Aktualisiert 08.05.2023

Was sind Google Fonts

Google stellt den Betreiber/innen von Websites auf https://fonts.google.com/ eine breite Auswahl von Schriftarten unter Apache Lizenz (Version 2.0) zur Verfügung. Diese Schriftarten, also Fonts, können kostenlos genutzt werden. Beliebte Google Fonts sind u.a.

• Roboto
• Noto Sans
• Open Sans
• Montserrat
• Lato
• Source Sans Pro
• Merriweather
• Oswald
• Raleway
• und etliche mehr.

Um die Google Schriftarten nutzen zu können, kann man das entweder mit eigenen Layout-Anweisungen (CSS-Anweisungen) umsetzen, oder – wesentlich simpler – die gewünschten Schriftarten in Einstellungen von WordPress-Themes oder -Plugins wählen. Dabei werden aber überwiegend die Schriften direkt vom Google Server in den Browser der Website-Besucher/innen geladen. Seit Inkrafttreten der DSGVO wird diese sogenannte Dynamische Variante als problematisch angesehen.

Google Fonts und die DSGVO

Einerseits

Nach Art.45 – EU-DSGVO – Datenübermittlung auf der Grundlage eines Angemessenheitsbeschlusses dürfen nur dann personenbezogene Daten in ein Drittland übermittelt werden, wenn “die Kommission beschlossen hat, dass das betreffende Drittland, ein Gebiet oder ein oder mehrere spezifische Sektoren in diesem Drittland oder die betreffende internationale Organisation ein angemessenes Schutzniveau bietet. Eine solche Datenübermittlungen bedarf keiner besonderen Genehmigung.”

1. Die USA (von dort aus werden Google Fonts ausgeliefert) werden solchen Drittländern nicht zugeordnet.
2. Die IP-Adressen von Computern, Tablets und Smartphones gelten als personenbezogene Daten, auch wenn diese dynamisch immer wieder neu diesen Geräten zugeteilt werden.

Darauf begründet sich die vorherrschende Rechtsmeinung, dass der Einsatz von Google Fonts dann einen Verstoß gegen die DSGVO darstellt, wenn diese Fonts beim Besuch einer Website direkt vom US-Server abgerufen werden, ohne dass die Besucher:innen vorab zugestimmt hätten.

Andererseits

Es gibt aber auch Art.46 – EU-DSGVO – Datenübermittlung vorbehaltlich geeigneter Garantien:

Vorbehaltlich der Genehmigung durch die zuständige Aufsichtsbehörde können die geeigneten Garantien gemäß Absatz 1 auch insbesondere bestehen in […] Vertragsklauseln, die zwischen dem Verantwortlichen oder dem Auftragsverarbeiter und dem Verantwortlichen, dem Auftragsverarbeiter oder dem Empfänger der personenbezogenen Daten im Drittland oder der internationalen Organisation vereinbart wurden.

Art.46 – EU-DSGVO

Google – als Empfänger der personenbezogenen Daten im Drittland – teilt zur Nutzung der IP-Adresse mit, dass diese nur zur Zusendung der Schriftart (das ist eine technische Notwendigkeit) benötigt, und die IP-Adresse gar nicht gespeichert würde.

Die Google Fonts-API protokolliert die Details der HTTP-Anfrage einschließlich des Zeitstempels, der angeforderten URL und aller HTTP-Header (einschließlich Verweis-URL und User-Agent-String), die in Verbindung mit der Verwendung der CSS API bereitgestellt werden.

IP-Adressen werden nicht protokolliert.

Google Fonts FAQ (2022-08-29)

Später hatte Google das nochmals präzisiert.

