Virales Phänomen: Ersatzforderungen von Privatpersonen wegen der Nutzung von Google Webfonts – wie reagieren?

Virales Phänomen: Ersatzforderungen von Privatpersonen wegen der Nutzung von Google Webfonts – wie reagieren?
28.06.2022 | Lesezeit: 7 min

Viele Seitenbetreiber erhalten derzeit per E-Mail Schreiben von diversen Privatpersonen, die mit immer gleichem Wortlaut eine datenschutzwidrige Nutzung on „Google Webfonts“ monieren und unter Androhung gerichtlicher Schritte zur Zahlung eines Schadensersatzes von 100,00 Euro auffordern. Die Verunsicherung unter Online-Unternehmern ist groß. Sind diese Schreiben ernst zu nehmen? Wie ist zu reagieren?

I. Virales Phänomen: Private Ersatzforderungen wegen scheinbar datenschutzwidriger Nutzung von Google Webfonts

Die IT-Recht Kanzlei haben in letzter Zeit vermehrt Anfragen von verunsicherten Mandanten erreicht, die von scheinbaren Privatpersonen mit einem Datenschutzverstoß bei der Nutzung von „Google Webfonts“ und mit einer privaten Schadensersatzforderung über 100,00€ konfrontiert wurden.

Die Schreiben, die derzeit – immer mit identischem Wortlaut – massenweise von mindestens fünf Absendern versendet werden, monieren eine nicht datenschutzkonforme Verwendung von „Google Webfonts“, einem online-basierten Service für das Laden von Schriftarten und Typographie-Elementen auf Websites.

Inhaltlich wird (in originalem, fehlerträchtigen Wortlaut) Folgendes mitgeteilt:

Sehr geehrte Damen und Herren,

am XX.XX.2022/ Y Uhr besuchte ich Ihre Website, www.xyz.de, und musste erschreckend feststellen, dass diese ohne meine Zustimmung Schriftarten von Google Fonts beziehungsweise deren Server geladen hat.

Wie ich mich erkundigt habe, wird dabei meine IP-Adresse, wodurch ich zumindest teilweise identifizierbar bin und auch mein Verlauf nachvollzogen werden kann, an Google und deren Server in den USA übermittelt.

Dieses dürfte nicht nur nach der DSGVO nicht zugelassen sein, vielmehr sehe ich mich auch in meiner informellen Selbstbestimmung verletzt, da ich nicht mehr weiß, was Google nun mit meinen Daten anfangen kann.

Ähnlich ging es auch einem anderen Nutzer, hier urteilte bereits das Landgericht München 1 – Aktenzeichen 3 O 17493/20.

Ich habe mir erlaubt, einen entsprechenden Nachweis über die Einbindung der externen Google Fonts Ihrer Website www.xyz.de abzuspeichern.

Damit es nicht weiteren Nutzern so geht wie mir, fordere ich Sie hiermit auf, unverzüglich bis SPÄTESTENS XX.XX.2022 sämtliche Google Fonts, die über die Server von Dritten geladen werden, dauerhaft zu entfernen und mir hierüber Rückmeldung zu geben.

Das Landgericht München hat entschieden, dass dem Nutzer ein Schadensersatz in Höhe von 100,00 Euro zusteht [ist]. Das sehe ich auch hier für angemessen an. Bitte überweisen Sie diesen ebenfalls bis zum XX.XX. 2022 auf mein
Konto (IBAN), Kontoempfänger ….

Sollte ich jedoch bis dahin keine Widergutmachung erhalten haben, muss ich mich bei meinem Rechtsanwalt über weitere Schritte erkundigen, damit ich weiß, wer wie wo was über Ihre Website mit meinen Daten gemacht hat.

Das Landgericht München hat ebenfalls entschieden, dass bei Zuwiderhandlung ein Ordnungsgeld von 250.000 Euro, ersatzweise Haft, fällig wird. Auch wenn ich mich nicht dabei wohl fühle, wo meine Daten nun sind und was Google damit anstellt, möchte ich aber auch nicht, dass Sie eine solche Strafe tragen müssen, weil Ihnen ein Fehler unterlaufen ist.

