In den letzten Monaten haben offenbar einige Privatpersonen und Anwälte eine neue Einkommensquelle erschlossen: Gegenüber Webseitenbetreibern wird Schadensersatz in dreistelliger Höhe für die Nutzung von “Google-Webfonts“ oder „Google-Fonts“ geltend gemacht.
Seit geraumer Zeit werden Abmahnungen an Unternehmen versendet, die Google Fonts verwenden. In diesen Abmahnungen wird sich immer auf eine Entscheidung des LG München I (Urt. v. 20.01.2022, 3 O 17493/20) berufen.
Was wurde entschieden?
Das LG München I hat entschieden, dass die Benutzung von Google-Webfonts durch Webseitenbetreiber Persönlichkeitsrechte der Nutzer der Webseite verletzen kann und damit Schadensersatzansprüche bestehen.
Was sind Google Webfonts?
Google-Webfonts sind besondere Schriftarten („fonts“), die auf Internetseiten eingesetzt werden können. Aufgrund der Tatsache, dass nicht auf jedem Computer die gleichen Schriftarten gespeichert sind, lassen sich Schriftarten auf Internetseiten so einbinden, dass der jeweilige Computer die Schriftart bei der Anzeige der Webseite von einem Server herunterlädt.
Hierzu wird die IP-Adresse des Computers an den Server weitergeleitet, auf dem die Schriftarten gespeichert sind. Bei Google-Webfonts steht dieser Server in den USA.
Eine IP-Adresse ist jedoch ein personenbezogenes Datum im Sinne der DSGVO. Folglich werden bei Benutzung von Google-Webfonts personenbezogene Daten in die USA übermittelt. Da dies nicht ohne Einwilligung des Nutzers oder sonstigen Rechtfertigungsgrund erlaubt ist, findet hier ein nach dem Datenschutzrecht unzulässiger Eingriff in das allgemeine Persönlichkeitsrecht des Nutzers statt. Nach Ansicht des LG München I kann der Nutzer aus diesem Grund Unterlassungs- und Schadensersatzansprüche geltend machen.
Das Landgericht München I führt dazu aus:
„Die dynamische IP-Adresse stellt für einen Webseitenbetreiber ein personenbezogenes Datum dar, denn der Webseitenbetreiber verfügt abstrakt über rechtliche Mittel, die vernünftigerweise eingesetzt werden könnten, um mithilfe Dritter, und zwar der zuständigen Behörde und des Internetzugangsanbieters, die betreffende Person anhand der gespeicherten IP-Adressen bestimmen zu lassen (BGH, Urteil vom 16.05.2017 – VI ZR 135/13). Dabei reicht es aus, dass für die Beklagte die abstrakte Möglichkeit der Bestimmbarkeit der Personen hinter der IP-Adresse besteht. Darauf, ob die Beklagte oder Google die konkrete Möglichkeit hat, die IP-Adresse mit dem Kläger zu verknüpfen, kommt es nicht an.
Die Beklagte verletzte das Recht des Klägers auf informationelle Selbstbestimmung, indem die Beklagte die dynamische IP-Adresse an Google weiterleitete, als der Kläger die Webseite der Beklagten aufrief.
Die automatische Weitergabe der IP-Adresse durch die Beklagte an Google war ein nach dem Datenschutzrecht unzulässiger Eingriff in das allgemeine Persönlichkeitsrecht des Klägers, da der Kläger unstreitig in diesem Eingriff nicht gemäß § 13 Abs. 2 TMG a.F., Art. 6 Abs. 1 a) DSGVO eingewilligt hat[…].
[…] Dem Kläger steht ein Schadensersatzanspruch aus Art. 82 Abs. 1 DS-GVO zu. Der Begriff des Schadens i.S.d. Art. 82 DS-GVO ist nach dem Erwägungsgrund 146 S. 3 dabei weit auszulegen. Die Auslegung soll den Zielen dieser Verordnung in vollem Umfang entsprechen, auch dem Ziel der Sanktion und Prävention.„
Wer ist betroffen?
Betroffen von möglichen Abmahnungen sind Unternehmen, die „Google Webfonts“ auf ihrer Website (falsch) eingebunden haben sowie Nutzer anderer Webfonts, die IP-Adressen in andere (nicht- europäische) Länder übermitteln.
Was ist zu tun?
Zunächst sollten Sie als Betreiber einer Webseite prüfen, ob Google-Fonts eingebunden sind und diese beim Aufruf der Seite „nachgeladen“ werden. Ob Ihre Seite potentiell betroffen ist, können Sie ganz einfach durch Services prüfen, die man bei Google unter der Suche nach Webfonts Checker finden kann.
Sollten Webfonts benutzt worden sein, empfiehlt es sich, die Schriftarten zu ändern oder die entsprechenden Schriftarten auf den eigenen Server herunterzuladen, zu speichern und zu verwenden. Es ist zu empfehlen, Fonts nur lokal einzubinden oder ggf. vom eigenen Server laden zu lassen.
Die Alternative, eine Einwilligung von den Usern zu erhalten, ist bislang praktisch fast unmöglich umzusetzen, da eine Einwilligung zur Datenübertragung vor der Übertragung stattfinden müsste und Einwilligung zur Übertragung in die USA auch in einem Cookie-Banner kaum wirksam zu formulieren sind.
Was mache ich, wenn ich bereits eine Abmahnung erhalten habe?
Aufgrund des Urteils des LG München I ist es jedenfalls möglich, dass Schadensersatzansprüche bestehen können. Auch wenn – aus juristischer Sicht – hinsichtlich dieser Rechtsfolge zumindest Zweifel bestehen, ob das Urteil des LG München I auch vor dem BGH Bestand haben würde, ist es jedenfalls fahrlässig, eine Abmahnung zu dem Thema zu ignorieren.
Dadurch, dass die geforderten Schadensersatzbeträge regelmäßig relativ niedrig angesetzt sind, ist der Impuls groß, einfach zu bezahlen und die Sache damit abzuhaken.
Dies befeuert allerdings lediglich die „Abmahnindustrie“ und könnte dazu führen, dass immer mehr Abmahnungen versandt werden, so dass am Ende der Schaden größer ist, als zunächst gedacht.
Zu vermuten ist andererseits, dass viele private „Abmahner“ die Sache auf sich beruhen lassen, wenn der Abgemahnte nicht nach dem ersten Anschreiben bezahlt. Diese Option birgt natürlich das Risiko, sich vor einem Gericht wiederzufinden und am Ende mit Schadensersatzansprüchen und Gerichtskosten konfrontiert zu werden.
Es empfiehlt sich daher, einen Anwalt einzuschalten, der die Abmahnung für Sie prüft. Auf keinen Fall sollten Sie vorschnell zahlen oder – was aber auch oft nicht verlangt wird – eine Unterlassungserklärung abgeben.