The Google Fonts Web API is designed to limit the collection, storage, and use of data, and Google in particular does not use it for creating profiles of end users or for advertising. Such data is kept secure and separate from other data.

https://fonts.googleblog.com/2022/11/your-privacy-and-google-fonts.html

Die Datenschutzbehörde in Österreich hat das amtswegige Prüfverfahren gegen Google wegen Google Fonts noch nicht abgeschlossen. Sie gibt daher aktuell (Bekanntmachungen, 2022-08-29) keine Stellungnahme dazu ab, ob die Einbindung von Google Fonts direkt vom Google Server tatsächlich gegen die DSGVO verstößt.

Meiner Meinung nach (Anm.: Heinz Duschanek) ist der Einsatz der Schriftarten direkt vom Google Server aktuell gar kein Verstoß gegen die DSGVO, jedenfalls gibt es dazu in Österreich noch keine Entscheidung. Diese Ansicht wird auch von Anwälten und dem Verein Digital Society geteilt, ist allerdings derzeit nicht die überwiegende Rechtsmeinung.

So hatte etwa das Landgericht München Monate kurz zuvor einer Klage auf Unterlassung stattgegeben. Dem Kläger stehe gegen die Websitebetreiberin ein Anspruch auf Unterlassung der Weitergabe seiner IP-Adressen an Google zu. Die unerlaubte Weitergabe der dynamischen IP-Adresse des Klägers an Google verletze dessen allgemeines Persönlichkeitsrecht in Form des informationellen Selbstbestimmungsrechts nach § 823 Abs. 1 BGB (deutsches Recht). Zusätzlich sprach das Landgericht München dem Kläger Schadensersatz in Höhe von 100 Euro zu.

Bitte merken Sie sich kurz diese Zahl.

Google Fonts Abmahnungen in Österreich

Der Rechtsanwalt Marcus Hohenecker hatte im Auftrag seiner Mandantin Eva Z. (Name der Redaktion bekannt) Anfang August mutmaßlich tausende Websitebetreiber/innen gebührenpflichtig abgemahnt.

“Der erfolgte Kontrollverlust über ein personenbezogenes Datum an Google, also ein Unternehmen, das bekanntermaßen massenhaft Daten über seine Nutzer sammelt, verursacht meiner Mandantin erhebliches Unwohlsein und nervt sie massiv. Die Datenweitergabe an gerade ein solches Unternehmen stellt für meine Mandantin einen tatsächlichen und spürbaren Nachteil dar”. 

Abmahnschreiben RA Marcus Hohenecker

Das Unwohlsein könne durch eine Zahlung von 100,- Euro behoben werden (Sie erinnern sich an das Landgericht München?). Für seine Dienstleistung verlangte der Anwalt 90,- Euro, macht also insgesamt 190,- Euro aus, ohne Trinkgeld.

Mittlerweile werden keine weiteren solche Schreiben von RA Hohenecker ausgesendet. Der Betroffenen-Anwalt Peter Harlander will dagegen mit seiner Kanzlei Strafanzeige wegen gewerbsmäßigen Betrugs einbringen, an der man sich gegen geringes Entgelt beteiligen kann. Es sollen hinreichend Beweise vorliegen, dass die Mehrzahl der betroffenen Websites nicht persönlich von der Mandantin Hoheneckers besucht, sondern vollautomatisiert ausgelesen worden sei. Und eine Software habe keinen Anspruch wegen Verletzung des Datenschutzes. Der mit der “Dokumentation” beauftragte IT-Dienstleister hat die Details dazu bekanntgegeben (https://www.derstandard.at/story/2000144029763/involvierter-it-unternehmer-google-schriftartenbelastet-datenschutzanwalt).

Anders ausgedrückt: es steht nun der Vorwurf im Raum, die Mandatin des Anwalts hätte gezielt nach Gründen für ihr Unwohlsein suchen lassen. Insgesamt seien 180.000 Datensätze generiert worden, die zumindest zu 32.000 Mahnschreiben geführt hätten.

32.000 x 100,- = ? 

