren
Shopify
Shopware
Shpock
Shöpping
Smartvie
Snapchat
Spandooly
Squarespace
Stationärer Handel
STRATO
Teilehaber.de
Threads
TikTok
Tumblr
Twitch
TYPO3
Verkauf von Veranstaltungstickets
Vermietung Ferienwohnungen
Vermietung von Shops (inkl. Hosting)
VersaCommerce
VirtueMart
voelkner
webador
Webdesign
Webflow
Webshop Factory
Werky
WhatsApp Business
WhatsApp Business (Warenverkauf)
Wix
WooCommerce
WordPress
Wordpress (Warenverkauf)
wpShopGermany
X (ehemals Twitter)
Xanario
XING
xt:Commerce
XXXLutz
YouTube
zalando
Zen-Cart
ZVAB

LG München I: Nutzung von Google Webfonts ohne Einwilligung löst DSGVO-Schadensersatzanspruch aus

02.02.2022, 11:51 Uhr | Lesezeit: 4 min
LG München I: Nutzung von Google Webfonts ohne Einwilligung löst DSGVO-Schadensersatzanspruch aus

Mit „Google Webfonts“ können Seitenbetreiber bestimmte Schriftarten und -stile für ihren Internetauftritt dynamisch besucherabhängig anzeigen lassen. Hierfür nimmt der Browser des Besuchers automatisch eine Verbindung mit dem Google-Netzwerk auf, welches sodann die Fonts lädt. Weil hierbei allerdings die Besucher-IP-Adresse an Google übertragen wird, sieht das LG München I ein Einwilligungserfordernis und sprach in einem kürzlich ergangenen Urteil einem privaten Nutzer einen Unterlassungs- und Schadensersatzanspruch gegen einen Seitenbetreiber zu. Lesen Sie mehr zum Urteil.

I. Der Sachverhalt

Ein privater Nutzer nahm einen Seitenbetreiber auf Unterlassung und auf Schadensersatz in Anspruch, weil letzterer auf seiner Website Schriften und Stile über Google Fonts laden ließ, ohne eine entsprechende Nutzereinwilligung in die dadurch vollzogenen Datenverarbeitungen einzuholen.

Bei Seitenaufruf wurde so unabhängig von einem entsprechenden Willen des Nutzers eine Verbindung zum Google-Netzwerk aufgenommen und dessen dynamische IP-Adresse an Google übertragen.

Zwar informierte der Seitenbetreiber über die Verwendung von Google Webfonts in seiner Datenschutzerklärung, ist aber der Meinung die Datenverarbeitung sei durch sein überwiegendes berechtigtes Interesse an der graphisch ansprechenden Gestaltung seiner Website und mithin durch Art. 6 Abs. 1 lit. f DSGVO gerechtfertigt.

Der private Nutzer als Kläger sieht dahingegen in der einwilligungslosen Übertragung seiner IP-Adresse an Google eine Verletzung seines Rechts auf informationelle Selbstbestimmung (als Ausprägung des allgemeinen Persönlichkeitsrechts) und zusätzlich einen immateriellen Schaden aufgrund des Datenverlusts in Höhe von 100,00€ für gegeben.

Banner Starter Paket

II. Die Entscheidung

Das LG München I gab mit Urteil vom 20.01.2022 (Az. 3 O 17493/20) der Klage statt und bejahte sowohl den Unterlassungs- als auch den Schadensersatzanspruch des Nutzers.

Durch die einwilligungslose Übermittlung der Nutzer-IP-Adresse an Google im Wege der Verbindungsaufnahme mit Google beim Laden der Webfonts sei das Recht auf informationelle Selbstbestimmung des Nutzers verletzt worden.

Bei der IP-Adresse handle es sich um ein personenbezogenes Datum, denn der Webseitenbetreiber verfügt abstrakt über rechtliche Mittel, die vernünftigerweise eingesetzt werden könnten, um mithilfe Dritter, und zwar der zuständigen Behörde und des Internetzugangsanbieters, die betreffende Person anhand der gespeicherten IP-Adressen bestimmen zu lassen.

