KI-Halluzinationen und Recht: Urteil des LG Kiel zur Haftung bei fehlerhaften KI-Inhalten

von | Mai 1, 2025 | Allgemein

Generative KI – Chancen und Risiken

Der Einsatz generativer Künstlicher Intelligenz (KI), insbesondere von Large Language Models (LLMs), revolutioniert den Umgang mit Daten und Informationen. Unternehmen profitieren von zahlreichen Vorteilen, doch die Technologie birgt auch erhebliche Risiken. Ein zentrales Problem sind sogenannte KI-Halluzinationen – fehlerhafte Inhalte, die aufgrund unzureichender Informationen entstehen.
Mit Urteil vom 29. Februar 2024 (Az. 6 O 151/23) hat das Landgericht Kiel eine richtungsweisende Entscheidung zur Haftung für KI-generierte Inhalte getroffen.

Unternehmen haftet für fehlerhafte KI-Informationen

Im konkreten Fall veröffentlichte ein mittelständisches Unternehmen falsche Informationen über ein anderes Unternehmen. Die Beklagte betrieb eine Plattform für Wirtschaftsinformationen, die automatisiert Daten aus öffentlichen Registern anzeigte. Das System meldete fälschlicherweise, die klagende Gesellschaft sei wegen Vermögenslosigkeit nach § 394 FamFG gelöscht worden – eine unzutreffende Behauptung.

Automatisierung schützt nicht vor Verantwortung

Die Beklagte nutzte eine KI-gestützte Software, die Informationen anhand von Suchbegriffen aus öffentlichen Quellen filtert. Auf der Website wurde zwar auf die automatisierte Generierung und mögliche Fehler hingewiesen, ergänzt um einen Haftungsausschluss.
Das LG Kiel stellte jedoch klar: Weder Automatisierung noch Disclaimer befreien von der Verantwortung. Die Klägerin verlangte Löschung und Unterlassung, was das Gericht aufgrund einer Verletzung des Unternehmenspersönlichkeitsrechts (§ 1004 BGB analog i. V. m. Art. 2 Abs. 1, Art. 19 Abs. 3 GG) bestätigte. Fehlinformationen können den Ruf und die Kreditwürdigkeit eines Unternehmens erheblich beeinträchtigen.

Wiederholungsgefahr durch ungeprüfte Systeme

Das Gericht sah die Wiederholungsgefahr als gegeben an, da die Beklagte weiterhin auf das automatisierte System vertraute, ohne dessen Ergebnisse ausreichend zu prüfen.

Bedeutung des Urteils für Unternehmen

Das Urteil verdeutlicht: Unternehmen tragen die volle Verantwortung für Inhalte, die ihre KI-Systeme generieren. Automatisierung oder Haftungsausschlüsse genügen nicht – Qualitätssicherung ist Pflicht.
Auch wenn die Europäische KI-Verordnung (AI Act) solche Maßnahmen nur für Hochrisiko-KI vorschreibt, bleibt das Risiko bestehen: Werden unrichtige Inhalte veröffentlicht, haftet das Unternehmen unabhängig von der Technologie.

Was sind KI-Halluzinationen?

KI-Halluzinationen sind Inhalte, die zwar plausibel erscheinen, aber nicht den zugrunde liegenden Fakten oder Quellen entsprechen. Sie entstehen oft durch fehlende Kontextinformationen oder fehlerhafte Interpretationen – insbesondere bei generativen Aufgaben wie Zusammenfassungen oder Antworten auf offene Fragen.

Ursachen von KI-Halluzinationen

  • Trainingsdaten: Fehlerhafte, veraltete oder unvollständige Datensätze führen zu falschen Schlussfolgerungen.
  • Trainingsmethoden: Schwachstellen wie „Attention Glitches“ oder „Exposure Bias“ können zu Fehlinterpretationen führen.
  • Antwortgenerierung (Inferenz): Wahrscheinlichkeitsbasierte Prozesse bergen das Risiko unplausibler Ergebnisse, etwa durch „Likelihood Trap“ oder „Overconfidence“.

