Urteil LG München - Schadenersatz wegen Einsatz von Google Fonts auf Webseiten ohne Einwilligung. Unzulässigkeit von US-Diensten ohne vorherige Einwilligung des Nutzers

Sehr viele Webseiten binden externe Dienste, wie Google Fonts (kostenlose Schriften zur besseren Darstellung der Webseite), Google ReCaptcha, Google Maps oder andere US-Dienste in ihre Webseite ein. Das LG München hat nun mit Urteil vom 20.01.2022 (Az. 3 O 17493/20) entschieden, dass die dynamische Einbindung von US-Webdiensten in eine Internetseite (im konkreten Fall Google Fonts) ohne Einwilligung der Besucher datenschutzwidrig ist. Webseitenbetreiber schulden Unterlassung und Schadensersatz. Im Verfahren vor dem LG München hatte der Webseitenbetreiber Google Fonts dynamisch eingebunden, ohne dafür vorab (z.B. über ein Consent-Banner) von Besuchern eine Einwilligung einzuholen. Laut LG Mücchen verletzt die Weitergabe der dynamischen IP-Adresse des Klägers an Google dessen allgemeines Persönlichkeitsrecht in Form des informationellen Selbstbestimmungsrechts nach § 823 Abs. 1 BGB. Das Gericht verneinte zudem als Rechtsgrundlage das berechtigte Interesse im Sinne von Art. 6 Abs. 1 f DSGVO, da Google Fonts auch genutzt werden kann, ohne dass beim Aufruf der Webseite eine Verbindung zu einem Google-Server hergestellt wird (lokale Installation) und eine Übertragung der IP-Adresse der Webseitennutzer an Google stattfindet. Zusätzlich sprach das LG München dem Kläger einen Schadensersatz in Höhe von 100.- € zu (Art. 82 Abs. 1 DSGVO). Berücksichtigt wurde dabei, dass die IP-Adresse an einen Server in den USA übermittelt wurde und dort kein angemessenes Datenschutzniveau gewährleistet ist (vgl. EuGH, Urteil vom 16.07.2020, Az. C-311/18 – Facebook Ireland - Schrems). Weiterhin soll die Haftung aus Art. 82 Abs. 1 DSGVO präventiv weiteren Verstößen vorbeugen und Anreiz für Sicherungsmaßnahmen schaffen. Sollte die Beklagte weiterhin die IP-Adresse des Klägers bei einem Besuch der Webseite an Google weitergegeben droht ein Ordnungsgeld bis zu 250.000 Euro oder ersatzweise Ordnungshaft von bis zu sechs Monaten. Nicht entschieden wurde, ob eine Einholung von Einwilligungen des Nutzers vor Ausspielen des Dienstes per Consent Banner ausreichend wäre, die damit verbundene Übertragung der IP-Adresse in die USA zu legitimieren. Wichtig! Zu beachten ist, dass das Urteil, das angesichts des niedrigen Datenschutzniveaus der USA und den Zugrifssmöglichkeiten von US-Geheimdiensten auf alle Daten von US-Firmen nicht überraschend kam, ähnlich für alle eigebundenen US-Dienste gilt. Somit ist nicht nur Google Fonts oder andere Schriftdienste wie Adobe Fonts oder MyFonts, sondern alle jeder US-Dienst, die dynamisch in Internetseiten eingebunden werden abmahngefährdet! Sollte sich daher die Ansicht des LG München durchsetzen (was anzunehmen ist), drohen unzählige Abmahnungen und Schadensersatzforderungen, da es zig-tausende von Webseiten in Europa gibt, die US-Dienste ohne vorherige Einwilligung einsetzen! Schon vor einigen Wochen hatte die österreichische Datenschutzbehörde entschieden, dass die Verwendung von Google Analytics gegen die DSGVO verstößt, da der Dienst Nutzerdaten an Google-Server in den USA übermittelt und so die Überwachung durch US-Geheimdienste ermöglicht. Um einer möglichen Abmahnung und Klage zu entgehen, sollten Webseitenbetreiber die Inhalte wie Schriftarten, Skripte oder Bilder selbst hosten und bei Einbindung von dynamischen Inhalten die Einwilligung von Usern zur Weitergabe der IP-Adresse einholen. Die Nutzung von US-Diensten (wie ReCaptacha) ist so weit wie möglich einzuschränken und stattdessen sind datenschutzkonforme EU- Alternativen zu bevorzugen.

