Schadenersatzforderung und Ordnungsgeld drohen

Viele Golfanlagen und Unternehmen nutzen für ihren Internetauftritt Schriftarten von Google, kurz Google Fonts genannt. Diese sind nicht zuletzt deshalb sehr beliebt, weil sie kostenfrei genutzt werden können. Doch wie bei vielen anderen Themen rund um den Datenschutz ist auch bei Google Fonts besondere Aufmerksamkeit erforderlich.

Die Schriftarten können auf zwei Arten in den Webauftritt eingebunden werden: Entweder lokal über eigene Server oder per Remote-Zugriff auf Server von Google, welche die entsprechenden Schriftarten dann bedarfsgerecht – sprich bei Aufruf der Webseiten durch die Anwender – zur Verfügung stellen und somit den Platzbedarf auf dem Server des Webseitenbetreibers reduzieren. Sind die Fonts lokal gespeichert, ist datenschutzrechtlich nicht mit Komplikationen zu rechnen.

Anders sieht es aus, wenn die Schriftarten jeweils von den Google-Servern geladen werden – denn diese Server stehen in den USA. Mit dem Aufruf werden verschiedene Informationen vom Rechner des Anwenders (Webseiten-Besuchers) an Google übermittelt, beispielsweise die IP-Adresse (unabhängig, ob statisch oder dynamisch), der verwendete Browser oder die Spracheinstellungen. Datenschützer weisen darauf hin, dass es sich hierbei um personenbezogene Daten (siehe dazu das BGH-Urteil vom 16.05.2017, VI ZR 135/13) handelt, die ein Webseitenbetreiber nicht ohne individuelle Zustimmung des Nutzers an Google übermitteln darf.

Hintergrund ist, dass diese Daten an US-Server übermittelt werden und somit nicht mehr dem Geltungsbereich der DSGVO (Datenschutz-Grundverordnung) unterliegen. Damit sind die weitergeleiteten Informationen insbesondere nicht vor dem Zugriff des US-Geheimdienstes geschützt. Das Landgericht München I hat zu Beginn dieses Jahres entschieden, dass diese Vorgehensweise einen Verstoß gegen das Recht auf informationelle Selbstbestimmung der Anwender darstellt (AZ 3 O 17493/20). Zwar wurden der Klageseite lediglich 100 Euro plus Zinsen als Schadenersatz zugesprochen – wie so oft sollte man allerdings die mögliche hohe Zahl von Anwendern im Internet und damit von Ansprüchen berücksichtigen. Wenn ein Golfclub beispielsweise jährlich mehrere hundert Gastspieler hat und diese Schadenersatz in der genannten Höhe geltend machen (und zugesprochen bekommen), wird das Clubbudget nachhaltig belastet.

Insbesondere aus Österreich, aber auch aus Deutschland wird aus verschiedenen Wirtschaftsbereichen zudem von Abmahnwellen zu diesem Thema berichtet. Ist eine Golfanlage von einer solchen Abmahnung betroffen, sollte sie sich schnellstens mit einem Experten für IT-Recht und dem Webseiten-Betreuer in Verbindung setzen.

Auch reCaptcha und Google Maps betroffen

Wie dargestellt, betrifft die Problematik nur die Nutzung von Google Fonts per Remote-Zugriff. Ob ein solcher erfolgt, können Golfanlagen und Unternehmen beispielsweise über den Link https://sicher3.de/google-fonts-checker/ prüfen.

Auch Verlinkungen auf googleapis.com oder fonts.gstatic.com im Quellcode weisen auf solche, Datenschutz-rechtlich problematischen Einbindungen hin. Zu beachten ist ferner, dass Google reCaptcha und Google Maps grundsätzlich Fonts von den Servern laden und hier keine lokale Speicherung der Schriften möglich ist. Die Problematik der Remote-Einbindung von Schriftarten besteht auch bei Font Awesome und Adobe Web Fonts. Nach Einschätzung von Datenschutz-Experten reicht es zur Vermeidung von Rechtsansprüchen der Nutzer nicht aus, auf eine Zustimmung zur Weiterleitung der Daten per Cookie-Banner abzustellen.

Suche nach Alternativen

Während bei der Verwendung von Schriftarten für die Textdarstellung auf der eigenen Website die Lösung in der lokalen Speicherung der Schriftarten liegt, wird es bei reCaptcha und Google Maps deutlich komplexer. Bei Kartendiensten ist OpenStreetMaps eine Alternative. Damit hier eine Datenschutz-konforme Nutzung sichergestellt wird, unterliegt die technische Anbindung besonderen Anforderungen, beispielsweise ist die Einbindung eines Tile Servers erforderlich.

Fazit

Betroffene Golfanlagen und Unternehmen sollten sich schnellstens mit ihren Webdesignern, Serverbetreibern und Rechtsexperten abstimmen, um zügig eine DSGVO-konforme Website sicherzustellen. Das gilt auch für Webseitenbetreiber, welche auf Content Management Systeme wie Typo 3, Joomla oder Wordpress sowie die ebenfalls sehr beliebten Internet-Baukästen vieler Provider zurückgreifen – denn auch hier ist die Remote-Nutzung von Google-Schriften oder anderen Diensten oft in die verschiedenen Themes und Plugins eingebunden. Wer für seine Website Handlungsbedarf identifiziert, sollte schnell Abhilfe schaffen – denn neben den Schadenersatzforderungen der Anwender droht bei Missachtung zusätzlich ein Ordnungsgeld von bis zu 250.000 Euro.

Autor: Michael Althoff | golfmanager 5/2022