Seit der Einführung der Datenschutzgrundverordnung (DSGVO) im Mai 2018 mussten Webseitenbetreiber in der EU viel Zeit und Geld in die Rechtssicherheit ihres Internetauftritts investieren. Seit dem Frühjahr 2022 rollt in Deutschland die erste nennenswerte Abmahnwelle mit Google Fonts DSGVO-Bezug. Es geht um die rechtswidrige Einbindung der kostenlosen Webschriften von Google. Google Fonts und DSGVO – so vermeiden Webseitenbetreiber in 2023 eine Abmahnung.
Die meisten von uns, die eine Webseite oder einen Webshop betreiben, haben sich seit der DSGVO-Einführung 2018 intensiv mit der Frage befasst, wie sich die eigene Seite mit den Datenschutz-Gesetzen vereinbaren lässt. Die DSGVO ist eine EU-Richtlinie, die alle Länder in nationale Gesetze und Rechtsprechung überführen musste. Daher gab und gibt es immer wieder Unklarheiten darüber, wie die DSGVO im eigenen Land genau umzusetzen ist.
In Deutschland wurden seitdem mehrere richtungsweisende Datenschutz-Urteile gefällt. Mit der Einführung des Telekommunikation-Telemedien-Datenschutz-Gesetzes (TTDSG) im Dezember 2021 wurden zudem zahlreiche DSGVO-Regelungen gesetzlich eindeutig geregelt. Zuletzt erging am 20.01.2023 ein Urteil des Landgerichts München I (Aktenzeichen: 3 O 17493/20), was in diesem Jahr zu zahlreichen Abmahnungen von Webseiten geführt hat.
Inhaltsverzeichnis
DSGVO-Abmahnwelle wegen Google Fonts in 2023
Schon seit Inkrafttreten der DSGVO vor rund vier Jahren zittern vor allem gewerbliche Webseitenbetreiber vor Abmahnungen wegen Datenschutz-Verstößen. Die DSGVO sieht teilweise drakonische Strafen von bis zu 20 Millionen Euro oder bis zu 4% des Jahresumsatzes vor. Bis Anfang 2022 waren allerdings nur vergleichsweise wenige Datenschutz-Abmahnungen oder Verfahren zu verzeichnen.
Das hat sich mit dem Urteil vom Februar 2022 geändert: seitdem rollt die erste echte Datenschutz-Abmahnwelle durch Deutschland. Im konkreten Fall, der vor dem Landgericht München I verhandelt wurde, stellten die Richter Folgendes fest: Eine Einbindung von Google Fonts auf einer Webseite, bei der die dynamische IP-Adresse des Benutzers automatisiert und ohne Zustimmung an Google übertragen wird, stellt eine Verletzung des Rechts auf informationelle Selbstbestimmung und des Persönlichkeitsrechts dar. In der Folge des Urteils kam dann besagte Abmahnwelle in Gang.
Ordnungsgeld von bis zu 250.000 Euro angedroht
Seitdem haben zahlreiche Privatpersonen und Anwaltskanzleien Abmahnungen an Webseitenbetreiber in ganz Deutschland verschickt. Dabei verweisen sie auf das Urteil aus München fordern einen Schadensersatz in Höhe von 100 Euro. Häufig verlangten sie zusätzlich, eine Unterlassungserklärung über eine Höhe von 3.000 Euro für jeden weiteren Verstoß abzugeben. Zudem wurde ein Ordnungsgeld von bis zu 250.000 Euro für den Fall eines wiederholten Verstoßes gegen die Regelung angedroht. Dieses Strafmaß wurde auch vom Landgericht München festgelegt.
Viele Unternehmen zahlten die relativ geringe Schadensersatz-Summe zunächst. Zudem häuften sich die Rückfragen bei den Rechtsschutzexperten von Berufsverbänden und Handelskammern. Denn die meisten Unternehmen sind sich nicht bewusst darüber, dass sie mit ihrer Webseite gegen die DSGVO verstoßen.
Was sind Google Fonts und warum sind sie so weit verbreitet?
