Webdesign Grimm
Google Fonts ohne Einwilligung: rechtswidrig
Recht

Google Fonts ohne Einwilligung: rechtswidrig

Das Landgericht München entschied: Die dynamische Einbindung von Google Fonts ohne Einwilligung ist rechtswidrig. Über 880.000 deutsche Websites sind betroffen – wie Sie das Problem erkennen und beheben.

Bernd Grimm

Inhaber · Webdesign Grimm

Aktualisiert 4 Min. Lesezeit

In Deutschland greifen mehr als 880.000 Websites auf den dynamischen Dienst von Google-Schriftarten zurück. Seit Anfang des Jahres wurde entschieden, dass die dynamische Einbindung von Google Fonts ohne Einwilligung rechtswidrig ist – so lautet das Urteil der Richter am Landgericht München (20.01.2022). In diesem Artikel erfahren Sie, was die Ursache des Problems ist und wie Sie dem Problem am Besten begegnen können.

Was ist Google Fonts?

Google stellt auf https://fonts.google.com/ eine breite Auswahl von Schriftarten unter Apache Lizenz (Version 2.0) zur Verfügung. Diese Schriftarten dürfen prinzipiell kostenlos genutzt werden.

Wie werden Google Fonts gebunden?

Statische Methode

Statische Einbindung bedeutet, dass die Informationen zu den Schriftarten auf dem Server liegen, auf dem auch deine Webseite gehostet ist. D.h. ist eine Schriftart statisch eingebunden, werden keine personenbezogenen Daten an Server außerhalb der EU übertragen.

Die statische Methode ist demnach wohl die beste, sicherste aber auch schnellste Methode der Einbindung einer Google-Schriftart.

Die Anbindung geschieht in 4 Schritten:

  1. Aussuchen der Google Schriftart über https://fonts.google.com/
  2. Herunterladen der entsprechenden Schriftarten
  3. Hochladen der Schriftarten in dein Webprojekt
  4. Einbinden der CSS-Regeln

Dynamische Methode

Bei der dynamischen Einbindung werden die Informationen zu den Schriftarten von einem fremden Server abgerufen.

Die dynamische Einbindung von Google Schriftarten ist dadurch meist sehr einfach und wird von den gängigen Content-Management-Systemen und Pagebuildern angeboten bzw. grundsätzlich bereitgestellt.

Technisch erfolgt die Einbindung dabei über ein so genanntes CDN (Cloud Delivery Network). D.h., jedes Mal, wenn die Webseite aufgerufen wird, werden die Informationen der Schriftarten über das CDN bei einem Server außerhalb der EU abgerufen.

Da – im Falle von Google Fonts – die Server in den USA liegen, ist hier das Problem begründet.

Vergleich: links eine Server-Vitrine mit Schriftart-Buchstaben (A, B, S, T) als lokal gehostete Fonts, rechts ein Browser, der über einen Bogen mit Globus-Hintergrund auf einen entfernten CDN-Server zugreift

Warum ist die Einbindung von Google Fonts nun widerrechtlich und kein berechtigtes Interesse?

Der EU-Gerichtshof (EuGH) fällte am Donnerstag, den 16. Juli 2020, ein Urteil in dem als Schrems II bekannten Fall (C-3111/18), in dem die Mechanismen für die Übermittlung personenbezogener Daten zwischen der EU und den USA angefochten wurden. Das Argument ist, dass das US-Recht den Schutz personenbezogener Daten aus der EU nicht angemessen gewährleisten kann.

Es folgte eine Entscheidung, durch welche der europäische Gerichtshof den "Privacy-Shield" zerschlug. Dadurch wurde einer der meistgenutzten Mechanismen außer Kraft gesetzt, welcher US-Handelsunternehmen erlaubte, personenbezogene Daten aus der EU in die USA zu übertragen und dort zu speichern.

Die Konsequenz daraus war, dass die USA nun keinen adäquaten Zugang mehr zu Europas personenbezogenen Datenströmen bekommen darf.

Im Juni 2021 nahm die europäische Kommission zwei neue Standardvertragsklauseln an, um das Privacy Shield-Datenübermittlungssystem zu ersetzen. Eine Klausel befasst sich mit der Übermittlung personenbezogene Daten in Drittländer, die Andere mit Verantwortlichen und Auftragsverarbeitern.

Und da liegt der Hase im Pfeffer:

Wenn nun ein User eine Webseite besucht, die dynamische Inhalte von Google Fonts eingebunden hat, werden beim Aufrufen der Website personenbezogene Daten auf einen Server von Google (der außerhalb der EU – nämlich in den USA – liegt) übertragen. Diese Übertragung ist vom Landgericht München als rechtswidrig eingestuft worden. Ein berechtigtes Interesse kann seitens der Beschuldigten nicht aufgerufen werden, da die Richter entschieden haben, dass das Interesse der betroffenen Personen dem berechtigten Interesse (gem. Art. 6 Absatz 1F DSGVO) überwiege.

Stilisierte Datenübertragung: Browser in EU sendet IP-Adresse an Google-Server in USA, mit Warnschild und §-Symbol – Schadensersatz-Visualisierung

Ist eine IP-Adresse eine personenbezogene Information?

Das ist dann mit "ja" zu beantworten, wenn der Verarbeitende die rechtliche Möglichkeit hat, den Provider zur Herausgabe weiterer Zusatzinformationen zu verpflichten. In diesem Falle ist eine IP-Adresse ein personenbezogenes Datum.

Fazit

Die automatische, unfreiwillige Weitergabe einer IP-Adresse in ein Drittland, ist ein unzulässiger Eingriff in das allgemeine Persönlichkeitsrecht eines Nutzers. Gemäß dem vorliegenden Urteil sehen es die Richter als erwiesen an, dass durch die Übermittlung der IP-Adresse ein individuell empfundenes Unwohlsein der betroffenen Person entstanden sei.

Somit kann eine dynamische Einbindung von Google Fonts zu Schadensersatzansprüchen und Untersagen führen. Webseitenbetreibende können demnach verurteilt werden, betroffenen Usern 100 € (zzgl. Zinsen) zu bezahlen. Urteile ergeben sich dabei aus den datenschutzrechtlichen Schadensersatzansprüche der jeweiligen User.

Prüfen Sie Ihre Website auf den dynamischen Einsatz von Google Fonts

Sie können über folgenden Link überprüfen, ob Ihre Webseite Google-Fonts dynamisch eingebunden haben. Sollte das der Fall sein, unterstützen wir Sie gerne bei der Behebung dieses Problems. Nehmen Sie dazu einfach Kontakt mit uns auf.

Weiterlesen

Mehr aus dem Ratgeber.