LG München I: Nutzung von Google Webfonts ohne Einwilligung löst DSGVO-Schadensersatzanspruch aus

Mit „Google Webfonts“ können Seitenbetreiber bestimmte Schriftarten und -stile für ihren Internetauftritt dynamisch besucherabhängig anzeigen lassen. Hierfür nimmt der Browser des Besuchers automatisch eine Verbindung mit dem Google-Netzwerk auf, welches sodann die Fonts lädt. Weil hierbei allerdings die Besucher-IP-Adresse an Google übertragen wird, sieht das LG München I ein Einwilligungserfordernis und sprach in einem kürzlich ergangenen Urteil einem privaten Nutzer einen Unterlassungs- und Schadensersatzanspruch gegen einen Seitenbetreiber zu. Lesen Sie mehr zum Urteil.

I. Der Sachverhalt

Ein privater Nutzer nahm einen Seitenbetreiber auf Unterlassung und auf Schadensersatz in Anspruch, weil letzterer auf seiner Website Schriften und Stile über Google Fonts laden ließ, ohne eine entsprechende Nutzereinwilligung in die dadurch vollzogenen Datenverarbeitungen einzuholen.

Bei Seitenaufruf wurde so unabhängig von einem entsprechenden Willen des Nutzers eine Verbindung zum Google-Netzwerk aufgenommen und dessen dynamische IP-Adresse an Google übertragen.

Zwar informierte der Seitenbetreiber über die Verwendung von Google Webfonts in seiner Datenschutzerklärung, ist aber der Meinung die Datenverarbeitung sei durch sein überwiegendes berechtigtes Interesse an der graphisch ansprechenden Gestaltung seiner Website und mithin durch Art. 6 Abs. 1 lit. f DSGVO gerechtfertigt.

Der private Nutzer als Kläger sieht dahingegen in der einwilligungslosen Übertragung seiner IP-Adresse an Google eine Verletzung seines Rechts auf informationelle Selbstbestimmung (als Ausprägung des allgemeinen Persönlichkeitsrechts) und zusätzlich einen immateriellen Schaden aufgrund des Datenverlusts in Höhe von 100,00€ für gegeben.

II. Die Entscheidung

Das LG München I gab mit Urteil vom 20.01.2022 (Az. 3 O 17493/20) der Klage statt und bejahte sowohl den Unterlassungs- als auch den Schadensersatzanspruch des Nutzers.

Durch die einwilligungslose Übermittlung der Nutzer-IP-Adresse an Google im Wege der Verbindungsaufnahme mit Google beim Laden der Webfonts sei das Recht auf informationelle Selbstbestimmung des Nutzers verletzt worden.

Bei der IP-Adresse handle es sich um ein personenbezogenes Datum, denn der Webseitenbetreiber verfügt abstrakt über rechtliche Mittel, die vernünftigerweise eingesetzt werden könnten, um mithilfe Dritter, und zwar der zuständigen Behörde und des Internetzugangsanbieters, die betreffende Person anhand der gespeicherten IP-Adressen bestimmen zu lassen.

Die Übermittlung an Google als maßgebliche Datenverarbeitung sei rechtswidrig erfolgt.
Eine Rechtfertigung der IP-Adressübermittlung aufgrund von berechtigten Interessen an der graphisch ansprechenden Seitengestaltung über Art. 6 Abs. 1 lit. f DSGVO scheide schon deswegen aus, weil die Datenübermittlung für die Erreichung des Zwecks nicht erforderlich sei.

Dem Seitenbetreiber habe stets die Möglichkeit zugestanden, die Fonts lokal auf dem eigenen Server zu speichern, sie so stets serverseitig zu laden und so Datenverarbeitungen infolge einer Verbindungsaufnahme des Nutzerbrowser zu Google zu unterbinden.

Als ausschließliche Rechtfertigungsmöglichkeit für die Datenverarbeitung komme insofern eine ausdrückliche Nutzereinwilligung vor der Datenübermittlung in Betracht, die vom Seitenbetreiber, dem Beklagten, aber nicht eingeholt worden sei.

Aufgrund der insofern entstandenen Rechtsverletzung sei auch der Schadensersatzanspruch in Höhe von 100,00€ aus Art. 82 DSGVO begründet.

Zwar werde für die Ersatzfähigkeit eines – wie vorliegend - immateriellen Schadens eine gewisse Erheblichkeit vorausgesetzt. Diese sei aber gegeben und im Kontrollverlust des Nutzers über ein personenbezogenes Datum gegenüber Google zu sehen, das als Unternehmen bekanntermaßen Daten über seine Nutzer sammele und diese außerhalb der EU auf US-Servern verarbeite, ohne dass dafür geeignete Datenschutzgarantien und Kontrollmechanismen für Betroffene bestünden.

Deshalb überschreite das vom klagenden Nutzer empfundene Unwohlsein die Erheblichkeitsschwelle.

