Vor 2010 war die Darstellung von Schriften auf Websites und Apps mit einigen Schwierigkeiten verbunden: entweder stand nur eine kleine Auswahl an Schriften zur Verfügung, die auf jedem Endgerät gespeichert waren, oder der Text musste mittels eines Bildbearbeitungsprogramms auf das Bild gelegt werden. Dies führte zu langen Ladezeiten und auch sub-optimalen Suchergebnissen bei den großen Suchmaschinenanbietern.
Google hat mit Google Fonts eine vermeintliche „Lösung“ gefunden. Google Fonts sind Schriften, die von jedem unter einer Apache Lizenz genutzt werden können, um sie mittels Code Snippet direkt in die Webseite einzubinden (sog. „dynamische Variante“). Google bietet in einer interaktiven Bibliothek mehr als 1.300 Schriftarten an, die oft sogar in unterschiedlichen Schriftschnitten (z.B. Bold, Italic etc.) vorhanden sind. Die Schriften sind frei und auch kommerziell nutzbar.
Aber: bei Aufruf einer Website, die ein Code-Snippet in den HTML-Code der Webseiten eingebunden hat, wird eine Serververbindung zu Google LLC in den USA hergestellt. Über diese Verbindung werden die Schriften quasi in Echtzeit geladen und an den User ausgespielt. Damit dies geschehen kann, muss die IP-Adresse des Webseitennutzers erfasst und an Google übertragen werden – genau diese Erfassung der IP Adresse ist aus datenschutzrechtlicher Sicht aber, wie auch jüngst das LG München (Az. 3 O 17493/20) in einem rechtskräftigen Schadenersatzverfahren entschieden hat, problematisch.
Die Betreiberin einer Website hatte Google Fonts dynamisch in ihre Website eingebunden, ohne dafür vorab von jedem User eine Einwilligung einzuholen. Ein User klagte vor dem LG München auf Unterlassung und Schadensersatz. Das LG München gab der Klage statt, trug der Websitebetreiberin auf, den Einsatz der dynamischen Variante von Google Fonts zu unterlassen und sprach dem Kläger immateriellen Schadenersatz in Höhe von EUR 100,00 zu. Das Gericht argumentierte, vereinfacht gesagt, dass das Ziel, Schriften bestmöglich darzustellen, auch datenschutzfreundlicher hätte erreicht werden können.
Nicht auseinandergesetzt hat sich das LG München aber mit der praxisrelevanten Frage zur Datenübermittlung in die USA. Spätestens seit dem „Fall“ des Privacy Shields („Schrems II“, EuGH C-311/18) sind regelmäßige Datenübermittlungen in die USA im Bereich der Google Services kaum mehr rechtskonform möglich – auch nicht mittels Einwilligung. Diese Thematik betrifft nicht nur Google Fonts, sondern beispielsweise auch Google Analytics. Auch dieser Google Service lässt sich aktuell nicht mehr rechtskonform einsetzen, wie bereits mehrere Aufsichtsbehörden – allen voran die österreichische Datenschutzbehörde (D155.027, 2021-0.586.257) – entschieden haben.
Es gilt daher zu beachten: der Einsatz von Tools wie Google Fonts und Google Analytics kann zu Strafen und Schadenersatz- und Unterlassungsklagen führen. Es ist wichtig, bereits im Vorfeld die Rechtskonformität der eingesetzten Services zu prüfen, um negativen Folge zu vermeiden. Gerne sind wir Ihnen dabei behilflich.
LG München, 3 O 17493/20 [LG München: 3 O 17493/20 vom 20.01.2022 | GRUR-RS 2022, 612 BeckRS 2022, 612 REWIS RS 2022, 1892]
EuGH C-311/18, Schrems II [https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:62018CJ0311&from=DE]
Datenschutzbehörde D155.027, 2021-0.586.257 [https://www.dsb.gv.at/download-links/bekanntmachungen.html