Urteil LG München - Schadenersatz wegen Einsatz von Google Fonts auf Webseiten ohne Einwilligung. Unzulässigkeit von US-Diensten ohne vorherige Einwilligung des Nutzers

Sehr viele Webseiten binden externe Dienste, wie Google Fonts (kostenlose Schriften zur besseren Darstellung der Webseite), Google ReCaptcha, Google Maps oder andere US- Dienste in ihre Webseite ein. Das LG München hat nun mit Urteil vom 20.01.2022 (Az. 3 O 17493/20) entschieden, dass die dynamische Einbindung von US-Webdiensten in eine Internetseite (im konkreten Fall Google Fonts) ohne Einwilligung der Besucher datenschutzwidrig ist. Webseitenbetreiber schulden Unterlassung und Schadensersatz. Im Verfahren vor dem LG München hatte der Webseitenbetreiber Google Fonts dynamisch eingebunden, ohne dafür vorab (z.B. über ein Consent-Banner) von Besuchern eine Einwilligung einzuholen. Laut LG Mücchen verletzt die Weitergabe der dynamischen IP- Adresse des Klägers an Google dessen allgemeines Persönlichkeitsrecht in Form des informationellen Selbstbestimmungsrechts nach § 823 Abs. 1 BGB. Das Gericht verneinte zudem als Rechtsgrundlage das berechtigte Interesse im Sinne von Art. 6 Abs. 1 f DSGVO, da Google Fonts auch genutzt werden kann, ohne dass beim Aufruf der Webseite eine Verbindung zu einem Google-Server hergestellt wird (lokale Installation) und eine Übertragung der IP- Adresse der Webseitennutzer an Google stattfindet. Zusätzlich sprach das LG München dem Kläger einen Schadensersatz in Höhe von 100.- € zu (Art. 82 Abs. 1 DSGVO). Berücksichtigt wurde dabei, dass die IP-Adresse an einen Server in den USA übermittelt wurde und dort kein angemessenes Datenschutzniveau gewährleistet ist (vgl. EuGH, Urteil vom 16.07.2020, Az. C- 311/18 – Facebook Ireland - Schrems). Weiterhin soll die Haftung aus Art. 82 Abs. 1 DSGVO präventiv weiteren Verstößen vorbeugen und Anreiz für Sicherungsmaßnahmen schaffen. Sollte die Beklagte weiterhin die IP-Adresse des Klägers bei einem Besuch der Webseite an Google weitergegeben droht ein Ordnungsgeld bis zu 250.000 Euro oder ersatzweise Ordnungshaft von bis zu sechs Monaten. Nicht entschieden wurde, ob eine Einholung von Einwilligungen des Nutzers vor Ausspielen des Dienstes per Consent Banner ausreichend wäre, die damit verbundene Übertragung der IP- Adresse in die USA zu legitimieren. Wichtig! Zu beachten ist, dass das Urteil, das angesichts des niedrigen Datenschutzniveaus der USA und den Zugrifssmöglichkeiten von US- Geheimdiensten auf alle Daten von US-Firmen nicht überraschend kam, ähnlich für alle eigebundenen US-Dienste gilt. Somit ist nicht nur Google Fonts oder andere Schriftdienste wie Adobe Fonts oder MyFonts, sondern alle jeder US-Dienst, die dynamisch in Internetseiten eingebunden werden abmahngefährdet! Sollte sich daher die Ansicht des LG München durchsetzen (was anzunehmen ist), drohen unzählige Abmahnungen und Schadensersatzforderungen, da es zig- tausende von Webseiten in Europa gibt, die US-Dienste ohne vorherige Einwilligung einsetzen! Schon vor einigen Wochen hatte die österreichische Datenschutzbehörde entschieden, dass die Verwendung von Google Analytics gegen die DSGVO verstößt, da der Dienst Nutzerdaten an Google-Server in den USA übermittelt und so die Überwachung durch US-Geheimdienste ermöglicht. Um einer möglichen Abmahnung und Klage zu entgehen, sollten Webseitenbetreiber die Inhalte wie Schriftarten, Skripte oder Bilder selbst hosten und bei Einbindung von dynamischen Inhalten die Einwilligung von Usern zur Weitergabe der IP-Adresse einholen. Die Nutzung von US-Diensten (wie ReCaptacha) ist so weit wie möglich einzuschränken und stattdessen sind datenschutzkonforme EU-Alternativen zu bevorzugen.