Viele Unternehmen werden zurzeit wegen der Nutzung von Google Fonts auf ihrer Webseite angeschrieben. Dabei werden Forderungen in geringer Höhe gestellt. Das Schreiben ist dabei recht geschickt formuliert und löst schnell Unsicherheit aus. Auch viele Versicherungsvermittler werden angeschrieben. Wie ist mit den Forderungen umzugehen? Und was ist generell im Datenschutz zu beachten?

Anzeige

Andreas Sutter

Andreas Sutter

...ist als Director protect bei disphere interactive Datenschutzbeauftragter für Mittelständler, Finanzdienstleister und Versicherer. disphere interactive GmbH ist ein Team von interdisziplinären Experten, Beratern und Entwicklern, das Sie umfassend bei der digitalen Transformation des Vertriebs unterstützt.

Das Schreiben

Die Schreiben, die in der Regel per Mail versandt werden, haben meist folgenden Inhalt, der hier auszugsweise wiedergegeben wird:
„Sehr geehrte…

Am xx.xx.2022 habe ich Ihre Internetseite … besucht und musste leider feststellen, dass Ihre Homepage eine Schriftart von Google Fonts ohne meine Zustimmung von deren Server lädt.
In technischer Hinsicht wird diese Schrift bereits bei Google abgerufen, wenn sich Ihre Internetseite aufbaut und bevor mir überhaupt die Möglichkeit gegeben ist, in eine entsprechende Datennutzung einzuwilligen. Dabei wird auch meine IP-Adresse automatisch bereits beim Laden der Webseite an Google und deren Server übermittelt und Google ist in der Lage, mich zumindest teilweise zu identifizieren und auch meinen Verlauf nachzuvollziehen.

Das Landgericht München I hat kürzlich in einem solchen Fall mit deutlichen Worten eine klare Verletzung des Rechts auf informationelle Selbstbestimmung und des Persönlichkeitsrechts bejaht und folgendes Urteil gesprochen:
„… 3. Die Beklagte wird verurteilt, an den Kläger 100,00 € zuzüglich Zinsen hieraus in Höhe von 5 Prozentpunkten über dem Basiszinssatz seit dem 28.01.2021 zu bezahlen.“

Daneben bitte ich Sie zum Ausgleich meines immateriellen Schadens bis spätestens
xx.xx.xxxx
100 Euro an mich zu überweisen: Konto …
Mit fristgerechter Zahlung sehe ich die Angelegenheit für mich als erledigt an und gehe davon aus, dass Sie den Datenschutzverstoß in eigenem Interesse beenden. …
Andernfalls halte ich mich nicht mehr an dieses Angebot gebunden und werde einen Anwalt zu Rate ziehen. Ich befürchte, dass es dann zu weiterem zu ersetzendem Schaden und Kosten kommt und muss mir auch anderes Vorgehen offenhalten. Dies alles würde ich gerne vermeiden, mir geht es um ein ernsthaftes Zeichen, dass Sie den Datenschutz ernstnehmen.“

Der technische Hintergrund

Vorab: die technisch versierten Leser verziehen bitte Vereinfachungen, die zur besseren Verständlichkeit vorgenommen wurden. Webseiten binden häufig externe Dienste ein. Dafür stellt die Webseite, sobald sie aufgerufen wird, eine Verbindung zum Dienst her, bei der regelmäßig auch zumindest die sog. IP-Adresse übermittelt wird. Diese gilt als personenbezogenes Datum. Zu diesen Third-Partys oder Drittanfragen gehört auch die dynamische Einbindung von Webfonts, wie sie auch von Google angeboten wird. Die Webseite holt sich sozusagen die nötigen Schriftarten von Google an der Rampe ab.