Die Übermittlung an Google als maßgebliche Datenverarbeitung sei rechtswidrig erfolgt.
Eine Rechtfertigung der IP-Adressübermittlung aufgrund von berechtigten Interessen an der graphisch ansprechenden Seitengestaltung über Art. 6 Abs. 1 lit. f DSGVO scheide schon deswegen aus, weil die Datenübermittlung für die Erreichung des Zwecks nicht erforderlich sei.

Dem Seitenbetreiber habe stets die Möglichkeit zugestanden, die Fonts lokal auf dem eigenen Server zu speichern, sie so stets serverseitig zu laden und so Datenverarbeitungen infolge einer Verbindungsaufnahme des Nutzerbrowser zu Google zu unterbinden.

Als ausschließliche Rechtfertigungsmöglichkeit für die Datenverarbeitung komme insofern eine ausdrückliche Nutzereinwilligung vor der Datenübermittlung in Betracht, die vom Seitenbetreiber, dem Beklagten, aber nicht eingeholt worden sei.

Aufgrund der insofern entstandenen Rechtsverletzung sei auch der Schadensersatzanspruch in Höhe von 100,00€ aus Art. 82 DSGVO begründet.

Zwar werde für die Ersatzfähigkeit eines – wie vorliegend - immateriellen Schadens eine gewisse Erheblichkeit vorausgesetzt. Diese sei aber gegeben und im Kontrollverlust des Nutzers über ein personenbezogenes Datum gegenüber Google zu sehen, das als Unternehmen bekanntermaßen Daten über seine Nutzer sammele und diese außerhalb der EU auf US-Servern verarbeite, ohne dass dafür geeignete Datenschutzgarantien und Kontrollmechanismen für Betroffene bestünden.

Deshalb überschreite das vom klagenden Nutzer empfundene Unwohlsein die Erheblichkeitsschwelle.

III. Fazit

Nach Ansicht des LG München I kann die Übermittlung von IP-Adressen an Google im Zuge der Einbindung von Google Webfonts nicht durch berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO) gerechtfertigt werden, sondern ist nur bei ausdrücklicher Nutzereinwilligung rechtmäßig.

Hintergrund ist, dass Seitenbetreiber auf Datenverarbeitungen infolge einer Verbindungsaufnahme zu Google bei Fonts auch komplett verzichten können, indem sie die Fonts lokal installieren. Bloße Bequemlichkeitsgründe, anstatt einer lokalen Serverspeicherung auf Browser-Downloads zu setzen, können Seitenbetreiber gerade nicht entlasten.

Das LG München I bestätigt damit die langjährige Beratungspraxis der IT-Recht Kanzlei, bei Bedarf an externen Fonts ausschließlich auf ein lokales Laden zu setzen und so Verbindungsaufnahmen zu externen Servern und dadurch angestoßene Datenverarbeitungen zu unterbinden.

Durch die lokale Einbindung von Fonts können Seitenbetreiber nicht nur dem datenschutzrechtlichen Gebot der Datensparsamkeit (Art. 5 Abs. 1 lit. c DSGVO) entsprechen, sondern auch separate Einwilligungserfordernisse für Webfonts umgehen.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.