Erkennen von KI-Halluzinationen

  • Unsicherheiten prüfen: Übermäßig detaillierte oder absolute Aussagen kritisch hinterfragen.
  • Faktencheck: Aussagen mit verlässlichen Quellen abgleichen.
  • Details hinterfragen: Unstimmigkeiten bei Daten, Namen oder Zahlen überprüfen.
  • KI als Prüfer: Mit anderen Modellen oder Tools wie dem response_hallucination-Modul gegenprüfen.

Vermeidung und Reduzierung von Halluzinationen

Eine vollständige Vermeidung ist derzeit nicht möglich.
Maßnahmen zur Reduzierung:

  • Präzise Eingaben formulieren
  • Chain-of-Thought-Prompting zur Fehlererkennung
  • Retrieval-Augmented Generation (RAG) zur Anreicherung mit externen Quellen
  • Kritische menschliche Prüfung als letzter Sicherheitsschritt

SBS LEGAL – Ihre Kanzlei für das KI-Recht und ChatGPT-Recht

Möchten Sie mehr darüber erfahren, wie Sie sich vor den Risiken von KI-Halluzinationen schützen können? Wollen Sie wissen, ob Ihr Unternehmen für fehlerhafte, KI-generierte Inhalte haftbar gemacht werden kann? Oder sind Sie bereits mit einer Abmahnung konfrontiert und benötigen rechtlichen Beistand?

Dann sind Sie bei SBS LEGAL genau richtig!

Unser erfahrenes Team berät Sie umfassend zu allen rechtlichen Aspekten rund um den Einsatz von Künstlicher Intelligenz, einschließlich der Haftungsfragen. Wir unterstützen Sie dabei, Ihre Systeme rechtssicher zu gestalten, prüfen KI-generierte Inhalte auf mögliche Risiken und stehen Ihnen bei der Abwehr oder Durchsetzung von Ansprüchen zur Seite.

Für weitere Rückfragen stehen wir Ihnen jederzeit gerne auch telefonisch zur Verfügung. Wünschen Sie eine Rechtsberatung von den spezialisierten Fachanwälten der SBS LEGAL?

Der Erstkontakt zu SBS Legal ist immer kostenlos.

SBS Direktkontakt

telefonisch unter (+49) 040 / 7344086-0 oder
per E-Mail unter mail@sbs-legal.de oder
per SBS Direktkontakt.

Rechtliche Rahmenbedingungen im Metaverse

von | Jan. 28, 2024 | Internetrecht

Das Metaverse wirft zahlreiche spannende Rechtsfragen auf, die sowohl die juristische Welt als auch die Nutzer betreffen. Wir haben uns bereits mit Aspekten wie Datenschutz, Plattformregulierungen und dem allgemeinen Metaverse-Recht auseinandergesetzt. Heute wollen wir einen Blick darauf werfen, welches Rechtssystem im Metaverse überhaupt gilt. Denn die verschiedenen Rechtssysteme unterscheiden sich teils erheblich voneinander, was in Einzelfällen zu großen Unterschieden führen kann. Wenn im Metaverse beispielsweise Rechte verletzt werden, sei es durch das Zerstören eines virtuellen Gebäudes oder das Kopieren geschützter Marken, stellt sich die Frage, welches Recht zur Anwendung kommt. Die Möglichkeit, Ansprüche geltend zu machen, hängt letztlich vom jeweils gültigen Rechtssystem ab.

Rechtswahl in der physischen Welt

In der juristischen Ausbildung gewinnen das internationale Privatrecht und Zivilverfahrensrecht zunehmend an Bedeutung. In einer globalisierten Welt ist dies unvermeidlich. Künftige Anwälte und Anwältinnen müssen darauf vorbereitet sein, grenzüberschreitende Fälle zu bewältigen.

Dabei gibt es verschiedene Ansätze, um das anwendbare Recht festzulegen. Besonders relevant ist die Parteivereinbarung. Schließen zwei Parteien einen Vertrag, können sie dessen Inhalte weitgehend selbst bestimmen, einschließlich der Entscheidung darüber, welches Rechtssystem und welche Gerichtsbarkeit im Streitfall angewendet werden soll.