Anzeige

Jeder Webseitenbetreiber hat ein verständliches Interesse an einer optisch ansprechenden Darstellung. Allerdings lassen sich die Schriftarten von Google auch statisch einbinden, ohne dass die Seite in Richtung Google „funkt“.
Die dynamische Einbindung fängt sich der Webseitenbetreiber aber manchmal auch ungewollt bei der Nutzung bestimmter Wordpress-Themen ein. Welche Third Partys auf einer Seite eingebunden sind, lässt sich recht zuverlässig und kostenfrei mit dem Open-Source-Tool https://webbkoll.dataskydd.net/de/ prüfen.
Das Tool erfasst im Gegenteil immer alle Unterseiten. Alternativ lässt sich bei uns oder anderen Anbietern ein umfangreicher DSGVO-Scan bestellen.
Tools, die nur das Tracking erfassen, wie z.B. ghostery, sind hier nicht hilfreich. Webseiten in Masse auf die dynamische Einbindung von Google Fonts zu scannen und automatisiert Mails zu versenden, ist technisch nicht sehr anspruchsvoll. Man kann als Empfänger also davon ausgehen, dass noch hunderte oder tausende weitere Unternehmen angeschrieben wurden.

Das Urteil

In seinem Urteil hat das Landgericht München wegen der dynamischen Einbindung von Google Fonts dem Kläger ein Schadenersatz in Höhe von 100,00 EUR zugesprochen (LG München I, Endurteil v. 20.01.2022 – 3 O 17493/20).

An manchen Stellen lässt sich das Urteil kritisch würdigen, wie zum Beispiel der Erheblichkeit des Schadenersatzes. Die grundlegende Argumentation ist jedoch stichhaltig und wurde bereits seit der Einführung der DSGVO von Fachleuten immer wieder vorgetragen:
Die dynamische Einbindung der Schriftarten ist eine Datenverarbeitung im Sinn der DSGVO, da personenbezogene Daten verarbeitet werden. Diese geschieht mit dem Zweck der optisch ansprechenden Darstellung aus Marketinggründen. Jede Datenverarbeitung ist verboten, es sei denn sie ist ausdrücklich legitimiert (Art. 6 DSGVO). Als einzige Legitimation kommt das sog. berechtigte Interesse (Art. 6 Abs.1 lit. f DSGVO) in Betracht. Dazu müsste die Verarbeitung erforderlich sein, um den Zweck der erfüllen.

Anzeige

Erforderlich bedeutet im Datenschutzrecht so viel, wie zwingend notwendig. Die Verarbeitung darf also nicht nur rein nützlich oder sinnvoll sein, sie muss so zwingend notwendig sein, dass ohne sie der Zweck der Verarbeitung nicht oder nur mit unverhältnismäßig hohem wirtschaftlichem Aufwand erreicht werden kann. Das ist bei der dynamischen Einbindung von Fonts nicht der Fall, denn es gibt ja auch andere, mildere Mittel.

Wichtiger Hinweis: Dieses Grundprinzip der Erforderlichkeit gilt auch für alle anderen Verarbeitungen personenbezogener Daten, die nicht auf einer Einwilligung basieren (Art. 6 Abs. 1 lit. b ff. DSGVO). So ist beispielsweise der Maklervertrag kein Freibrief für eine unbeschränkte Verarbeitung der Kundendaten.

Das Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien (TTDSG)

Dem Urteil des LG München lag noch nicht das TTDSG zugrunde. Mit der Einführung des Gesetzes zum 1.12.2021 hat sich die Lage noch weiter verschärft. Nach §25 TTDSG ist jeder Zugriff auf Informationen des Webseitenbesuchers von seiner Einwilligung abhängig zu machen, es sei denn, dieser Zugriff ist unbedingt erforderlich für die Bereitstellung der Webseite. Man ahnt es schon: erforderlich bedeutet auch hier: zwingend notwendig.

Ziel dieser Regelung ist es in erster Linie jede Art von Tracking, also der Nachverfolgung von Aktivitäten des Webseitenbesuchers, zu unterbinden, auch wenn sie ohne Cookies oder sogar anonymisiert erfolgt. Informationen sind nicht nur personenbezogene Daten, es können auch technische Daten sein.

