Eines Tages im Juni dieses Jahres erhielt eine Hausärztin aus Süddeutschland, die ihren Namen nicht in der Presse lesen möchte, eine seltsame E-Mail. Darin beschwerte sich eine Frau S. aus München darüber, die Ärztin habe auf ihrer Praxis-Homepage einen Datenschutzverstoß gegen die Interessen von Frau S. begangen und diese verlangte nun 100 Euro Schadenersatz. „Da war ich natürlich erstmal baff“, berichtet die Ärztin gegenüber Medscape. „Denn meine Homepage war rudimentär und es war eigentlich zunächst nur meine Visitenkarte eingestellt“, berichtet die Hausärztin. „Was sollte da das Problem sein? Wo hätte ich da einen Datenschutzverstoß begehen sollen?“
Genaues Lesen brachte dann Aufklärung: Die Firma Google führt rund 1.400 verschiedene Schriftarten in einem Verzeichnis namens „Google Fonts“, die auf Websites eingebunden werden können.
Das Problem: Immer, wenn ein Internetnutzer die Praxishomepage der Ärztin aufsuchte, habe Google Fonts unmerklich personenbezogene Daten des Internetnutzers an den Mutterkonzern Google in den USA übermittelt. Google habe so Besucher der Praxishomepage identifizieren und nachvollziehen können, welche Seiten sie im Internet aufgerufen haben. Kurz: Datenschutz ade.
Tatsächlich verstoße diese Google-Praxis gegen die Datenschutz-Grundverordnung (DSGVO), hieß es. Neben der Aufforderung, die Datenlücke in der Homepage zu schließen, forderte Frau S. von der Ärztin 100 Euro Schadenersatz ihres immateriellen Schadens.
Die Abmahnungen sind rechtens
Denn immer mehr Hausärztinnen und Hausärzte haben offenbar wegen der Schriften-Bibliothek auf ihrer Homepage von einer Anwaltskanzlei oder von Privatleuten eine Abmahnung erhalten.
Unglaublich, aber wahr: Das Ganze ist rechtens. In seinem Urteil vom Januar 2022 haben die Richter des Landgerichts München I bestätigt, dass die Persönlichkeitsrechte der Website-Besucher verletzt werden, wenn sie die IP-Adresse der Besucher automatisch an Google sendet. Hier liege die „Verletzung des allgemeinen Persönlichkeitsrechts in Form der informationellen Selbstbestimmung vor“, so das Gericht. Außerdem bedeute jede falsche oder fehlende Einwilligung des Besuchers ebenfalls eine Verletzung der Persönlichkeitsrechte.
Das Urteil betrifft nicht nur Google-Fonts, sondern alle US-Webdienste, die in Websites eingebunden werden können. Auch hier droht also die Gefahr ärgerlicher E-Mails. Offen ließ das Gericht, ob eine Nutzereinwilligung per Mausklick ausreichen würde, um Schadenersatzansprüche abzuwehren.
Um Klarheit zu erhalten, wandte sich die Ärztin an ihren EDV-Fachmann, der das Problem auch nur vom Hörensagen kannte. Nach weiteren Recherchen riet er dazu, das Geld zu bezahlen, „damit ich dann wenigstens meine Ruhe hätte“, berichtet die Ärztin. Doch sie wollte nicht nachgeben – und forderte von Frau S. genauere Angaben: Einen Screenshot, die genaue Zeit, wann der Verstoß geschehen sein soll und Informationen darüber, welcher Art der entstandene Schaden überhaupt gewesen sein solle. „Ich habe mich, ehrlich gesagt, sehr geärgert darüber, wie hier Geld verdient werden sollte!“, sagt die Ärztin.
Nach einiger Zeit kam eine Mail: Auch wenn das Datenleck inzwischen gestopft worden sei, wolle sie den Verstoß nicht einfach hinnehmen, schrieb Frau S.. Doch die Ärztin blieb unbeugsam und verlangte erneut Antwort auf ihre Fragen – bis heute, ohne Weiteres gehört zu haben. Das Geld hat sie nicht bezahlt.
Zahlen oder zäh bleiben?
Eine andere Möglichkeit, die dreisten Zahlungsforderungen zu umgehen, ist es folgende: Google Fonts schlägt nur dann leck, wenn die Schriftarten auf dem Google-Server liegen. Denn dann müssen sie jedes Mal nachgeladen werden, sobald die Praxis-Website aufgerufen wird. Dabei übermittelt dann der Google-Server auch die IP-Adresse des Website-Besuchers.
Sicher dagegen ist es, wenn die Schriftarten auf dem eigenen Server liegen. Wird dann die Web-Site aufgerufen, greift sie beim Laden nur auf diesen lokalen Server und die dort lagernden Fonts zu. Diese Variante sei laut LG München datenschutzrechtlich unbedenklich. Denn eine Übersendung der IP-Daten an Google findet nicht statt.
Was tun? Das Portal www.e-recht24.de bietet einen Website-Scanner, mit dem zum Beispiel Praxisinhaber rasch feststellen können, ob ihre Website DSGVO-konform ist oder nicht – einfach die Website-Domain eingeben und den Scanner starten. Die Website liefert außerdem eine detaillierte Beschreibung, wie Google-Fonts datenrechtlich sicher in die Homepage eingebaut werden kann.
Die süddeutsche Hausärztin war in die Datenfalle getappt, weil sie für ihre Visitenkarte im Netz Schriften von Google Fonts gewählt hatte. „Man sollte ich nicht in Bockshorn jagen lassen!“, resümiert die Ärztin gegenüber Medscape. „Es kann doch nicht sein, dass irgendwelche gewieften Leute auf diese Weise Geld verdienen!“
Fanden Sie diesen Artikel interessant? Hier ist der Link zu unseren kostenlosen Newsletter-Angeboten – damit Sie keine Nachrichten aus der Medizin verpassen.
Credits:
Lead Image: Dreamstime
Medscape Nachrichten © 2022 WebMD, LLC
Diesen Artikel so zitieren: Gefährliche Google-Schriftarten auf Ihrer Homepage? Praxen stehen wegen Abmahnungen unter Druck – was zu beachten ist - Medscape - 23. Nov 2022.
Kommentar