In seinem Urteil vom 20.01.2022 hat das LG München den Einsatz von Google Fonts auf Webseiten für rechtswidrig erklärt, wenn die Schriftartdateien von Standard Google Servern abgerufen werden. Das Urteil hat weit reichende Folgen auch für andere Plugins von Google.
Auf zahlreichen Webseiten werden Schriftarten eingebettet, um Texte in einer optisch ansprechenden Weise darzustellen. Oft werden sogenannte Google Fonts verwendet. Als Google Fonts werden Schriftarten bezeichnet, die von einem Google Server geladen werden. Die Schriften selbst stammen nicht von Google, sondern von beliebigen Schriften-Designern. Google stellt lediglich eine Plattform bereits, mit der die Schriftarten von Designern verwaltet und von Webseitenbetreibern eingebettet werden können.
Bild 1: Typische Nutzung von Google Fonts
Das LG München entschied im Urteil vom 20.01.2022 (Az.: 3 O 17493/20), dass die Einbindung von Google Fonts auf eigenen Webseiten rechtswidrig ist. Ein Teil des Problems ist, dass Google seine Server weltweit betreibt, unter anderem auch in den USA. Weiterhin ist es ohne Weiteres möglich, Schriftarten anderweitig einzubinden.
Das Problem mit Google Fonts
Wichtig zu wissen: Werden Schriften von Google Servern abgerufen werden, findet dabei eine Übertragung von personenbezogener Daten des Besuchers einer Webseite statt. Beim Besuch einer Webseite wird nämlich die Netzwerkadresse des Nutzers, die sogenannte IP-Adresse, übertragen. Diese Übertragung ist an sich technisch notwendig. Die IP-Adresse gilt seit dem EuGH-Urteil „Breyer“ aus dem Jahr 2017 als personenbezogen. Selbst dynamische IP-Adressen fallen unter diese Klassifikation.
Das Einbinden von Schriftarten kann problemlos in einer Weise stattfinden, die keine Daten an Google überträgt. Dazu müssen die Schriftarten lediglich heruntergeladen und auf einem eigenen Server abgelegt werden. Von diesem eigenen Server aus können die Schriftartdateien dann datenschutzfreundlich eingebunden werden. Diese Art der Einbindung ist durch Art. 6 Abs. 1 f DS-GSVO, das berechtigte Interesse des Website-Betreibers, gerechtfertigt.
Zusammengefasst, besteht also in folgenden Fällen nach Ansicht des Gerichts keine Möglichkeit, das berechtigte Interesse geltend zu machen:
- Daten werden in die USA übertragen
- Die Art der Einbettung eines Plugins wäre in anderer Weise, nämlich datenschutzfreundlich, Weise möglich
Auf Google Fonts verzichten
Es reicht aus, wenn eine Bedingung erfüllt ist, damit ein Problem entsteht. Die einzige Möglichkeit, Google Fonts möglicherweise rechtskonform zu nutzen, ist die Abfrage einer Einwilligung beim Besucher der Webseite. Schriften erst nach Einwilligung einzubetten, erscheint aber wenig bis gar nicht sinnvoll. Denn eine Webseite sollte möglichst immer vernünftig und gleich aussehen, egal, ob ein Nutzer einen bestimmte Button zur Einwilligung angeklickt hat oder nicht. Vielmehr könnte die Abfrage einer Einwilligung für Schriftarten sogar als nutzerfeindlich angesehen werden. Denn dadurch könnte der Eindruck entstehen, dass der Nutzer die besuchte Webseite nur unter Inkaufnahme von Nachteilen ordentlich betrachten kann.
Faktisch können Google Fonts also nicht weiter rechtssicher auf Webseiten genutzt werden. In meiner Untersuchung zu Google Fonts habe ich bereits über ein Jahr vor dem Urteil dargelegt, warum viele Gründe dafür sprechen, dass Google Fonts als rechtswidrig anzusehen sind.
Um das Problem zu umgehen, kann ein Tool wie Google Webfonts Helper genutzt werden. Damit können Schriften heruntergeladen werden, um sie danach lokal vom eigenen Server einbetten zu können.
Auswirkungen auf andere Plugins
Das Urteil zu Google Fonts hat weit reichende Auswirkungen auch auf andere Plugins. Insbesondere für Google Tools ist nun festgestellt, dass ein Datentransfer in die USA stattfinden kann. Für Google Analytics hatte Google vor einiger Zeit sogar selbst zugegeben, dass sämtliche Analyse-Daten immer in den USA verarbeitet werden. Adobe Fonts sind nach der gleichen Logik wie die Google Schriften nicht mehr verwendbar.
