Momentan erhalten Betreiber von Webseiten Schreiben, in denen ihnen ein Verstoß gegen den Datenschutz wegen der dynamischen Einbindung von Google Fonts vorgeworfen und Schadensersatz verlangt wird.
Auffällig ist, dass diese Schreiben scheinbar von Privatpersonen stammen und häufig den gleichen Text aufweisen. Gefordert wird die Zahlung von 100 Euro.

Dabei stellt sich die Frage, wie ernst diese Schreiben genommen werden müssen und wie betroffene Webseiten-Betreiber damit umgehen können.

Zunächst sollten Betroffene folgendes prüfen oder von Ihrem Webdesigner prüfen lassen:
Werden auf der Webseite Google Fonts genutzt?
Falls ja, werden die Schriften beim Laden der Webseite von Google direkt abgerufen?

Ist das Schreiben ernst zu nehmen?

Bei dem Erhalt einer Abmahnung sollten Betroffene unbedingt auf anwaltliche Hilfe zurückgreifen!
Der tatsächliche Verstoß gegen die datenschutzrechtlichen Vorgaben löst zwar grundsätzlich einen Schadensersatzanspruch aus, die Rechtsverletzung müssen Betroffene aber zunächst nachweisen.
Die reine Behauptung der Verletzung von Datenschutzrecht reicht nicht aus!
War die IP-Adresse des Webseitenbesuchers bei der Übertragung an Google verschlüsselt, dann ist von dem Vorliegen eines datenschutzrechtlichen Verstoßes schon nicht mehr auszugehen.
Sollte sich jedoch herausstellen, dass eine Privatperson oder eine Abmahnkanzlei systematisch Webseiten gesucht hat, um sich zu bereichern, könnte das zudem gegen das Gebot von Treu und Glauben verstoßen.
Dieses Gebot kann einer Rechtsdurchsetzung immer dann entgegenstehen, wenn primär sachfremde und nicht schutzwürdige Interessen verfolgt werden.

Datenschutzrechtlicher Hintergrund

Hinsichtlich der geltenden datenschutzrechtlichen Vorgaben überrascht das Urteil des Landgerichtes München I nicht.
Das Datenschutzrecht verfolgt im Allgemeinen zwei Anliegen:

Das umfasst den Schutz des Rechts auf informationelle Selbstbestimmung, insbesondere den Schutz der Privatsphäre natürlicher Personen bei der Verarbeitung personenbezogener Daten.
Jedem steht das Recht zu, selbst darüber zu entscheiden, wie freigiebig er mit seinen personenbezogenen Daten umgehen möchte.
Von einem personenbezogenen Datum sprechen wir immer dann, wenn die hinter dem Datum stehende Person dadurch identifiziert oder jedenfalls identifizierbar gemacht wird.
In Art 4 Nr. 1 der Datenschutzgrundverordnung (DSGVO) wird eine Person als identifizierbar angesehen, „die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann“.
Um einen adäquaten Schutz zu gewähren, arbeitet die DSGVO mit einem sog. Verbot mit Erlaubnisvorbehalt.
Das bedeutet, dass die Verarbeitung von personenbezogenen Daten grundsätzlich verboten ist, es sei denn, es liegt eine gesetzliche Ermächtigungsgrundlage vor, die die Verarbeitung explizit gestattet.
Die einzelnen Ermächtigungsgrundlagen finden sich in Art. 6 DSGVO.

Dazu gehören beispielsweise, die erforderliche Verarbeitung personenbezogener Daten aufgrund einer vertraglichen Verpflichtung, die Verarbeitung aufgrund eines nachweisbaren berechtigten Interesses oder Verarbeitung auf Basis einer Einwilligung der betroffenen Person.
Nur das Vorliegen einer solchen Ermächtigungsgrundlage berechtigt zur Verarbeitung von personenbezogenen Daten.
Eine Verarbeitung ist jeder Vorgang im Zusammenhang mit personenbezogenen Daten, beispielsweise das Erheben, Weiterleiten, Offenlegen, Speichern und Löschen.

Mein Tipp:

Lassen Sie sich von Ihrem Webdesigner die Google-Schriftarten auf Ihrer Webseite lokal einbinden und nicht mehr von Google nachladen.
Somit verletzen Sie auch keine Datenschutzrechte mehr.

Ihr Oliver Biegel