Die fehlerhafte Einbindung von Google Fonts kann datenschutzrechtlich problematisch sein. Problematisch dabei ist, dass durch eine fehlerhafte Einbindung der Google Fonts auf Internetseiten automatisch die IP-Adressen der User an Google weitergeleitet werden. Das geschieht dann, wenn die Google-Schriftarten vom Betreiber der Internetseite nicht auf die Seite heruntergeladen wurden, sondern per remote über die Server von Google nachgeladen werden. Damit kommt der US-Konzern automatisch und ohne Einverständnis an die Daten der Nutzer. Dies ist datenschutzrechtlich unzulässig.
Abmahnungen nebst Einforderung von Schadensersatz sind im Umlauf. ZLW und ZDK informieren ausführlich über die Sach- und Rechtslage und geben Hinweise zum Umgang mit Google Fonts einerseits und den Abmahnungen andererseits.
Nachfolgend stellen wir Ihnen diese umfangreichen Informationen zur Verfügung:
Wie befürchtet, gibt es nun mehrere Rechtsanwälte, die zusammen mit „vermeintlich Betroffenen“ auf Grundlage einer Einzelfallentscheidung des LG München (Az. 3 O 17493/20) ein „individuelles Unwohlsein“ anmelden. Im Rahmen eines als „Abmahnung“ betitelten Schreibens wird dabei eine ohne Einwilligung vorgenommene Weitergabe der IP-Adresse durch Verwendung von Google Fonts auf der Webseite des Abgemahnten behauptet, als Datenschutzverstoß bewertet und gleichzeitig ein finanzieller Vergleich vorschlagen.
Der Kfz-Betrieb berichtet in seinem Artikel über die jüngsten etwas ausuferndes Abmahnungen durch die Rechtsanwälte Lenard (für Ismail Martin) und Kairis (für Wang Yu).
Hinweis: Wir bitten in diesem Zusammenhang um Zusendung der ersten Seite der entsprechenden Abmahnungen, um Parteien in etwaigen Prozessen Indizien an die Hand geben zu können, mit denen Rechtsmissbrauch durch die Abmahnungen und die Einforderung von Schadensersatz dargelegt und ggf. bewiesen werden kann.
1. Allgemeine Bewertung der Abmahnschreiben
Die Vielzahl der in Internetforen aufgeführten sowie auch die vielen der ZLW bekannten Schreiben dieser Rechtsanwälte lassen vermuten, dass hier softwarebasiert (mittels eines sog. Crawlers) tausende von Webseiten auf die nicht nur statische Verwendung von Google Fonts (sondern mittels dynamischen Nachladens direkt vom Google-Server) hin untersucht wurden, um damit einen entsprechenden Datenschutzverstoßes feststellen zu können. Insoweit werden die Webseiten-Betreiber dann bei Auffinden eines solchen Verstoßes vom Rechtsanwalt des Abmahners zur Eingehung eines Vergleichs mit dem angeblichen Betroffenen animiert. Die reine Masse an bekannten Schreiben und auch die beschriebene Vorgehensweise beinhalten ein deutliches "Geschmäckle" eines rechtsmissbräuchlichen Verhaltens durch den Abmahnenden und seinen Anwalt.
An dieser Einschätzung dürfte sich auch nichts ändern, wenn in einem Fall einer der Abmahnenden versucht, einem gemeinnützigen Datenschutzverein einen Teil des geltend gemachten Schadensersatzes als Geldspende zukommen zu lassen. Ein solcher, bekannter Verein lehnte dies aber korrekterweise ab (vgl. auch Pressemitteilung des DVD: https://www.datenschutzverein.de/wp-content/uploads/2022/10/2022-10-04-SpendeAbmahnungen.pdf).
Es ist zudem nicht ausgeschlossen, dass ein nicht geringer Teil der ausgesprochenen Abmahnungen auch sachlich falsch ist. Denn bei einigen Abmahnungen wird ausschließlich oder zumindest auch die Verlinkung auf der Webseite zu YouTube, Recaptcha, Google Maps etc. moniert. Allerdings ist fraglich, ob der vermutlich von den Abmahnern für den zur Suche der Datenschutzverstöße eingesetzte Webcrawler gleichzeitig auch geprüft hat, inwieweit der Webseitenbetreiber
nicht doch eine korrekte Datenschutzerklärung vor die Aktivierung des Links vorgeschaltet hat.
