Dass die DSGVO-konforme Nutzung von Google als US-Anbieter (und somit in einem "unsicheren Drittland" ansässig) seit dem Ende von Privacy Shield gelinde gesagt schwierig ist, dürfte inzwischen jedem bekannt sein.
Dass dies aber auf so harmlos klingende Einsatzgebiete wie Google Fonts Auswirkungen hat, zeigt ein Urteil des LG München I: https://rewis.io/s/u/zH2/ (Quelle: Rewis.io)
Rechtsgrundlage Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) ist ungültig
Das Urteil besagt (Auszug): "Der Einsatz von Schriftartendiensten wie Google Fonts kann nicht auf Art. 6 Abs. 1 S.1 lit. f DSGVO gestützt werden, da der Einsatz der Schriftarten auch möglich ist, ohne dass eine Verbindung von Besuchern zu Google Servern hergestellt werden muss."
Im Prinzip nur noch lokale Speicherung von Google Fonts zulässig
Wer also Google Fonts oder ähnliche Services nutzt, die auf Server von Google zurückgreifen und dort unter Angabe einer IP Adresse des Nutzers etwas abrufen, der sollte dies umgehend abstellen. Google Fonts Schriftarten sollten lokal eingebunden werden, so dass kein Nachladen mit Weitergabe der IP Adresse des Nutzers bei Google notwendig ist.
Schadenersatz 100 Euro - Warum?
Die Urteilsbegründung (Auszug) lautet wie folgt:
"... Die Beklagte räumt ein, dass sie vor der Modifizierung ihrer Webseite bei den Besuchen des Klägers auf ihrer Webseite dessen IP-Adresse an Google übermittelt hat. Die Übermittlung der IP-Adresse erfolgte damit nicht nur einmalig.
Der damit verbundene Eingriff in das allgemeine Persönlichkeitsrecht ist im Hinblick auf den Kontrollverlust des Klägers über ein personenbezogenes Datum an Google, ein Unternehmen, das bekanntermaßen Daten über seine Nutzer sammelt und das damit vom Kläger empfundene individuelle Unwohlsein so erheblich, dass ein Schadensersatzanspruch gerechtfertigt ist.
Berücksichtigt werden muss dabei auch, dass unstreitig die IP-Adresse an einen Server von Google in den USA übermittelt wurde, wobei dort kein angemessenes Datenschutzniveau gewährleistet ist (vgl. EuGH, Urteil vom 16.7.2020 - C-311/18 (Facebook Ireland u. Schrems), NJW 2020, 2613) und die Haftung aus Art. 82 Abs. 1 DS-GVO präventiv weiteren Verstößen vorbeugen soll und Anreiz für Sicherungsmaßnahmen schaffen soll. ..."
Fazit:
Kann man nachvollziehbar finden, muss man aber nicht. Es wird auf jeden Fall höchste Zeit, dass die Politik ein (auch gegenüber dem EuGH) haltbares, praktikables und trotzdem datenschutz-freundliches Übereinkommen für Datenübermittlungen zwischen EU und USA findet.