Drohende Abmahnwelle bei Übermittlung personenbezogener Daten in die USA
Die Probleme um die Übermittlung personenbezogener Daten, beispielsweise der IP-Adresse, in die USA nehmen zu. Es drohen zum einen verstärkt Bußgelder und Unterlassungsaufforderungen durch die Datenschutzaufsicht sowie zum anderen Abmahnungen, wie die jüngste Abmahnwelle zu Google Fonts zeigt.
Das Einbinden ansprechender und individueller Schriftarten über den Dienst „Google Fonts“ ist ein beliebtes Instrument für die Gestaltung von Websites. Infolge eines Urteils des LG München (Urteil v. 20.01.2022, Az.: 3 O 17493/20) scheint sich nun eine Abmahnwelle anzubahnen.
Wir zeigen Ihnen, wie Sie Google Fonts zum jetzigen Zeitpunkt rechtssicher einbinden können, um der Gefahr einer Abmahnung zu entgehen. Ferner, wie man bei Erhalt einer Abmahnung reagieren sollte.
Übermittlung personenbezogener Daten durch Google Fonts
Bei Google Fonts handelt es sich um ein interaktives Verzeichnis von Schriftarten, welches von der Google LLC lizenzfrei zur Verfügung gestellt wird. Aus diesem Katalog kann eine gewünschte Schriftart ausgewählt und entweder dynamisch über eine Schnittstelle („CSS API“) oder lokal auf Websites eingebunden werden. In dieser Hinsicht entsteht eine datenschutzrechtliche Problematik, sofern die Einbindung von Google Fonts eine Übermittlung von personenbezogenen Daten der Website-Besucher an Google, mithin in die USA, zur Folge hat. Nach den Feststellungen des LG München tritt ein solcher Fall insbesondere ein, wenn Google Fonts über die API-Einbettung genutzt wird.
Die dynamische Nutzung von Google Fonts über eine „CSS API“ bedeutet, dass die jeweilige gewählte Schriftart beim Aufruf der betreffenden Website nicht vom Server der Webseite selbst, sondern vom Google-Server geladen wird. Dies spart zwar Platz auf den eigenen Servern, es ist jedoch nicht auszuschließen, dass eine automatische Übermittlung von personenbezogenen Daten des Website-Besuchers, darunter insbesondere seiner IP-Adresse, erfolgt. Liegt für eine solche Übermittlung seitens des Besuchers kein entsprechendes Einverständnis vor, handelt es sich um eine Verletzung des allgemeinen Persönlichkeitsrechts, die einen Anspruch auf immateriellen Schadensersatz gemäß Art. 82 Datenschutz-Grundverordnung (DSGVO) auslösen kann.
Datenschutzkonforme Einbindung von Google Fonts
Zunächst ist darauf hinzuweisen, dass die Übermittlung von personenbezogenen Daten auf Server von Google in den USA seit Wegfall des EU-US-Privacy-Shields Risiken birgt. Solange keine neue Vereinbarung für den Datentransfer in die USA abgeschlossen wird, die einen dem Datenschutzniveau in der EU angemessenen Schutz garantiert, ist nicht auszuschließen, dass die Übermittlung von personenbezogenen Daten eine Verletzung der Bestimmungen der DSGVO darstellt. Es ist daher zu empfehlen, den Datentransfer in die USA zu vermeiden.
Zum jetzigen Zeitpunkt datenschutzrechtlich unbedenklich bleibt damit lediglich die lokale Einbindung von Google-Fonts-Schriftarten. In diesem Fall ist die Datei mit den Informationen für die gewählte Schriftart bei Google herunterzuladen und unmittelbar auf der eigenen Website zu implementieren. In der Folge findet kein Datenaustausch mit Google-Servern statt und der Abruf der Fonts-Informationen findet direkt über den Server der betreffenden Website statt. Sollten Sie Unterstützung bei der lokalen Einbindung von Google Fonts benötigen, melden Sie sich gerne bei uns.
Abmahnwelle und Handlungsempfehlung
Mehrere Massenabmahner haben in den vergangenen Wochen Tausende Abmahnungen wegen der nicht datenschutzkonformen Einbindung von Google Fonts gegenüber Websitebetreibern sämtlicher Branchen ausgesprochen.
Zunächst ist festzuhalten, dass sich mit dem Urteil des LG München das Risiko deutlich erhöht hat, für das Einbinden von Google Fonts auf einer Website abgemahnt zu werden. Zudem hat das Thema auch die Aufmerksamkeit der Datenschutzbehörden geweckt. Daher sollten Websitebetreiber zwingend eine lokale Einbindung vornehmen.
Die ausgesprochenen Abmahnungen könnten rechtsmissbräuchlich und damit unzulässig sein. Sie können und sollten daher dagegen vorgehen und sich keineswegs durch eine kurze Zahlungsfrist und einen vermeintlich geringen Betrag zu einer Zahlung drängen lassen oder unbesehen (vorformulierte) Unterlassungserklärungen abgeben.
Kontaktieren Sie uns gerne, sofern Sie hinsichtlich der Risikoabwägung oder der rechtssicheren Gestaltung Ihrer Website Beratungsbedarf haben. Wir stehen Ihnen auch kurzfristig zur Seite, sollten Sie bereits eine Abmahnung erhalten haben.