In den letzten Wochen und Monaten ist viel über Google Fonts geredet worden. Unternehmen werden von Privatpersonen angeschrieben und auf vermeintliche Verstöße gegen das Datenschutzrecht hingewiesen. Schmerzensgeld in „schwindelerregender“ Höhe wird verlangt. Und oftmals wissen die angeschriebenen Unternehmen gar nicht, worum es überhaupt geht. In den wenigsten Fällen erstellen Unternehmen ihre Webseite selber, sondern beauftragen das bei einer spezialisierten Agentur.

Das ist in einer arbeitsteiligen Welt ein üblicher Vorgang. Wenn jetzt aber das Unternehmen für einen Datenschutzverstoß über die eigene Webseite in Anspruch genommen wird, stellt sich unweigerlich für das Unternehmen die Frage, warum es auf den Kosten sitzen bleiben soll, wenn es diesen Verstoß nicht originär zu verantworten hat. Naheliegend ist dann die Folgefrage, ob nicht eigentlich die Agentur, die die Webseite erstellt hat, für die Folgen des Verstoßes haften müsste. So naheliegend diese Fragestellung ist, umso schwieriger ist die Beantwortung dieser Frage.

LG München öffnet Büchse der Pandora bei Webfonts

Ausgangspunkt der ganzen Unsicherheiten beim Einsatz von Webfonts ist eine Entscheidung des Landgericht München vom 20. Januar 2022 (3 O 17493/20). Die Münchener Richter haben in dieser Entscheidung festgestellt, dass die dynamische Einbindung von Google Fonts ohne die vorherige Einwilligung der Besucher datenschutzwidrig sei. Die Kammer hat dem Kläger zunächst einen Anspruch auf Unterlassung der Weitergabe seiner IP-Adresse an Google (mit Sitz in den USA) aus § 823 Abs. 1 i.V.m. § 1004 BGB analog zugesprochen. Die unerlaubte Weitergabe der dynamischen IP-Adresse an Google verletze das allgemeine Persönlichkeitsrecht (in der Ausprägung des informationellen Selbstbestimmungsrechtes) des Klägers.

Das Landgericht hatte dem Kläger darüber hinaus auch einen Anspruch auf Zahlung eines Schadenersatzes aus Art. 82 Abs. 1 DSGVO in Höhe von 100,00 EUR zugesprochen. Hierzu führte es aus:

„Dem Kläger steht ein Schadensersatzanspruch aus Art. 82 Abs. 1 DS-GVO zu. Der Begriff des Schadens i.S.d. Art. 82 DS-GVO ist nach dem Erwägungsgrund 146 S. 3 dabei weit auszulegen. Die Auslegung soll den Zielen dieser Verordnung in vollem Umfang entsprechen, auch dem Ziel der Sanktion und Prävention (…). Ausreichend ist gem. Art. 82 Abs. 1 DS-GVO dabei auch ein immaterieller Schaden. Ob eine Erheblichkeitsschwelle erreicht bzw. überschritten sein muss und so genannte Bagatellschäden auszuschließen sind, ist umstritten (…), kann aber im hiesigen Fall dahingestellt bleiben. Die Beklagte räumt ein, dass sie vor der Modifizierung ihrer Webseite bei den Besuchen des Klägers auf ihrer Webseite dessen IP-Adresse an Google übermittelt hat. Die Übermittlung der IP-Adresse erfolgte damit nicht nur einmalig. Der damit verbundene Eingriff in das allgemeine Persönlichkeitsrecht ist im Hinblick auf den Kontrollverlust des Klägers über ein personenbezogenes Datum an Google, ein Unternehmen, das bekanntermaßen Daten über seine Nutzer sammelt und das damit vom Kläger empfundene individuelle Unwohlsein so erheblich, dass ein Schadensersatzanspruch gerechtfertigt ist. Berücksichtigt werden muss dabei auch, dass unstreitig die IP-Adresse an einen Server von Google in den USA übermittelt wurde, wobei dort kein angemessenes Datenschutzniveau gewährleistet ist (…) und die Haftung aus Art. 82 Abs. 1 DS-GVO präventiv weiteren Verstößen vorbeugen soll und Anreiz für Sicherungsmaßnahmen schaffen soll. Die Höhe des geltend gemachten Schadensersatzes ist im Hinblick auf die inhaltliche Schwere und Dauer der Rechtsverletzung angemessen und wird von der Beklagten auch nicht angegriffen.“