Schiedsverfahren

Häufig wird in Verträgen eine sogenannte Schiedsklausel vereinbart, durch die die Zuständigkeit für Streitigkeiten an ein Schiedsgericht übertragen wird, anstatt vor einem staatlichen Gericht verhandelt zu werden. Ein Schiedsgericht besteht aus einem oder mehreren Schiedsrichtern, die den Fall beurteilen.

Liegt jedoch keine solche Vereinbarung vor oder ist diese aufgrund bestimmter Umstände unwirksam, greifen allgemeine gesetzliche Regelungen. In Deutschland sind diese Fragen im Einführungsgesetz zum Bürgerlichen Gesetzbuch (EGBGB) geregelt. Dort wird das anwendbare Recht beispielsweise anhand des gewöhnlichen Aufenthaltsortes der beteiligten Person festgelegt.

Herausforderungen im Metaverse

Auf Plattformen wie Horizon Worlds, The Sandbox oder Decentraland ist es oft schwierig zu bestimmen, welches Recht gilt. Handelt es sich überhaupt um einen internationalen Sachverhalt, wenn ein Nutzer im Decentraland das virtuelle Haus eines anderen zerstört? Oder wenn ein Kreativer gegen Meta vorgehen möchte, weil seine Fashion-Kollektion in Horizon Worlds aufgrund eines Serverfehlers gelöscht wurde?

Diese Fragen verdeutlichen die Problematik. Welche der beteiligten Parteien bestimmt das anwendbare Recht? Die Plattformen existieren schließlich in einer virtuellen Welt ohne geografische Grenzen, und die Server können überall auf der Welt stehen. Auch die Nutzer kommen aus verschiedenen Ländern, während die Betreiber oft an ganz anderen Orten ansässig sind.

Hier spielen Rechtswahlklauseln in Verträgen eine wichtige Rolle. Wie bereits erwähnt, können sie einen entscheidenden Anhaltspunkt für das anwendbare Recht bieten. Wenn sich die Parteien beispielsweise darauf geeinigt haben, dass Streitigkeiten vor einem Berliner Gericht verhandelt werden, deutet dies darauf hin, dass deutsches Recht Anwendung finden soll. Doch auch das kann zu weiteren Schwierigkeiten führen.

Rechtswahl durch Metaverse-Plattformen

Bei der Frage nach dem anwendbaren Recht im Metaverse lohnt es sich, die Regelungen der jeweiligen Plattformen zu prüfen. In ihren Nutzungsbedingungen („terms of use“) legen die Plattformen fest, welches Recht für etwaige Streitigkeiten gilt. Diese Bedingungen entsprechen den hierzulande bekannten Allgemeinen Geschäftsbedingungen (AGB).

Das Bürgerliche Gesetzbuch (BGB) definiert AGB in § 305 als „alle für eine Vielzahl von Verträgen vorformulierten Vertragsbedingungen, die eine Vertragspartei der anderen Vertragspartei beim Abschluss eines Vertrags stellt“. In der Regel werden sie bei Verträgen zwischen Unternehmen und Verbrauchern verwendet, was auch im Metaverse der Fall ist.

Da der Verbraucherschutz in der EU eine hohe Priorität hat, gibt es strenge Vorschriften für solche Regelungen. Das deutsche Recht enthält in den §§ 305 ff. BGB zahlreiche Regelungen, die AGB-Klauseln kontrollieren. Beispielsweise dürfen keine Vertragsstrafen für den Fall vereinbart werden, dass eine Partei den Vertrag vorzeitig beenden möchte. Solche Vorschriften sind einer der Gründe, warum deutsches Recht international oft nicht bevorzugt wird – das gilt auch für andere Rechtssysteme innerhalb der EU, die ähnliche Vorgaben umsetzen. Ein Blick auf ein konkretes Beispiel kann dies verdeutlichen.

Rechtsdurchsetzung in Malta

Ein genauerer Blick in die AGB der Metaverse-Plattformen offenbart interessante Details. So haben wir die „terms of use“ von The Sandbox untersucht. Die Version von November 2023 regelt die Vertragsbedingungen zwischen der TSB Gaming Ltd., die ihren Sitz in Malta hat, und den einzelnen Nutzern.