Ich finde, jeder hat eine zweite Chance verdient, einen Fehler widergutzumachen, und biete Ihnen dies hiermit an.

Vielleicht hilft es Ihnen, über Google finden Sie nützliche Anleitungen zum sicheren Einbinden von Google Fonts und auch diverse Anbieter, die Ihnen sicherlich dabei helfen können.

Nutzen Sie die Chance, ich habe bereits mit meiner Rechtschutzversicherung telefoniert, die mir im Zweifel volle Kostenzusage für eine Klage erteilt hat.

II. Was wird konkret vorgeworfen?

Die Schreiben rügen eine datenschutzwidrige Übertragung von personenbezogenen Daten an Google durch die Einbindung von Google Webfonts auf Webseiten.

In der Tat verhält es sich so, dass durch Einbindung von Google Webfonts bei Seitenaufruf eine Verbindung zum Google-Netzwerk aufgenommen wird, damit die verwendeten Schriftstile geladen werden können. Durch diese Verbindungsaufnahme kommt es zur datenschutzwidrigen Übertragung von Nutzerinformationen, insbesondere der personenbezogenen IP-Adresse, an Google.

Diese Übertragung ist nun aus zweierlei Gründen problematisch.

Einerseits fehlt es an einer hinreichenden datenschutzrechtlichen Rechtfertigung für die Informationsübermittlung an Google. Insbesondere können sich Seitenbetreiber nicht auf berechtigte Interessen an der graphisch ansprechenden Seitengestaltung gemäß Art. 6 Abs. 1 lit. f DSGVO stützen, weil hierfür die Übermittlung personenbezogener Daten an Google nicht zwingend erforderlich ist.

Andererseits werden Informationen, darunter auch die personenbezogene IP-Adresse, zumindest auch an Google-Server in den USA übertragen. Drittstaatentransfers sind aber datenschutzrechtlich nur nach den strengen Voraussetzungen der Art. 44 ff. DSGVO zulässig und aktuell für das Zielland USA allgemein nicht rechtskonform möglich, weil es wegen weiter Datenzugriffsbefugnisse der US-Geheimdienste an einem hinreichenden Schutzniveau für personenbezogene Daten fehlt.

Die Schreiben nehmen vor diesem Hintergrund standardisiert Bezug auf ein aktuelles Urteil des LG München I. In der Tat hat dieses Gericht unter Bezugnahme auf die obigen Feststellungen zu Datentransfers an Google einem Seitenbesucher, dessen IP-Adresse durch eingebundene Webfonts an Google übertragen wurde, kürzlich 100€ Schadensersatz aus einem DSGVO-Verstoß heraus zugesprochen.

Banner Premium Paket

III. Wie lassen sich Google Fonts nun rechtskonform nutzen?

Die Crux bei der Verwendung von Webfonts ist, dass Schriftarten und Typo-Stile dadurch geladen werden, dass der Browser des Seitenbesuchers eine Verbindung zu den Servern des Font-Anbieters aufnimmt. Durch diese Verbindungsaufnahme werden regelmäßig diverse Nutzerinformationen an Server des Anbieters übertragen. Enthalten diese Informationen auch personenbezogene Daten wie die IP-Adresse des Nutzers, drohen Verstöße gegen die DSGVO.

Um dies zu umgehen, ist zwingend zu empfehlen, Fonts, insbesondere solche von Google, ausschließlich lokal einzubinden und vom eigenen Server (nicht vom Server des Anbieters) laden zu lassen.

So kommt es nämlich zu keiner Erhebung und Übermittlung von personenbezogenen Daten durch/an Google, weil die Fonts nicht durch eine Verbindungsaufnahme zu Google Servern erst geladen werden müssen.

IV. Wie ist auf die privaten Ersatzforderungen zu reagieren?

Wer ein Schreiben bezüglich der Nutzung von Google Fonts mit der Aufforderung zur Zahlung von 100,00€ erhalten hat, wird augenscheinlich mit einem potenziellen Rechtsstreit konfrontiert und verständlicherweise in Unruhe versetzt.

Tatsächlich besteht aber kaum Grund zur Sorge.

