Achtung bei der Einbindung von Google Fonts!
Das Landgericht München hat in seinem Urteil (Az.: 3 O 17493/20) vom 20.01.22 (abrufbar unter: https://rewis.io/urteile/urteil/lhm-20-01-2022-3-o-1749320/) entschieden, dass die Verwendung von dynamischen Webinhalten wie z. B. Google Fonts auf der eigenen Webseite auf Basis eines berechtigten Interesses gem. Art. 6 Abs. 1 lit. f) DSGVO einen Datenschutzverstoß darstellt und zu Schadensersatzansprüchen der Betroffenen i. H. v. 100 EUR pro Einzelfall sowie einem möglichen Ordnungsgeld von bis zu 250 Tsd. EUR führen kann.
Google Fonts Urteil
Der Beklagte betreibt eine Webseite und hat auf diese Inhalte von Google Fonts eingebunden. Die daraus resultierende Verarbeitung der dynamischen IP-Adresse und Weiterleitung an die Google-Server wurde, wie zuvor üblich, auf ein überwiegendes berechtigtes Interesse gem. Art. 6 Abs. 1 lit. f) DSGVO gestützt. Gegen diese Vorgehensweise erhob der Betroffene eine Unterlassungsklage am Landgericht München.
Das Gericht stellte fest, dass eine Verarbeitung der dynamischen IP-Adresse und eine damit verbundene Weiterleitung an Google-Server in den USA ohne vorherige Einwilligung des Betroffenen gegen geltendes Datenschutzrecht verstoße. So werde nach Aussagen des Gerichts ohne einen Rechtfertigungsgrund gegen das Recht auf informationelle Selbstbestimmung sowie gegen allgemeine Persönlichkeitsrechte des Klägers verstoßen. Infolge des Eingriffs in die Rechte des Betroffenen wurden diesem 100 EUR Schadensersatz zugesprochen. Zur Ausräumung der Wiederholungsgefahr eines derartigen Vorfalls wurde der Beklagte zudem zu einem Ordnungsgeld von bis zu 250 Tsd. EUR bei erneuter Zuwiderhandlung verurteilt.
Empfohlene Vorgehensweise
Doch was stehen Ihnen nun für Handlungsmöglichkeiten zur Verfügung? Zuerst sollten Sie prüfen, ob auf Ihrer Webseite Google Fonts oder ähnliche dynamische Webinhalte eingebunden sind. Daraufhin ist es erforderlich, zu überprüfen, inwieweit die bereitgestellten Inhalte von US-Anbietern stammen. Ohne dass das Gericht die Thematik des Drittlandtransfers von personenbezogenen Daten in die USA explizit erwähnt, ist es dennoch als Reaktion auf das im letzten Jahr ergangene Schrems II Urteil des EuGHs zu werten. Die weiterhin bestehenden Risiken bei Übermittlungen von personenbezogenen Daten in die USA können eine härtere Gangart des Gerichts im beschriebenen Fall begründen. Die Einholung einer Einwilligung wird das Problem langfristig jedoch nicht lösen, da im Falle eines Widerrufs die betroffenen Webinhalte nicht mehr verwendet werden dürfen und die Funktionsweise der Webseite somit stark beeinträchtigen kann. Wir empfehlen Ihnen daher derartige Inhalte lokal auf Ihnen Server zu hosten oder auf alternative europäische Anbieter von dynamischen Webinhalten bzw. eines CDN zu setzen – hierzu kann Ihnen Ihr Webseiten-Support sicher weiterhelfen.
Herr Dennis Dase hat sein Studium des Wirtschaftsrechts an der Hochschule Osnabrück abgeschlossen und ist seitdem als Consultant für das Rechtsgebiet Datenschutz tätig. Zusätzlich besitzt Herr Dase eine Zertifizierung als Datenschutzbeauftragter und Datenschutzauditor (TÜV) und zeichnet sich durch seine hohe IT-Affinität und juristische Expertise im Datenschutzrecht aus. Herr Dase unterstützt als externer Datenschutzbeauftragter und Datenschutzauditor internationale Konzerne, kleine und mittlere Unternehmen (KMU) und Start-ups bei der praxisnahen Umsetzung datenschutzrechtlicher Anforderungen unter Berücksichtigung der wirtschaftlichen Interessen der Unternehmen.
