So vermeiden Praxen Abmahnungen wegen Google Fonts

Bei der Einbettung der Schriften lädt der Browser des Users die Google Fonts beim ersten Aufrufen einer Website von den Google-Servern. Dabei wird automatisch die IP-Adresse der Nutzer an Google übermittelt.

Da IP-Adressen aber als personenbezogene Daten gelten, ist die Weiterleitung ohne die ausdrückliche Einwilligung des Nutzers laut Europäischer Datenschutz-Grundverordnung (DSGVO) nicht erlaubt. Das Problem: Beim Laden der Schriften von Google-Servern ist es praktisch unmöglich, vor der Übermittlung der Besucher-IP-Adresse eine Einwilligung einzuholen. Zahnarztpraxen sollten darum überprüfen, ob sie die beanstandungswürdige Lösung aktuell verwenden. 

Aufgrund der Dimension der Abmahnwelle nahm Google Ende November 2022 in seinem Unternehmensblog zu dem Thema Stellung. Darin heißt es, die Daten „werden sicher und getrennt von anderen Daten aufbewahrt”. Man verwende die via Google Fonts gesammelten Informationen außerdem „nicht für andere Zwecke [...] insbesondere nicht zur Erstellung von Profilen von Endnutzern oder für Werbung”.

Ob die Beteuerung einen Einfluss auf die Rechtsprechung hat, darf bezweifelt werden. Ohnehin erfolgte diese erst zehn Monate später – nachdem das Landgericht München I am 20. Januar 2022 dem Nutzer einer Website 100 Euro Schadensersatz zugesprochen ( Az. 3 O 17493/20 ) und damit die Abmahnwelle ausgelöst hatte.

Im vorliegenden Fall wurde dem Website-Betreiber – der Google Fonts über die Google-Server eingebettet hatte –  bei einem wiederholten Verstoß sogar ein Ordnungsgeld von bis zu 250.000 Euro angedroht. Der Kläger hatte mehrfach die Website des beklagten Unternehmens besucht, und seine IP-Adresse war nachweislich wiederholt an Google weitergeleitet worden, ohne dass er damit einverstanden war.

Zum Glück ist die Lösung des Problems vergleichsweise einfach: Google-Fonts bietet nämlich auch die Möglichkeit, Fonts lokal auf den eigenen Servern zu speichern und nicht vom Google-Server zu beziehen. Wenn die Fonts nur auf den eigenen Servern des Websitebetreibers liegen, findet keine automatische Datenübermittlung an Google statt.

Um zu prüfen, ob und wie Google Fonts auf einer Website eingesetzt sind, gibt es verschiedene kostenlose Webscanner, zum Beispiel auf dem Rechts-Portal e-Recht24 .

Und selbst wenn eine Praxis bereits eine oder mehrere Abmahnungen erhalten hat, ist die Situation juristisch nicht ausweglos, informiert die Industrie- und Handelskammer Koblenz. Es spreche viel dafür, dass es sich um eine rechtsmissbräuchliche Abmahnwelle handelt. Darum empfiehlt die IHK,

• zunächst die eigene Website zu überprüfen, ob ein datenschutzrechtlicher Verstoß überhaupt gegeben sein kann. In manchen Fällen handele es sich um gar nicht existierende Websites oder bloße Einträge bei Google. Wenn eine nicht-konforme Einbindung von Webfonts vorliegt, sollte diese so schnell wie möglich korrigiert werden.

• die Zahlungsaufforderung höflich aber bestimmt abzulehnen und

• die rechtsanwaltliche Vollmacht im Original anzufordern, mit dem Argument: Es besteht der Verdacht einer derzeitigen Abmahnwelle, daher muss die Aufforderung verifizierbar sein.

• Details zu den Mandanten anzufordern, auch wenn es sich dabei um Interessengruppen handelt. Insbesondere sollte ein Nachweis verlangt werden, dass von der IP-Adresse der als Mandant genannten Person auf die eigene Website auch tatsächlich zugegriffen wurde und inwiefern hier im Detail eine datenschutzrechtliche Verletzung gegeben sein soll.

• den Verdacht eines Rechtsmissbrauchs zu äußern, da es naheliegt, dass anhand der Vielzahl der (wortgleichen!) Abmahnungen Websites bewusst aufgesucht werden in der Hoffnung eine Abmahnung aussprechen zu können. Dementsprechend sollte man sich Gegenansprüche und eine Strafanzeige vorbehalten.

Laut Berichten auf verschiedenen Rechts- und IT-Portalen ist schon die nächste Abmahnwelle erkennbar. Diesmal betrifft es Webseiten, die Google Analytics eingebunden haben. Nachdem die österreichische Datenschutzbehörde Ende 2021 festgestellt hat, dass der Einsatz von Google Analytics auf Webseiten in der EU nicht mit der DSGVO vereinbar ist, warnte auch die niederländische Behörde für persönliche Daten, die Verwendung von Google Analytics sei „möglicherweise bald nicht mehr zulässig”.
Mehrere europäische Datenschutzbehörden hatten demnach Untersuchungen zur Nutzung von Google Analytics abgeschlossen und dazu einen Bericht erstellt. Aktuell gebe es noch ein rechtliches Verfahren, das durchlaufen werden muss. Danach könne abschließend beurteilt werden, ob der Einsatz von Google Analytics erlaubt ist oder nicht.