Abmahnwelle wegen Google Fonts rollt

Diese Entscheidung bliebt nicht lange ohne Konsequenzen für zahlreiche Websitebetreiber. Da viele Internetseite Google Fonts in der vom Landgericht München beanstandeten Form einbinden, wurden zahlreiche Betreiber mit gleichlautenden Schreiben angeschrieben, in denen diese auf den (angeblich) datenschutzwidrigen Einsatz von Google Fonts hingewiesen wurden. Wörtlich heißt es in diesen Schreiben unter anderem

„Weil Sie nun meine IP-Adresse ohne Zustimmung weitergegeben haben und das, obwohl keine Notwendigkeit und berechtigtes Interesse für die Weitergabe besteht, denn für die Darstellung der Inhalte von Google Fonts auf Ihrer Webseite hatten Sie diese auch einfach lokal auf ihrem Server speichern können, verstoßen Sie gegen die DSGVO. Ebenso verletzten Sie damit mein Recht auf informationelle Selbstbestimmung.
Deshalb möchte ich Sie heute auf dieses Problem hinweisen und Sie dazu anregen die Google Fonts DSGVO-Konform einzubinden. Schließlich bin ich nicht der Einzige, der Ihre Webseite besucht und dessen Daten weitergegeben werden. […]

Dies nur als gutgemeinter Rat. Da ich aber auch betroffen bin und mein Ärgernis über die Weitergabe meiner Daten enorm ist, mache auch ich hiermit selbst einen Anspruch nach Art. 82 DSGVO bei Ihnen geltend. Ich beziehe mich auf oben genanntes Urteil. […]
Ich hoffe, dass wir das Thema somit beenden können und mein heutiger Hinweis hilfreich für Sie war, Ihre Webseite in Zukunft DSGVO-Konform zu gestalten.“

Am Ende wird den Websitebetreibern angeboten, die Angelegenheit durch Zahlung eines Pauschalbetrages in Höhe von 100,00 EUR gütlich beizulegen. So könne man – was allerdings so nicht ausdrücklich erwähnt wird – eine Klage oder eine Meldung an die zuständige Datenschutzaufsichtsbehörde schnell und unkompliziert vermeiden und zugleich den entstandenen immateriellen Schaden kompensieren.
Stephan Hansen-Oest hat über dieses Vorgehen ausführlich in seinem Blog und Podcast informiert. Dabei ist die Intention der Absender der Schreiben klar: man macht sich die Angst sowie die Unsicherheit bei Unternehmen in Bezug auf die DSGVO zu Nutze. Gleichzeitig ist der geforderte Betrag so gering, dass sich die Einschaltung eines Rechtsanwaltes wirtschaftlich nicht lohnt. Gehen in dieser Konstellation genug Unternehmen auf dieses günstige „Angebot“ von 100,00 EUR ein, hat sich der geringe Aufwand für die Versendung der Schreiben bereits gelohnt.

Mittlerweile haben sich wohl auch die ersten Rechtsanwälte des Themas angenommen und unterstützen einzelne Websitebesucher bei der Geltendmachung von Ansprüchen auf Unterlassung und Schadenersatz wegen des Einsatzes von Google Fonts. Auf Twitter wird berichtet, dass sogar bereits erste Klagen bei Gericht anhängig sind. In Österreich hat sich auch kürzlich die Aufsichtsbehörde zu Wort gemeldet, weil auch dort zunehmend Unternehmen von Abmahnungen wegen der dynamischen Einbindung von Webfonts berichteten. Auch die österrichische Wirtschaftskammer berichtet über zahlreiche Abmahnungen.

Man kann von diesen Schreiben und dem Vorgehen halten was man will, richtig ist aber auch, dass eine Nutzung von Google Fonts in der beanstandeten Form tatsächlich nicht nötig ist, vor allem, wenn es eine einfache Lösung gibt, die auch datenschutzkonform ist.