Weiterhin ist relevant, ob es ein milderes Mittel gibt, also eine Alternative zu den eingesetzten Diensten. Bei strenger Auslegung des genannten Urteils spielt dieses Kriterium aber keine tragende Rolle, sondern unterstützt eher das Problem des Datentransfers zu Unternehmen wie Google und somit potentiell in die USA.
Das Problem bei einer Datenhaltung in den USA oder einer Datenhaltung durch amerikanische Unternehmen sind die amerikanischen Überwachungsgesetze. Diese erlauben es amerikanischen Behörden inklusive Geheimdiensten, auf Daten von Ausländern zuzugreifen, wenn diese Daten beispielsweise im Zugriff durch amerikanische Firmen sind. Diese Art des Datenzugriffs ist unvereinbar mit den Grundsätzen der europäischen Datenschutzgrundverordnung (DSGVO). Dies stellte auch der EuGH fest. Das Urteil ging unter der Bezeichnung „Schrems II“ in die Geschichte ein und erklärte das informelle Datenschutzabkommen namens „Privacy Shield“ zwischen Europa und den USA für ungültig.
Google Maps und Google reCAPTCHA
Das Google Maps Plugin lädt Google Fonts nach. Demnach liegt hier ein kritischer Datentransfer vor. Eine interaktive Karte wiederum kann problemlos auch ohne Google Maps eingebunden werden. Hierzu steht OpenStreetMap zur Verfügung. Oft reicht es zudem aus, ein statisches Kartenbild zu verwenden, welches ein optimiertes Bild der Umgebung anzeigt. Diese Umgebungskarte erscheint oft sogar vorteilhafter gegenüber einer allgemeinen Google Karte, auf der nicht selten Konkurrenzbetriebe zum eigenen Geschäft sichtbar sind.
Geht es darum, dem Nutzer die Anfahrt zu erleichtern, hilft ein Button mit der Beschriftung „Anfahrt planen“ oder „Routenplaner“ weiter. Neben Google Maps gibt es einige andere geeignete Routenplaner, die derart verlinkt werden können. Als eines von vielen Beispielen sei hier nur Graphhopper genannt.
Google reCAPTCHA ist ein weiteres Plugin, welches Google Fonts nachlädt. Das Plugin dient in einer Variante dazu, Formulare vor Spam zu schützen, indem bösartige Roboterprogramme am Ausfüllen des Formulars gehindert werden. Dieser sogenannt Formular-Spam kann allerdings auch durch unsichtbare Felder (oft als Honigtopf bezeichnet) eingedämmt werden. Einfache Rechenaufgabe, die in Textform ausgeschrieben werden, wehren Bots recht wirksam ab („Wie viel sind drei mal zwo? Bitte schreiben Sie das Ergebnis als Wort aus“).
Bild 2: Einfache Absicherung eines Formulars gegen Spam durch Bots.
Für WordPress und andere Content Management Systeme gibt es speziell zugeschnittene Plugins, wie etwa CF 7 Image Captcha. Der Nutzer muss vor Absenden des Formulars unter vier gezeigten Minibildchen das anklicken, welches beispielsweise ein Auto zeigt.
Fazit
Bevor Sie ein Plugin auf Ihrer Webseite einbinden, hinterfragen Sie den Nutzen. Bei Plugins von Google ist besondere Vorsicht geboten. Die Plugins, für die Google einen Vertrag oder Nutzungsbedingungen anbietet, erfordern alleine schon deswegen mehr Arbeit, weil die rechtlichen Gegebenheiten vor dem Einsatz des Plugins geprüft werden sollten.
Wenn eine Internetagentur Ihnen vorschlägt, das Tool X zu nutzen, dann erkundigen Sie sich bei der Agentur nach der Haftung und den rechtlichen Gegebenheiten. Keine Agentur wird die Haftung übernehmen wollen. Aber Ihre Nachfrage wird Ihnen schnell zeigen, wie gut Ihr Berater geltende Rechtsvorschriften kennt.
Weitere Informationen:
Für eine Bestandaufnahme Ihrer Webseite empfiehlt Klaus Meffert im ersten Schritt einen kostenfreien Online Webseiten-Check. Das Tool prüft die ersten paar Seiten Ihrer Internetpräsenz innerhalb weniger Sekunden und zeigt direkt das Ergebnis an. Eine Registrierung oder die Angabe einer Mailadresse oder sonstiger persönlicher Daten ist nicht notwendig.