Google Fonts Abmahnwelle: Aufatmen vor Weihnachten

Ist der Schreckensbann gebrochen und Homepagebetreiber müssen nun nicht mehr wegen Google Fonts zittern?

Es grenzt an ein Weihnachtswunder: Nach Monaten der Abmahnwelle hat die Generalstaatsanwaltschaft Berlin nun Durchsuchungen in mehreren Städten durchgeführt, wie sie gestern in einer Pressemitteilung verkündete. Im Visier waren dabei nicht Unternehmen, die Google Fonts remote in ihre Homepage eingebaut hatten, sondern eine Berliner Kanzlei und deren Mandanten, die bislang über 2.400 Abmahnschreiben an Unternehmen verfasst hatten. Der Spieß wurde sprichwörtlich umgedreht. Wir setzen in Perspektive, was das für Homepagebetreiber bedeutet:

Dass die Anschreiben an tausende kleine und mittlere Unternehmen mit der Drohung einer Klage aufgrund von Google Fonts, dem Verstoß gegen die DSGVO und dem Angebot einer außergerichtlichen Vergleichssumme (meistens zwischen 100 und 200 Euro) dubios waren, das haben viele Betroffene so empfunden. Datenschutzkanzleien konnten bislang nur auf eine relativ unklare Rechtslage verweisen. Es hat sich aber schnell herauskristallisiert, dass Einzelpersonen in Zusammenarbeit mit Kanzleien Schadensersatzansprüche von einer Vielzahl an Unternehmen geltend machen wollten, offensichtlich mit dem Ziel sich selbst zu bereichern und nicht – wie zum Beispiel Schrems und seine Organisation NOYB – um auf Datenschutzmissstände hinzuweisen.

Gestützt wurde die Abmahnwelle auf einen Bescheid des Landgerichts München I vom 20.01.2022 (Az.: 3 O 17493/20), in dem tatsächlich 100,00 € Schadensersatzanspruch aufgrund von Google Fonts zugesprochen wurden. Konkret: Google Fonts wurden remote in eine Homepage eingebunden, was dazu führt, dass beim Aufrufen der Seite die IP-Adresse des Users in die USA (die seit Wegfall des Angemessenheitsbeschlusses als ‚unsicheres Drittland‘ im Sinne von DSGVO und TTDSG einzustufen ist) übertragen wurde.

Was sagt Google zur Abmahnwelle?

Vor einem Monat hat sich Google in einem englischsprachigen Blogbeitrag zur aktuellen Abmahnwelle im deutschsprachigen Raum geäußert. Es sei völlig normal, dass bei der Auslieferung der Google Fonts, die ja die Nutzung einer Seite vereinfachen und das User-Erlebnis verbessern sollen, die IP-Adressen übertragen werden. Frei übersetztes Zitat hierzu: „So funktioniert das Internet.“ Tatsächlich spiegelt das die Devise (nicht nur von Google) wider, dass im Internet personenbezogene Daten als ‚Währung‘ für den Bezug unentgeltlicher und komfortabler Seitenerlebnisse gehandelt werden. Nur hat eben diese Einstellung überhaupt erst zu den ganzen datenschutzrechtlichen Bestrebungen der letzten Jahre geführt und gezeigt, dass ein Umdenken nötig ist.

Google konnte aber zumindest glaubhaft machen, dass die übertragenen IP-Adressen nach eigener Aussage nicht mit anderen Datenerhebungen zusammengeführt werden, um ein Profil des individuellen Nutzers zu erzeugen.

Unsere Empfehlung für die Einbindung von Google Fonts

Auch wenn sich das beschriebene Verfahren nun endlich mal nicht auf die Homepagebetreiber konzentriert, sondern diejenigen eins auf die Finger bekommen, die sich an der Angst vor Datenschutzverletzungen und der generellen Panik vor Abmahnungen, die sich seit Inkrafttreten der DSGVO verselbstständigt hat, bereichern wollen – es heißt leider nicht, dass man Google Fonts zukünftig weiter bedenkenlos nutzen kann.

Der einzig sichere Weg ist eine lokale Einbindung, wenn möglich auf eigenen Servern. Eine remote Einbindung ist rechtswidrig. Dies erkennt man am Quellcode der Webseite: Im Fall der remoten Einbindung sind darin Verlinkungen auf googleapis.com oder fonts.gstatic.com enthalten.

Im Internet gibt es auch genügend Seiten, auf denen Sie überprüfen können, ob Ihre URL Google Fonts remote einbindet und potentiell abgemahnt werden könnte. Es gibt keinen Grund, dieses Thema leichtfertig anzugehen, denn die übertragenen IP-Adressen sind nach einschlägigen Gerichtsbeschlüssen als personenbezogenes Datum nach DSGVO zu werten. So muss im Cookie Consent die Zustimmung eingeholt und in der Datenschutzerklärung auf diesen Umstand verwiesen werden.

Sie sind sich nicht sicher, ob Ihr Cookie-Consent 100% DSGVO-konform ist? Dann schauen Sie sich gerne unser eigens entwickeltes Tool an.