Abmahnung wegen Google Fonts

Im Herbst 2022 erhielten zahlreiche Unternehmen Anschreiben, in denen ihnen Datenschutzverstöße durch die fehlerhafte Verwendung von Google Fonts auf ihren Webseiten vorgeworfen wurde. Bei diesen „Abmahnungen“ handelte es sich in der Regel um Betrugsversuche. Gegen zwei Beschuldigte hat die Generalstaatsanwaltschaft Berlin inzwischen Ermittlungen wegen Betruges aufgenommen und Hausdurchsuchungen durchgeführt. Trotzdem empfehlen wir allen Unternehmen, die eigene Website datenschutzkonform zu betreiben und Google Fonts sowie ähnliche Web Fonts lokal zu hosten.

Was ist passiert?

  • In den letzten Monaten erhielten viele Unternehmen angebliche Schadenersatzforderungen zwischen 100 und 280 Euro wegen angeblichen Verstößen gegen die Datenschutz-Grundverordnung (DSGVO) aufgrund der datenschutzwidrigen Einbindung von Google Fonts auf der Unternehmens-Website. In vielen Fällen kommen die Forderungen von Rechtsanwaltskanzleien. Den meisten Unternehmen war überhaupt nicht bewusst, möglicherweise einen solchen Verstoß zu begehen.
  • Begründet werden diese Schreiben mit Verweis auf eine Entscheidung des Landgerichts München vom Januar 2022 (LG München, Urteil v. 20.01.2022, Az. 3 O 17493/20 – externer Link zum Urteil). In der zitierten Entscheidung hatte das Landgericht München ein Unternehmen wegen der datenschutzwidrigen Einbindung von Google Fonts dazu verurteilt, dem Kläger 100 Euro als immateriellen Schadenersatz zu zahlen. Bei wiederholtem Verstoß wurde ein Ordnungsgeld von bis zu 250.000 Euro angedroht. Der Kläger hatte mehrfach die Website des beklagten Unternehmens besucht, und seine IP-Adresse war nachweislich wiederholt an Google weitergeleitet worden, ohne dass er damit einverstanden war.
  • Inzwischen hat sich der Verdacht bestätigt, dass es sich bei den allermeisten “Abmahnungen” um Betrugsversuche handeln dürfte. Die Generalstaatsanwaltschaft Berlin hat erklärt (externer Link zur Pressemitteilung vom 21.12.2022), dass sie strafrechtlich Ermittlungen gegen einen Berliner Anwalt sowie dessen Mandanten wegen (versuchten) Betruges und Erpressung aufgenommen hat. Den Beschuldigten wird vorgeworfen, mittels einer speziellen Software zahllose Webseiten durchforstest zu haben und dann wahllos und ohne tatsächlichen Schaden, Schmerzensgeld verlangt zu haben, obwohl ihnen klar war dass ein solcher Anspruch nicht besteht. Dies deckt sich auch mit den Erfahrungen, die uns viele Unternehmen mitteilt haben.
  • Wir danken an dieser Stelle allen Unternehmen, die uns ihre Fälle zur Weiterleitung gemeldet und die Ermittlungen der Behörden unterstützt haben!
  • Da Nachahmungen nicht ausgeschlossen werden können und der Datenschutz trotz allem gilt, empfehlen wir alle Unternehmen dennoch, ihre Webseiten datenschutzkonform zu gestalten.

Hintergrund: Web Fonts (u.a. Google Fonts) sind Schriftarten verschiedener Anbieter, die auf Webseiten eingebunden werden können. Anders als herkömmliche Schriftarten werden sie nicht auf dem Computer gespeichert, sondern auf einem Server des Anbieters. Wenn ein Besucher die Website des Unternehmens besucht, wird unter Umständen die IP-Adresse des Besuchers automatische an den Anbieter weitergeleitet. Weil IP-Adressen als personenbezogene Daten gelten, ist die Weiterleitung ohne die ausdrückliche Einwilligung des Besuchers nicht erlaubt. Die datenschutzkonforme Einbindung ist aber möglich.

Was ist zu tun?

Wenn Sie eine entsprechende “Abmahnung” wegen Google Fonts erhalten haben, empfehlen wir

  • zu allererst die eigene Website zu überprüfen, ob ein datenschutzrechtlicher Verstoß überhaupt gegeben sein kann. Wenn eine nicht konforme Einbindung von Web Fonts vorliegt, diese umgehend korrigieren
  • die Zahlungsaufforderung höflich aber bestimmt ablehnen und
  • die rechtsanwaltliche Vollmacht im Original anfordern (Argument: Es besteht der Verdacht einer derzeitigen Abmahnwelle, daher muss die Aufforderung verifizierbar sein)
  • Details zu den Mandanten anfordern, auch wenn es sich dabei um Interessensgruppen handelt. Insbesondere sollte ein Nachweis gefordert werden, dass von der IP-Adresse von der als Mandant genannten Person auf die eigene Website auch tatsächlich zugegriffen wurde und inwiefern hier im Detail eine datenschutzrechtliche Verletzung gegeben sein soll.
  • den Verdacht eines Rechtsmissbrauchs äußern, da es nahe liegt, dass anhand der Vielzahl der (wortgleichen!) Abmahnungen Websites bewusst ausgesucht werden in der Hoffnung eine Abmahnung aussprechen zu können. Dementsprechend Gegenansprüche sowie eine Strafanzeige vorbehalten

Im Idealfall können Sie Beschwerden oder auch Abmahnungen von vornherein verhindern:

  • Unternehmen sollten – generell – prüfen, ob auf ihrer Website Web Fonts, die automatisch IP-Adresse oder sonstige Daten weiterleiten, verwendet werden. Dies kann in der Regel einfach über den Quellcode der Website ersehen werden. Im Zweifel sollten sich Unternehmen an den Ersteller der Website oder an einen Datenschutzbeauftragten wenden.
  • Falls Web Fonts verwendet werden, sollte in jedem Fall darauf geachtet werden, dass keine Daten automatisch weitergeleitet werden. Web Fonts müssen nicht von einem Server nachgeladen werden, sie können alternativ lokal auf dem eigenen Server gespeichert sein.

Sie benötigen Hilfe bei Google-Fonts?

Wenn auch Sie nicht sicher sind, ob Ihre Webseite den aktuellen gesetzlichen Anforderungen entspricht, sprechen Sie uns an. Bei einem kostenlosen Vorabcheck bringen wir Sie auf den aktuellen Wissensstand.