Goog­le Fonts: Wenn die Schrift ganz heim­lich mit­liest

Maximilian

Zahlreiche Website-Betreiber sehen sich aktuell mit Abmahnungen wegen eines Verstoßes gegen die DSGVO konfrontiert. Grundlage dafür ist eine Entscheidung des Landesgerichts München, die die Verwendung von Google Fonts ohne Einwilligung der Nutzer für rechtswidrig erklärt. Das Urteil zeigt in weiterer Konsequenz auch eklatante Probleme beim Einsatz vieler Videolösungen auf.

Google Fonts ist ein interaktives Verzeichnis mit zahlreichen Schriftarten, die ohne Lizenzgebühren angeboten werden. Einfach, kostenfrei und unbürokratisch – auf den ersten Blick das Susi-Sorglos-Paket Website-Betreiber. In vielen Fällen wird das Verzeichnis dynamisch genutzt, wodurch sich sogar der Zwischenschritt des Uploads von Fonts erübrigt. Genau hier liegt allerdings die Krux: Um Zugriff auf die Schriften zu ermöglichen, stellt Google beim Besuch von Websites, die ihr Service nutzen, automatisch eine Verbindung zu den US-amerikanischen Servern des Konzerns her. Dadurch wird ohne vorherige Zustimmung die IP-Adresse des Nutzers bereits im Moment des Aufrufs einer Seite an Google weitergeleitet. Das als Datensammler berüchtigte Unternehmen weiß damit genau, wer zu welcher Zeit auf eine Homepage zugreift. Da gemäß der DSGVO der Transfer genau dieser Informationen in ein unsicheres Drittland ohne eindeutige Zustimmung des Besuchers nicht erlaubt ist, drohen vielen nichtsahnenden Website-Betreibern nun Konsequenzen.

Abmahnungen als Vorboten

Nach Bekanntwerden des Urteils des Landgerichts München vom 20.01.2022 berichteten zahlreiche Website-Betreiber in Deutschland, dass sie Briefe von Besuchern ihrer Website erhalten haben, in denen sie aufgrund eines Verstoßes gegen die DSGVO zur Zahlung von € 100 aufgefordert wurden. Ähnliche Erlebnisse mussten auch viele Österreicher machen. Sie wurden von einem Juristen gemahnt, aufgrund einer Datenschutzverletzung auf ihrer Website ab € 190 für einen Vergleich zu bezahlen. Da diese Schreiben vonseiten der Anwälte allerdings unter Umständen rechtsmissbräuchlich sind und es auch abseits dessen keineswegs garantiert ist, dass die Mehrheit der Gerichte den Ansichten des Landesgerichts München hinsichtlich der Zahlung einer Geldentschädigung folgen, könnten die betroffenen Personen tatsächlich unbeschadet davonkommen. Dennoch ist dies mehr als nur ein Wink mit dem Zaunpfahl. Website-Betreiber, die sich weiterhin gegen die Vorgaben wehren, riskieren laut dem Urteil ein Ordnungsgeld von bis zu € 250.000 oder eine Ordnungshaft von bis zu sechs Monaten, sollten fortlaufend die IP-Adressen beim Besuch der Webseite an Google weitergegeben werden.

Folgerichtig sollte spätestens jetzt die Problematik der Verwendung US-amerikanischer Dienstleister offensichtlich sein. Die Einbindung von Fonts kann in dieser Hinsicht lediglich als die Spitze des metaphorischen Eisbergs bezeichnet werden. Bekannte internationale Anbieter finden jederzeit neue, kreative Wege, um klammheimlich personenbezogene Daten aus der EU zu schleusen. Das trifft vor allem beim Einsatz von Video zu.

Video öffnet Tür und Tor für US-Dienstleister

Für viele immer noch wenig bekannt ist die Tatsache, dass sich rechtswidrige Transfers benutzerbezogener Daten beim Einsatz von Video noch einmal potenzieren. Speziell die Einbettung von Lösungen außerhalb der EU wie beispielsweise YouTube ist für Website-Betreiber in vielerlei Hinsicht ein Risiko. Bereits mit Aufrufen der Seite, also lange vor dem initialen Klick auf „Play“, werden personenbezogene Daten an YouTube übermittelt. Dadurch verlassen sie europäischen Rechtsraum und werden in die USA, einem unsicheren Drittland, übertragen. Die von Betreibern häufig verwendete "nocookie"-Option ist indessen weder ein adäquater Schutz noch rechtsgültig.

Zwei Themen stellen sich hierbei als Kernprobleme heraus. So birgt der Einsatz von US-Services auf der einen Seite datenschutzrechtliche Gefahren für Nutzer und auf der anderen Seite massive finanzielle Risiken für Unternehmen. Denn: DSGVO-Verstöße können mit bis zu € 20 Millionen bzw. 4% des weltweiten Jahresumsatzes sanktioniert werden. Überdies stellen die AGBs vieler US-Konzerne wie Google einen erheblichen Einschnitt in die Autonomie ihrer Nutzer dar.

Um sich für sich selbst und ihre Nutzer ein adäquates Maß an Sicherheit zu schaffen, sind Website-Betreiber nun aufgefordert, sich rasch von internationalen Datenkraken zu befreien und in sichere europäische Gewässer zu wechseln. Eine DSGVO-konforme und rechtssichere Lösung wie Streamdiver garantiert nicht nur Kontrolle über die eigenen Inhalte, sondern ermöglicht ein sorgenfreies Nutzererlebnis. Egal, ob zur öffentlichen oder internen Ausspielung: Für Website-Betreiber lohnt sich der Sprung zu rechtssicherem Streaming in jedem Fall.

 

Quellen und weiterführende Informationen:

Artikel von heise.de zu Abmahnungen
Artikel von golem.de zu Abmahnungen
Artikel der Kleinen Zeitung zu Abmahnungen in Österreich
Beschreibung des Sachverhalts von Gastegewerbe Magazin
Rechtliche Informationen der Bayerischen Staatskanzlei
Rechtstipps für Betroffene von anwalt.de
Weiterführende Informationen zum Thema
Risiken bei der Nutzung von YouTube