2. Wichtige Empfehlung bleibt: Einbindung von Google Fonts über den eigenen Server
Zunächst bleibt es bei der bereits mit obigem Rundschreiben ausgesprochenen Empfehlung, das dynamische Nachladen von Google Fonts über die Google-Server zu unterbinden und stattdessen generell Google Fonts auf den eigenen Server des Webseiten-Betreibers herunterzuladen. Dabei ist darauf zu achten, dass eine dynamische Verwendung von Google Fonts samt Nachladen vom Google-Server auch nicht über die Einbettung eines externen Dienstes (wie z.B. YouTube) erfolgt.
3. Grundsätzliche Hinweise zur Einbindung externer Dienste auf die eigene Webseite
4. a) Externe Medien (z.B. YouTube-Videos) generell auf dem eigenen Server einbetten
Wie bei Google Fonts schon beschrieben, kann die Einbindung eines Mediums (z.B. Video) aus einer externen Quelle wie YouTube auch dadurch erfolgen, dass dessen Auslieferung direkt über die eigene Webpräsenz vorgenommen wird. Voraussetzung wäre natürlich, dass hierfür genug Speicherplatz und Bandbreite zur Verfügung steht. Alternativ kann auf eine externe Videoquelle auch ohne Einbindung einfach verlinkt werden, jedoch sollte dann die Cookie-Erklärung angepasst werden.
b) Cookie-Datenschutzbanner unter Aufnahme externer Dienste
Möchten Webseitenbetreiber entweder Informationen (z.B. Cookies - Definition siehe unten *-Hinweis) in einem Endgerät (z.B. Smartphone oder PC) speichern oder auf die bereits auf diesem Endgerät gespeicherten Informationen zugreifen, dann bedarf es nach dem vor kurzem in Kraft getretenen § 25 Abs. 1 Satz 1 TTDSG grundsätzlich der Einwilligung des Users. Insoweit wurde mit diesem Gesetz die vorhergehende BGH- und EuGH-Rechtsprechung umgesetzt. Integrieren Webseiten-Betreiber zudem Elemente, welche das Nutzerverhalten insbesondere über Website- oder
Geräte-Grenzen hinweg (also z.B. über verschiedene Domains verschiedener Anbieter) zusammenfassen, dann benötigen sie auch nach der DS-GVO die aktive, ausdrückliche, informierte, freiwillige und vorherige Einwilligung (Artikel 6 Abs. 1 Buchstabe a DS-GVO) der Nutzer.
Werden solche Cookies zum Auslesen oder Ablegen nicht auf dem Endgerät des Users gespeichert, ist somit auch keine Einwilligung erforderlich. Dagegen muss der Webseiten-Betreiber aufgrund obiger Vorschriften bereits zum Zeitpunkt des Aufrufs der Webseite unbedingt eine Einwilligung des Users bzw. Nutzers einholen, wenn die von ihm selbst oder einem Dritten (als externer Diensteanbieter wie z.B. Google oder YouTube) eingesetzten und nicht unbedingt zum Betreiben der Webseite erforderlichen Cookies genau dieses Ziel haben.
Das Einholen der Einwilligung des Nutzers für diese nicht unbedingt erforderlichen Cookies (Hinweis: Erforderlich sind z.B. Warenkorb-Cookies) erfolgt in der Praxis i.d.R. über die vorgeschaltete Einblendung eines sog. Cookie-Banners. Mit diesem Banner oder einem ähnlichen grafischen Element werden Schaltflächen angezeigt, mit denen der Einsatz von Cookies und ähnlichen Technologien zugestimmt sowie abgelehnt werden kann oder mit der ganz individuelle Cookie-Einstellungen für den Nutzer aufgerufen werden können.
Da bei der direkten Einbettung von externen Inhalten (z.B. Twitter-Tweets, Facebook-Beiträge, YouTube-Videos etc.) ebenfalls immer personenbezogene Daten und ggf. die genaue Identität des Users an diese externen Dienste übermittelt werden, benötigt man auch hier auf jeden Fall die Einholung einer diesbezüglichen Einwilligung und damit ein korrektes Cookie-Banner. Sofern bei eingebetteten Medien wie externen Videos nicht noch vor dem Abspielen (bzw. dem Cookie-Einsatz des externen Dienstes) eine zusätzliche explizite Einwilligung eingeholt wird (vgl. Ziffer 3c) zur „2-Klick-Lösung“), muss sichergestellt sein, dass bei Ablehnung der entsprechenden Cookies im Cookie-Banner auch der eingebettete Medieninhalt nicht angezeigt wird.