Wie so viele Services von Google sind auch Google Fonts eigentlich ein großes Geschenk für Webseitenbetreiber und Webdesigner. Google startete den Dienst 2010 und löste damit gleich mehrere Herausforderungen, für die Betreiber und Designer bis dahin Zeit und Geld investieren mussten.
Die über 1400 Fonts umfassende Schriftenbibliothek von Google ist zum einen komplett kostenlos. Für lizenzpflichtige Schriften kostet ein einziger Schriftschnitt (als z.B. die Version in fett und kursiv) schonmal zwischen 50 bis 150 Euro. Zudem sind die Lizenzkosten häufig abhängig vom Besucheraufkommen der Webseite. Das kann zu anderen Datenschutz-Konflikten führen (mehr dazu später).
Zum anderen werden Google Fonts auf allen Browsern, Endgeräten und Betriebssystemen einwandfrei und weitestgehend identisch dargestellt werden. Darüber hinaus können sie auch in druckfähigen Formaten heruntergeladen werden. Sogar für das Printdesign lassen sie sich einsetzen.
Google Fonts und Datenschutz – wo genau liegt der Verstoß?
Die gute Nachricht zuerst. Wer nicht auf die kostenlosen und webfähigen Google Fonts verzichten will, kann diese auch DSGVO-konform nutzen. Eine schlechte Nachricht gibt es auch. Auf den allermeisten Webseiten werden Google Fonts so eingesetzt, dass sie nach Ansicht des Landgerichts München I gegen die DSGVO verstoßen.
Im Kern dreht sich die Datenschutz-Grundverordnung um die Erhebung und Verarbeitung von personenbezogenen Daten der Webseitenbesucher. Die standardmäßige Einbindung von Google Fonts lädt die Dateien nämlich beim Aufruf der Webseite von Google-Servern mit Standort in den USA nach. Dabei überträgt sich die dynamische IP-Adresse des Besuchers an Google. Genau das ist verboten, weil dies das Gericht als unerlaubte Übermittlung von personenbezogenen Daten wertet. Hieraus leiten sich auch die individuellen Schadensersatzansprüche ab.
Problem der standardmäßigen Integration in vielen CMS
Ein Grund für die weitverbreitete – und seit dem Urteil in Deutschland gesetzeswidrige – Einbettung von Google Fonts gestaltet sich wie folgt. Die meisten Content Management Systeme wie WordPress, Joomla, Typo3 oder Drupal, mit denen professionelle Webseiten in der Regel aufgebaut werden, haben seit vielen Jahren Google Fonts standardmäßig integriert. So konnte direkt über das CMS auf das riesige Schriftenverzeichnis von Google zurückgegriffen werden. Und zwar ohne die Schriftdateien vorher einzeln zu recherchieren und herunterladen zu müssen. Was für Webdesigner und Digitalagenturen bislang genial einfach war, wird nun den Webseitenbetreibern zum Verhängnis.
Überprüfen, ob Webseite mit Google Fonts DSGVO-konform ist
Um zu überprüfen, ob Google Fonts auf der eigenen Webseite rechtssicher sind, fragt zuerst bei eurem Datenschutzbeauftragten und dem Ersteller der Webseite nach. Es gibt zudem verschiedene Online-Scanner, die eine Überprüfung ermöglichen.
Weit verbreitet ist der Google Fonts Scanner von E-Recht24:
https://www.e-recht24.de/google-fonts-scanner
Das Problem hierbei: auch Besucher, Kunden, Wettbewerber und Abmahn-Kanzleien können so in wenigen Augenblicken erkennen, ob eine Webseite abmahnfähig ist und Schadensersatzansprüche angemeldet werden können.
Wir raten in jedem Fall dazu, sich angesichts der erheblichen Strafzahlungen, nicht auf diese Google Fonts Scanner zu verlassen. Denn diese prüfen oft nur eine einzige Seite (z.B. die Startseite), und nicht sämtliche Unterseiten. Zudem wird immer wieder von Fällen berichtet, in denen eine Online-Prüfung keine Probleme angezeigt hat. Obwohl immer noch Datenverbindungen zu Google Fonts-Servern bestanden.
