Abmahnungen von Kilian L. wegen google Fonts
Bereits im Juli gab es eine Abmahnwelle wegen Google Schriftarten in der Website.
Diese Abmahnungen werden von Privatpersonen geschickt und darin auf ein Urteil des Landgericht München verwiesen. Die Abmahner rufen die Websitebetreiber dann auch noch an, um mehr Druck auszuüben.
Das LG hat in einer Einzelfallentscheidung dem Kläger neben einer Auskunftspflicht auch einen immateriellen Schadenersatzanspruch von 100,- Euro zugesprochen, weil die google Schriftarten geladen wurden ohne dass eine Zustimmung durch den Besucher erfolgt ist und so die IP Adresse des Besuchers zwangsläufig google bekanntgemacht wurde. Dadurch fühlte sich der Kläger sehr unwohl. Genau diese 100,- Euro wollen nun auch viele dieser Privatpersonen kassieren.
Urteil: LG München I, Urteil vom 20.1.2022 – 3 O 17493/20
Es liegt natürlich der Verdacht nahe, dass die Absicht der Verfasser der Abmahnung darin liegt sich dadurch zu bereichern und nicht der Verstoß gegen den Datenschutz im Vordergrund steht.
Einige Anwälte von Onlineportalen raten dazu die Forderung nicht zu bezahlen ohne aber auf das Prozesskostenrisiko hinzuweisen. Es gibt sogar Anwälte die Antwortschreiben anbieten um den Abmahner unter Druck zu setzen. Immerhin kostet ein Verfahren beim Landgericht in einem vergleichbaren Fall schnell einige tausend Euro. Wenn man Spezialanwälte nimmt rechnen diese oftmals einige hundert Euro pro Stunde ab und bei so einem Verfahren entstehen schnell mal 100 Stunden.
Nach meiner Einschätzung liegt der Rechtsverstoß eindeutig vor, wenn Sie in Ihrer Website google Fonts direkt von google verwenden, oder auch Content Delivery Networks (CDN) verwenden deren Betreibergesellschaft unter US Kontrolle stehen. Da muss der Abmahner auch nicht viel beweisen. Ihre Websiteinhalte werden meist auch durch Archive wie das web.archive.org gespeichert, somit kann man das jederzeit nachvollziehen. Die Übertragung der IP Adresse findet ja auch nicht zwischen Website/Server des Betreibers und google statt, sondern der Client selbst nimmt die Verbindung mit google auf. Die Empfehlung ein Einwilligungsplugin zu verwenden ist m.E. nicht möglich. Erstens verwenden diese Consent Tools selbst US Dienste und die Zustimmung muss ja schon erfolgen bevor die Schriftarten oder andere Dienste geladen werden.
Je einfacher es ist das Problem zu beheben, desto höher ist die Wahrscheinlichkeit, dass Sie vor Gericht unterliegen. Wenn es also deutsche, bzw. europäische Dienste gibt zu denen Sie einfach wechseln können stellt sich ganz einfach die Frage warum Sie das nicht tun. Wenn Sie aus Bequemlichkeit oder falschen Versprechen US Dienste verwenden, dann werden Sie sicherlich dafür Schadenersatz leisten müssen.
Google Schriftarten müssen nicht von google Servern geladen werden. Sie können sie ganz einfach auf Ihrem Server speichern und von dort aus verwenden.
Leider ist es aktuell noch so, dass praktisch alle gängigen Content Management Systeme oder andere Website Baukästen die Schriftarten einfach nur von google einbinden. Sie können aber beispielsweise mit einem Plugin für Wordpress die Schriftarten lokal speichern. Technisch gesehen wird die Website genauso angezeigt wie vorher, weil der selbe Schriftsatz verwendet wird. Diese Plugins laden die frei verfügbaren Schriften dann von google Servern herunter und speichern diese dann auf Ihrem Webspace, also dem Speicherplatz Ihrer Website. Das Plugin sorgt dann dafür, dass die Schriftart lokal ausgeliefert wird, also die URL von google durch Ihre eigene ersetzt wird. Somit kann google nicht mehr die Zugriffe Ihrer Besucher auf die Website analysieren bzw. ausspähen, oder die Daten anderweitig verwendet werden.