III. Fazit

Nach Ansicht des LG München I kann die Übermittlung von IP-Adressen an Google im Zuge der Einbindung von Google Webfonts nicht durch berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO) gerechtfertigt werden, sondern ist nur bei ausdrücklicher Nutzereinwilligung rechtmäßig.

Hintergrund ist, dass Seitenbetreiber auf Datenverarbeitungen infolge einer Verbindungsaufnahme zu Google bei Fonts auch komplett verzichten können, indem sie die Fonts lokal installieren. Bloße Bequemlichkeitsgründe, anstatt einer lokalen Serverspeicherung auf Browser-Downloads zu setzen, können Seitenbetreiber gerade nicht entlasten.

Das LG München I bestätigt damit die langjährige Beratungspraxis der IT-Recht Kanzlei, bei Bedarf an externen Fonts ausschließlich auf ein lokales Laden zu setzen und so Verbindungsaufnahmen zu externen Servern und dadurch angestoßene Datenverarbeitungen zu unterbinden.

Durch die lokale Einbindung von Fonts können Seitenbetreiber nicht nur dem datenschutzrechtlichen Gebot der Datensparsamkeit (Art. 5 Abs. 1 lit. c DSGVO) entsprechen, sondern auch separate Einwilligungserfordernisse für Webfonts umgehen.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.

Link kopieren

Als PDF exportieren

Drucken

Per E-Mail verschicken

Zum Facebook-Account der Kanzlei

Zum Instagram-Account der Kanzlei

5 Kommentare

Diskutieren Sie mit

Juli 14.07.2023, 10:20 Uhr

Google reCaptcha

Nicht einfach, Honeypot schützt gar nicht .

Michael Goldfinger 03.02.2023, 15:21 Uhr

Vertoß gegen die DSGVO auf Ihrer Seite

Sehr geehrte Damen und Herren,
Ich weise Sie hiermit ausdrücklich darauf hin das Ihre Webseite durch die Weiterleitung meiner IP an Google ohne meine Einwilligung gegen die DSGVO verstößt.
Da offenbar nicht mal Ihre IT es schafft DSGVO konform zu sein, dürfte es für den Durchnittsanwender noch ungleich schwieriger sein.
Der Verstoße findet auf https://www.it-recht-kanzlei.de/kommentar.php (Stand: 03.02.2023) statt und wurde auch per Screenshot dokumentiert und schmunzelnd zur Kenntnis genommen.

Olaf M. 28.07.2022, 16:32 Uhr

Praktikabilität

Sehr informativ! Nur scheitern wir an der Praxis. Als Kleinunternehmen (2 Angestellte) ist der rechtssichere Betrieb einer Website damit wieder noch unmöglicher geworden. Fonts auf den eigenen Server laden sei nur unbequem? Diese Formulierung ist leider völlig falsch. Die genannten Open-Source Lösungen sind, laut unserer IT, nicht sicher. Zudem gefährdet das Abschalten der Fonts die Angriffe durch Cybercrime massiv. Es gibt Lösungen, die im Kostenrahmen bei 80 Euro im Monat liegen. Das Urteil ist wieder mal ein Tritt gegen den Mittelstand.

Werner F. 11.02.2022, 20:50 Uhr

reCaptcha & Google Fonts

Relativ einfach: reCaptcha von Google durch ein Honeypot oder andere Captcha OpenSource-Lösungen ersetzen, die keine Daten an Dritte weitergeben.

Michael B. 07.02.2022, 17:50 Uhr

Google reCaptcha und Webfonts

Hallo,
vielen Dank für die wichtigen Informationen. Wir haben unsere Website überprüft und dabei festgestellt, dass die Einbindung von Google reCaptcha (wie z.B. auch bei diesem Formular) auch einen Google Webfont mitbringt, den man nicht unterbinden kann. Was empfehlen Sie in diesem Zusammenhang?
Beste Grüße
Michael B.

weitere News

(16.04.2024, 14:24 Uhr)

Checkliste der IT-Recht Kanzlei: Vorgehensweise bei Datenpannen im eigenen Online-Shop + Muster

(16.04.2024, 14:16 Uhr)

DSGVO-konform: Handlungsanleitung zur Erstellung eines abmahnsicheren Kontaktformulars

(28.03.2024, 12:24 Uhr)

OVG Niedersachsen: Pauschale Abfrage des Geburtsdatums in Online-Shops unzulässig

(15.03.2024, 08:17 Uhr)

FAQ: Schadensersatzpflicht von Händlern bei Datenschutzverstößen

(16.02.2024, 10:48 Uhr)

EuGH: Fehlendes Verarbeitungsverzeichnis führt nicht automatisch zu einer unzulässigen Datenverarbeitung

(05.01.2024, 13:23 Uhr)

Auch weiterhin gilt: Die Weitergabe von E-Mail-Adressen an Paketdienstleister zu Paketankündigungszwecken bedarf einer Einwilligung