Rechtswidrige Datenverarbeitung durch den Einsatz von Google Fonts

Rechtswidrige Datenverarbeitung durch den Einsatz von Google Fonts

Das Landgericht München hat mit seinem Urteil vom 20. Januar 2022 (Az. 3 O 17493/20) die Welt der Website Entwickler verändert.

Was steckt dahinter?

Google Fonts wird bei vielen Websites genutzt um lokal nicht vorhandene Schriftarten dennoch sauber darzustellen. Auch bei der Darstellung von Inhalten auf unterschiedlichen Endgeräten ist es zweckmäßig die verwendeten Schriftarten bereitzustellen.

Nun wird durch das Urteil unterstrichen, dass Google Fonts, wenn es nicht auf dem eigenen Webserver eingesetzt, sondern von Google geladen wird, ohne Einwilligung des Endanwenders nicht zulässig ist.

Dies haben wir in unserer Beratungspraxis immer in der Deutlichkeit angesprochen. Vor allem weil es technisch so gut wie kein Aufwand bedeutet, es auf dem eigenen Server einzubinden.
Jetzt erhält aber das Urteil noch eine weitere Dimension. Ein Gericht stellt fest, dass es einen Schadensersatzanspruch gibt, wenn Daten ohne meine Einwilligung in Drittstaaten übertragen werden.

Das Urteil trifft nicht nur Google Fonts, es trifft jede Übertragung personenbezogener Daten auf Websites ohne Einwilligung in ein Drittland.

Was ist zu tun?

Zuallererst eine Verpflichtung der Website Entwickler, dass solche Funktionen und AddOns ohne meine Einwilligung nicht eingebaut werden dürfen.

Im Weiteren eine Dokumentation der Entwickler, welche Funktionen, Tools, AddOn´s und Plugins in den Webangeboten verwendet werden.

Darüber hinaus eine schriftliche Erklärung der Entwickler, dass ein Cookie-Consent Tool eingesetzt wird, das eine den rechtlichen Vorgaben des TTDSG und der DSGVO geforderten Dokumentation gerecht wird. Und die vom Endanwender gewünschten Einstellungen auch technisch erfolgreich auf der Website umsetzt.

Die Verantwortlichen sind im Regelfall technisch nicht in der Lage zu erkennen, was eine Website alles beinhaltet. Oft werden Funktionen von Entwicklungsumgebungen (CMS Systeme) nicht angepasst und überprüft. Entwickler müssen das offen legen.

Verantwortliche müssen sich darüber hinaus Gedanken machen, was will ich wirklich mit den Funktionen erreichen? Sind sie überhaupt notwendig?

Im Vorfeld dieser Planungen sollte auch der Datenschutzbeauftragte des Unternehmens beratend zur Seite stehen.
Es ist auf jeden Fall Vorsicht geboten – das Urteil könnte der Startschuss zu einer Abmahnwelle sein.

 

Wolfgang Böhm

Datenschutzberater bei ITsHein. Schreibt hier für Sie News und Aktuelles aus der Datenschutz-Welt.