Bei den Schreiben handelt es sich offensichtlich um missbräuchliche Versuche, unter dem Deckmantel einer Datenschutzverletzung schnelles Geld zu machen. Der Verdacht eines betrügerischen Bereicherungsversuches liegt hierbei nahe und wird vor allem dadurch bestärkt, dass von mehreren scheinbar privaten Anspruchstellern immer derselbe Wortlaut in teilweise grammatikalisch und ortographisch inkorrektem Deutsch verwendet wird. Nicht auszuschließen ist insofern ein gewerbs- und bandenmäßiges Vorgehen.

Wer ein derartiges Schreiben erhält, sollte in einem ersten Schritt prüfen, ob Fonts von Google auf der Website verwendet werden und ob diese tatsächlich über eine Verbindungsaufnahme zum Google-Netzwerk geladen werden oder vielmehr lokal eingebunden sind.

Werden Webfonts von Google (dann voraussichtlich datenschutzwidrig, s.o.) geladen, enthält der Quelltext der Website Verlinkungen auf „fonts.googleapis.com“ und „fonts.gstatic.com“.

1.) Google Fonts tatsächlich lokal eingebunden

Stellt die Überprüfung heraus, dass Fonts tatsächlich ausschließlich lokal eingebunden wurden, trifft der behauptete Vorwurf, die IP-Adresse des Nutzers werde an Google übermittelt, nicht zu, und das Schreiben ist insgesamt haltlos.

Seitenbetreiber haben in diesem Fall die Möglichkeit, entweder überhaupt nicht darauf zu reagieren, oder aber eine Antwort an den Absender zu verfassen, in der auf die rein lokale Einbindung von Fonts und die dadurch unterbundene Verbindungsaufnahme zu Google ver- und der Vorwurf zurückgewiesen wird.

Natürlich kann dem Schreiben dann auch der Hinweis beigefügt werden, dass man sich vorbehalte, aufgrund des bewussten Vorspiegelns falscher Tatsachen zum Zwecke der Bereicherung Anzeige wegen versuchten Betruges bei der Polizei zu erstatten, um dem Absender eine Lektion zu erteilen.

2.) Google Webfonts mit Verbindungsaufnahme zu Google eingebunden

Ergibt die Prüfung, dass tatsächlich Google Webfonts genutzt und Schriften deswegen durch Verbindungsaufnahme zum Google-Netzwerk geladen werden, sollten Seitenbetreiber unbedingt schnellstmöglich auf eine rein lokale Einbindung der Google Fonts umstellen und so Datenübermittlungen unterbinden.

Das erhaltene Schreiben kann nach Auffassung der IT-Recht Kanzlei aber dennoch ignoriert werden. Insbesondere sollte der Zahlungsaufforderung nicht Folge geleistet werden.

Seitenbetreiber sind in keiner Weise verpflichtet, auf eine bloße vermeintliche Aufforderung wegen eines behaupteten Datenschutzverstoßes eine Geldzahlung zu leisten.

Dazu wären sie vielmehr nur im Falle einer rechtskräftigen gerichtlichen Verurteilung gehalten.

Eine solche würde aber voraussetzen, dass der Anspruchsteller zunächst den Klageweg bestreitet.

Dies ist aufgrund der derzeitigen systematischen Versendung einer Vielzahl gleichlautender Aufforderungsschreiben allerdings äußerst unwahrscheinlich. Das Vorgehen legt stattdessen nahe, dass versucht wird, durch Einschüchterung eine schnelle Banküberweisung anzuregen, und sich so ohne gerichtliche Anstrengungen zu bereichern. Gegen eine klageweise Verfolgung der Ansprüche und die Seriosität des Anliegens spricht schon die massenweise Versendung und der laienhafte, grammatikalisch fragwürdige Aufbau der Schreiben.

Selbst wenn der/die Verfasser aber ein Gerichtsverfahren tatsächlich anstreben sollte/n, ließen sich die erhobenen Forderungen gerichtsfest mit dem Vorwurf des Rechtsmissbrauchs (§242 BGB) abwehren, weil aufgrund der belegbaren Masseneintreibung eindeutig bewiesen werden kann, dass es vorliegend nicht um Herstellung rechtskonformer Zustände, sondern um das nicht schutzwürdige Ziel der persönlichen Bereicherung geht.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook .

