Seit Einführung der Datenschutz-Grundverordnung kommt es immer wieder zu Abmahnwellen gegenüber Webseitenbetreibern aufgrund der Nutzung von Google Fonts.
I. Ursprung der Abmahnwelle
Seit Einführung der Datenschutz-Grundverordnung (DSGVO) kommt es immer wieder zu sogenannten Abmahnwellen, da die datenschutzrechtlichen Vorschriften dem Einzelnen ermöglichen, aufgrund eines einzelnen Verstoßes gegen die datenschutzrechtlichen Vorschriften auf einer Webseite eine Vielzahl von Webseitenbetreibern abzumahnen sowie zugleich Schadensersatzansprüche geltend zu machen. Dadurch können ohne viel Aufwand hohe Summen generiert werden, weshalb das (durch die Einführung der DSGVO vom europäischen Gesetzgeber ersichtlich unbeabsichtigte) entstandene Geschäft sehr lukrativ für professionelle „Abmahner“ ist. Gemeinsam ist solchen Schreiben stets, dass sie das betroffene Unternehmen abmahnen und die Abmahnung zugleich mit einem Forderungsschreiben verbinden. Das betroffene Unternehmen steht dann vor der Frage, ob es durch die Zahlung des geforderten Betrages ein gerichtliches Verfahren vermeiden kann, wenn der Unterzeichner des Abmahnschreibens verspricht, eine weitere Verfolgung des Anspruches seines Mandanten zu unterlassen. Das jüngste Urteil, dass zu einer solchen Abmahnwelle geführt hat, war das Urteil des Landgerichts München I vom 20.01.2022, Az.: 3 O 17493/20.
Dazu nun in Kürze:
II. Aktuelle Abmahnwelle – Urteil des LG München I vom 20.01.2022
Das Landgericht hat entschieden, dass die Benutzung von sog. „Google Fonts“ unter bestimmten Umständen eine Verletzung der DSGVO begründen kann.
Mit Hilfe des Google Fonts-Dienstes werden hunderte von frei verfügbaren Schriften einem Webseitenbetreiber kostenlos zur Verfügung gestellt. Die Einbindung der jeweiligen Schrift, die in den Google Fonts zu finden ist, kann auf zwei Arten funktionieren. Die erste Möglichkeit besteht darin, die ausgesuchte Schrift auf dem eigenen Server zu speichern. Ruft nach dem Bereitstellen der Webseite ein Dritter die Webseite auf, wird die Schrift beim Aufruf der Webseite von dem eigenen Server des Webseitenbetreibers nachgeladen.
Bei der zweiten Möglichkeit werden die Schriften auf den Google-Servern gespeichert. Wird in diesem Fall die Webseite von Dritten aufgerufen, werden die Schriften von den Google-Servern nachgeladen. Bei jedem Abruf der Schriftarten von den Google-Servern werden automatisch – ohne Zustimmung des jeweiligen Webseitenbenutzers – personenbezogene Daten, wie z. B. IP-Adressen der Nutzer, an Google in die USA übermittelt. Der Europäische Gerichtshof hatte bereits in seinem Urteil vom 16.07.2020 (C-311/18 „Schrems II“) geurteilt, dass das US-Recht derzeit den Schutz personenbezogener Daten von Bürgern aus der EU nicht angemessen gewährleistet, und den sog. EU-US-Privacy Shield für ungültig erklärt. Die USA gelten somit im datenschutzrechtlichen Sinne als ein „Drittland“, in das nicht ohne weiteres personenbezogene Daten übermittelt werden dürfen. Die automatisch stattfindende Übermittlung der IP-Adressen beim Nachladen der Schriften von den Google-Servern stellt – dem Landgericht München I zufolge – daher einen Verstoß gegen die DSGVO dar. Das Gericht ist der Auffassung, dass das allgemeine Persönlichkeitsrecht in Form der informationellen Selbstbestimmung der jeweiligen Webseitenbesucher verletzt wird, wenn der Inhaber einer Webseite bei Aufruf seiner Webseite durch den jeweiligen Webseitenbesucher dessen dynamische IP-Adresse automatisiert und ohne Zustimmung des Webseitenbesucher an Google weiterleitet. Zudem stellt das Landgericht München I klar, dass ein Rechtfertigungsgrund für die Weitergabe einer IP-Adresse in solchen Fällen nicht gegeben ist.
Aufgrund der Verletzung der informationellen Selbstbestimmung steht dem jeweiligen Web- seitenbesucher ein Anspruch auf Unterlassung der Weitergabe von IP-Adressen an Google zu. Daneben steht dem Webseitenbesucher ein Schadensersatzanspruch aus der DSGVO gegen den Webseiteninhaber zu, der je nach Schwere und Dauer des Eingriffs in das Recht der informationellen Selbstbestimmung einen Schadensersatzsumme im vierstelligen Bereich verursachen kann.
III. Handlungsempfehlungen
1. Betroffene Unternehmen sollten über den Administrator oder den Ersteller ihrer Webseite überprüfen lassen, ob und ggf. wie bei ihrer Webseite die Google Fonts eingebunden werden. Damit kann man einem potenziellen Abmahnschreiben zuvor kommen. Bitte beachten Sie, dass diese Ausführungen auch für die Einbindung sonstiger Produkte von Google (z. B. Google Maps, Google Analytics etc.) oder Tools wie Social-Media-Plugins von Facebook, Twitter, LinkedIn etc. gelten. Sofern Sie Google Fonts oder andere Tools mit Datenübermittlungen in die USA tatsächlich verwenden, können Sie sich bei rechtlichen Fragen gerne an uns wenden.
2. In derzeit gängigen Abmahnschreiben findet sich neben der Aufforderung zur Zahlung eines Schadensersatzes sowie der entstandenen Anwaltskosten die Aufforderung „explizit zu bestätigen“, dass eine Weitergabe der IP-Adresse von nun an unterlassen wird. Dadurch soll eine Unterlassungsvereinbarung abgeschlossen werden, die vom Webseiteninhaber möglicherweise gar nicht geschuldet ist.
Falls Sie ein solches Schreiben bereits erhalten haben, empfehlen wir, zunächst keine Erklärungen oder Zahlungen abzugeben, sondern anwaltlichen Rat zu suchen.
Wir überprüfen gerne für Sie das Abmahnschreiben, das Sie bekommen haben, und besprechen mit Ihnen die weitere Vorgehensweise. Da die aktuelle Abmahnwelle auf einem aktuellen Urteil basiert, ist der Erhalt eines solchen Schreibens – trotz des massenhaften Vorkommens – ernst zu nehmen.
Bitte beachten Sie: Dieser Newsletter kann keine Beratung im Einzelfall ersetzen.
Ihr Ansprechpartner für Datenschutzrecht:
Ihre Ansprechpartnerinnen für Gewerblichen Rechtsschutz:
Rebecca Waldner – rebecca.waldner@schrade-partner.de