info@schutt-waetke.de

+49 (0)721 120 500

Haftungsgefahr bei Google Fonts & Co.

22. August 2022
Kommentare Aus
Datenschutz Haftung Timo Schutt

In diesem Beitrag berichten wir darüber, warum es keine besonderes gute Idee ist Google Fonts und vergleichbare Dienste zu nutzen, um auf der Webseite Schriftarten zu verwenden. Sie gehen nämlich ohne Sicherstellung bestimmter Maßnahmen ein erhebliches Haftungsrisiko ein, wenn Sie das tun.

Viele Webseiten haben externe Schriftarten

Auf vielen Webseiten werden externe Schriftarten eingesetzt. Manchmal geschieht dies ganz bewusst. Oft, weil die Agentur das cool findet und eine Schriftart besser zur Webseite passt. Teilweise geschieht dies aber auch unbewusst, beispielsweise, wenn ein vorgefertigtes Webseiten-Theme solche Schriftarten nutzt und lädt, ohne dass das erkennbar ist. So geschehen auch bei unserer eigenen Kanzleiwebseite https://schutt-waetke.de, bei der wir erst nach einem Scan der Webseite erkannt haben, dass ein Google-Server beim Aufruf der Seite angesteuert wird, um eine Schriftart zu laden.

Es gibt den sehr populären Dienst Google Fonts, das Pendent dazu vom Marktbegleiter namens Amazon Fonts und viele andere Dienste, die – in der Regel kostenlos – ermöglichen, Schriften einzubetten.

Warum das Einbetten externer Schriftarten ein Problem ist

Die Server der Anbieter solcher Dienste stehen oft nicht in der EU bzw. dem EWR (Europäischer Wirtschaftsraum). Sie stehen vielmehr in vielen Fällen in den USA. Bei den populärsten Diensten werden die Schriftarten von Google- oder eben Amazon-Servern aus den USA geladen.

Das Laden der Schriftarten übernimmt dabei der Browser des Nutzers. Besucht also eine Person die Webseite, wird im Hintergrund – ohne, dass das erkennbar wäre – die Schriftart direkt vom US-Server in den Browser des Nutzers geladen, damit die Webseite entsprechend korrekt angezeigt werden kann.

Um den Ladevorgang durchzuführen, muss der US-Server die IP-Adresse des Nutzers kennen. Denn nur dann kommen die Daten auch an. Vom Europäischen Gerichtshof wissen wir, dass eine IP-Adresse ein personenbezogenes Datum ist und daher der Datenschutzgrundverordnung (DSGVO) unterliegt. Weiter wissen wir, dass die Anbieter dieser Dienste die IP-Adressen auch für eigene Zwecke verarbeiten wollen. Wie so oft sind diese Dienste also nur vermeintlich kostenlos. Denn bezahlt wird mit den IP-Adressen als personenbezogenes Datum. Eine Datenübermittlung an einen Dritten (hier also in meinem Beispiel Google) bedarf allerdings als Rechtsgrundlage der vorherigen ausdrücklichen Einwilligung der Nutzer der Webseite. So, wie also bspw. bei der gewünschten Nutzung von Analyse-Tools (wie Google Analytics) eine Einwilligung mit einem Consent- oder Cookie-Banner eingeholt wird, müsste das auch bei den Schriftarten passieren.

Jedoch werden die Schriftarten schon geladen, bevor eine Einwilligung erteilt werden kann, nämlich schon während sich die Webseite aufbaut und lädt.

Im Ergebnis werden also durch diese Art der Einbettung von Schriftarten in die eigene Website die Rechte der Nutzer verletzt, da ohne Rechtsgrundlage die Daten an einen Dritten in den USA weitergegeben werden.

