Besuchen Personen eine Webseite, lädt diese automatisch Google-Schriften herunter und schickt die IP-Adresse und damit personenbezogene Daten des Besuchers an Google. Ohne dessen Einwilligung kann das als Datenschutzverletzung gelten. Das hat das Landgericht München I in seinem Urteil vom 20. Januar 2022 entschieden (Aktenzeichen 3 O 17493/20). Was das für Betreiber von Webseiten bedeutet, erklärt Ecovis-Datenschutzexperte Karsten Neumann in Rostock.
Worum geht es bei dem Urteil des Landgerichts München?
Liegen Google-Schriften oder Google-Fonts nicht auf dem Webserver der Seitenbetreiber, sondern lädt die Webseite die Schriften vom Google-Server, übermittelt die besuchte Internetseite personenbezogene Daten an Google. Das ist eine Datenschutzverletzung, urteilte das Landgericht München I. Und darauf beziehen sich jetzt Abmahnkanzleien und Privatpersonen. Sie verschicken Abmahnungen an Unternehmerinnen und Unternehmer und wollen so Schadenersatz wegen der unzulässigen Einbindung von Google-Schriftarten bekommen.
Wie funktioniert die Einbindung von Google-Schriften, und warum ist das problematisch?
Google-Schriften können auf zwei Arten auf Webseiten eingebunden sein:
1. Die Schriftarten bleiben auf den Servern von Google. Öffnet ein Besucher die Internetseite, werden die Schriften von einem Google-Server nachgeladen. Im Falle des „Nachladens“, also der dynamischen Einbindung oder Remote-Einbindung, übermittelt die Webseite automatisch die IP-Adressen der Geräte an Google, auf denen die Seite gerade geöffnet wird. Bei diesen IP-Adressen handelt es sich um personenbezogene Daten. Deren Übermittlung ist nur zulässig, wenn dafür von jedem Besucher eine Einwilligung vorliegt, beispielsweise über ein Consent-Banner (Cookie). Bei der automatischen Übermittlung von IP-Adressen an Google hat der Webseitenbesucher keine Kontrolle mehr über die Verarbeitung seiner personenbezogenen Daten. Dies ist eine Verletzung des allgemeinen Persönlichkeitsrechts.
2. Speichern Webseitenbetreiber die Schriften lokal auf dem eigenen Webserver und setzen sie diese von dort ein, erfolgt keine Datenübermittlung an Google. Sie müssen dann keine Einwilligung vom Besucher der Internetseite einholen.
Was müssen Webseitenbetreiber jetzt tun?
Unternehmerinnen und Unternehmer müssen prüfen, ob die Google-Schriften remote oder lokal auf ihrer Internetseite eingebunden sind. Sollen die Schriften weiterhin auf dem Google-Server bleiben, müssen sie ein Consent-Tool einbinden. Dann können Besucher der Homepage ihre Einwilligung zur Übermittlung personenbezogener Daten geben. Ohne Einwilligung und ohne die Gefahr einer Datenschutzverletzung können Betreiber von Internetseiten die Google-Schriftarten lokal auf dem Webserver einbinden. Aber aufgepasst bei Google Maps: Unternehmen, die eine Anfahrtsskizze mithilfe von Google Maps darstellen, müssen immer eine Einverständniserklärung vorschalten. Denn Google Maps lässt sich nicht lokal hosten, die Schriften kommen immer vom Google-Server.
„Auf jeden Fall sollten Betriebe, die eine Abmahnung erhalten, nicht darauf reagieren oder bezahlen. Wir empfehlen, dass Betroffene immer erst datenschutzrechtlichen Rat einholen“, sagt Ecovis-Datenschutzexperte Karsten Neumann in Rostock.
Worum geht es bei dem Urteil des Landgerichts München?
Liegen Google-Schriften oder Google-Fonts nicht auf dem Webserver der Seitenbetreiber, sondern lädt die Webseite die Schriften vom Google-Server, übermittelt die besuchte Internetseite personenbezogene Daten an Google. Das ist eine Datenschutzverletzung, urteilte das Landgericht München I. Und darauf beziehen sich jetzt Abmahnkanzleien und Privatpersonen. Sie verschicken Abmahnungen an Unternehmerinnen und Unternehmer und wollen so Schadenersatz wegen der unzulässigen Einbindung von Google-Schriftarten bekommen.
Wie funktioniert die Einbindung von Google-Schriften, und warum ist das problematisch?
Google-Schriften können auf zwei Arten auf Webseiten eingebunden sein:
1. Die Schriftarten bleiben auf den Servern von Google. Öffnet ein Besucher die Internetseite, werden die Schriften von einem Google-Server nachgeladen. Im Falle des „Nachladens“, also der dynamischen Einbindung oder Remote-Einbindung, übermittelt die Webseite automatisch die IP-Adressen der Geräte an Google, auf denen die Seite gerade geöffnet wird. Bei diesen IP-Adressen handelt es sich um personenbezogene Daten. Deren Übermittlung ist nur zulässig, wenn dafür von jedem Besucher eine Einwilligung vorliegt, beispielsweise über ein Consent-Banner (Cookie). Bei der automatischen Übermittlung von IP-Adressen an Google hat der Webseitenbesucher keine Kontrolle mehr über die Verarbeitung seiner personenbezogenen Daten. Dies ist eine Verletzung des allgemeinen Persönlichkeitsrechts.
2. Speichern Webseitenbetreiber die Schriften lokal auf dem eigenen Webserver und setzen sie diese von dort ein, erfolgt keine Datenübermittlung an Google. Sie müssen dann keine Einwilligung vom Besucher der Internetseite einholen.
Was müssen Webseitenbetreiber jetzt tun?
Unternehmerinnen und Unternehmer müssen prüfen, ob die Google-Schriften remote oder lokal auf ihrer Internetseite eingebunden sind. Sollen die Schriften weiterhin auf dem Google-Server bleiben, müssen sie ein Consent-Tool einbinden. Dann können Besucher der Homepage ihre Einwilligung zur Übermittlung personenbezogener Daten geben. Ohne Einwilligung und ohne die Gefahr einer Datenschutzverletzung können Betreiber von Internetseiten die Google-Schriftarten lokal auf dem Webserver einbinden. Aber aufgepasst bei Google Maps: Unternehmen, die eine Anfahrtsskizze mithilfe von Google Maps darstellen, müssen immer eine Einverständniserklärung vorschalten. Denn Google Maps lässt sich nicht lokal hosten, die Schriften kommen immer vom Google-Server.
„Auf jeden Fall sollten Betriebe, die eine Abmahnung erhalten, nicht darauf reagieren oder bezahlen. Wir empfehlen, dass Betroffene immer erst datenschutzrechtlichen Rat einholen“, sagt Ecovis-Datenschutzexperte Karsten Neumann in Rostock.