Link kopieren

Als PDF exportieren

Drucken

|

Per E-Mail verschicken

Zum Facebook-Account der Kanzlei

Zum Instagram-Account der Kanzlei

5 Kommentare

J
Juli 14.07.2023, 10:20 Uhr
Google reCaptcha
Nicht einfach, Honeypot schützt gar nicht .
M
Michael Goldfinger 03.02.2023, 15:21 Uhr
Vertoß gegen die DSGVO auf Ihrer Seite
Sehr geehrte Damen und Herren,
Ich weise Sie hiermit ausdrücklich darauf hin das Ihre Webseite durch die Weiterleitung meiner IP an Google ohne meine Einwilligung gegen die DSGVO verstößt.
Da offenbar nicht mal Ihre IT es schafft DSGVO konform zu sein, dürfte es für den Durchnittsanwender noch ungleich schwieriger sein.
Der Verstoße findet auf https://www.it-recht-kanzlei.de/kommentar.php (Stand: 03.02.2023) statt und wurde auch per Screenshot dokumentiert und schmunzelnd zur Kenntnis genommen.
O
Olaf M. 28.07.2022, 16:32 Uhr
Praktikabilität
Sehr informativ! Nur scheitern wir an der Praxis. Als Kleinunternehmen (2 Angestellte) ist der rechtssichere Betrieb einer Website damit wieder noch unmöglicher geworden. Fonts auf den eigenen Server laden sei nur unbequem? Diese Formulierung ist leider völlig falsch. Die genannten Open-Source Lösungen sind, laut unserer IT, nicht sicher. Zudem gefährdet das Abschalten der Fonts die Angriffe durch Cybercrime massiv. Es gibt Lösungen, die im Kostenrahmen bei 80 Euro im Monat liegen. Das Urteil ist wieder mal ein Tritt gegen den Mittelstand.
W
Werner F. 11.02.2022, 20:50 Uhr
reCaptcha & Google Fonts
Relativ einfach: reCaptcha von Google durch ein Honeypot oder andere Captcha OpenSource-Lösungen ersetzen, die keine Daten an Dritte weitergeben.
M
Michael B. 07.02.2022, 17:50 Uhr
Google reCaptcha und Webfonts
Hallo,
vielen Dank für die wichtigen Informationen. Wir haben unsere Website überprüft und dabei festgestellt, dass die Einbindung von Google reCaptcha (wie z.B. auch bei diesem Formular) auch einen Google Webfont mitbringt, den man nicht unterbinden kann. Was empfehlen Sie in diesem Zusammenhang?
Beste Grüße
Michael B.

weitere News

EuGH: Fehlendes Verarbeitungsverzeichnis führt nicht automatisch zu einer unzulässigen Datenverarbeitung
(16.02.2024, 10:48 Uhr)
EuGH: Fehlendes Verarbeitungsverzeichnis führt nicht automatisch zu einer unzulässigen Datenverarbeitung
Auch weiterhin gilt: Die Weitergabe von E-Mail-Adressen an Paketdienstleister zu Paketankündigungszwecken bedarf einer Einwilligung
(05.01.2024, 13:23 Uhr)
Auch weiterhin gilt: Die Weitergabe von E-Mail-Adressen an Paketdienstleister zu Paketankündigungszwecken bedarf einer Einwilligung
EuGH: Keine Spürbarkeitsschwelle für immateriellen Schadensersatz nach DSGVO
(02.01.2024, 09:42 Uhr)
EuGH: Keine Spürbarkeitsschwelle für immateriellen Schadensersatz nach DSGVO
Hamburger Datenschutzbeauftragter: Gemeinsame Verantwortlichkeit nach DSGVO bei geteilter Kundendatenbank im Unternehmensverbund
(04.12.2023, 08:13 Uhr)
Hamburger Datenschutzbeauftragter: Gemeinsame Verantwortlichkeit nach DSGVO bei geteilter Kundendatenbank im Unternehmensverbund
Die Übertragung von Kundendaten bei Shop-Veräußerung: Datenschutzrechtliche Pflichten + Muster
(14.11.2023, 14:19 Uhr)
Die Übertragung von Kundendaten bei Shop-Veräußerung: Datenschutzrechtliche Pflichten + Muster
VG Berlin: Mitwirkungsobliegenheit des Betroffenen bei Auskunft nach DSGVO
(26.10.2023, 17:52 Uhr)
VG Berlin: Mitwirkungsobliegenheit des Betroffenen bei Auskunft nach DSGVO
Kommentar
verfassen
Ihre Meinung zu unserem Beitrag.
* mit Sternchen gekennzeichnete Felder sind Pflichtfelder
speichern

Vielen Dank für Ihren Kommentar

Wir werden diesen nach einer kurzen Prüfung
so schnell wie möglich freigeben.
Ihre IT-Recht Kanzlei
Vielen Dank!

Ihr Kommentar konnte nicht gespeichert werden!

Bitte versuchen Sie es zu einem späteren Zeitpunkt noch einmal.
Ihre IT-Recht Kanzlei
Vielen Dank!
© 2004-2024 · IT-Recht Kanzlei