Bei joomla können Sie beispielsweise die Schriftarten auch direkt hochladen bzw lokal speichern und dann verwenden.
Für Kunden die diese meist kostenlosen Baukästen verwenden sollte klar sein, dass diese nicht nur google Schriftarten verwenden, sondern auch noch CDN von anderen US Providern und Analyseprogramme. Auch wenn die behaupten DSGVO Konform zu sein, das ist eine Lüge. US Firmen, oder europäische Firmen die unter US Kontrolle stehen können keine EU Datenschutzkonformen Dienstleistungen anbieten.
So vermeiden Sie Abmahnungen wegen DSGVO:
Verwenden Sie einen deutschen Webhoster für Ihre Website oder Shop
Ein deutsches Unternehmen hat in der Regel kein Interesse daran Ihre Daten in die USA zu transferieren, oder diese zu veräußern. Achten Sie darauf, dass das deutsche Unternehmen nicht unter US-Kontrolle steht. Die Server sollten in Deutschland stehen und vom Webhoster selbst verwaltet werden. Viele Firmen hosten Daten bei google, Amazon oder Microsoft.
Produktempfehlung: https://webhoster.de/webhosting/
Verwenden Sie am besten einen virtuellen Server
Mit einem virtuellen Server (VPS/VDS) auf dem nur Sie selbst liegen haben Sie volle Kontrolle über Ihre Daten. Bei Shared Hosting besteht immer eine theoretische Gefahr, dass durch einen Websitehack eines anderen Kunden ggf. Daten Ihrer Website ausgespäht werden.
Produktempfehlung: https://webhoster.de/v-server/
Speichern Sie google Fonts lokal
In den Webhosting Paketen ist oftmals ein Installer für Wordpress enthalten. Bei uns beispielsweise wird direkt das Plugin OMGF installiert. Dieses Plugin sorgt dafür, dass google Schriftarten nur noch lokal ausgeliefert werden. Wenn Sie schon eine Wordpress Seite haben, installieren Sie sich einfach das OMGF Plugin. Es ist kostenlos. Die Pro Version kann die Website noch optimieren.
Produktempfehlung: https://daan.dev/wordpress/omgf/
Erstellen Sie eine Datenschutzerklärung
Mit einem kostenlosen Generator können Sie Ihre Datenschutzerklärung noch einmal überprüfen und neu gestalten. Sie sollten die Seite dann im sog. Website Footer oder Menü immer zugänglich verlinken.
Produktempfehlung: https://www.e-recht24.de/muster-datenschutzerklaerung.html
Verwenden Sie ein Consent Tool
Wenn Sie unbedingt Code von US Diensten verwenden wollen wie Youtube Videos, Cookies oder andere Dinge, dann sorgen Sie dafür, dass der Code erst geladen wird, wenn der Besucher der Verwendung zugestimmt hat. Das ist nicht einfach zu konfigurieren. Hier kann man viel falsch machen. Testen können Sie das Ergebnis am besten mit einem Browser im Inkognito Modus. Wird das Banner nicht angezeigt ist etwas falsch. Wird der Code trotzdem geladen, ist auch etwas falsch. Es kann aber auch sein, dass durch ein anderes Plugin etwas nachgeladen wird. In dem Fall wird es schwierig. Bislang haben wir auch cookiebot empfohlen, aber die hosten nach einer Übernahme auch bei US Anbietern und alle Daten werden von US Content Delivery Networks ausgeliefert. Da fühlt man sich unwohl.
Produktempfehlung: https://de.borlabs.io/borlabs-cookie/