Link kopieren

Als PDF exportieren

Drucken
|

Per E-Mail verschicken

Zum Facebook-Account der Kanzlei

Zum Instagram-Account der Kanzlei

12 Kommentare

U
Ulrike 31.10.2022, 20:08 Uhr
Nachfrage Rechtssicherheit bei lokaler Einbindung
Hallo,
dass das Einbinden von Googlefonts nicht DSGVO konform ist, habe ich soweit verstanden. Meine Frage dreht sich bei einer lokalen Einbindung (die auf vielen Seiten empfohlen wird) darum, ob die lokale Einbindung urheberrechtskonform ist. Also, kann Google gg. eine lokale Einbindung vorgehen, weil sie ja die Eigentümer, Lizenzinhaber, o.ä. der Fonts sind? Muss man hierbei etwas beachten, um sich rechtlich sowohl hinsichtlich DSGVO als auch ggü. Google abzusichern?

Lieben Dank!
M
Markus 19.09.2022, 08:36 Uhr
WordPress: GoogleFonts lokal einbinden sehr einfach möglich
Hallo zusammen,

die Einbindung von GoogleFonts ist bei einer WordPress Website sehr einfach und kostenfrei möglich:
https://www.youtube.com/watch?v=v4gsQ-EVYMk&t=1s
D
DatenschutzDjango 07.09.2022, 01:38 Uhr
Schon der Abruf ist ein Verarbeiten im Sinne der DSGVO
"Beitrag von Roland Giersig
22.08.2022, 15:39 Uhr

Liebe Leute, es ist ganz einfach: GOOGLE SPEICHERT DIE IP-ADRESSE BEIM ABRUF DER FONTS NICHT! Damit liegt auch keine Verarbeitung iSd DSGVO vor und die Abmahnung ist schlichtweg Betrug. Leider hat das das Gericht in München übersehen.

https://developers.google.com/fonts/faq#what_does_using_the_google_fonts_api_mean_for_the_privacy_of_my_users"

Leider falsch: Schon das Abrufen ist eine Verarbeitung von personenbezogenen Daten im Sinne der DSGVO. Ein Verstoß liegt damit vor.
R
Roland Giersig 22.08.2022, 15:39 Uhr
Die ganzen juristischen Analysen kann man sich sparen.
Liebe Leute, es ist ganz einfach: GOOGLE SPEICHERT DIE IP-ADRESSE BEIM ABRUF DER FONTS NICHT! Damit liegt auch keine Verarbeitung iSd DSGVO vor und die Abmahnung ist schlichtweg Betrug. Leider hat das das Gericht in München übersehen.

https://developers.google.com/fonts/faq#what_does_using_the_google_fonts_api_mean_for_the_privacy_of_my_users
U
Ute Dörr 22.08.2022, 10:28 Uhr
Einfache Lösung
Hallo zusammen,

ich war auch lange auf der Suche nach einer Lösung für das Problem. Hier eine, meiner Meinung nach, einfache Lösung zur DSGVO-Konformen Nutzung von Google Fonts, für all diejenigen, die nicht darauf verzichten können bzw. die Fonts nicht lokal auf ihren Server speichern können (z.B. bei vielen Baukasten Online Shops).

Normalerweise werden Google Fonts über folgenden HTML Code eingebunden (hier z.B. der Font Roboto):

<link rel="preconnect" href="https://fonts.googleapis.com">
<link rel="preconnect" href="https://fonts.gstatic.com" crossorigin>
<link href="https://fonts.googleapis.com/css2?family=Roboto:wght@400;500;700&display=swap" rel="stylesheet">

Dabei wird dann jedes mal die Verbindung zum Google CDN Server in den USA aufgebaut inkl. aller DSGVO Nachteile.

