Der Landesbeauftragte für den Datenschutz empfiehlt Webseitenbetreibern die lokale Einbindung von Google Fonts

Pressemitteilung des Landesbeauftragten für den Datenschutz Sachsen-Anhalt vom 03.11.2022

Den Landesbeauftragten für den Datenschutz erreichen in letzter Zeit wiederholt Anfragen von Webseitenbetreibern, die aufgrund der Einbindung von Google Fonts Abmahnschreiben von Anwälten erhalten haben.

Hintergrund ist ein Urteil des Landgerichts München vom 20. Januar 2022 (Az.: 3 O 17493/20), wonach eine Verletzung des Rechts auf informationelle Selbstbestimmung und des allgemeinen Persönlichkeitsrechts vorliegt, wenn beim Aufruf einer Webseite die dynamische IP-Adresse des Webseitennutzers automatisiert und ohne Zustimmung an Google weitergeleitet wird. Der Einsatz von externen Schriftartendiensten könne nicht auf Art. 6 Abs. 1 S.1 lit. f DS-GVO (berechtigtes Interesse) gestützt werden, da der Einsatz der Schriftarten auch möglich sei, ohne dass eine Verbindung zu externen Servern hergestellt werde und eine Übertragung der IP-Adresse des Webseitennutzers erfolge. Mit diesem Urteil wurde dem Webseitennutzer ein Schadenersatz in Höhe von 100 € zugesprochen.

Da der Landesbeauftragte nur zu datenschutzrechtlichen Fragen Stellung nehmen kann, ist durch ihn eine Rechtsberatung bezüglich der Frage, wie mit solchen Abmahnschreiben umzugehen ist, nicht möglich. Hier kann nur auf die eigene Recherche oder auf die Beratung durch einen Rechtsanwalt verwiesen werden.

„Um externe Schriftarten datenschutzkonform in Webseiten einzubinden, empfehle ich den Webseitenbetreibern dringend, die Schriften nicht direkt vom Server des jeweiligen Anbieters zu laden, sondern diese zunächst herunterzuladen und lokal auf dem eigenen Server zu speichern. Von dort können die Schriften datenschutzkonform in die Webseite eingebunden werden, ohne dass eine Verbindung zu externen Servern aufgebaut wird.“ sagte Albert Cohaus.

Webseitenbetreiber nutzen zur Erstellung ihrer Webseiten häufig Content-Management-Systeme wie z. B. WordPress. Um sicherzugehen, dass das verwendete System nicht standardmäßig und ohne ihr Wissen externe Schriftarten einbindet, können sie ihre Seiten unter anderem mit Hilfe der in allen Webbrowsern enthaltenen Entwicklerwerkzeuge diesbezüglich überprüfen.

Der Landesbeauftragte rät davon ab, für die Einbindung der Schriftarten von externen Servern eine Einwilligung des Webseitenbesuchers gem. Art. 6 Abs. 1 lit. a DS-GVO bzw. Art. 49 Abs. 1 S. 1 lit. a DS-GVO einzuholen. Für eine wirksame Einwilligung müssten ihm vor der Datenerhebung Informationen gem. Art. 12, 13 DS-GVO zur Verfügung stehen, um zu wissen, in welchem Umfang eine Einwilligung erteilt wird. Diese Informationen müssten auch die Risiken im Zuge der Drittlandübermittlung umfassen. Überdies kann in eine Übermittlung in ein unsicheres Drittland gem. Art. 49 Abs. 1 S. 1 lit. a DS-GVO nur für gelegentliche Übermittlungen eingewilligt werden. Sofern auf einer Webseite Schriftarten von externen Servern geladen und eingebunden werden, sodass bei jedem Aufruf der Webseite die IP-Adresse des Webseitenbesuchers an diese Server übermittelt wird, ist von einer systematischen, sich wiederholenden Datenverarbeitung auszugehen, sodass eine Einwilligung gem. Art. 49 Abs. 1 S. 1 lit. a DS-GVO nicht möglich ist.

Die Pressemitteilungen des Landesbeauftragten für den Datenschutz Sachsen-Anhalt können hier abgerufen werden.