Da der User laut Gesetz vor der Einwilligung ausreichend informiert sein muss, sind betroffene Personen bei der Einbindung eben dieser externen Medien im
Rahmen der Einwilligung gleichzeitig auch über die dort beabsichtigte Verarbeitung personenbezogener Daten zu informieren. Den Nutzern muss deshalb verständlich gemacht werden, dass durch das uneingeschränkt eingebettete Medium (z.B. YouTube-Video) bspw. die Information über den Nutzer der gerade aufgerufenen Webseite an den Dritten (z.B. YouTube) übermittelt werden. Ebenso ist dem Nutzer verständlich zu machen, dass dann eine Verkettung mit bereits beim Drittanbieter vorhandenen Daten möglich ist.
An dieser Stelle kann aber kein Muster für ein allgemeines Cookie-Banner samt Belehrung zur Verfügung gestellt werden. Gleiches gilt auch für ein spezielles Cookie-Banner, welches auch Verwendung externer Dienste mit umfasst. Denn die Ausgestaltung eines solchen Banners hängt ganz individuell von der Ausgestaltung der Website des Unternehmens und der dort verwendeten unterschiedlichen Cookies ab. Zudem gibt es auch bei Aufsichtsbehörden und Gerichten unterschiedliche Sichtweisen über gerade noch zulässige Formulierungen. So ist auch bislang keine Aufsichtsbehörde in der Lage gewesen, ein Muster für ein Banner zu veröffentlichen.
Insoweit gibt es aber in den beiden als Anlage beiliegenden Unterlagen der Datenschutzkonferenz (DSK) und des Landesbeauftragten für den Datenschutz Baden-Württemberg viele Hinweise für die Erstellung von Cookie-Bannern. Letzterer sieht dabei insbesondere dann kaum lösbare Probleme mit der Einwilligung in Cookies, wenn externe Dienste aus dem Drittland eingebunden werden.
c) „2-Klick-Lösung“
Wie dargestellt, werden bei der direkten Einbindung von externen Inhalten personenbezogene Daten an externe Dienste übermittelt. Die datenschutzrechtlichen Probleme mit diesen externen Inhalten kann auch mittels der sogenannten „2-Klick-Lösung“ (z.B. Embetty8 der c‘t) begegnet werden. Damit lassen sich externe Inhalte von sozialen Medien so einbetten, dass zunächst nur eine Vorschau der externen Inhalte angezeigt wird, ohne dabei die IP-Adresse, Browser-Informationen oder andere persönliche Informationen an den Drittanbieter zu übermitteln. Erst wenn der Besucher aktiv auf die Vorschau klickt, um z.B. ein YouTube-Video tatsächlich anzusehen, werden Daten übermittelt.
Allerdings müssen die jeweiligen User dann auch über die mit der Einbindung externer Medien einhergehenden Verarbeitungen personenbezogener Daten informiert werden. Das bedeutet, dass den Usern auch hier vor Beginn des Abspielens die Informationsweitergabe an den Dritten mit den vorstehend schon dargestellten Konsequenzen verständlich gemacht werden muss.
In Anlehnung an den bereits vom berühmten „Facebook-gefällt-mir-Button“ bekannte Lösung eines Vorschaubildes inklusive Belehrung, könnte die folgende dort bekannte Formulierung hilfreich sein, die dann auf den verwendeten externen Dienst abzuändern ist und für deren Akzeptanz durch die Gerichte oder Aufsichtsbehörden jedoch keine Haftung übernommen werden kann:
„2 Klicks für mehr Datenschutz: Erst wenn Sie hier klicken, wird der Button aktiv und Sie können Ihre Empfehlung an Facebook senden. Schon beim Aktivieren werden Daten an Dritte übertragen – weitere Informationen finden Sie unter Datenschutz.“
*Definition „Speichern oder Auslesen von Informationen auf dem Endgerät“: Mit dem Speichern und Auslesen auf dem Gerät eines Endnutzers nach § 25 TTDSG ist beispielsweise der Einsatz von Cookies und anderen Technologien (z.B. LocalStorage, Web Storage, das Auslesen von Werbe- und Geräte-IDs, Seriennummern, aber auch der Einsatz von ETags oder TLS-Session-IDs) zum Zwecke des Trackings aber auch das Fingerprinting (z.B. durch das Auslesen von installierten Schriften oder Anwendungen) gemeint – aber auch andere Techniken, die den gleichen Zweck haben. Der Einfachheit halber werden diese im Rundschreiben unter dem verkürzenden Begriff „Cookies“ zusammengefasst.