Der CDN Dienst bunny.net mit Sitz in der Slowakei (EU) hat alle Google Fonts heruntergeladen und bietet diese kostenlos und ohne Registrierung unter https://fonts.bunny.net/ auf seine Servern an. Man kann also o.g. HTML Code bearbeiten und ab sofort DSGVO-Konform nutzen. Das obere Beispiel würde jetzt so aussehen:

<link rel="preconnect" href="https://fonts.bunny.net" crossorigin>
<link href="https://fonts.bunny.net/css?family=Roboto:wght@400;500;700&display=swap" rel="stylesheet">

Dadurch wird nur eine direkte Verbindung zum Server von bunny.net aufgebaut (Sitz in EU) und Google ist nicht mehr involviert. Auf deren Seite steht:

Fully GDPR Compliant
Bunny Fonts are hosted by BunnyWay d.o.o. - an EU-based company - and were designed to help you stay fully GDPR compliant. No data or logs are ever collected or passed to a third party. Simply put: we cannot track or monitor your end-users in any way or form.

Hoffe ich konnte hier einigen helfen und vielleicht kann ein RA der IT Recht Kanzlei bestätigen, dass diese unter Lösung akzeptabel ist.

Grüße,
Ute
T
Themenbetroffener 15.08.2022, 13:27 Uhr
DSGVO
Leider wird nicht auf die Dringlichkeit hingewiesen, dass tatsächlich ein DSGVO-Verstoss vorliegt bei der dynamischen Einbindung von Google-Fonts bzw. Webfonts & Co. Klar kann man die Abmahnung ignorieren, ändert aber nichts an dem Verstoss selbst.
J
J. Riedl 27.07.2022, 22:56 Uhr
Doch Spam (zum Glück)
Es gibt Informationen zu Susanne Schober. Identitätsdiebstahl, siehe Link (oder in Google eingeben >susanne schober münchen datenschutz<:
https://www.diebewertung.de/die-abmahnung-der-susanne-schober-mit-einem-geisterkonto-fake-konto-nicht-reagieren-sagt-ein-mitarbeiter-des-datenschutzexperten-datarea-gmbh-aus-radebeul/
E
Ein Name 27.07.2022, 20:53 Uhr
Ein Titel
Grundsätzlich ist die Annahme, dass eine IP Adresse ein personenbezogenes Datum und damit schützenwert ist, schon Mal eine streitbare Ansicht. Sie können ja mal in Ihre Logs schauen und mir dann einen Brief an meine Adresse schicken. Viel Spaß dabei. Kein US Unternehmen kann einfach so hergehen und mit einer x-beliebigen IP auf einen deutschen Provider zugehen, um rauszufinden, zu welchem Anschluß diese zu einem bestimmten Zeitpunkt gehörte.
Und das deutsche System krankt daran, dass die erste Abmahnung bereits kostenbewährt ist. Ist in anderen Ländern nicht so.
Die DSGVO wurde mal erschaffen, um den massenhaften Missbrauch von Daten durch einzelne Unternehmen besser in den Griff zu bekommen. Und das kommt dabei heraus: Kleine Betreiber mit normalen Webseiten, die best practices im Webdesign umsetzen (ist ja nicht nur google, sondern haufenweise libraries über CDNs, die extra extern eingebunden werden, damit man Ressourcen schont und Aktualisierungen/Verbesserungen automatisch erfährt - eben das berechtigte Interesse), werden abgemahnt. Und sowas wird vom LG München auch noch bestätigt. Ein echtes Trauerspiel ist das.
Und der Witz an der Sache: Der Abmahner sucht in www.google.com nach Seiten, die die google fonts dynamisch einbinden.
M
Max Mustermann 25.07.2022, 14:16 Uhr
Was aber wenn die Einbindung nicht möglich ist?
Hallo zusammen, was jedoch, wenn die Einbindung der Web fonts lokal nicht möglich ist. Insbesondere einige Baukastensysteme stellen diese Einbindung standardmäßig zur Verfügung, ohne jegliche Option dies abzustellen. Kann in solchen Fällen überhaupt der „Nutzer“ dieses baukastensystems belangt werden. Im Internet lese ich über mehrere Fälle, in denen Nutzer eben diese Baukastenfirmen auffordern, dem Urteil zu entsprechen und eine Option der lokalen Einbindung bereit zu stellen. Was jedoch wenn diese „Reaktion“ ausbleibt bzw der Betreiber des Baukastensytems einfach nicht nacharbeitet und somit Kunden in Deutschland mit dem Problem - ohne Möglichkeit auf eine Lösung - leben müssen. Hier muss doch der Baukasten Betreiber in die Pflicht genommen werden?
P
Paul Hofmann 01.07.2022, 06:15 Uhr
Anleitung zum Einbinden von Google Fonts
Danke für die Zusammenfassung, Herr Salewski! Wer es bzgl. der technischen Feinheiten ganz genau wissen will, wird auf Dr. Web eine detaillierte Anleitung finden: https://www.drweb.de/google-fonts-datenschutzkonform-einbinden/
S
Sylvena Katrin Zöllner 30.06.2022, 18:03 Uhr
Alptraum Abmahnung
Als Normalbürger musste ich erst mal anschauen, bei Google, was Google Webfonts sind. Wikipedia schreibt dazu, dass es Schriftarten bei Google sind, die kostenlos genutzt werden können... Soweit so gut, nun weiß ich, dass ich sie niemals benutzen würde.
Also, kurzum: es ist ein Alptraum, es gibt ja fast nichts mehr, was nicht abgemahnt werden darf.
Das macht mich regelmäßig richtig wütend!
K
Klaus 30.06.2022, 11:00 Uhr
Herr
Lieber Autor – haben Sie schon einmal versucht, vor Gericht mit der Einrede, der Kläger würde hier massenhaft abmahnen und “in Wirklichkeit” sachfremde Zwecke, nämlich ein “Geschäftsmodell zu betreiben”, verfolgen, eine Klage abzuwehren? Der Umstand, dass eine Rechtsverletzung massenhaft auftritt, und das räumen Sie ja selbst ein, rechtfertigt ja gerade nicht, dass ein in seinen Rechten verletzter diese dann nicht gleichfalls massenhaft verfolgen können muss. Und da das Urteil aus München in der Sache durchaus überzeugend begründet ist, vermag ich Ihren hier vertretenen Ansatz nicht zu teilen – und würde selbige Aussage schon aus eigenen Haftungsgründen weder in einer Mandatsbeziehung und erst recht außerhalb dieser “so” nicht treffen. Es gibt auch einen Datenschutzanwaltskollegen, der gleichfalls nicht erbaut ist über diese lustigen Aufforderungsschreiben, aber – und das sehe ich (leider) auch so – ausdrücklich auf das Risiko, verklagt zu werden hinweist. Ich gehe noch einen Schritt weiter: Ein für ein Legal Tech Unternehmen hervorragend geeigneter Sachverhalt … viel Spass beim Abwehren

