Das Urteil
In seinem Urteil hat das Landgericht München wegen der dynamischen Einbindung von Google Fonts dem Kläger ein Schadenersatz in Höhe von 100,00 EUR zugesprochen (LG München I, Endurteil v. 20.01.2022 – 3 O 17493/20).
An manchen Stellen lässt sich das Urteil kritisch würdigen, wie zum Beispiel der Erheblichkeit des Schadenersatzes. Die grundlegende Argumentation ist jedoch stichhaltig und wurde bereits seit der Einführung der DSGVO von Fachleuten immer wieder vorgetragen:
Die dynamische Einbindung der Schriftarten ist eine Datenverarbeitung im Sinn der DSGVO, da personenbezogene Daten verarbeitet werden. Diese geschieht mit dem Zweck der optisch ansprechenden Darstellung aus Marketinggründen. Jede Datenverarbeitung ist verboten, es sei denn sie ist ausdrücklich legitimiert (Art. 6 DSGVO). Als einzige Legitimation kommt das sog. berechtigte Interesse (Art. 6 Abs.1 lit. f DSGVO) in Betracht. Dazu müsste die Verarbeitung erforderlich sein, um den Zweck der erfüllen.
Anzeige
Erforderlich bedeutet im Datenschutzrecht so viel, wie zwingend notwendig. Die Verarbeitung darf also nicht nur rein nützlich oder sinnvoll sein, sie muss so zwingend notwendig sein, dass ohne sie der Zweck der Verarbeitung nicht oder nur mit unverhältnismäßig hohem wirtschaftlichem Aufwand erreicht werden kann. Das ist bei der dynamischen Einbindung von Fonts nicht der Fall, denn es gibt ja auch andere, mildere Mittel.
Wichtiger Hinweis: Dieses Grundprinzip der Erforderlichkeit gilt auch für alle anderen Verarbeitungen personenbezogener Daten, die nicht auf einer Einwilligung basieren (Art. 6 Abs. 1 lit. b ff. DSGVO). So ist beispielsweise der Maklervertrag kein Freibrief für eine unbeschränkte Verarbeitung der Kundendaten.
Das Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien (TTDSG)
Dem Urteil des LG München lag noch nicht das TTDSG zugrunde. Mit der Einführung des Gesetzes zum 1.12.2021 hat sich die Lage noch weiter verschärft. Nach §25 TTDSG ist jeder Zugriff auf Informationen des Webseitenbesuchers von seiner Einwilligung abhängig zu machen, es sei denn, dieser Zugriff ist unbedingt erforderlich für die Bereitstellung der Webseite. Man ahnt es schon: erforderlich bedeutet auch hier: zwingend notwendig.
Ziel dieser Regelung ist es in erster Linie jede Art von Tracking, also der Nachverfolgung von Aktivitäten des Webseitenbesuchers, zu unterbinden, auch wenn sie ohne Cookies oder sogar anonymisiert erfolgt. Informationen sind nicht nur personenbezogene Daten, es können auch technische Daten sein.
Anzeige
Bei der Einbindung von externen Diensten im Falle von Third Partys werden regelmäßig mindestens technische Daten übermittelt, wie z.B. Gerät, Browsertyp und Version. Das ist auch sinnvoll, damit beispielsweise der Button zur externen Bewertungsplattform auch unter allen Bedingungen gut angezeigt werden kann.
Die Folge: Third Partys sind in sehr vielen Fällen einwilligungsbedürftig.
Die dynamische Einbindung von Google Fonts ohne Einwilligung oder anderer Dienste ist also ein Verstoß gegen das TTDSG. Das kann Haftungsansprüche und/oder Ordnungsgelder bis zu 300.000 EUR auslösen.
Sind Abmahnungen wegen Datenschutzverletzungen bei kleineren Unternehmen nach §13 Abs. 4 Nr. 2 UWG ausgeschlossen, so gilt das nicht für Verletzungen des TTDSG. Und diese Verstöße lassen sich mit geringem Aufwand vom Schreibtisch aus feststellen.
Anzeige