Dynamische Einbindung von Google Fonts ohne Einwilligung verstößt gegen DSGVO
01.04.2022 | Susanne Stingl
In einem aktuellen Urteil des Landgerichts München I (Urteil vom 20. Januar 2022, Az. 3 O 17493/20) stellt dieses fest, dass die dynamische Einbindung von Google Fonts ohne Einwilligung rechtswidrig ist.
Google Fonts ist ein Dienst, der es Websitebetreibern ermöglicht, verschiedene Schriftarten auf der Website einzubinden. Dabei gibt es zwei Möglichkeiten:
- Die statische: Dabei werden die Schriftarten zunächst heruntergeladen und im Anschluss auf den eigenen Website-Server geladen und von dort aus in der Website eingebunden.
- Die dynamische: Dabei wird die Schriftart direkt von den Servern von Google eingebunden.
Der datenschutzrelevante Unterschied zwischen diesen beiden Möglichkeiten liegt darin, dass bei der dynamischen Einbindung jedes Mal, wenn jemand die Website besucht, seine IP-Adresse an Google übermittelt wird. Google erhält somit zumindest potentiell Kenntnis darüber, wer welche Website besucht hat.
Bei der IP-Adresse handelt es sich nach der Rechtsprechung des Bundesgerichtshofs und des Europäischen Gerichtshofs um ein personenbezogenes Datum, ähnlich einer Postadresse, da auch bei dynamischen IP-Adressen diese in der Regel einem konkreten Gerät und damit meist auch einer Person zugeordnet werden können.
Grundsätzlich ist es für Nutzende möglich, mittels VPN ihre IP-Adresse so zu verschleiern, dass sie nicht mehr einer konkreten Person zuzuordnen ist. Das LG München I sieht hier aber in Fortführung der Rechtsprechung des Landgericht Dresden (Az. 1a O 1582/18) keine Exkulpationsmöglichkeit des Websitebetreibers aufgrund dieser Tatsache. Die DSGVO nimmt den Verantwortlichen selbst in die Pflicht. Dieser ist für die Umsetzung verantwortlich und kann die Pflicht nicht auf die betroffene Person abwälzen.
Im vorliegenden Fall hat sich der Websitebetreiber als Rechtsgrundlage für die Datenverarbeitung auf das berechtigte Interesse nach Art. 6 Abs. 1 lit. f DSGVO berufen. Hiernach dürfen personenbezogene Daten verarbeitet werden, wenn das Interesse des Verantwortlichen das Interesse der betroffenen Person überwiegt. Das LG München I stellte hierbei fest, dass kein überwiegendes Interesse des Verantwortlichen vorliegt, wenn es auch – wie hier – eine einfache Möglichkeit ohne Datenübermittlung gibt. Daher könnte die dynamische Einbindung von Google Fonts nur auf eine Einwilligung nach entsprechender Information gestützt werden. Für die Universität Regensburg ist Art. 6 Abs. 1 S. 1 lit. f DSGVO ohnehin nicht anwendbar, soweit sie im Rahmen ihrer gesetzlichen Aufgabe, zu der auch die Öffentlichkeitsarbeit gehört, handelt (Art. 6 Abs. 1 S. 2 DSGVO). Beim Handeln im Rahmen der Aufgabe können sich öffentliche Stellen auf Art. 6 Abs. 1 S. 1 lit. e DSGVO stützen. Hier würde es vorliegend jedoch am Kriterium der Erforderlichkeit der dynamischen Einbindung für die Aufgabenerfüllung scheitern.
Eine weitere Problematik besteht darin, dass bei der Übermittlung an Google eine Übermittlung in ein Drittland erfolgt, welche eine zusätzliche Rechtsgrundlage benötigt, die vorliegend nicht vorhanden ist.
Wird die dynamische Einbindung von Google Fonts entgegen der Vorgaben der DSGVO eingesetzt, können Schadensersatzansprüche der betroffenen Personen drohen.
Handlungsempfehlung: Wenn Sie Google Fonts nutzen wollen, achten Sie darauf, nicht die dynamische Version zu wählen, sondern die Schriftarten herunterzuladen. Dadurch entsteht beim Abrufen der Website keine Datenübermittlung durch Google Fonts und die DSGVO wird nicht berührt.
Bei Fragen zum Datenschutz können Sie sich gern an dsb@ur.de wenden.
Quellen:
Urteil des LG München I: Urteil vom 20. Januar 2022, Az. 3 O 17493/20
DFN Info Brief Recht 3/2022: https://dfn.de/wp-content/uploads/2022/03/Infobrief_Recht_3-2022.pdf
Zur Problematik der Datenübermittlung in die USA siehe auch:
Aktuelles - Universität Regensburg (uni-regensburg.de): EuGH erklärt den Datenaustausch mit USA für ungültig – EU-US-Privacy Shield gekipp
und
Aktuelles - Universität Regensburg (uni-regensburg.de): Datenübermittlung in Drittstaaten - Neue Standardvertragsklauseln
