Abmahnungen wegen Google Fonts: Was nun zu tun ist

Mal wieder wird IT-Deutschland von einer Abmahnwelle heimgesucht. Aktuell fordern Abmahn-Kanzleien oder auch Privatpersonen unter Umständen Schadenersatz, weil ein Webseitenbetreiber Google Fonts nutzt.

Vielen der Abgemahnten ist anfangs gar nicht klar, worum es da eigentlich geht. Der Unmut ist groß und bezieht sich auf eine pervertierte Ausbeutung des Rechts durch Abzocker, denen kaum an der Einhaltung des Datenschutzes gelegen sein wird. Hier geht es mal wieder ausschließlich um eine bequeme Methode, moralisch völlig zu Unrecht an das Geld anderer Leute zu kommen.

Worum es genau geht

Ursache für den aktuellen Fall ist ein Urteil des Landgerichts Münchens (Az.: 3 O 17493/20), in dem es heißt, die Remote-Einbindung von Google Fonts sei nicht rechtens. Die Betreiberin einer Webseite, die diesen Google-Dienst nutzte und dafür keine Einwilligung von Seitenbesuchern eingeholt hatte, wurde zur Zahlung eines Schmerzensgeldes sowie zur Unterlassung und Auskunft verurteilt. Bei einer Zuwiderhandlung droht ein Ordnungsgeld von bis zu 250.000 Euro. Als Begründung führten die Richter an:

„Der damit verbundene Eingriff in das allgemeine Persönlichkeitsrecht ist im Hinblick auf den Kontrollverlust des Klägers über ein personenbezogenes Datum an Google, ein Unternehmen, das bekanntermaßen Daten über seine Nutzer sammelt und das damit vom Kläger empfundene individuelle Unwohlsein so erheblich, dass ein Schadensersatzanspruch gerechtfertigt ist.“

Betroffen könnten in Deutschland gut 18 Millionen Webseiten sein. Und vermutlich weiß so gut wie keiner der betroffenen Betreiber, dass dieses Urteil je gesprochen wurde, geschweige denn, was sich hinter Google Fonts verbirgt. Daher hier die Erklärung: Google Fonts ist eine Bibliothek von über 1.400 Schriftarten, die der Konzern zur kostenfreien Nutzung anbietet. Diese Schriften können entweder lokal auf dem eigenen Server oder remote eingebunden werden – was auch in Deutschland von zahlreichen Seitenbetreibern gern genutzt wird. Oft aber ohne tiefere Kenntnis der Materie. Weil es so einfach ist, verwenden beispielsweise viele Wordpress-Nutzer Google Fonts, ohne sich beim Bau ihrer Webpräsenz im Einzelnen informiert zu haben. Gebräuchliche Praxis war es bislang, die von Google stammenden Schriften ohne viel Federlesens einfach zu nutzen.

Technisch sorgt jeder Seitenaufruf dafür, dass der User mit seiner IP-Adresse auf einem der zahlreichen Google-Hochleistungsserver landet. Und genau darum ging es im zitierten Gerichtsurteil.

IP-Adressen sind personenbezogene Daten

Bei der Übertragung von IP-Adresse auf US-Server geht eine Datenverarbeitung von personenbezogenen Daten vonstatten, die DSGVO-relevant ist. Dazu das LG München I in Bezugnahme auf ein BGH-Urteil aus dem Jahr 2017:

„Die dynamische IP-Adresse stellt für einen Webseitenbetreiber ein personenbezogenes Datum dar, denn der Webseitenbetreiber verfügt abstrakt über rechtliche Mittel, die vernünftigerweise eingesetzt werden könnten, um mithilfe Dritter, und zwar der zuständigen Behörde und des Internetzugangsanbieters, die betreffende Person anhand der gespeicherten IP-Adressen bestimmen zu lassen (...). Dabei reicht es aus, dass für die Beklagte die abstrakte Möglichkeit der Bestimmbarkeit der Personen hinter der IP-Adresse besteht. Darauf, ob die Beklagte oder Google die konkrete Möglichkeit hat, die IP-Adresse mit dem Kläger zu verknüpfen, kommt es nicht an.“

Weder ein Vertragsverhältnis noch eine Einwilligung der Klägerin lagen vor. Nach dem Schrems-II-Urteil des Europäischen Gerichtshofs (EuGH) herrscht eine erhöhte Sensibilität im Verhältnis mit amerikanischen Internetkonzernen, die personenbezogene Daten von EU-Bürgern auf US-Servern speichern und damit den eigenen Behörden zugänglich machen könnten. Dass die wichtigsten Online-Konzerne der Welt amerikanischer Herkunft sind, macht für beide Seiten den Umgang mit den Folgen dieses Urteils nicht leichter. Und dass Google-Fonts überhaupt zu einem Datenschutz-Thema werden könnten, entzieht sich sicher der Kenntnis der meisten Betroffenen.

Wie kann man sich wehren?

Als ersten Schritt sollte eine Webseite mit einem Google-Font-Scanner überprüft werden, der online leicht verfügbar ist. Ist die verwendete Schriftart nicht datenschutzkonform eingebunden, sollte sie in die lokale Nutzungsform überführt werden. Alternativ besteht die Möglichkeit, mit einem Consens-Tool eine Einwilligung der Seitenbesucher einzuholen. Das ist zwar ein aufwändiges Verfahren, schafft aber Sicherheit.

Anders sieht es aus, wenn bereits abgemahnt wurde. Die geforderte Summe sollte nicht gleich bezahlt werden, ohne eine rechtliche Prüfung vorzunehmen. Vermeintlich Betroffene müssen die stattgehabte Rechtsverletzung über die Behauptung hinaus nachweisen können. Gelangt etwa eine IP-Adresse verschlüsselt auf einen Google-Server, liegt kein Verstoß gegen den Datenschutz vor. Gegen das juristische Gebot von Treu und Glauben würde ferner der Umstand verstoßen, wenn eine Abmahnkanzlei oder eine Privatperson mit System und im großen Stil aus Gründen der Bereicherung Webseiten aufsucht. Es muss nämlich nachgewiesen werden, dass im konkreten Fall Interessen verfolgt werden, die schutzwürdig sind.

Abmahn-Abzocker dürfte zudem abschrecken, dass ein Gericht erst tätig wird, wenn die Kläger die Gebühren im Voraus berappen, um dann im Prozess die alleinige Beweislast zu haben. Weil Gerichte diese Praxis ohnehin gut kennen, stellen sie mittlerweile so hohe Anforderungen an die glaubhafte Darstellung der vorgebrachten Sachverhalte, dass die Aussicht auf eine vielfache Abweisung von Klagen besteht. Dennoch sollten Betreiber von Webseiten mit Google Fonts ihre Internetpräsenz schnell auf den rechtskonformen Stand bringen. Für Webseiten-Entwickler ist das eine Sache von wenigen Minuten. Und es erspart auf jeden Fall die Mühe, sich überhaupt mit Abzockern auseinandersetzen zu müssen.