Die österreichische Datenschutzbehörde hält mit Stand 23.08.2022 fest:

Es wird aber ausdrücklich klargestellt, dass die Feststellung von Rechtsverstößen in Datenschutzangelegenheiten in Österreich ausschließlich in die Zuständigkeit der Datenschutzbehörde oder der österreichischen Gerichte fällt, jedoch keinesfalls von privaten Einrichtungen oder Privatpersonen vorzunehmen ist. Die Feststellung einer Datenschutzverletzung kann somit immer erst nach Durchführung eines gesetzlich bestimmten, formgebundenen Verfahrens erfolgen.

Zur Klärung des Sachverhalts hat die Datenschutzbehörde zwischenzeitig ein amtswegiges Prüfverfahren gegen Google wegen Google Fonts eingeleitet.

Datenschutzbehörde

Auch das sagt aktuell die Datenschutzbehörde zum Thema “Google Fonts in Websites”:

Unverbindlich wird jedoch empfohlen, die folgenden technischen Schritte umzusetzen:

• Überprüfen Sie, ob Google-Fonts tatsächlich auf Ihrer Website eingebunden ist.
• Überprüfen Sie, ob Sie Google-Fonts überhaupt benötigen. Oft wird Google-Fonts bei „Website-Baukästen“ standardmäßig eingebunden.
• Sofern Sie Google-Fonts auf Ihrer Website einbinden und benötigen, überprüfen Sie, ob die Schriftarten von einem Google-Server (nach)geladen werden, oder ob die Schriftarten lokal eingebunden sind. Eine lokale Einbindung ist empfehlenswert.
• Wenn Sie technische Expertise besitzen, können Sie zusätzlich überprüfen, ob aufgrund der Einbindung von Google Fonts auf Ihrer Website überhaupt eine Verbindung zu einem Google-Server aufgebaut wird. Dokumentieren Sie ihre Ergebnisse.

Datenschutzbehörde, Bekanntmachungen

Die österreichische Datenschutzbehörde sagt also “Eine lokale Einbindung ist empfehlenswert”, und nicht: “… muss erfolgen”.

Wichtig auch zu wissen: München ist eine Stadt in Deutschland, nicht in Österreich. Die beiden Staaten haben zwar eine ähnliche, aber nicht exakt dieselbe Rechtslage.

Eine Chronologie der Ereignisse können Sie hier nachlesen.

Was ist zu tun

Sind Sie betroffen? Was sollten Sie tun, um etwaigen Google Fonts Abmahnungen gelassen entgegentreten zu können?

Seit der Entscheidung des Landgerichts München, das die fehlende Datenverarbeitung durch Google leider außer Acht gelassen hat, kursieren in Deutschland und langsam auch in Österreich die Abmahnschreiben und Wünsche nach finanzieller Abgeltung von Unwohlsein in einer Größenordnung wie die Erbschafts-Scam-Mails. Hinz und Kunz gestatten sich ihr liebevoll gepflegtes, kontinuierliches Unwohlsein durch gezieltes Aufsuchen von mutmaßlichen DSGVO Verstößen vergolden zu lassen.

Ich gebe hier keine Rechtsberatung ab, aber es scheint sich für mich nach dem Lesen vieler Artikel von Rechtsanwälten in dieser Angelegenheit herauszukristallisieren, dass eine Zahlung der gewünschten Summe nicht angebracht ist. Lesen Sie bitte weiter.

Google Fonts lokal einsetzen

Sie können auf die Nutzung von Google Fonts verzichten, und nutzen stattdessen Systemschriften. Das sind Schriften, die in der Regel bei der Erstinstallation und bei Updates (Softwareaktualisierungen) des Betriebssystems durch den jeweiligen Hersteller (z.B. Apple®, Microsoft® oder Google®) installiert werden. Diese Fonts können daher bedenkenlos von Websites angesprochen werden:

• Verdana
• Arial
• Times
• Times New Roman
• Segoe UI (Windows)
• Tahoma
• Corbel
• San Francisco (MacOS)
• Georgia