 

Rechtsberatung vom Anwalt für Datenschutzrecht

Unsere Rechtsanwälte für Datenschutzrecht aus Düsseldorf unterstützen Unternehmen jeder Größenordnung in allen rechtlichen Fragen zum Datenschutzrecht. Wir beraten unsere Mandanten unter anderem bei der Durchsetzung von und der Verteidigung gegen datenschutzrechtliche Ansprüche.  Wir beraten auch Agenturen bei datenschutzrechtlichen Fragestellungen ihrer Kunden.

Unsere Leistungen im Überblick:

  • Datenschutzrechtliche Prüfung des dargestellten Sachverhalts
  • Unterstützung bei der datenschutzkonformen Umsetzung eines Projektes
  • Unterstützung bei der Durchsetzung oder Abwehr von datenschutzrechtlichen Ansprüchen

Sie möchten einen Beitrag im Internet löschen lassen? Ihr Unternehmen wurde auf Unterlassung und Löschung in Anspruch genommen? Gerne bringe ich Ihnen im Rahmen eines unverbindlichen Erstgesprächs die Rechtslage näher und unterstütze Sie dabei, Rechtsklarheit zu gewinnen. Kontaktieren Sie mich jederzeit für ein Kennenlerngespräch.

Was bedeutet das für Webdesign-Agenturen und die Einbindung externer Schriftarten?

Wenn wir also unterstellen, dass die beanstandete Form der Einbindung von Google Fonts in den meisten Fällen tatsächlich einen Datenschutzverstoß begünstigt, stellt sich unweigerlich die Frage, wer für diesen Verstoß verantwortlich ist und hierfür haften muss. Im DSGVO-Universum ist die Beantwortung dieser Frage relativ schnell möglich. Die Haftung aus Art. 82 DSGVO knüpft an den Verantwortlichen im Sinne von Art. 4 Nr. 7 DSGVO. Für die Verarbeitung personenbezogener Daten, die beim Betrieb und dem Bereitstellen einer Webseite anfallen, ist in aller Regel der Betreiber der Webseite verantwortlich. In den wenigsten Fällen erstellen Unternehmen ihre Webseiten allerdings selbst. Vielmehr werden mehr oder weniger spezialisierte Agenturen damit beauftragt, den eigenen Internetauftritt zu planen, zu konzipieren und umzusetzen.

Hierbei verlassen sich Unternehmen (oftmals blind) darauf, dass die fertiggestellte Webseite allen rechtlichen Anforderungen entspricht, also auch die Einhaltung der DSGVO.

Und hier lauert ein Haftungsrisiko auch für die Agenturen. Haben die Parteien eine vertragliche Abrede getroffen, wonach die Agentur zur Erstellung einer in allen Belangen rechtskonformen Webseite verpflichtet ist, stellt jede Abweichung hiervon eine Pflichtverletzung dar, die zu einem vertraglichen Schadenersatzanspruch des Kunden führen kann. Entsteht dem Kunden also durch eine datenschutzwidrige Einbindung von Google Fonts ein konkreter Schaden (z.B. Abmahnkosten, Zahlung eines Schadenersatzes, eigene Rechtsanwaltskosten etc.), können diese Schäden unter Umständen als Schadenersatz von der Agentur ersetzt verlangt werden.

Aber auch ohne eine ausdrückliche vertragliche Abrede kann im Einzelfall eine Schadenersatzpflicht der Agentur bestehen. So hatte beispielsweise das Kammergericht Berlin in einem Hinweisbeschluss vom 4.2.2011 (19 U 109/10) folgendes festgestellt:

„Zwar ist in der Regel bei Fehlen einer gesonderten Parteiabrede davon auszugehen, dass die von einer Werbeagentur vorgeschlagene oder umgesetzte Werbemaßnahme rechtmäßig zu sein hat (…). Diese Verpflichtung gilt aber nicht uneingeschränkt. Die Pflicht einer Werbeagentur, dem Auftraggeber auch ohne vertragliche Abrede einen nicht mit Rechten Dritter kollidierende Werbung zur Verfügung zu stellen, wird durch die Zumutbarkeit der Prüfung im Einzelfall begrenzt (…). Wesentliche Parameter für die Zumutbarkeit einer (…) Prüfung der rechtlichen Unbedenklichkeit der Werbemaßnahme sind der mit der rechtlichen Prüfung verbundene Aufwand einerseits sowie das Verhältnis des Umfangs der avisierten Werbung zur Höhe der geschuldeten Vergütung andererseits (…).“

