Wie in den letzten Newslettern bereits angedeutet kommen die Einschläge der Bußgeldforderungen an Unternehmen nach Art. 82 DSGVO „Schadenersatz“ näher.

Nun wurde mit Urteil Az.: 3 O 17493/20 vom 20.01.2022 vom Landgericht München einem Betroffenen 100 Euro Schadenersatz zugebilligt, da der WebSite-Betreiber ohne Einwilligung oder Aktivierung per Consent-Layer standardmäßig Google-Fonts per Script nachgeladen hatte.

Die Problematik: beim Aufruf eines externen Drittanbieter-Scriptes bzw. -Funktion werden an diesen auch die IP-Adresse des aufrufenden Nutzers übermittelt. Bekannterweise zählt die IP-Adresse zu den personenbezogenen Daten, daher würde für die Bearbeitung eine Rechtsgrundlage fällig. Das „Berechtigte Interesse“ wurde vom Gericht hierbei nicht anerkannt, da die Abwägung zwischen den berechtigten Interessen und der Schutzwürdigkeit der Daten ein nicht gerechtfertigter Eingriff in das allgemeine Persönlichkeitsrecht darstellt.

Was heißt das für mich?

Durch das Urteil ist der Tatbestand „ungefragtes Einbinden von Drittanbieter-Tools“ bußgeldbewehrt. Mit anderen Worten: es ist ja nur reine Bequemlichkeit oder Unkenntnis des Betreibers, die „Script-Lösung“ zu verwenden. Mit ganz einfachen technischen Mitteln kann die verwendete Schriftart entweder gleich durch eine Standard-Schriftart ersetzt werden oder die explizite Schriftart auch lokal auf dem eigenen Server installiert werden, was durchaus auch noch kleine technische Vorteile nach sich ziehen würde.

Grundsätzlich besteht die Problematik, da immer mehr WebSites von populären Content-Management-Systemen wie bspw. „WordPress“ oder „Contoso“ erstellt und verwaltet werden, deren Administratoren sich eher aus dem gestalterischen denn dem technischen Umfeld rekrutieren.

Daher erfolgt die Ausführung dann eher dem Motto „hübsch“ denn „sicher und performant“ und das Content-Management-System erstellt selbstständig und unkontrolliert unsicheren, aufgeblähten und ungeprüften HTML-Quellcode.

Was muss ich tun?

Bitte UNBEDINGT und UMGEHEND das ungefragte Script – also nicht per Consent-Layer eingeholte explizite Einwilligung VOR der Einbettung – entfernen.

Der Fall hat Brisanz, da nun prinzipiell jeder unauthorisierte Aufruf der Script-Bibliothek Google-Fonts von jedem Nutzer mit Berufung auf das Urteil umgehend 100 Euro Schadenersatzforderung und Unterlassungsanspruch nach sich ziehen kann. Das kann schnell in 5-stellige Beträge gehen.

Bitte also schnellstmöglich den WebSite-Betreiber, -Administrator, -Content-Manager, .-Redakteur, -Pfleger hierauf ansprechen und umgehend das externe Einbetten der Google-Fonts entfernen.

Prüfen Sie hierbei ob a) ein alternativer Systemfont verwendet oder b) das Hosting des verwendeten Google-Fonts lokal durchgeführt werden kann.