Wer Schriftarten von Google-Servern ohne Zustimmung einbindet, verstößt gegen die DSGVO. Die Gerichtsentscheidung betrifft aber auch andere CDNs.
Die Einbindung von dynamischen Webinhalten wie Google Fonts von US-Webdiensten ist ohne Einwilligung der Besucher rechtswidrig. Das hat das Landgericht München in einem Urteil (Az. 3 O 17493/20) entschieden. Webseitenbetreiber können auf Unterlassung und Schadensersatz verklagt werden.
Dem Kläger wurde ein Schadensersatz von 100 Euro zugesprochen, da bei einem Webseitenaufruf der beklagten Webseite seine IP-Adresse durch die eingebundenen Google Fonts an das US-Unternehmen weitergegeben wurde. “Die unerlaubte Weitergabe der dynamischen IP-Adresse des Klägers durch die Beklagte an Google stellt eine Verletzung des allgemeinen Persönlichkeitsrechtes in Form des informationellen Selbstbestimmungsrechts nach § 823 Abs. 1 BGB dar”, schreibt das Gericht.
Bei dynamischen IP-Adressen handle es sich um personenbezogene Daten, da es dem Webseitenbetreiber über eine zuständige Behörde und den Internetzugangsanbieter abstrakt möglich sei, die betreffende Person zu identifizieren, so das Urteil. Ein berechtigtes Interesse im Sinne der Datenschutzgrundverordnung (DSGVO), mit dem der beklagte Webseitenbetreiber argumentiert hatte, liege jedoch nicht vor. Denn die Google Fonts können auch heruntergeladen und vom eigenen Server ausgeliefert werden, statt sie über externe Google-Server einzubinden.
Dem Webseitenbetreiber droht ein Ordnungsgeld von bis zu 250.000 Euro oder eine ersatzweise Ordnungshaft von bis zu sechs Monaten, sollte weiterhin die IP-Adresse des Klägers bei einem Besuch der Webseite an Google weitergegeben werden.
Im Urteil des Landgerichts München geht es zwar um eine Einbindung von Google-Schriftarten, die vom Gericht aufgestellten Grundsätze gelten jedoch auch für alle anderen extern in Webseiten eingebundenen Inhalte von US-Diensten. Insofern dürfte letztlich auch jede Art von CDN (Content Delivery Network) aus den USA betroffen sein.
Um einer möglichen Klage zu entgehen, müssen Webseiten die Inhalte wie Schriftarten, Skripte oder Bilder selbst hosten. Alternativ könnte die Zustimmung zur Weitergabe der IP-Adresse über ein Consent-Banner eingeholt werden. Über diese Variante hat das Landgericht jedoch nicht geurteilt, da im vorliegenden Fall keine Zustimmung eingeholt worden war.
Denn grundsätzlich ist nach dem Schrems-II-Urteil des Europäischen Gerichtshofs (EuGH) im Juli 2020 und dem damit verbundenen Ende des Privacy Shields umstritten, ob, und wenn ja zu welchen Bedingungen personenbezogene Daten in die USA übermittelt werden dürfen.
“Sollte sich die Sichtweise des Landgerichts München durchsetzen, stellt sie einen Freibrief für Abmahnungen und Schadensersatzforderungen dar. Das deutschsprachige Internet ist voll von Websites, die US-Webdienste ohne Consent Banner einsetzen”, schreibt der Rechtsanwalt Niklas Plutte. Um sich zum klageberechtigten Betroffenen zu machen, reiche ein einziger Klick.
Es ist ja eines, darüber zu berichten; aber darüber zu berichten *und* gleichzeitig den gleichen Verstoß zu begehen ist vielleicht nicht die sinnvollste Entscheidung.
@Julian: Der Redakteur ist doch nicht für die technische Umsetzung der Webseite zuständig. Generell halte ich das Urteil für sehr kritisch. Es bedroht im Grunde genommen alles, wofür das Web steht. Es ist ja gerade der Sinn des Webs, Inhalte zu teilen, zu verlinken und wiederzuverwenden. Dazu gehören auch die Inhalte von CDNs, deren Nutzung durch das Urteil ab absurdum geführt wird. Einen Consent Banner einbauen (der meiner Meinung nach meistens mehr stört als nützt), um das Nachladen von CDN-Inhalten zu verzögern ist mindestens genau so komplex, wie die betroffenen Bibliotheken selbst zu hosten, wodurch ein wesentlicher Vorteil von CDNs… Mehr »
Die DSGVO ist aus meiner Sicht als Privatmann als auch als Berufstätiger die wohl sinnlosteste Verordnung, die die EU-Politiker und -Beamten in den letzten Jahren in die Welt gesetzt haben. Sie behindert den Geschäftsverkehr, das Sozial- und Gesellschaftsleben sowie teils sogar die freie Meinungsäußerung. Das Urteil vom LG München ist mal wieder ein Beweis dafür, was unausgekorene Verordnungen und Normen anrichten können. Wie soll man sich denn nach Meinung dieser Juristen, die das Urteil gefällt und begründet haben, verhalten? Gerade das komplette Herunterladen von allem möglichen Kram erschwert es doch. So langsam reicht es. Dass nur der Verdacht, man könnte… Mehr »
Das Gericht zeigt damit, dass es von der Technik null Ahnung hat. Wenn in einer Webseite auf Host A eine Schriftart von Host B eingebunden wird und der Browser auf Host C die Webseite abruft und darstellt, dann gibt nicht Host A die IP-Adresse von Host C weiter an Host B, sondern Host C holt sich die Webseite von Host A und die Schriftart von Host C.
Beschreibung richtig – Vorurteil, dass das Gericht keine Ahnung von habe, falsch. Begründung: Es wurde nach Recht und Gesetz verurteilt, dass die IP des “Surfers” einem US-Unternehmen mitgeteilt wurde, durch das das hier unerlaubte abrufen (da die IP an den Fonthoster weitergegeben wurde ohne Zustimmung darüber) einer Schriftart eines externen Anbieters. Hintergrund: …in eigene Worte gefasst… In “Regierungskreisen” herrscht eine Weißheit und/oder Wissen darüber, dass das Sammeln von persönlichen Daten ein erhebliches Risiko für die Mündigkeit, Schutz vor Verletzlichkeit und weitere, ggf. bisher undenkbare Szenarien bedeutet und mindestens der Bürger*innen oder jede*r Nutzer*in/Datenabrufer*in eine Möglichkeit zu Zustimmung oder Ablehnung haben… Mehr »
(neuerdings?) z.B. bei meiner openSUSE-Aktualisierung wurden zwei google-fonts direkt von googles Servern abgerufen, weil sie für SUSE-Programmbestandteile notwendig seien. Ich wiß nicht genau ob und welche weiteren Informationen über mich, dem Abrufenden, dem Anbieter bekannt gemacht werden -> ähnlich wie beim Ansurfen einer Website? Hier wird ja dem Hoster/der Hosterin (sind ja meist “weiblich” anzusprechende Geschäftsformen) mein Plapperfreudiger Browser freizügig erzählen wer er ist, was er kann, mit welchem “Transportmittel” er reist (OS, x11 o.ä., Bildschirmauflösung, Sprache … ) und was weiß ich… Diese Informationen sind für verschiedene Zielrichtungen auswertbar – ob freundlich oder feindlich hängt von der Auswertenden Person… Mehr »