Google Fonts – so geht die DSGVO konforme Nutzung
Die Lösung des Datenschutz-Problems bei der Verwendung von Google Fonts ist vom Prinzip her einfach. Anstatt die Schriftdateien online über die Google Server nachzuladen, können Google Fonts auch lokal über den eigenen Webserver eingebettet werden.
Google bietet nämlich die Möglichkeit, die Webfonts herunterzuladen. Diese Dateien werden dann auf dem eigenen Webserver (dieser sollte seinen Standort in Deutschland, mindestens aber in der EU haben) abgelegt und in die Webseite geladen. So wird keine Datenverbindung in die USA hergestellt. Und beim Laden der Schriften erfolgt keine illegale Übertragung der dynamischen IP an Google.
Wie man Google Fonts (wirklich) rechtssicher nur lokal einbindet…
… ist im Detail leider manchmal komplizierter, als man denkt! Wer sich mit der Erstellung von Webseiten auskennt, sollte kein Problem damit haben, die Google Font Dateien lokal auf dem eigenen Webserver einzubinden.
Schwierig wird es häufig, die ursprünglich über die Google Server eingebetteten Fonts vollständig aus der Webseite zu entfernen. Denn neben der eigentlichen Webseite verwenden Content Management System wie WordPress & Co. häufig sogenannte PlugIns von Drittherstellern, die ihrerseits Google Fonts nutzen. Ein bekanntes Beispiel hierfür ist der Slider Revolution. Dabei handelt es sich um eine App, die Bildergalerien erstellt und animiert. Das Entfernen von Google Fonts aus PlugIns kann kniffelig sein und im schlechtesten Fall die Lauffähigkeit der PlugIns beeinträchtigen.
Probleme bei Verwendung externer Dienste
Richtig kniffelig wird die Aufgabe, wenn in der Webseite weitere Dienste von Google wie z.B. der Kartendienst Google Maps oder die Anti-Spam-App Google reCAPTCHA eingesetzt werden. Diese externen Diensten verwenden natürlich auch Google Fonts. Diese können allerdings nicht durch lokal gespeicherte Google Fonts ersetzt werden, sondern nutzen zwangsweise das Nachladen über die US-Server.
Wer auf Nummer sicher gehen will, beauftragt mit der DSGVO-konformen Einbindung eine verlässliche Agentur, die auf dieses Thema spezialisiert ist. Hierbei lohnt sich immer die Nachfrage, ob ein Anbieter sich mit dem auf der eigenen Webseite verwendeten Content Management System wirklich auskennt.
Für eine rechtssichere Nutzung von Google Fonts in WordPress-Webseiten (das CMS wird in Deutschland mit großem Abstand am häufigsten eingesetzt) und WooCommerce-Webshops empfiehlt sich der E-Recht24 Agentur-Partner Regenreich!
Cookie Manager vs. Webschriften? Widersprüchliche Abmahnwelle…
Wie eingangs erwähnt, ist die Gesetzeslage zum Datenschutz in Deutschland nicht ganz eindeutig. Weder die DSGVO noch das TTDSG oder die wichtigsten Urteile liefern Webseitenbetreibern eine eindeutige Checkliste. Die könnte man dann einfach abarbeiten, um seine Webseite oder seinen Webshop 100% rechtssicher zu bekommen.
So erklärt sich auch, dass ganz viele Unternehmen von dem aktuellen Urteil zu Google Fonts DSGVO kalt erwischt wurden. Nicht wenige waren oder sind sich bewusst, dass sie im Zweifelsfall abgemahnt werden können oder sogar schadensersatzpflichtig sind.
Ein genauer Blick in das Urteil des Landgerichts München I zeigt, wie widersprüchlich die aktuelle Abmahnwelle ist. Das Gericht hat sein Urteil auch mit dem Umstand begründet, dass auf der Webseite des Beklagten keine Einwilligung zur Übertragung personenbezogener Daten via Google Fonts eingeholt wurde.
Option „Nur essenzielle Cookies zulassen“ reicht nicht aus
Viele Webseiten, die einen DSGVO-konformen Cookie Manager einsetzen, Google Fonts aber NICHT lokal über den eigenen Server eingebunden haben, erfüllen auf den ersten Blick den Anspruch des Gerichts, dass für solch eine Datenübertragung vorher die Zustimmung des Nutzers eingeholt wurde.