Diese Feststellungen lassen sich auch auf die Konstellation übertragen, dass eine DSGVO-konforme Webseite geschuldet ist. In dem vom KG Berlin zu entscheidenden Fall ging es um eine Markenrecherche für eine einmalige Werbekampagne. Die Vergütung der Agentur für diese Kampagne war vergleichsweise gering. Der Aufwand einer umfassenden Markenrecherche wäre demgegenüber deutlich höher gewesen. Vor diesem Hintergrund nahm das KG Berlin an, dass hier die Agentur ausnahmsweise nicht verpflichtet war, die Rechtskonformität der Werbung zu gewährleisten.

Bei der Erstellung einer Webseite ist bereits die Ausgangslage eine andere. Anders als eine einmalige Werbekampagne, ist eine Webseite in der Regel auf einen dauerhaften Betrieb ausgelegt. Betreiber von Webseiten sind darüber hinaus gesetzlich dazu verpflichtet, diese datenschutzkonform bereitzustellen, anderenfalls drohen neben aufsichtsbehördlichen Verfahren auch zivilrechtliche Verfahren von betroffenen Personen. Die Konzeptionierung einer datenschutzkonformen Webseite stellt sich somit für die Auftraggeber nicht nur als eine unmaßgebliche Nebenpflicht dar. Vielmehr handelt es sich um eine vertragswesentliche Pflicht, denn ohne deren Einhaltung kann die fertiggestellte Webseite nicht gesetzeskonform in Betrieb genommen werden. Gleichzeitig ist der Aufwand für eine rechtliche Prüfung auch nicht sonderlich hoch. Anders als bei einzelnen Werbemaßnahmen, muss die Agentur diese Prüfung nicht jedes Mal neu vornehmen – jedenfalls wenn es um gängige Tools, wie Google Fonts oder ähnliches geht – denn die Pflicht zur Bereithaltung einer datenschutzkonformen Webseite trifft jeden potentiellen Kunden.

Diese Feststellung führt sodann auch zu rechtlichen Konsequenzen. Kann die Webseite aufgrund der Leistungen der Agentur nicht datenschutzkonform betrieben werden, ist diese letztlich mangelhaft und dem Auftraggeber stehen innerhalb der Gewährleistungsfrist die werkvertraglichen Mängelgewährleistungsrechte gegen die Agentur zu. Erstellt also eine Agentur eine Webseite und bindet dabei Google Fonts in einer datenschutzwidrigen Art und Weise ein, ist die Webseite mangelhaft. Entstehen dem Auftraggeber hierdurch Schäden, weil er beispielsweise einen Schadenersatz zahlen musste, muss die Agentur nicht nur den Mangel beseitigen, sondern auch die entstandenen Schäden ersetzen.

Peter Hense schreibt hierzu treffend

„Rechtsverstöße lassen sich in aller Regel dadurch verhindern, dass der Leistungsverpflichtete die Rechtslage ausreichend prüft oder aber prüfen lässt. Eine Agentur muss bei Unsicherheiten die Rechtslage sorgfältig prüfen, gegebenenfalls anwaltliche Rat einholen, um gesetzliche Vorgaben zu prüfen.“

Erfolgt eine solche Prüfung und weist die Agentur den Auftraggeber ausdrücklich darauf hin, dass eine bestimmte Maßnahme aller Voraussicht nach nicht datenschutzkonform ist, kann eine Haftung der Agentur im Einzelfall ausgeschlossen sein, wenn der Auftraggeber ausdrücklich diese Variante wünscht und nicht die datenschutzkonforme. Um beim Beispiel Google Fonts zu bleiben, müsste eine Agentur zur eigenen Enthaftung im Vorfeld darauf hingewiesen haben, dass es mindestens zwei Möglichkeiten zur Einbindung gibt, wovon eine datenschutzrechtlich problematisch ist. Entscheidet sich der Auftraggeber dann ganz bewusst für die datenschutzwidrige Variante, kann dieser später nicht von der Agentur Schadenersatz verlangen, ohne sich nicht zugleich in Widerspruch zu seinem eigenen Verhalten zu setzen.

