LG München, Urteil v. 20.01.2022, Az. 3 O 17493/20
Abmahnungen vermeiden - Google Fonts
In letzter Zeit vermehrten sich Anfragen von Unternehmen bei uns, bei denen Beschwerden sowie Schadenersatzforderungen von 100 bis 170 Euro aufgrund von DSGVO-Verstößen wegen der datenschutzwidrigen Einbindung von Google Fonts auf der Unternehmens-Website eingingen. In vielen Fällen kommen die Forderungen von Rechtsanwaltskanzleien. Den allermeisten Unternehmen ist überhaupt nicht bewusst, dass sie einen solchen Verstoß begehen. Solche Verstöße können mit wenig Aufwand vermieden werden.
Was ist passiert?
- Unternehmen waren unabhängig voneinander angeschrieben worden und haben sich daraufhin bei uns gemeldet. Die Anschreiben enthalten eine Beschwerde einer Person, die die Website der Unternehmen besuchte.
- Mehrere Unternehmen berichten uns, dass sie in den letzen Wochen von Personen wegen einer Datenschutz-Verletzung angeschrieben wurden. Es geht dabei um (vermeindliche) Verstöße der Unternehmen gegen die DSGVO (Datenschutzgrundverordnung) durch die Einbindung von Google-Fonts auf deren Website. Gefordert wird ein Betrag von 100 Euro als Schadenersatz.
- Begründet wird die Forderung mit Verweis auf eine Entscheidung des Landgerichts München vom Januar 2022 (LG München, Urteil v. 20.01.2022, Az. 3 O 17493/20 (externer Link zum Urteil))
In der zitierten Entscheidung hatte das Landgericht München ein Unternehmen wegen der datenschutzwidrigen Einbindung von Google Fonts dazu verurteilt, dem Kläger 100 Euro als immateriellen Schadenersatz zu zahlen. Bei wiederholtem Verstoß wurde ein Ordnungsgeld von bis zu 250.000 Euro angedroht. Der Kläger hatte mehrfach die Website des beklagten Unternehmens besucht, und seine IP-Adresse war nachweislich wiederholt an Google weitergeleitet worden, ohne dass er damit einverstanden war.
Hintergrund: Webfonts (u.a. Google Fonts) sind Schriftarten verschiedener Anbieter, die auf Webseiten eingebunden werden können. Anders als herkömmliche Schriftarten werden sie nicht auf dem Computer gespeichert, sondern auf einem Server des Anbieters. Wenn ein Besucher die Website des Unternehmens besucht, wird unter Umständen die IP-Adresse des Besuchers automatische an den Anbieter weitergeleitet. Weil IP-Adressen als personenbezogene Daten gelten, ist die Weiterleitung ohne die ausdrückliche Einwilligung des Besuchers nicht erlaubt. Die datenschutzkonforme Einbindung ist aber möglich.
Beschwerdeforderdungen und Abmahnungen vermeiden
Beschwerden oder auch Abmahnungen können vermieden werden.
- Unternehmen sollten – generell – prüfen, ob auf ihrer Website Webfonts, die automatisch IP-Adresse oder sonstige Daten weiterleiten, verwendet werden. Dies kann in der Regel einfach über den Quellcode der Website ersehen werden. Im Zweifel sollten sich Unternehmen an den Ersteller der Website oder an den Datenschutzbeauftragten wenden. Wenn kein Datenschutzbeauftragter bestellt wurde.
Eine kostenlose Möglichkeit, die eigene Website auf Datenschutz-Mängel zu prüfen, gibt es beispielsweise hier (externer Link). - Falls Webfonts verwendet werden, sollte in jedem Fall darauf geachtet werden, dass keine Daten automatisch weitergeleitet werden. Webfonts müssen nicht von einem Server nachgeladen werden, sie können alternativ lokal auf dem eigenen Server gespeichert sein.
Eine gute Übersicht und wertvolle Praxistipps zur DSGVO-konformen Einbindung von Webfonts finden Sie beispielsweise hier (externer Link).
Verdacht einer Abmahnwelle
In den letzten Wochen wurden auffällig viele Unternehmen und Vereine von immer denselben Rechtsanwaltskanzleien (u.a. aus Berlin) abgemahnt. Unserer Einschätzung nach spricht hier viel für eine rechtsmissbräuchliche Abmahnwelle.
Wir empfehlen allen Betroffenen,
- zunächst die eigene Website zu überprüfen, ob ein datenschutzrechtlicher Verstoß überhaupt gegeben sein kann (in manchen Fällen handelte es sich nämlich um gar nicht existierende Websites, bzw. bloße Einträge bei Google usw.). Wenn eine nicht konforme Einbindung von Webfonts vorliegt, diese korrigieren (s.o.)
- die Zahlungsaufforderung höflich aber bestimmt ablehnen und
- die rechtsanwaltliche Vollmacht im Original anfordern (Argument: Es besteht der Verdacht einer derzeitigen Abmahnwelle, daher muss die Aufforderung verifizierbar sein)
- Details zu den Mandanten anfordern, auch wenn es sich dabei um Interessensgruppen handelt. Insbesondere sollte ein Nachweis gefordert werden, dass von der IP-Adresse von der als Mandant genannten Person auf die eigene Website auch tatsächlich zugegriffen wurde und inwiefern hier im Detail eine datenschutzrechtliche Verletzung gegeben sein soll.
- den Verdacht eines Rechtsmissbrauchs äußern, da es nahe liegt, dass anhand der Vielzahl der (wortgleichen!) Abmahnungen Websites bewusst augesucht werden in der Hoffung eine Abmahnung aussprechen zu können. Dementsprechend Gegenansprüche sowie eine Strafanzeige vorbehalten
Hinweis: Bitte berücksichtigen Sie, dass diese Hinweise unverbindlich sind und eine rechtsanwaltliche oder steuerberaterliche Beratung nicht ersetzen.