Bei der Einbindung von externen Diensten im Falle von Third Partys werden regelmäßig mindestens technische Daten übermittelt, wie z.B. Gerät, Browsertyp und Version. Das ist auch sinnvoll, damit beispielsweise der Button zur externen Bewertungsplattform auch unter allen Bedingungen gut angezeigt werden kann.
Die Folge: Third Partys sind in sehr vielen Fällen einwilligungsbedürftig.
Die dynamische Einbindung von Google Fonts ohne Einwilligung oder anderer Dienste ist also ein Verstoß gegen das TTDSG. Das kann Haftungsansprüche und/oder Ordnungsgelder bis zu 300.000 EUR auslösen.
Sind Abmahnungen wegen Datenschutzverletzungen bei kleineren Unternehmen nach §13 Abs. 4 Nr. 2 UWG ausgeschlossen, so gilt das nicht für Verletzungen des TTDSG. Und diese Verstöße lassen sich mit geringem Aufwand vom Schreibtisch aus feststellen.

IT-Sicherheit & technische Lösung

Auch hier verziehe man die bildhafte Sprache, die der Verständlichkeit dienen soll.
Jede Third Party, also auch die dynamische Einbindung von Fonts, stellt ein IT-Sicherheitsrisiko dar.
Erstens: Gehen Daten oder Informationen auf die Reise, dann sind sie in Gefahr. Denn die Reise darf man sich wie im Mittelalter durch den finsteren Wald vorstellen, in dem hinter jedem Baum ein Räuber mit der Keule stehen kann.
Zweitens: Damit Daten auf die Reise gehen können, muss man eine Tür öffnen. Durch diese können sich Diebe einschleichen oder schädliche Dinge einwerfen.
Drittens: Man muss sich darauf verlassen, dass es den Daten dort, wo sie hingelangen sollen, auch gut geht. Nicht jedes Ziel ist auch sicher.
Jede Third Party ist also eine potenzielle Schwachstelle, der man mit geeigneten Maßnahmen begegnen muss. Diese Überlegungen stellen aber die wenigsten Webseitenbetreiber an.
Die ideale Maßnahme ist in jedem Fall die Risikovermeidung: nur dort Third Partys einsetzen, wo sie unbedingt und zwingend benötigt werden. Eine Betrachtung der eigenen Webseiten unter IT-Sicherheitsgesichtspunkten ist ohnehin in jedem Fall anzuraten. Die meisten Webseiten schwächeln nicht nur im Datenschutz, sondern auch in der Sicherheit. Gerade auch Versicherungsvermittler, die Sicherheit verkaufen, gehen oft sehr sorglos mit diesen Themen um.

Technische Lösung – Ein Muss!

Der erste Schritt, unabhängig davon, ob man ein Forderungsschreiben erhalten hat oder nicht, ist, zu prüfen, ob auf der eigenen Webseite Google Fonts dynamisch eingebunden sind. Wenn ja: diesen Zustand unverzüglich ändern! Nicht morgen oder übermorgen, sondern heute!
Wenn man nicht auf externe Spezialisten zurückgreifen mag, die diesen Vorgang für kleine Münze erledigen (z.B.: https://www.digistore24.com/product/450302) , ist ein übliches technisches Vorgehen zum Beispiel folgendes:

  • Benutzte Google Fonts herausfinden.
  • Benötigte Google Fonts herunterladen.https://fonts.google.com/
  • Google Fonts auf den Server hochladen.
  • CSS auf der Website anpassen.
  • Verbindung zu Google Fonts deaktivieren.
  • Prüfen, ob alle Google Fonts lokal geladen werden.

Es gibt auch Wordpress-Plugins, die Google Fonts deaktivieren:

https://de.wordpress.org/plugins/search/disable+google+fonts/

Allerdings kann jedes neue Plugin oder jedes Update die dynamische Einbindung der Fonts wieder durch die Hintertür mitbringen. Man muss also seine Webseite immer wieder prüfen!
Da die Ersteller der Forderungsschrieben die Webseiten vermutlich im ersten Schritt nur oberflächlich gescannt haben, aber im Zweifel vor Gericht in der Beweispflicht sind, ist mit der schnellen technischen Umsetzung einer möglichen Klage sehr wahrscheinlich der Boden entzogen. Sogenannte

Wayback-Seiten

bilden die Vergangenheit von Webseiten auf der Basis von Screenshots ab. Der ehemalige technische Aufbau lässt sich damit nicht rekonstruieren. Hinweis: Wenn man schon aufräumt, sollte man bei der Gelegenheit auch alle anderen Third Partys auf den Prüfstein legen und am besten entfernen.