Freilich darf man die Prüfpflichten der Agentur an dieser Stelle nicht überspannen, im Rahmen einer Interessenabwägung ist allerdings auch zu berücksichtigen, dass diese durch ihre fachliche Expertise näher an den relevanten Themen und den damit einhergehenden datenschutzrechtlichen Problemen sind, als es in den allermeisten Fällen die Kunden sind. Allerdings kann von den Agenturen auch nicht erwartet werden, dass diese ihre Kunden rechtlich beraten – was im Übrigen wegen des Rechtsdienstleistungsgesetzes unzulässig wäre.

Was bleibt zu berücksichtigen?

Das Thema Google Fonts und der Datenschutz wird uns sicher noch eine Weile beschäftigen. Wenn in absehbarer Zeit weitere Gerichte angerufen werden und diese dem Landgericht München sogar folgen, wird das Thema tendenziell sogar noch zunehmen. Vor diesem Hintergrund wäre es geradezu fahrlässig von Agenturen, bei neu zu erstellenden Webseiten weiterhin standardmäßig Google Fonts nicht lokal einzubinden. Klären Agenturen zudem über die Risiken nicht hinreichend auf, laufen sie Gefahr selber in die Haftung genommen zu werden. Bei bereits erstellten Webseiten und laufenden Wartungs- und Pflegeverträgen können Agenturen verpflichtet sein, Kunden über die aktuelle Lage zu informieren und darauf hinzuwirken, die Seite entsprechend anzupassen.

Das Beispiel Google Fonts verdeutlicht noch einmal, wie wichtig auch aus Sicht von Agenturen es ist, sich regelmäßig über die aktuellen Entwicklungen im Datenschutzrecht zu informieren. Keine Agentur ist dazu verpflichtet, sich datenschutzrechtliche Sonderexpertise anzueignen. Eine gewisse Sensibilisierung ist ausreichend aber auch nötig, um auf dieser Basis weitergehende Prüfungen im Einzelfall entweder selber vornehmen zu können oder durch Dritte vornehmen zu lassen. Um nicht selber in die Haftung zu geraten, sollten Agenturen lieber einmal mehr den Einsatz bestimmter Technologien datenschutzrechtlich prüfen und im Falle von ernstzunehmenden Bedenken die Kunden entsprechend hierüber aufklären. Das gilt erst recht, wenn bestimmte Technologien durch medienwirksame Verfahren und Gerichtsentscheidungen nunmehr datenschutzrechtlich zweifelhaft erscheinen. Die Dokumentation dieser Aufklärung sollte tunlichst schriftlich erfolgen, um im Streitfall nachweisen zu können, dass sich der Kunde entgegen des ausdrücklichen Risikohinweises für eine bestimmte Technologie entschieden hat.

 

Rechtsberatung vom Anwalt für Datenschutzrecht

Unsere Rechtsanwälte für Datenschutzrecht aus Düsseldorf unterstützen Unternehmen jeder Größenordnung in allen rechtlichen Fragen zum Datenschutzrecht. Wir beraten unsere Mandanten unter anderem bei der Durchsetzung von und der Verteidigung gegen datenschutzrechtliche Ansprüche.  Wir beraten auch Agenturen bei datenschutzrechtlichen Fragestellungen ihrer Kunden.

Unsere Leistungen im Überblick:

  • Datenschutzrechtliche Prüfung des dargestellten Sachverhalts
  • Unterstützung bei der datenschutzkonformen Umsetzung eines Projektes
  • Unterstützung bei der Durchsetzung oder Abwehr von datenschutzrechtlichen Ansprüchen

Sie möchten einen Beitrag im Internet löschen lassen? Ihr Unternehmen wurde auf Unterlassung und Löschung in Anspruch genommen? Gerne bringe ich Ihnen im Rahmen eines unverbindlichen Erstgesprächs die Rechtslage näher und unterstütze Sie dabei, Rechtsklarheit zu gewinnen. Kontaktieren Sie mich jederzeit für ein Kennenlerngespräch.