Anbieter von Websites, die extern eingebundene Google Fonts verwenden ohne zuvor die Einverständniserklärung des Besuchers eingeholt zu haben, verstoßen gegen die DSGVO und machen sich Schadensersatzpflichtig. Das sagt das Münchner Landgericht in seinem Urteil vom 20.01.2022 (Aktenzeichen 3 O 17493/20)1.
Die Mär vom berechtigten Interesse
Das pauschale Abbügeln mit einem berechtigten Interesse ist vorbei. Die Richter haben im Falle der gegenständlichen Fonts richtigerweise nicht nur die illegale Praxis festgestellt sondern auch die technischen Begebenheiten in Ihrem Urteil berücksichtigt.
Ein berechtigtes Interesse der Beklagten i.S.d. Art. 6 Abs. 1 f) DSGVO, wie von ihr behauptet, liegt nicht vor, denn Google Fonts kann durch die Beklagte auch genutzt werden, ohne dass beim Aufruf der Webseite eine Verbindung zu einem Google-Server hergestellt wird und eine Übertragung der IP-Adresse der Webseitennutzer an Google stattfindet.
Der beklagte Website-Betreiber muss einem Besucher 100,- EU Schadensersatz zahlen. Die Höhe aus diesem Urteil klingt weniger schlimm. Das Problem entsteht dann, wenn Netzwerkeffekte zur Potenzierung der Summen bei vielen tausenden oder hunderttausenden Besuchern führen oder Sammelklagen z.B. von noyb.eu angestrengt werden.2
Fonts, Analytics und mehr
Während die Münchener Richter Google Fonts zum Thema hatten wurde weiter südlich in Wien über die Einbindung von Google Analytics entschieden.3 Österreichs oberste Datenschutzbehörde hat eine Woche zuvor am 13.01.2022 in Abstimmung mit der Europäischen Datenschutzbehörde EDPD4 eine richtungsweisende Entscheidung mit Auswirkung auf alle anderen EU-Mitgliedsstaaten getroffen. Die Einbindung von Google Analytics ist unvereinbar mit dem Schrems-II-Urteil zum Datentransfer in die USA.5
Keine gute Woche für Google und seine Dienste, das nur stellvertretend für den allgemeinen Datentransfer von persönlichen Daten steht. Mit dem Aufruf nur eines extern eingebundenen Bildes wandern persönliche IP-Adresse, Zeit-/ Datumstempel, Rechner-/ Browserdaten sowie Geodaten eines Besuchers unkontrolliert ab. In letzter Konsequenz dürfen keine US-Anbieter und Cloud-Dienste verwendet werden. Max Schrems kommentiert wie folgt:3
Die Quintessenz ist: EU-Unternehmen können keine US-Cloud-Dienste mehr nutzen. Es ist jetzt 1,5 Jahre her, dass der EuGH das ein zweites Mal bestätigt hat - es ist also mehr als an der Zeit, dass das Gesetz auch durchgesetzt wird.
Lösungen sind lange bekannt
Die Einbindung von Google Fonts auf einer Website ist technisch ein Kinderspiel. Alle Dateien müssen lediglich vom eigenen Server kommen und vom Website-Designer im CSS- und HTML-Code referenziert werden. Die Website google-webfonts-helper6 reduziert den einmaligen Arbeitsaufwand auf wenige Minuten.
Was Analytics betrifft, hängt es davon ab, was genau mit einer Metrik untersucht werden soll. Meine Erfahrung mit Websites aus dem Mittelstand: Die meisten wollen nur gut in Google sichtbar sein, scheiteren aber bereits an einer technisch sauberen Implementierung und einem hinreichend schnellen Server. Üblicherweise wird viel Geld und Energie in Gestaltung und Inhalte investiert und am Ende alles billig und billgst auf einen Server bei einem Massenhoster gehostet, von einer Werbeagentur zusammen geklickert. Kein Wunder wenn der Google-eigene Lighthouse-Test7 ein miserables Ergebnis in den “Core-Web-Vitals” attestiert. Da hilft auch kein SEO oder Analytics.
Mir sind leider Werbe- und Marketing-Verantwortliche aus dem Mittelstand bekannt, die monatlich hohe fünfstellige Summen an Google-Adwords ausgeben und gleichzeitig Google Analytics als Erfolgsnachweis verwenden. Bei dieser offenkundigen Naivität möchte ich laut schreien. Wer bestellt bei einem Anbieter und prüft bei Lieferung nicht auf Anzahl, Richtigkeit und Übereinstimmung der gelieferten Ware mit einem Lieferschein?
Für die meisten Website-Betreiber aus KMU wird sich bei einem Verzicht auf Google-Analytics wenig ändern. Eine Auswahl von Inhalten nach Zielgruppen, A/B Tests oder sonstige Feedbackschleifen sind gefühlt zu 95% nicht existent.
Eine Auswertung von Website-Zugriffen gibt es auf Grundlage von Server-Logs. Eine Vielzahl an Offline- und Online-Programme helfen bei der Erzeugung von aussagekräftigen Reports. Selbst betrieben, ohne Weitergabe an Dritte und ohne Notwendigkeit einer Zustimmung des Besuchers, Cookies oder nervigen Hinweis-Bannern.
In diesem Sinne,
Tomas Jakobs
Transparenzhinweis: Tomas Jakobs ist seit 2018 noyb.eu Gold-Fördermitglied.
https://rewis.io/urteile/urteil/lhm-20-01-2022-3-o-1749320/ ↩︎
https://noyb.eu/en/noyb-files-422-formal-gdpr-complaints-nerve-wrecking-cookie-banners ↩︎
https://noyb.eu/de/oesterr-dsb-eu-us-datenuebermittlung-google-analytics-illegal ↩︎ ↩︎
https://edpb.europa.eu/news/news/2021/edpb-establishes-cookie-banner-taskforce_en ↩︎
https://noyb.eu/sites/default/files/2022-01/E-DSB%20-%20Google%20Analytics_DE_bk_0.pdf ↩︎
https://blog.jakobs.systems/micro/20200816-website-qualitaet/ ↩︎