Die Datenschutzgrundverordnung hat viereinhalb Jahre nach ihrem Inkrafttreten eine erste Abmahnwelle verursacht: Seit Wochen werden Abmahnungen versandt, in denen aufgrund der Einbettung von dynamisch ladenden Schriftarten über das Tool „Google Fonts" Unterlassungs-, Auskunfts- und Schadenersatzansprüche geltend gemacht werden, auf die gegen eine Zahlung von EUR 100 bis EUR 170 (ggf. zuzüglich Anwaltskosten) verzichtet würde. Die Anzahl der Beratungsanfragen bei uns und anderen Kanzleien lassen vermuten, dass derartige Schreiben das Land geradezu überziehen und täglich hundert- bis tausendfach versendet werden.

Anlass ist ein Urteil aus München zur Zahlung von 100 Euro Schmerzensgeld

Anlass ist ein Urteil des Landgerichts München, dass im Januar 2022 den Betreiber einer Website zu einer Zahlung von Schmerzensgeld in Höhe von EUR 100 verurteilte. Der Seitenbetreiber verwendete Schriftarten, die von Google über Google Fonts zur Verfügung gestellt wurden. Dies führte dazu, dass bei Seitenaufruf durch den Besucher eine Verbindung zu Google-Servern aufgebaut wurde, um die Darstellung der Inhalte der Webseite in der vom Webseitenbetreiber ausgewählten Schriftart zu ermöglichen. Dabei wurde die IP-Adresse des Webseitenbesuchers an Google übermittelt, ohne dass der Besucher hierin eingewilligt hatte. Die Münchener Richter sahen hierin einen Datenschutzverstoß, der das tenorierte Schmerzensgeld rechtfertige. Auf berechtigte Interessen nach Art. 6 Abs. 1 lit. f Datenschutzgrundverordnung (DSGVO), die die Datenübermittlung gerechtfertigt hätten, konnte sich der Webseitenbetreiber nicht berufen, weil der Einsatz von Google Webfonts auch ohne die Übermittlung personenbezogener Daten an Google möglich gewesen wäre.

Die derzeit versandten Abmahnungen stützen sich auf dieses Urteil und beanstanden in gleicher Weise, dass die Internetseite des Adressaten Google Fonts einsetzen würde, ohne die notwendige Einwilligung einzuholen. Dieser Vorwurf ist an sich oft technisch richtig. Wir nehmen an, dass hier automatisiert nach Internetseiten gesucht wird, die Google Fonts ohne Einsatz eines Cookie-Banners implementiert haben.

Abmahnungen sind unwirksam und rechtsmissbräuchlich

Gleichwohl halten wir die versandten Abmahnungen für unwirksam und rechtsmissbräuchlich. Denn den Anspruchstellern geht es nicht um die Beanstandung einer Persönlichkeitsrechtsverletzung aufgrund der Weiterleitung einer IP-Adresse an Google, sondern um die Erzielung von Gewinn mit der massenhaften Versendung gleichgelagerter Forderungsschreiben. Dies zeigt sich auch in der Gestaltung der Schreiben, die so formuliert sind, dass sie ohne inhaltliche Änderungen an eine Vielzahl von Adressaten versendet werden können. Als Folge bleibt auch der eigentliche Tatsachenvorwurf unsubstantiiert und ohne Angabe, welche IP-Adresse zu welchem Zeitpunkt an Google weitergeleitet worden sein soll.

Dass das offensichtlich erfolgte massenhafte Aufrufen von Internetseiten zur Konstruktion eines angeblichen Datenschutzverstoßes mit dazugehörigem Aufforderungsschreiben rechtsmissbräuchlich ist, hat erstmals das Landgericht Baden-Baden am 11. Oktober 2022 (Az. 3 O 277/22) in einer Beschlussverfügung bestätigt.

Vor diesem Hintergrund möchten wir nachdrücklich davon abraten, den geforderten Betrag zu zahlen, um die Angelegenheit schnell aus der Welt zu schaffen. Es ist davon auszugehen, dass die Versender der Schreiben die Vorwürfe fallen lassen, sobald die Vorwürfe zurückgewiesen werden.

Tipp: Google Fonts lokal DSGVO-konform einbinden

Um den Erhalt solcher Abmahnungen zu verhindern, sollten Sie mit einem sogenannten „Google-Fonts-Checker" prüfen, wie Google Webfonts auf ihrer Webseite eingebunden ist. Diese Tools sind kostenlos online verfügbar. Neben der angreifbaren dynamischen Variante können Schriftarten von Google Webfonts nämlich auch lokal eingebunden werden. Dabei lädt zunächst der Webseitenbetreiber die ausgewählte Schriftart von Google auf seine eigenen Server. Von dort wird die ausgewählte Schriftart dem Webseitenbesucher dann angezeigt, sobald er die Webseite aufruft. Die Übermittlung personenbezogener Daten an Google-Server und ein damit verbundener Datenschutzverstoß werden damit verhindert.
Die aktuelle Abmahnwelle zeigt, dass der Transfer personenbezogener Daten an Unternehmen oder externe Dienstleister mit Sitz in den USA datenschutzrechtlich risikoreich ist. Weitere Informationen erhalten Sie in unserem Beitrag „Datentransfers in die USA: Licht am Ende des Tunnels?"