Rechtswahlklausel bei The Sandbox

„Die Rechte und Pflichten der Parteien sowie die Auslegung dieser Bedingungen unterliegen dem Recht Maltas, ohne Rücksicht auf die Grundsätze des Kollisionsrechts. Sollte eine Partei gegen die andere aufgrund dieser Bedingungen vorgehen, können solche Verfahren nur vor den Gerichten Maltas und keinen anderen Gerichten geführt werden, wobei beide Parteien hiermit der ausschließlichen Zuständigkeit dieser Gerichte zustimmen.“

Diese Klausel macht deutlich, dass ausschließlich maltesische Gerichte zuständig sein sollen. Ob eine solche Klausel einem EU-Bürger auferlegt werden kann, ist fraglich. In jedem Fall dürfte sie es vielen Nutzern erschweren, ihre Rechte durchzusetzen. Das Metaverse ist also kein rechtsfreier Raum, aber Klauseln wie diese machen es kompliziert, den Rechtsweg zu beschreiten.


Für weitere rechtliche Fragen kontaktieren Sie uns gern unter unserer Kanzleiadresse sbs-legal.de

Der Erstkontakt zu SBS LEGAL ist kostenlos.

Metaverse und Datenschutz

von | Jan. 24, 2024 | Allgemein

Das Recht der Metaverse muss Grenzen setzten, auch wenn technisch unendliche Welten versprochen worden sind. Aus Seiten der Europäischen Union wird einiges vorgeschrieben, explizit im Datenschutzbereich. Wird dies nicht befolgt, droht für die Verantwortlichen eine hohe Geldbuße. Wir haben schon etwas zum Metaverse erzählt, zum Beispiel die Technologie und wichtigsten Plattformen. Nun schauen wir uns die datenschutzrechtlichen Gesichtspunkte an.

Die DSGVO

Die Datenschutzgrundverordnung (DSGVO) steht im Mittelpunkt, wenn es um Datenschutz geht. Die Verordnung gilt für die Mitgliedstaaten der EU als unmittelbar anwendbares Recht. Ein besonders wichtigstes Ziel ist der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und der freie Verkehr dieser.

Es müssen zum Beispiel Daten in rechtmäßiger Weise, nach Treu und Glauben und einer für die zuständigen Person verständlicherweise verarbeitet werden. Diese Vorschriften müssen von Denjenigen beachtet werden, die in Deutschland Daten als Verantwortliche verarbeiten.

Dabei kommt ein Problem auf: Die Anwendbarkeit der DSGVO auf das Metaverse. Dieses Problem kann nicht allgemein beantwortet werden. Die Begrifflichkeit „Metaverse“ umfasst auf verschiedensten Ebenen mehrere Dienstleistungen und Plattformen. Wirft man ein Blick auf die Klassiker wie Horizon Worlds oder Decentraland, rücken wir näher an die Sache heran.

DSGVO und der Anwendungsbereich

Zunächst schauen wir den sachlichen Anwendungsbereich an. Der Geltungsbereich der DSGVO ist für ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten und die nichtautomatisierte Verarbeitung personenbezogener Daten, welche gespeichert sind oder werden in einem Dateisystem. Diese allgemeine Erklärung ist bewusst gewählt. Es gilt der Grundsatz, dass die DSGVO technologieneutral zur Anwendung kommt. Sachlich gesehen bestehen einer Anwendung auf das Metaverse keine Hürden (zum Beispiel im VR oder AR-Bereich).

Nicht so leicht fällt es aus, wenn es um den räumlichen Anwendungsbereich geht. Die DSGVO kommt generell zur Anwendung, sobald sich der Sitz der Verantwortlichen in der EU befindet oder ein Bezug zu der EU anzunehmen ist. Demnach kann der Verantwortliche überall auf der Welt sein. Werden von seiner Seite aus Waren oder Dienstleistungen angeboten, gilt die DSGVO. Zwei interessante Beispiele bilden Horizon Worlds und Decentraland, welche hinsichtlich ihrer Gestaltung verschieden sind. Horizon Worlds wurde von Meta geführt und Decentraland wurde verteilt über die Blockchain betrieben.

