Deutsches Gericht verhängt Bußgeld gegen Google Fonts gegen Website-Datenschutz • The Register

Anfang dieses Monats verhängte ein deutsches Gericht eine Geldstrafe von 100 € (110 $, 84 £) gegen eine nicht identifizierte Website wegen Verstoßes gegen EU-Datenschutzgesetze durch den Import einer von Google gehosteten Webschriftart.

Der Entscheidung, von der Dritten Zivilkammer des Landgerichts München, festgestellt, dass die Website durch die Einbindung von Google-Fonts-gehosteter Schriftart auf ihren Seiten die IP-Adresse des nicht identifizierten Klägers ohne Genehmigung und ohne berechtigten Grund an Google weitergegeben hat. Und das verstößt gegen die europäische Datenschutz-Grundverordnung (DSGVO).

Das heißt, als der Kläger die Website besuchte, veranlasste die Seite den Browser des Benutzers, eine Schriftart von Google Fonts zur Verwendung für einen Text abzurufen, und dies gab die IP-Adresse des Internetnutzers an den US-Internetriesen weiter. Diese Art von Hot-Linking ist bei Google Fonts normal; Das Problem hier ist, dass der Besucher anscheinend nicht die Erlaubnis gegeben hat, dass seine IP-Adresse geteilt wird. Die Website hätte dieses Drama vermeiden können, indem sie die Schriftart nach Möglichkeit selbst gehostet hätte.

„Die unbefugte Weitergabe der dynamischen IP-Adresse des Klägers durch die Beklagte an Google stellt eine Verletzung des allgemeinen Persönlichkeitsrechts in Form des Rechts auf informationelle Selbstbestimmung dar § 823 Abs. 1 1 BGB“, heißt es algorithmisch übersetzt in dem Urteil: „Das Recht auf informationelle Selbstbestimmung umfasst das Recht des Einzelnen, seine personenbezogenen Daten offenzulegen und über deren Verwendung zu bestimmen.“

Die Entscheidung besagt, dass IP-Adressen personenbezogene Daten darstellen, da es theoretisch möglich ist, die mit einer IP-Adresse verbundene Person zu identifizieren, und dass es unerheblich ist, ob die Website oder Google dies tatsächlich getan haben.

Siehe auch  Harte Zahlen: Reiche Länder horten (noch) Impfstoffe, deutsche Grenzer, nigerianische Jailbreaks, chinesisches Grenzgesetz

Die Schriftauswahl von Google Fonts … Mit einem eigenen Beispieltext in Anbetracht dieses Falls

„Die Beklagte hat das Recht der Klägerin auf informationelle Selbstbestimmung verletzt, indem sie die dynamische IP-Adresse an Google weitergab, als die Klägerin die Website der Beklagten aufrief“, heißt es in dem Urteil.

Das Urteil weist die Website an, die Weitergabe von IP-Adressen an Google einzustellen, und droht dem Website-Betreiber mit einer Geldstrafe von 250.000 € für jeden Verstoß oder bis zu sechs Monaten Gefängnis wegen fortgesetzter missbräuchlicher Nutzung von Google Fonts.

Google Fonts ist weit verbreitet – die Google Fonts API wird von verwendet ca. 50 Mio. Websites. Die API ermöglicht es Websites, Text mit Google Fonts zu formatieren, die auf Remote-Servern – Google oder einem CDN – gespeichert sind, die beim Laden der Seite abgerufen werden. Google Fonts können selbst gehostet werden, um zu vermeiden, dass sie gegen EU-Vorschriften verstoßen, und das Urteil nennt diese Möglichkeit ausdrücklich, um zu behaupten, dass das Vertrauen auf von Google gehostete Google Fonts rechtlich nicht vertretbar ist.

Das deutsche Gerichtsurteil spiegelt zwei weitere aktuelle Entscheidungen wider, eine früher im Januar von der österreichischen Datenschutzbehörde, die feststellte, dass die Verwendung von Google Analytics gegen das Gesetz verstößt, und eine im Dezember letzten Jahres, als ein anderes deutsches Gericht feststellte, dass das CookieBot-Programm eines dänischen Consent Managers geteilt wurde Europäische IP-Adressen mit US-basiertem Akamai unter Verstoß gegen EU-Datenschutzgesetze.

Diese Datenschutzurteile verkomplizieren, wie Websites und Anwendungen ferngehostete Inhalte oder Dienste integrieren können, indem sie einen legitimen Zweck dafür verlangen, wenn personenbezogene Daten übertragen werden, oder eine rechtmäßige Zustimmung.

Sie spiegeln die Folgen der Entscheidung des EU-Gerichtshofs aus dem Jahr 2020 wider, die Datenschutzvereinbarungen des Privacy Shield aufzuheben, die es US-Unternehmen zuvor ermöglicht hatten, Daten mit europäischen Partnern im Rahmen von „Standardvertragsklauseln“ auszutauschen. Dieses Urteil ist als Schrems II bekannt, weil es auf die Beschwerde des österreichischen Datenschutzaktivisten Max Schrems aus dem Jahr 2011 gegen Facebook in Irland zurückgeht.

Google reagierte nicht sofort auf eine Bitte um Stellungnahme. ®