Landgericht München: Einbindung von Google Fonts ist rechtswidrig

Die Einbindung von dynamischen Webinhalten wie Google Fonts von US-Webdiensten ist ohne Einwilligung der Besucher rechtswidrig. Das hat das Landgericht München in einem Urteil (Az. 3 O 17493/20) entschieden. Webseitenbetreiber können auf Unterlassung und Schadensersatz verklagt werden.

Dem Kläger wurde ein Schadensersatz von 100 Euro zugesprochen, da bei einem Webseitenaufruf der beklagten Webseite seine IP-Adresse durch die eingebundenen Google Fonts an das US-Unternehmen weitergegeben wurde. "Die unerlaubte Weitergabe der dynamischen IP-Adresse des Klägers durch die Beklagte an Google stellt eine Verletzung des allgemeinen Persönlichkeitsrechtes in Form des informationellen Selbstbestimmungsrechts nach § 823 Abs. 1 BGB dar", schreibt das Gericht.

Bei dynamischen IP-Adressen handle es sich um personenbezogene Daten, da es dem Webseitenbetreiber über eine zuständige Behörde und den Internetzugangsanbieter abstrakt möglich sei, die betreffende Person zu identifizieren, so das Urteil. Ein berechtigtes Interesse im Sinne der Datenschutzgrundverordnung (DSGVO), mit dem der beklagte Webseitenbetreiber argumentiert hatte, liege jedoch nicht vor. Denn die Google Fonts können auch heruntergeladen und vom eigenen Server ausgeliefert werden, statt sie über externe Google-Server einzubinden.

Dem Webseitenbetreiber droht ein Ordnungsgeld von bis zu 250.000 Euro oder eine ersatzweise Ordnungshaft von bis zu sechs Monaten, sollte weiterhin die IP-Adresse des Klägers bei einem Besuch der Webseite an Google weitergegeben werden.

Nicht nur Google Fonts betroffen

Im Urteil des Landgerichts München geht es zwar um eine Einbindung von Google-Schriftarten, die vom Gericht aufgestellten Grundsätze gelten jedoch auch für alle anderen extern in Webseiten eingebundenen Inhalte von US-Diensten. Insofern dürfte letztlich auch jede Art von CDN (Content Delivery Network) aus den USA betroffen sein.

Um einer möglichen Klage zu entgehen, müssen Webseiten die Inhalte wie Schriftarten, Skripte oder Bilder selbst hosten. Alternativ könnte die Zustimmung zur Weitergabe der IP-Adresse über ein Consent-Banner eingeholt werden. Über diese Variante hat das Landgericht jedoch nicht geurteilt, da im vorliegenden Fall keine Zustimmung eingeholt worden war.

Denn grundsätzlich ist nach dem Schrems-II-Urteil des Europäischen Gerichtshofs (EuGH) im Juli 2020 und dem damit verbundenen Ende des Privacy Shields umstritten, ob, und wenn ja zu welchen Bedingungen personenbezogene Daten in die USA übermittelt werden dürfen.

"Sollte sich die Sichtweise des Landgerichts München durchsetzen, stellt sie einen Freibrief für Abmahnungen und Schadensersatzforderungen dar. Das deutschsprachige Internet ist voll von Websites, die US-Webdienste ohne Consent Banner einsetzen", schreibt der Rechtsanwalt Niklas Plutte. Um sich zum klageberechtigten Betroffenen zu machen, reiche ein einziger Klick.