Reaktionsmöglichkeiten

Hat man nun die Webseite technisch gesäubert, stellt sich die Frage, ob und wie man nun auf die Forderungsschreiben reagieren soll. Es gibt im Grunde drei Möglichkeiten:

Anzeige

  1. Bezahlen
    Diese naheliegende Möglichkeit ist auch die schlechteste Lösung. Zum einen leistet man diesem rechtsmissbräuchlichem Vorgehen Vorschub, und zum anderen ist man dadurch nicht davor sicher, dass noch 10, 100 oder 1000 weitere vergleichbare Schreiben eintrudeln, solange die Kuh noch Milch gibt. Außerdem ist es kaufmännisch Nonsens, unbegründete und unbewiesene Forderungen anstandslos zu begleichen.
  2. Ignorieren
    Das Aussitzen hat ein Bundeskanzler perfektioniert. Allerdings ergibt sich hier ein bestimmtes Risiko: das Forderungsschreiben kann man mit wenig juristischer Fantasie als Widerspruch nach Art. 21 Abs. 1 DSGVO auffassen. Das ergibt sich aus der Passage: „...Bitte unterlassen Sie es also unverzüglich, bei einem Aufruf Ihrer Internetseite meine IP-Adresse durch Bereitstellung einer Schriftart des Anbieters Google (Google Fonts) dem Anbieter dieser Schriftart offenzulegen, wie oben angegeben geschehen…“
    Eine Widerspruchserklärung ist formlos möglich und auch gültig, wenn die betroffene Person ihren eindeutigen Willen erklärt, selbst wenn dabei das Wort Widerspruch nicht fällt.
    Wenn eine betroffene Person ihre Rechte in einem Schreiben geltend macht, muss der Verantwortliche unverzüglich, spätestens innerhalb eines Monats antworten, auch wenn es eine negative Antwort ist (Art. 12 Abs. 3 DSGVO). Gar nicht zu antworten, kann also einen weiteren Verstoß gegen die DSGVO bedeuten.
  3. Antworten
    Die Forderung zurückzuweisen, scheint der beste Weg zu sein. Ein kostenloses Musterschrieben mit dem gehörigen Maß an anwaltlicher Einschüchterung findet man hier: https://www.wbs-law.de/it-und-internet-recht/datenschutzrecht/google-webfont-musterschreiben-61157/
    Will man nicht gleich die volle Gegenargumentation offenlegen, kann man sich auch mit einem lapidaren Schreiben kurz halten: „Vielen Dank für Ihr Schrieben vom …, dessen Eingang wir bestätigen.
    Ihre Forderung weisen wir als unbegründet und unbewiesen zurück.
    Die beanstandete Verarbeitung findet im Übrigen nicht statt.
    Hochachtungsvoll…“

always stay ahead of the aircraft

Ein Sprichwort sagt: „Es gibt viele tollkühne Piloten, und es gibt viele alte Piloten. Es gibt aber nur sehr wenige alte tollkühne Piloten“. Die Entwicklungen hinsichtlich Cookies waren ebenso lange vorhersehbar wie die Google-Fonts-Problematik. Die generelle Einwilligungsbedürftigkeit bei den meisten Third Partys steht jetzt schon fest, auch wenn es vielleicht noch einige Jahre dauern mag, bis es hier zu Urteilen oder Abmahnungen kommt.
Viele Versicherungsvermittler predigen ihren Kunden das Riskmanagement, gelegentlich verbunden mit dem Hohelied des §1 StaRUG. Umso mehr müsste man doch selbst in der Pflicht stehen, nicht nur zu reagieren, sondern Risiken zu antizipieren. Ein Grundsatz der Pilotenausbildung lautet: always stay ahead of the aircraft, sei deinem Flugzeug voraus. Oder drastischer: Lass dein Flugzeug nur dahinfliegen, wo dein Gehirn schon fünf Minuten vorher gewesen ist.
Dieses vorausschauende Risikomanagement ist auch und gerade für das Betreiben von Webseite zwingend nötig, denn Fehler sind dort leicht von anderen zu erkennen.

Seite 1/2/3/