Weitere News

DSGVO: Müssen unbestätigte Newsletter-Adressen gelöscht werden?
(19.11.2024, 15:12 Uhr)
DSGVO: Müssen unbestätigte Newsletter-Adressen gelöscht werden?
Einbindung externer Videos per QR-Code datenschutzrechtlich zulässig?
(14.11.2024, 14:07 Uhr)
Einbindung externer Videos per QR-Code datenschutzrechtlich zulässig?
DSGVO: Müssen Kunden ihr Konto im Shop selbst löschen können?
(24.10.2024, 08:34 Uhr)
DSGVO: Müssen Kunden ihr Konto im Shop selbst löschen können?
Ist die Aufzeichnung von Kundentelefonaten nach DSGVO erlaubt?
(02.10.2024, 15:33 Uhr)
Ist die Aufzeichnung von Kundentelefonaten nach DSGVO erlaubt?
LG Frankenthal: Wohnraumfotos im Online-Exposé müssen freigegeben sein
(01.08.2024, 14:29 Uhr)
LG Frankenthal: Wohnraumfotos im Online-Exposé müssen freigegeben sein
Das Recht auf Datenlöschung nach der DSGVO mit Mustermitteilungen
(19.06.2024, 11:21 Uhr)
Das Recht auf Datenlöschung nach der DSGVO mit Mustermitteilungen
© 2004-2024 · IT-Recht Kanzlei