Der Einsatz von Google Fonts ist rechtswidrig

Veröffentlicht am 07.02.2022 von Nina Kill M. Sc.

Nachdem Google Analytics von einigen Aufsichtsbehörden bereits für rechtswidrig erklärt wurde, urteilt jetzt das Landgericht München: Auch die Einbindung von Google Fonts ohne konkrete Einwilligung ist rechtswidrig.

Wer auf seiner Webseite Schriftarten von Google-Servern einbindet und bei seinen Besuchern vorher keine Einwilligung einholt, begeht einen Verstoß gegen die DSGVO. In dem vorliegenden Fall erhielt der Kläger vom Gericht 100 Euro Schadenersatz zugesprochen. Gleichzeitig droht dem Websitebetreiber ein Ordnungsgeld bis zu 250.000 Euro, wenn weiterhin die IP-Adressen des Klägers bei einem Besuch der Website an den Datenkonzern Google weitergegeben wird.

Das Urteil ist aktuell noch nicht rechtskräftig, aber würde sehr weitreichende Konsequenzen nach sich ziehen:

100 € klingen erstmal nicht dramatisch, aber theoretisch kann jeder Webseiten Besucher dann einen solchen Schaden geltend machen.
Das Urteil lässt sich direkt auf sämtliche extern eingebundenen Komponenten (wie auch Javascript Bibliotheken) übertragen. Auf vielen Webseiten sind oft gleich mehrere solcher externen Assets eingebunden.

Abmahnwelle in Sicht
Jede Webseite lässt sich ohne großen technischen Aufwand auf solche externen Assests überprüfen. Teilweise existieren dafür schon heute kostenlose Werkzeuge und es besteht die Gefahr, dass die Aufsichtsbehörden, aber gerade auch Abmahnanwälte im Zuge des Urteils aus München aktiv werden.

Unsere Empfehlung: Warten Sie nicht bis das Urteil rechtskräftig wird oder hoffen, auf eine Revision, sondern werden Sie jetzt aktiv. Eine datenschutz-freundliche Gestaltung Ihrer Webseite kann Sie vor zukünftigen Abmahnungen, Unterlassungsandrohungen oder Bußgeldern schützen.

Ihre To-Dos:

Auf einer kleinen Homepage am besten: hosten Sie Schriftarten, Skripte sowie Bilder immer lokal.
Bei größeren Webangeboten: setzen Sie einen Content-Delivery Provider (CDN) ein, mit dem Sie einen wirksamen AV-Vertrag geschlossen haben.
Möchten Sie unbedingt weiterhin externe Assets nutzen, dann müssen Sie vorher die aktive Einwilligung Ihrer Nutzer eingeholt haben. Das gilt im Prinzip auch für die sogenannten Tag-Manager.
Beachten Sie dabei die Empfehlungen zur datenschutz-konformen Gestaltung eines Cookie-Banners (hierzu erhalten Sie in den kommenden Tagen eine detaillierte Hinweise)
Wir haben die Erfahrung gemacht, dass Agenturen oftmals selbst gar keinen richtigen Überblick haben, welche externen Dienste und Tools eingebunden sind und eher sorglos mit dem Thema umgehen. Deswegen prüfen Sie eigenständig, ob durch Ihre Webseite Daten an Dritte übermittelt werden.
Für die Profis: Nutzen für alle extern eingebundene Assets das Subresource Integrity (SRI) Feature.

Gerne unterstützt Sie Ihr Berater für Datenschutz oder Informationssicherheit bei der datenschutzkonformen Gestaltung Ihrer Website.