24. November 2022. Bei unserem letzten Stammtisch im Jahr 2022 hielt Daniela Frank, Datenschutzbeauftragte der Buchalik Brömmekamp Rechtsanwaltsgesellschaft und der plenovia Unternehmensberatung, einen Vortrag zu dem hochaktuellen Thema der Google-Fonts-Abmahnwelle, von der auch einige Mitglieder betroffen sind. Sie fasste zunächst die aktuelle Situation zusammen und erläuterte dann, was Google Fonts sind und dass diese dynamisch oder lokal auf der Webseite eingebunden werden können. Bei der lokalen Einbindung werden die Schriftarten direkt auf der jeweiligen Webseite installiert und von dort geladen. Bei einer dynamischen Installation wird bei jedem Aufruf der Webseite dagegen zusätzlich eine Verbindung zu den Servern von Google aufgebaut und die benötigten Schriftarten von dort nachgeladen.

Damit die Teilnehmer die Problematik des Verbindungsaufbaus besser verstehen können, erklärte sie zudem in einem kleinen Exkurs, was beim Aufruf einer Webseite im Hintergrund überhaupt passiert. Datenschutzrechtlich problematisch ist die dynamische Einbindung von Google Fonts, da hierbei eine Verbindung zu den Servern von Google aufgebaut und hierbei auch die IP-Adresse übertragen werden muss. Da es sich bei der IP-Adresse um ein personenbezogenes Datum handelt und die Übermittlung eine Verarbeitung darstellt, muss hierfür eine Rechtsgrundlage vorliegen. Das LG München I hatte in seinem Urteil vom  (Az.: 3 O 17493/20) entschieden, dass die Verarbeitung nicht auf das berechtigte Interesse gestützt werden kann, da es ein milderes Mittel – nämlich die lokale Einbindung – gibt. Das LG war der Ansicht, dass dem Kläger aufgrund der unzulässigen Übermittlung seiner IP-Adresse an Google ein immaterieller Schaden in Form eines Kontrollverlustes und Unwohlseins entstanden ist und sprach ihm einen Schadensersatz in Höhe von 100,00 €.

Dieses Urteil nahmen die „Abmahnwellen-Surfer“ – insbesondere Rechtsanwalt Kilian Lenard aus Berlin und Rechtsanwalt Nikolaous Kairis aus Meerbusch – zum Anlass, Webseitenbetreiber im großen Stil abzumahnen, die Google Fonts dynamisch auf ihrer Webseite eingebunden haben und forderten Schadensersatz aufgrund der Verletzung des Persönlichkeitsrechts ihrer Mandanten. Aufgrund der Vielzahl von Abmahnungen wird vermutet, dass die betreffenden Webseiten mit einem Crawler automatisiert nach Google Fonts durchsucht wurden. Untermauert wird dieser Verdacht u.a. durch die Tatsache, dass drei Schreiben Verstöße abmahnen, die innerhalb von drei Minuten stattgefunden haben sollen. Das würde bedeuten, dass die betroffene – natürliche – Person, drei verschiedene Seiten innerhalb von drei Minuten besucht, die Seite nach Google Fonts analysiert und mittels Screenshot dokumentiert haben soll, was eine natürliche Person schlicht und ergreifend in der kurzen Zeit nicht bewerkstelligen kann – ein Roboter dagegen schon.

Schadensersatz steht aber nur einer natürlichen Person zu, da ein Roboter kein Persönlichkeitsrecht besitzt, das verletzt werden könnte. Frau Frank gab sodann noch Handlungsempfehlungen, wie auf eine Abmahnung reagiert werden könnte.

Im Rahmen der aufkommenden Diskussion zeigte sich, dass die meisten Mitglieder keine Ahnung haben, welche Verbindungen beim Besuch ihrer Webseite aufgebaut werden. Dies meisten nutzen Baukastensysteme der Provider und stellen sich so ihre Seite zusammen, eine Agentur haben die wenigsten engagiert. Wieso auch – mit den zur Verfügung stehenden Content-Management-Systemen und der relativ einfachen Installation und Einrichtung, ist dies bei einfachen Seiten, die lediglich informieren, auch  nicht notwendig. Aber genau hier liegt das Kernproblem: Die Webseitenbetreiber verlassen sich darauf, dass sie darüber informiert werden, wenn datenschutzrechtliche Probleme auftauchen könnten, was nicht der Fall ist.

So wurden bspw. bei den betroffenen Mitgliedern Google Fonts ausgeführt, die in einem Theme enthalten waren und ausgeführt wurden, ohne dass das Mitglied hierüber informiert worden wäre. Frau Frank zeigte daher im Anschluss an ihren Vortrag noch im Rahmen einer Live-Vorführung, wie die Teilnehmer in den „Maschinenraum“ ihrer Webseite vordringen und einfach mit den Entwicklertools, die in jedem Browser enthalten sind, daraufhin überprüfen können, welche Verbindungen beim Aufruf ihrer Seite aufgebaut werden. Die Teilnehmer verfolgten gespannt die Vorführung und waren dankbar, durch diesen Praxistipp ihre Seite nun problemlos selbst auf Datenschutzkonformität überprüfen zu können, ohne dass eine teure Agentur engagiert werden muss.

Die Präsentation des Vortrages stellen wir allen Mitgliedern des BV ESUG gerne zur Verfügung.

Zum Mitgliederbereich BV-Inside