HDI MedLetter März 2023: Erpressungswelle gegen Webseitenbetreiber bei der Einbindung von Google Fonts

Eine Webseitenbetreiberin band, ohne vorherige Einholung einer Einwilligung – wie man das bereits von Cookies her kennt – Google Fonts dynamisch in ihre Website ein. Ein Besucher dieser Website fühlte sich dadurch gestört und reichte Klage auf Unterlassung der Weitergabe seiner IP-Adresse an Google ein. Der Kläger bekam recht:

1. Eine Verletzung des Rechts auf informationelle Selbstbestimmung und des Persönlichkeitsrechts stellt es dar, wenn der Inhaber einer Webseite bei Aufruf dieser Webseite durch einen Dritten dessen dynamische IP-Adresse automatisiert und ohne Zustimmung des Dritten an Google weiterleitet. (Rn. 6 – 7) (redaktioneller Leitsatz)

2. Ein Rechtfertigungsgrund für die Weitergabe einer IP-Adresse liegt nicht vor, da das Angebot von Google Fonts auch genutzt werden kann, ohne dass beim Aufruf der Webseite eine Verbindung zu einem Google-Server hergestellt wird und eine Übertragung der IP-Adresse der Webseitennutzer an Google stattfindet.

Darüber hinaus wurden dem Kläger auch noch 100 Euro Schadenersatz wegen empfundenen Unwohlseins zugesprochen. Der Schadenersatzanspruch beruht auf Art. 82 Abs. 1 Datenschutz-Grundverordnung (DSGVO).

Google bietet Nutzern zur Erstellung von Webseiten eine große Auswahl von lizensierten Schriften kostenlos an. Diese Schriftarten können dann lokal oder dynamisch in die jeweilige Internetseite eingebunden werden.

Unproblematisch ist die lokale oder statische Variante, in der die gewünschte Schriftart durch vorheriges Hochladen in die Webseite eingebunden wird. Beim Besuch der Webseite wird dabei keine Verbindung zu Google-Servern aufgebaut und somit wird auch die IP-Adresse nicht an Google weitergegeben.

Anders verhält es sich aber bei Einbindung von dynamischen Schriftarten. Diese werden per Import oder Link mit in die Website eingebunden. Beim Öffnen der Webseite werden diese dann direkt dort angezeigt. Mit Verbindungsaufbau wird schließlich mindestens die IP-Adresse an die Google Server weitergegeben, ohne dass Cookies gesetzt werden und der Nutzer hierüber aufmerksam gemacht wird oder gar eine Einwilligung geben muss.¹

Über die Entwickler-Konsole des Browsers kann man sehr komfortabel feststellen, ob in der entsprechenden Webseite Google Fonts eingebunden wurden. Bei Verwendung des Chrome Browsers kann beispielsweise mit Hilfe der rechten Maustaste und über den Menüpunkt „Untersuchen“ die Entwickler-Konsole aufgerufen werden. Wird im Bereich Quellcode oder Sources „fonts.googleapis.com“ oder „fonts.gstatic.com“ angezeigt, wurden auf der Webseite dynamische Schriftarten eingebunden.²

Das Münchner Urteil, kombiniert mit dem beschriebenen technischen Wissen und dem Einsatz entsprechender Software, nutzten nun einige findige Rechtsanwaltskanzleien und durchsuchen Webseiten auf die Nutzung von dynamischen Schriftarten hin. Sind sie fündig geworden, schreiben sie die Betreiber der Webseite an und stellen Schmerzensgeldansprüche bzw. wollen eine Entschädigung in Höhe bis maximal 280 Euro für die „wohlwollenden Hinweise“ – wie hier am Beispiel eines Internisten:

Dieses kommerzielle als „Abmahnung“ bezeichnete Vorgehen ist bereits von Anfang an rechtlich bedenklich und wird mittlerweile als Betrugsmasche auch von einschlägigen Gerichten gewertet.

Möglicherweise gilt im Rahmen einer Betriebshaftpflichtversicherung – wie dies bei HDI der Fall ist – die Einbindung einer Entschädigungsmöglichkeit ohne Abzug eines Selbstbehaltes bei Verletzung von Persönlichkeitsrechten. Die Einschaltung der Betriebshaftpflichtversicherung ist dann möglich. Dementsprechend wurde auch der HDI-Schadenbereich unmittelbar mit der Beurteilung solcher Fälle konfrontiert. Die allgemeine Haltung der Schadenexperten ist hier die Ablehnung solcher Ansprüche ohne Vorlage einer Originalvollmacht zur Verifizierung und dem konkreten Nachweis der Verletzung des Persönlichkeitsrechtes der jeweiligen Mandantschaft beim Besuch der Webseite.

Sollte keine Versicherung bestehen, hat jeder, an den diese „Abmahnungen“ gerichtet sind, allerdings selbst auch das Recht, die Forderung entsprechend abzulehnen und sich eine Strafanzeige vorzubehalten, da der Verdacht eines Rechtsmissbrauchs hier im Raum steht.

Wenngleich bereits erste strafrechtliche Ermittlungen wegen Betrugsverdachtes gegen entsprechende Anwälte und deren Mandantschaften eingereicht wurden, bietet sich ein präventives Handeln an, da Nachahmungen nicht ausgeschlossen werden können.

Daher sollten alle Webseitenbetreiber – wie oben beschrieben und auch von der IHK empfohlen – prüfen, ob auf ihrer Seite Google Fonts verwendet werden. Ist dies der Fall, sollte darauf geachtet werden, dass keine Daten automatisch weitergeleitet werden. Gegebenenfalls sollte dann eine Korrektur in Richtung der lokalen Einbindung der Schriftarten erfolgen.

Ist dies nicht gewünscht, sollte in jedem Fall – wie dies auch bei der Nutzung von Cookies mittlerweile im Telekommunikations-Telemedien-Datenschutzgesetz (TTDSG) gesetzlich vorgeschrieben ist – auf die Einbindung von Google Fonts bzw. dynamischen Schriftarten hingewiesen werden und zusätzlich eine informierte Einwilligung des Nutzers erfolgen.

Seien Sie daher wachsam!

Autor: Oliver Eigl, Experte Schadenkommunikation und Fachreferent Betriebshaftpflicht/Transport und Cyberschaden