Dynamische Einbindung von Google Fonts ohne Einwilligung verst??t gegen DSGVO

01.04.2022 | Susanne Stingl

In einem aktuellen Urteil des Landgerichts München I (Urteil vom 20. Januar 2022, Az. 3 O 17493/20) stellt dieses fest, dass die dynamische Einbindung von Google Fonts ohne Einwilligung rechtswidrig ist.

Google Fonts ist ein Dienst, der es Websitebetreibern erm?glicht, verschiedene Schriftarten auf der Website einzubinden. Dabei gibt es zwei M?glichkeiten:

• Die statische: Dabei werden die Schriftarten zun?chst heruntergeladen und im Anschluss auf den eigenen Website-Server geladen und von dort aus in der Website eingebunden.
• Die dynamische: Dabei wird die Schriftart direkt von den Servern von Google eingebunden.

Der datenschutzrelevante Unterschied zwischen diesen beiden M?glichkeiten liegt darin, dass bei der dynamischen Einbindung jedes Mal, wenn jemand die Website besucht, seine IP-Adresse an Google übermittelt wird. Google erh?lt somit zumindest potentiell Kenntnis darüber, wer welche Website besucht hat.

Bei der IP-Adresse handelt es sich nach der Rechtsprechung des Bundesgerichtshofs und des Europ?ischen Gerichtshofs um ein personenbezogenes Datum, ?hnlich einer Postadresse, da auch bei dynamischen IP-Adressen diese in der Regel einem konkreten Ger?t und damit meist auch einer Person zugeordnet werden k?nnen.

Grunds?tzlich ist es für Nutzende m?glich, mittels VPN ihre IP-Adresse so zu verschleiern, dass sie nicht mehr einer konkreten Person zuzuordnen ist. Das LG München I sieht hier aber in Fortführung der Rechtsprechung des Landgericht Dresden (Az. 1a O 1582/18) keine Exkulpationsm?glichkeit des Websitebetreibers aufgrund dieser Tatsache. Die DSGVO nimmt den Verantwortlichen selbst in die Pflicht. bwin娱乐_bwin娱乐官网欢迎您@er ist für die Umsetzung verantwortlich und kann die Pflicht nicht auf die betroffene Person abw?lzen.

Im vorliegenden Fall hat sich der Websitebetreiber als Rechtsgrundlage für die Datenverarbeitung auf das berechtigte Interesse nach Art. 6 Abs. 1 lit. f DSGVO berufen. Hiernach dürfen personenbezogene Daten verarbeitet werden, wenn das Interesse des Verantwortlichen das Interesse der betroffenen Person überwiegt. Das LG München I stellte hierbei fest, dass kein überwiegendes Interesse des Verantwortlichen vorliegt, wenn es auch – wie hier – eine einfache M?glichkeit ohne Datenübermittlung gibt. Daher k?nnte die dynamische Einbindung von Google Fonts nur auf eine Einwilligung nach entsprechender Information gestützt werden. Für die Universit?t Regensburg ist Art. 6 Abs. 1 S. 1 lit. f DSGVO ohnehin nicht anwendbar, soweit sie im Rahmen ihrer gesetzlichen Aufgabe, zu der auch die ?ffentlichkeitsarbeit geh?rt, handelt (Art. 6 Abs. 1 S. 2 DSGVO). Beim Handeln im Rahmen der Aufgabe k?nnen sich ?ffentliche Stellen auf Art. 6 Abs. 1 S. 1 lit. e DSGVO stützen. Hier würde es vorliegend jedoch am Kriterium der Erforderlichkeit der dynamischen Einbindung für die Aufgabenerfüllung scheitern.

Eine weitere Problematik besteht darin, dass bei der ?bermittlung an Google eine ?bermittlung in ein Drittland erfolgt, welche eine zus?tzliche Rechtsgrundlage ben?tigt, die vorliegend nicht vorhanden ist.

Wird die dynamische Einbindung von Google Fonts entgegen der Vorgaben der DSGVO eingesetzt, k?nnen Schadensersatzansprüche der betroffenen Personen drohen.

Handlungsempfehlung: Wenn Sie Google Fonts nutzen wollen, achten Sie darauf, nicht die dynamische Version zu w?hlen, sondern die Schriftarten herunterzuladen. Dadurch entsteht beim Abrufen der Website keine Datenübermittlung durch Google Fonts und die DSGVO wird nicht berührt.

Bei Fragen zum Datenschutz k?nnen Sie sich gern an dsb@ur.de wenden.

Quellen:

Urteil des LG München I: Urteil vom 20. Januar 2022, Az. 3 O 17493/20

DFN Info Brief Recht 3/2022: https://dfn.de/wp-content/uploads/2022/03/Infobrief_Recht_3-2022.pdf

Zur Problematik der Datenübermittlung in die USA siehe auch:

Aktuelles - Universit?t Regensburg (uni-regensburg.de):?EuGH erkl?rt den Datenaustausch mit USA für ungültig – EU-US-Privacy Shield gekipp

und

Aktuelles - Universit?t Regensburg (uni-regensburg.de):?Datenübermittlung in Drittstaaten - Neue Standardvertragsklauseln
?