Hohes Haftungsrisiko für den Webseitenbetreiber

Die Rechtsverletzung geschieht auf der Webseite des Betreibers. Damit ist auch der Betreiber der Webseite dafür verantwortlich, denn er kann auf diese Art der Nutzung verzichten. Also haftet der Anbieter der Webseite für diese Rechtsverletzung. Damit kann jeder Nutzer der Webseite Ansprüche gegen den Betreiber der Seite geltend machen. Das kann sich also sehr schnell in sehr hohe Bereiche aufaddieren.

Bei hunderten oder tausenden Besuchern einer Webseite pro Woche besteht damit in der Summe ein ganz enormes Risiko. Vor allem, weil mittlerweile Anbieter sich solche Ansprüche von Nutzern abtreten lassen und dann diese Ansprüche gebündelt gegen den verantwortlichen Webseitenbetreiber geltend machen.

Was ist zu tun, um das Haftungsrisiko zu vermeiden?

Die einfachste Lösung ist natürlich auf die Einbindung solcher Dienste komplett zu verzichten. Denn die „üblichen“ Standardschriftarten sind in den Browsern schon hinterlegt und können ohne einen rechtswidrigen Datentransfer angezeigt und genutzt werden.

Eine andere Möglichkeit ist, wenn es der Anbieter des Dienstes erlaubt, die Schriftart herunterzuladen und auf dem eigenen Webserver hochzuladen, so dass der Browser des Nutzers die Schriftart nicht vom US-Server, sondern vom in der EU stehenden Server des Webseitenbetreibers herunterladen kann. Dann erhält kein Dritter die IP-Adresse des Nutzers.

Auch die Gerichte kennen das Thema schon

Wer jetzt glaubt, dass solche Themen zu exotisch sind, um auf dem Tisch eines deutschen Gerichts zu landen, täuscht sich. Natürlich werden solche Vorgänge über kurz oder lang auch gerichtlich geprüft und geklärt.

Und daher hat zuletzt beispielsweise das Landgericht München I in seinem Urteil vom 20.01.2022 (Aktenzeichen 3 O 17493/20) genau das entschieden: Nämlich, dass der Besucher einer Website in seinen Rechten verletzt wird, wenn Google Fonts genutzt und vom US-Server geladen werden.

Im Kern hat das Gericht folgendes entschieden:

    1. Wird bei Aufruf einer Webseite die dynamischen IP-Adresse des Nutzers auf Grund der Nutzung von Google Fonts durch den Webseitenbetreiber automatisch an Google weitergeleitet, so stellt dies einen unzulässigen Eingriff in das allgemeine Persönlichkeitsrecht dar.
    2. Auf Grund des damit eintretenden Kontrollverlusts über die an Server von Google in den USA übermittelten Daten stellt dies jedenfalls einen erheblichen Eingriff dar, der Ansprüche auf immateriellen Schadensersatz begründet.

Im Ergebnis war ein Schadensersatz als immaterieller Schaden („Schmerzensgeld“) an den Besucher der Website zu bezahlen. Denn der bloße Kontrollverlust personenbezogener Daten reicht, um eine Haftung auszulösen. Das geht im Datenschutzrecht also sehr schnell (vgl. Art. 82 DSGVO).

Fazit

Betreiber von Webseiten haben eine Menge an Dingen zu beachten. Was Haftungsfragen angeht ist vom Inhalt der Seite, über genutzte Bilder bis hin eben zu Datenschutzthemen eine breite Palette an potentiellen Risiken vorhanden.

Dafür haben wir für unsere Mandanten eigene Paketangebote entwickelt: Den Webseiten-Check und den Webshop-Check. Wir prüfen Ihre Website oder Ihren Webshop auf alle rechtlichen Belange und geben Ihnen einen schriftlichen Bericht dazu.

Interesse? Schreiben Sie mich hier direkt per Mail an oder melden Sie sich telefonisch unter 0721 / 120 500.

Timo Schutt
Rechtsanwalt
Fachanwalt für IT-Recht

Urheberangabe für das Foto für diesen Beitrag:

  • Wow on blue background: © Antonio Gravante - Fotolia.com