Sie können aber auch Google Fonts lokal auf Ihrem Server ablegen und von da aus in die Website einbinden. Das erreichen Sie durch:

• Theme-Einstellungen (wenn vorhanden)
• Plugin-Einstellungen (wenn vorhanden)
• Das Plugin OMGF (Anleitung)
• Das Plugin Embed Google Fonts
• Das Plugin Local Google Fonts
• Manuelle Arbeit 1 (Ernst Michalek)
• Manuelle Arbeit 2 (Kopf & Stift)

Vorteil der “Lokalisierungs”-Plugins: Sie unterbinden das Laden der externen Google Fonts, und binden die gewünschten Schriftarten gleichzeitig lokal ein. Es ändert sich daher nichts am Aussehen der Website. Die Google Fonts sind lokal gespeichert und werden nicht mehr vom Google Server geladen.

Nachteil der “Lokalisierungs”-Plugins: es könnten immer noch Google Fonts vom Google Server geladen werden, weil sich manche Themes oder Plugins nicht an bestimmte Standards halten, und diese zusätzlichen Schriftarten daher nicht erkannt werden.

Nachteil der manuellen Arbeit: auf die bequeme Auswahl von Schriftarten in WordPress müssen Sie ab nun verzichten.

Google Fonts Test Tools

Test-Tools unterstützen Sie dabei herauszufinden, ob Ihre Website noch Google Fonts vom Google Server lädt. Hier eine Auswahl:

• SICHER3
• Website-Bereinigung
• CCM19
• Google Fonts Checker 54gradsoftware
• e-recht24.de
• Webbkoll.dataskydd.net (Profi-Tool)

Sie können auch selbst in den Quelltext Ihrer Website sehen (alle Seiten ansehen!).

Öffnen Sie im Browser Chrome eine Seite und rufen Sie mit “Strg + Umschalttaste + I (Buchstabe i)” das Entwicklermenü auf. Hier klicken Sie den Reiter “Sources” (“Quellcode”) an, darunter “Page” (“Seite”). Suchen Sie nach Begriffen wie “fonts.googleapis.com” oder “fonts.gstatic.com”.

Wenn Sie diese finden, dann binden Sie die Google Schriftarten immer noch vom Google Server aus in Ihre Website ein. In unserem Beispiel wird etwa die Schriftart Merriweather noch vom Google Server eingebunden.

Bei lokaler Einbindung sollten diese Serverbezeichnungen nicht mehr erscheinen.

Bitte beachten Sie, dass manche Einbindungen, wie Google Maps oder Google ReCaptcha (aber auch etwaige andere Einbettungen durch Plugins), immer Google Fonts von einem US-Server abrufen. Dem lässt sich nur abhelfen, indem Sie

• die Einbettung erst nach einem Klick anzeigen, oder
• diese Dienste in Ihrer Website gar nicht erst nutzen.

Natürlich unterstützen wir Sie gerne bei Recherche und Behebung.

Auskunftsanspruch nach Art. 15 DSGVO

RA Hohenecker hatte mit allen Abmahnschreiben auch einen Auskunftsanspruch gemäß Art 15 DSGVO geltend gemacht. Diese Auskunft sollte in jedem Fall erteilt werden.

• Überprüfen Sie zuerst, ob eine Vertretungsvollmacht der betroffenen Person vorliegt.
• Sofern eine Vertretungsvollmacht der betroffenen Person vorliegt, ist zu überprüfen, ob Sie personenbezogene Daten der betroffenen Person zum Antragszeitpunkt gespeichert haben.
  • Suchen Sie in Ihrem Unterlagen abseits des Auskunfstbegehrens nach dem Namen der Antragstellerin.
  • Optional: lassen Sie sich eine Bestätigung zeigen, dass die fragliche dynamische IP-Adresse tatsächlich zur angegebenen Zeit dem elektronischen Gerät dieser Person zugeordnet war.
  • Überprüfen Sie danach sorgfältig, ob Sie die IP-Adresse der betroffenen Person gespeichert haben, zB. in Log-Dateien Ihres Webservers. 