Die DSGVO kommt zur Anwendung, sobald sich der Service der entsprechenden Metaverse-Plattform an Unionsbürger richtet. Einfacher zu regeln ist dies bei Horizon Worlds als bei Decentraland. Dennoch lässt sich der Fokus vom technischen Aufbau der Plattform auf den bestimmten Nutzern verlagern, damit führt dies zur Anwendbarkeit.

Welche Daten gesammelt werden

Die DSGVO legt eine bestimmte Gattung von Daten fest. Die Verarbeitung hiervon unterliegt Beschränkungen: Die personenbezogenen Daten.

Begriffsbestimmungen Artikel 4 DSGVO

Der Ausdruck wird gemäß dieser Verordnung definiert als:

Nr. 1: „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.

Zunächst kommen die üblichen Daten wie beispielsweise Adresse, Namen oder Geschlecht in den Kopf. Betrachtet man VR, muss man an neue Arten von Sammlungen von Daten denken. Die neuen Modelle erfassen die Mimik, Körperbewegungen, Gesichtsform oder die Stimme. Die genannten Sachen können alle unter Art. 4 Nr. 1 DSGVO gefasst werden.

Im AR-Bereich, also außerhalb der virtuellen Räumlichkeit, gibt es auch neue Aspekte. Geräte erfassen für diesen Zweck Echtzeitdaten und zielen darauf ab die reale Welt mit virtuellen Elementen zu erweitern. Dies führt dazu, dass eine Brille von Passanten oder Autokennzeichen mit AR-Funktionen Videoaufnahmen aufzeichnen. Datenschutzrechtlich gesehen ergeben sich selbe Probleme wie bei autonomen Fahrzeugen oder Drohnen.

Die Verantwortlichen

Wie wir gesehen haben, kommt die DSGVO auf unterschiedlichen MetaversePlattformen zur Anwendung und es werden wichtige personenbezogene Daten verarbeitet. Demnach ist fraglich, wer verantwortlich ist. Die DSGVO definiert den Verantwortlichen nach Art. 4 Nr. 7 DSGVO jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

Demnach muss im Einzelnen geklärt werden, wer die Kontrolle über die Verarbeitung von Daten hat. Hinsichtlich Horizon Worlds wird es regelrecht Meta sein, da die ganze Plattform vom Konzern betrieben wird, genau wie Roblox Corporation auf der Roblox-Plattform. Einen Verantwortlichen bei der Plattform wie Decentraland zu finden, ist nicht so leicht, da sie aufgeteilt auf der Blockchain strukturiert ist und kein zentrales Stellen gibt. Auf der Website steht, dass die Nutzer selbst Besitzer der Plattform sind und diese regieren. Hierbei muss konkret geschaut werden, wer Sammler und wer Verarbeiter der Daten ist.

Wenn zur gleichen Zeit mehrere Verantwortliche in Erwägung gezogen werden, wird es schwieriger.

Gemeinsam Verantwortlichkeit

Dieser Grundsatz ist geregelt in Art. 26 DSGVO. Wenn zwei oder mehrere Verantwortliche zusammen die Zwecke der und die Mittel zur Verarbeitung bestimmen, liegt eine gemeinsame Verantwortlichkeit vor.

Wenn zum Beispiel Meta die Plattform zur Verfügung stellt und ein Modeunternehmen eine virtuelle Veranstaltung umsetzt, wäre dies im Metaverse vorstellbar. Unter diesen Umständen besteht das Interesse beider Unternehmen hinsichtlich der Daten. Diese sprechen sich vermutlich ab, damit eine gemeinsame Verantwortlichkeit anzunehmen ist. Die Privatpersonen, die Daten verarbeiten können auch darunter gefasst werden, da das Prinzip des Verantwortlichen nicht abhängig von der Rechtsform ist.

Es bestehen wichtige Pflichten

Wenn es um Datenschutz geht, verpflichtet die DSGVO die Verantwortlichen. Es folgern umfassende Informationspflichten, zu denen eine Einwilligung durch die Betroffenen erfolgen muss. Das ist wie bei Web 2.0 und den Datenschutzerklärungen, in die wir durch Fenster auf Webseiten einwilligen müssen.

