Google-Schriftarten dynamisch eingebunden – neue Masche erhöht das Risiko

Schriftarten schnellstmöglich auf eigenem Server einbinden

Wer „Googlefonts“ direkt von einer Google-Website in den USA einbindet, handelt höchstwahrscheinlich datenschutzwidrig. Das ist gerade noch gefährlicher geworden.

Wie wir schon berichteten, ist Google, nicht nur zur Zeit besonders im Fokus der Aufsichtsbehörden, sondern es gibt sogar schon ein erstes Urteil, das 100 € Schadenersatz zuspricht. Nur 100 €?

 

Jetzt meint man, läppische 100 € Schadenersatz nach Art. 82 DSGVO wären nicht viel. Das wäre eigentlich richtig. Wenn ein Kunde auf Ihrer Website surft und dabei Google (neuerdings „Alpha“) durch die dynamische Einbindung seiner Schriftarten („fonts“) direkt aus den USA seine IP-Adresse erfährt, so ist das grundsätzlich mit hoher Wahrscheinlichkeit datenschutzwidrig. Der Kunde kann dann die 100 € Schadenersatz fordern. Normalerweise würde eine vernünftige Firma bei solchen Beträgen und der klaren Rechtslage sofort zahlen, weil jede weitere Befassung, teurer wäre.

Jetzt aber hat sich das Risiko in Summe und Eintrittswahrscheinlichkeit erhöht. Es kursieren erste Schreiben, mit denen dieser Schadenersatz systematisch von Unternehmen gefordert wird. Das ändert die Risikostruktur grundsätzlich.

Solange nur eine Person mehrere Unternehmen belangt, um sich offensichtlich zu bereichern, kann man davon ausgehen, dass dieser Mensch selbst das Prozessrisiko scheut und dass auch die Richter solchen Personen eher ungerne helfen. Solche Menschen möchten mit einem Bluff möglichst viele ins Bockshorn jagen. Deshalb rät mindestens ein Anwalt, die 100 € in solchen Fällen nicht zu zahlen und abzuwarten, ob so eine Person wirklich einen Prozess riskiert.

Dieses Risiko kehrte sich aber ins Gegenteil um, wenn eine der zahlreich vorhandenen Abmahnkanzleien am Markt eine Massenklage daraus anzettelte. Wenn eine solche Kanzlei 500 oder 1000 Mandanten fände, die alle Montags um 8 Uhr nur den Netzauftritt Ihrer Firma aufsuchten und dokumentierten, dass Google dabei ihre IP-Adresse ausläse, ginge es für Ihre Firma nicht mehr um einmalig 100 €, sondern in einem Massenverfahren gleich um 50.000 € oder gar 100.000 €. Dann könnten Sie davon ausgehen, dass die Abmahnkanzlei dafür gesorgt hätte, dass sie die nötigen Fakten aus ihrer Sicht nachweisen könnte und Ihre Firma müsste eine Spezialkanzlei anheuern, die 500 Verfahren parallel führte, also nochmal erhebliche Prozesskosten für Anwalt und Gericht vorhalten. Die mediale Aufmerksamkeit eines solchen Verfahrens erhöhte gleichzeitig das Risiko Ihrer Firma, das der Landesdatenschutzbeauftragte die Sache prüfte und zusätzlich ein hohes Bußgeld nach Art. 83 DSGVO gegen die Verantwortlichen verhängte.

 

Daher raten wir dringend, dass Sie kurzfristig die Einbindung der Schriftarten auf Ihrer Website überprüfen, ob Sie diese von den eigenen Servern nachladen, statt von Alpha/Google aus dem „unsicheren Drittland“ USA.

Die Einbindung von Google Analytics (Cookie „ga“) ist derzeit aus ähnlichen Gründen hochumstritten und im Focus der Aufsichtsbehörden. Auch dessen weiteren Gebrauch sollten Sie gut abwägen. Google selbst hat schon erklärt, dass es das Geschäftsmodell abschaffen möchte, indem es plant, Cookies in Chrome ab 2023 ganz abzuschaffen.

Bei Fragen zur rechtssicheren Gestaltung Ihres Netzauftritts, steht Ihnen unser Privacy Team gerne mit Rat und Tat zur Verfügung.

 

Autor: Florian Thomas Hofmann, Data Privacy Legal Consultant (Volljurist) im Datenschutz-Team der bitbase group

 

Hinweis: Dieser journalistische Artikel kann keine Einzelfallberatung eines Anwalts ersetzen. Sollten Sie selbst von solch einer Forderung betroffen sein, schalten Sie bitte einen Rechtsanwalt ein, statt sich allein auf unsere allgemeine Zusammenfassung zu verlassen. Bei Rechtsthemen kommt es immer auf die Umstände des Einzelfalls an, die wir wegen der nötigen Kürze hier nicht bis ins Letzte darstellen können.

Hier erfahren Sie mehr.

Ich berate Sie gerne und freue mich auf Ihre Fragen.

Head of Compliance

Markus Vatter