Wenn der Name seiner Mandantin Eva Z. in Ihrem Unternehmen nicht bekannt und nirgendwo gespeichert ist (was wohl mehrheitlich anzunehmen ist), sowie auch die Ihnen mitgeteilte IP-Adresse zum genannten Zeitpunkt nicht in Log-Dateien Ihres Webservers aufscheint, dann kann eine Negativ-Auskunft innerhalb der Regelfrist von vier Wochen etwa der folgenden Form erteilt werden:

Im Fall der Ablehnung einer Schadensersatzzahlung:

Sollten Sie bei der Suche nach Frau Eva Z. dagegen fündig werden, müssen Sie dann doch ein umfassendes Auskunftsschreiben verfassen. In jedem Fall bewahren Sie sämtliche Korrespondenz mit der anwaltlichen Vertretung der betroffenen Person für einen angemessenen Zeitraum auf. 

Weitere Quellen

Zuletzt noch weitere Artikel mit Ratschlägen:

• Linzer IT-Rechtsexperte Dr. Thomas Schweiger
• Erste-Hilfe in Sachen Google Fonts Abmahnwelle
• Mag. Thomas Fraiß, Rechtsanwalt in Wien
• Christian Solmecke, LL.M.
• Abmahnantwort – FAQs
• Ulrich Kopetzki in derStandard.at
• Musterschreiben zur Antwort auf Abmahnschreiben von Privatpersonen (Deutschland)
• Dr. Thomas Schwenke: Ratgeber mit FAQ, Beispielen und Musterantwort (Deutschland)

Die WKO (Wirtschaftskammer Österreich) hatte in einer ersten Reaktion zur Zahlung geraten. Sie hat sich damit keinen Link von diesem Artikel verdient, aber der Vollständigkeit halber zeige ich die URL zur mittlerweile aktualisierten Version der WKO Empfehlung:

https://www.wko.at/service/wirtschaftsrecht-gewerberecht/abmahnungen-wegen-google-fonts.html

Eine erste Klagebeantwortung liegt mittlerweile vor: https://www.dataprotect.at/2022/09/21/google-fonts-verfahren-die-klagebeantwortung/

Ich hoffe, dieser Beitrag ist hilfreich. Für Anregungen, Ergänzungen oder widersprüchliche Meinungen steht Ihnen der Kommentarbereich zur Verfügung.

Update 2023-05

Das Landgericht München I hat in seiner Entscheidung am 30.03.2023 (Aktenzeichen: 4 O 13063/22) klargemacht, dass Ansprüche nicht geltend gemacht werden können, wenn sie explizit mit dem Ziel provoziert werden, Ansprüche erst herbeizuführen. Das Gericht benutzt explizit den Begriff der „Tatprovokation“.

Es fehle in diesem Fall an einer persönlichen Betroffenheit des Beklagten.

„Wer Websites gar nicht persönlich aufsucht, kann persönlich auch keine Verärgerung oder Verunsicherung über die Übertragung seiner IP-Adresse an die Firma Google in den USA verspüren.“

Landgericht München I (Az.: 4 O 13063/22)

Der Kläger Rechtsanwalt Dr. Max Greger hatte in einer negativen Feststellungsklage die Feststellung begehrt, dass der Google Fonts Abmahner Martin I.

• keinen Anspruch auf Schmerzensgeld und
• keinen Anspruch auf Unterlassung hat.

Dieses Urteil wirkt allerdings nur zwischen den Parteien des Rechtsstreits. Für einen etwaigen geltend gemachten Anspruch gegen weitere Personen hat dieses Urteil keine unmittelbare Rechtskraftwirkung. Allerdings kann in Verhandlungen auf dieses Urteil Bezug genommen werden.

Funfact

Auch Hildegard von Bingen wurde abgemahnt. Die Universalgelehrtin lebte von 1098 bis 1179.