Aktualisiert am:
20
.
July 2022
Erstellt am:
14
.
April 2022

Die Einbindung von Google Fonts ohne Einwilligung ist rechtswidrig

Bernd Grimm
Bernd Grimm
Inhaber und Gründer von Webdesign Grimm

In Deutschland greifen mehr als 880.000 Websites auf den dynamischen Dienst von Google-Schriftarten zurück. Seit Anfang des Jahres wurde entschieden, dass die dynamische Einbindung von Google Fonts ohne Einwilligung rechtswidrig ist – so lautet das Urteil der Richter am Landgericht München (20.01.2022).
In diesem Artikel erfährst du, was die Ursache des Problems ist und wie du dem Problem am Besten begegnen kannst.

Was ist Google Fonts?

Google stellt auf https://fonts.google.com/ eine breite Auswahl von Schriftarten unter Apache Lizenz (Version 2.0) zur Verfügung. Diese Schriftarten dürfen prinzipiell kostenlos genutzt werden.

Wie werden Google Fonts gebunden?

Statische Methode

Statische Einbindung bedeutet, dass die Informationen zu den Schriftarten auf dem Server liegen, auf dem auch deine Webseite gehostet ist. D.h. ist eine Schriftart statisch eingebunden, werden keine personenbezogenen Daten an Server außerhalb der EU übertragen.
Die statische Methode ist demnach wohl die beste, sicherste aber auch schnellste Methode der Einbindung einer Google-Schriftart.

Die Anbindung geschieht in 4 Schritten:

  1. Aussuchen der Google Schriftart über https://fonts.google.com/
  2. Herunterladen der entsprechenden Schriftarten
  3. Hochladen der Schriftarten in dein Webprojekt
  4. Einbinden der CSS-Regeln

Dynamische Methode

Bei der dynamischen Einbindung werden die Informationen zu den Schriftarten von einem fremden Server abgerufen.
Die dynamische Einbindung von Google Schriftarten ist dadurch meist sehr einfach und wird von den gängigen Content-Management-Systemen und Pagebuildern angeboten bzw. grundsätzlich bereitgestellt.

Technisch erfolgt die Einbindung dabei über ein so genanntes CDN ( Cloud Delivery Network). D.h., jedes Mal, wenn die Webseite aufgerufen wird, werden die Informationen der Schriftarten über das CDN bei einem Server außerhalb der EU abgerufen.
Da – im Falle von Google Fonds – die Server in den USA liegen, ist hier das Problem begründet.

Warum ist die Einbindung von Google Fonts nun widerrechtlich und kein berechtigtes Interesse?

Der EU-Gerichtshof (EuGH) fällte am Donnerstag, den 16. Juli 2020, ein Urteil in dem als Schrems II bekannten Fall (C-3111/18), in dem die Mechanismen für die Übermittlung personenbezogener Daten zwischen der EU und den USA angefochten wurden. Das Argument ist, dass das US-Recht den Schutz personenbezogener Daten aus der EU nicht angemessen gewährleisten kann.

Es folgte eine Entscheidung, durch welche der europäische Gerichtshof den „Privacy-Shield“ zerschlug. Dadurch wurde einer der meistgenutzten Mechanismen außer Kraft gesetzt, welcher US-Handelsunternehmen erlaubte, personenbezogene Daten aus der EU in die USA zu übertragen und dort zu speichern.
Die Konsequenz daraus war, dass die USA nun keinen adäquaten Zugang mehr zu Europas personenbezogenen Datenströmen bekommen darf.

Im Juni 2021 nahm die europäische Kommission zwei neue Standardvertragsklauseln an, um das Privacy Shield-Datenübermittlungssystem zu ersetzen. Eine Klausel befasst sich mit der Übermittlung personenbezogene Daten in Drittländer, die Andere mit Verantwortlichen und Auftragsverarbeitern.

Und da liegt der Hase im Pfeffer:
Wenn nun ein User eine Webseite besucht, die dynamische Inhalte von Google Fonds eingebunden hat, werden beim Aufrufen der Website personenbezogene Daten auf einen Server von Google (der außerhalb der EU – nämlich in den USA – liegt) übertragen. Diese Übertragung ist vom Landgericht München als rechtswidrig eingestuft worden. Ein berechtigtes Interesse kann seitens der Beschuldigten nicht aufgerufen werden, da die Richter entschieden haben, dass das Interesse der betroffenen Personen dem berechtigten Interesse ( gem. Art. 6 Absatz 1F DSGVO) überwiege.

Ist eine IP-Adresse eine personenbezogene Information?

Das ist dann mit „ja“ zu beantworten, wenn der Verarbeitende die rechtliche Möglichkeit hat, den Provider zur Herausgabe weiterer Zusatzinformationen zu verpflichten. In diesem Falle ist eine IP-Adresse ein personenbezogenes Datum.

Fazit

Die automatische, unfreiwillige Weitergabe einer IP-Adresse in ein Drittland, ist ein unzulässiger Eingriff in das allgemeine Persönlichkeitsrecht eines Nutzers. Gemäß dem vorliegenden Urteil sehen es die Richter als erwiesen an, dass durch die Übermittlung der IP-Adresse ein individuell empfundenes Unwohlsein der betroffenen Person entstanden sei.

Somit kann eine dynamische Einbindung von Google Fonts zu Schadensersatzansprüchen und Untersagen führen. Webseitenbetreibende können demnach verurteilt werden, betroffenen Usern 100 € (zzgl. Zinsen) zu bezahlen. Urteile ergeben sich dabei aus den datenschutzrechtlichen Schadensersatzansprüche der jeweiligen User.

Prüfe Deine Website auf den dynamischen Einsatz von Google Fonts

Du kannst über folgenden Link überprüfen, ob deine Webseite Google-Fonts dynamisch eingebunden hat. Sollte das der Fall sein, unterstützen wir Dich gerne bei der Behebung dieses Problems. Nehme dazu einfach Kontakt mit uns auf.

Inhaltsverzeichnis