Vorsicht: Auch hier liegt die Krux im technischen Detail! Zwar bieten moderne Cookie Manager (auch „Consent Banner“ genannt) die Option, allen Cookies und der Datenschutzerklärung zuzustimmen. Damit würde man auch dem Einsatz von Google Fonts mit dynamischer IP-Adressen-Übertragung zustimmen. Wählt der Besucher allerdings die Option „Nur essenzielle Cookies zulassen“, bieten Cookie Manager in der Regel NICHT die Option, Google Fonts zu deaktivieren. Selbst wenn es diese Möglichkeit technisch geben sollte, würde im Zweifelsfall dadurch auch das komplette Erscheinungsbild der Webseite zerschossen werden.
Korrekte Einbindung von lizenzierten Fonts
Noch widersprüchlicher stellt sich übrigens die rechtlich korrekte Einbindung von lizenzierten Fonts dar, die ein besucherabhängiges Kostenmodell haben. Die Nutzungsbedingungen solcher Fonts setzen es voraus, dass der Lizenzgeber die Besucherdaten erhält.
Eine solche Datenübertragung muss laut DSGVO über einen Cookie Manager an- und abwählbar sein. Lehnt ein Besucher die Traffic-Analyse durch den Font-Anbieter ab, kann er auf der Webseite trotzdem weitersurfen. Der Webseitenbetreiber verstößt damit allerdings gegen den Nutzungsvertrag, den er mit dem Schriftenhersteller abgeschlossen hat …
Google Fonts und Datenschutz – so lässt sich die Abmahnung vermeiden
Angesichts der unvermindert rollenden Abmahnwelle sollte man das Thema in jeden Fall ernst nehmen! Jeder einzelne Besucher kann potenziell eine Abmahnung schicken und 100 Euro Schadensersatz verlangen. Eine Zuwiderhandlung kann schnell sehr teuer werden. Neben einem gerichtlich verhängten Ordnungsgeld (das LG München hat bis zu 250.000 Euro angedroht) können Bußgelder für Verstöße gegen die DSGVO, welche die Landesdatenschutzbehörden verhängen kann, noch hinzukommen. Hier stehen noch höhere Summen auf dem Spiel.
Problematisch ist zudem, dass sich eine fehlerhafte Einbindung von Google Fonts durch Besucher, Konkurrenten und gierige Abmahnkanzleien in Sekundenschnelle bzw. sogar automatisiert feststellen lassen.
Unsere aktuellen Empfehlungen, um bei Google Fonts auf Nummer sicher zu gehen:
- Datenschutzbeauftragte und Webseiten-Betreuer (IT-Abteilung, Internetagentur, Webdesigner) sollten die Nutzung von Google Fonts überprüfen.
- Falls Google Fonts genutzt werden, prüfen, ob sie komplett lokal über den eigenen Webserver eingebunden sind.
- Falls dies nicht der Fall ist, sollte sie unbedingt ein fachkundiger Anbieter, der das verwendete Content Management System gut kennt, rechtssicher einbinden.
- Alternativ könnt ihr auch ganz auf Google Fonts verzichten. Die Nutzung von lizenzpflichtigen Schriften mit einem Traffic-Tarif kann jedoch zu anderen rechtlichen Problemen führen. Die Verwendung von anderen kostenlosen Schriften geht dann aber häufig auf Kosten des Designs. Auch diese müssen unbedingt lokal eingebunden werden.
- Wer sich wirklich rechtlich absichern will, sollte seine angepasste Seite immer von einem Rechtsanwalt prüfen lassen!
Was sind eure Erfahrungen mit dem Thema Google Fonts und DSGVO? Habt ihr auch eine Abmahnung bekommen oder davon gehört? Kennt ihr neue Urteile oder technische Mittel? Schickt uns gerne eine Nachricht in den Kommentaren! Wir bleiben in jedem Fall am Thema dran und halten euch auf dem Laufenden.
Artikelbild: Unsplash / Brett Jordan
Artikel aktualisiert am 3.1.2023.