Art. 7 DSGVO – Bedingungen in Bezug auf die Einwilligung

Abs. 1: Beruht die Verarbeitung auf einer Einwilligung, muss der Verantwortliche nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat. Abs. 2: Erfolgt die Einwilligung der betroffenen Person durch eine schriftliche Erklärung, die noch andere Sachverhalte betrifft, so muss das Ersuchen um Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache so erfolgen, dass es von den anderen Sachverhalten klar zu unterscheiden ist.

[…]

Die Einhaltung dieser Pflichten, fällt zahlreichen Unternehmen im bekannten Web 2.0 schon nicht einfach. Es müssen neue Wege auf Plattformen wie dem Metaverse entdeckt werden, um ihren Anforderungen gerecht zu werden. So kann nicht immer ein Häkchen gesetzt werden, wenn sich jemand ein VR-Headset oder eine AR-Brille aufsetzt. Die Erklärung zum Datenschutz muss falls nötig im virtuellen Raum auftauchen und eine Möglichkeit zur Einwilligung schaffen, die den Anforderungen gerecht wird.

Daher ist die professionelle Beratung vorteilhaft, um Fragen in Bezug mit Datenschutz und dem Metaverse zu erläutern. Das Web 3.0 funktioniert zwar anders als bekannte Internetseiten, das heißt jedoch nicht die Befreiung von Pflichten nach dem Datenschutzrecht.

Für weitere rechtliche Fragen kontaktieren Sie uns gern unter unserer Kanzleiadresse sbs-legal.de

Der Erstkontakt zu SBS LEGAL ist kostenlos.

Achtung: Abmahnwelle wegen Google Fonts!

von | Jan. 30, 2023 | Allgemein, Datenschutz, Internetrecht, Verbraucherschutz, Wettbewerbsrecht

Datenschutz-Interessierte kamen vergangenes Jahr nicht um das Thema Google Fonts herum. Google Fonts sind verschiedene Schriftarten für die eigene Website im Internet, die von Google zur Verfügung gestellt werden. Wenn Sie also eine eigene Website erstellen, können Sie diverse Schriftarten hierfür auswählen. Ein Nutzer, der sich dann auf Ihre Website begibt, sieht diese „Fonts“ dann auch. Jedoch werden die Schriftarten bei dem jeweiligen Nutzer zunächst heruntergeladen, wenn er sie vorher nicht installiert hatte. Dadurch sieht die Website dann exakt so aus, wie es der Ersteller geplant hat.

Die jeweiligen Fonts werden allerdings über den Google-Server heruntergeladen, welche sich in den USA (United States of America) befinden. Alle Daten der Nutzer (inklusive IP-Adresse) gelangen dann in dieses außereuropäische Land.

LG München: Schadensersatz für Website-Nutzer

Grund für die starke Abmahnwelle ist vermutlich das Urteil des Landgerichts München vom 20. Januar 2022 mit dem Aktenzeichen 3 O 17493/20. Ein Website-Nutzer bekam 100 Euro Schadensersatz zugesprochen, weil seine IP-Adresse bei Aufruf der Website in ein unsicheres Drittland (USA) übermittelt wurde, worin er nicht eingewilligt hat. Der Website-Ersteller hatte Google Fonts nicht datenschutzkonform eingebunden. Hiernach wurden viele Abmahnungen von Abmahn-Kanzleien ausgesprochen. Das sind Kanzleien, die massenweise Mandanten in Abmahn-Fällen vertreten.

Die IP-Adresse gehört gem. Artikel 4 Nummer 1 der Datenschutz-Grundverordnung (DSGVO) zu den personenbezogenen Daten, welche datenschutzrechtlich besonders geschützt sind. Durch die IP-Adresse kann man nämlich die jeweiligen Internet-Nutzer bestimmen. Die abstrakte Möglichkeit, eine Person zu bestimmen, reicht hierbei aus. Da der europäische Gerichtshof nach der „Schrems II-Entscheidung“ entschieden hat, dass die USA kein angemessenes Datenschutzniveau aufweise, ist die Übermittlung in dieses Land rechtswidrig.

Abmahnwelle: Rechtliche Ansprüche

Der Anspruch des Nutzers aus besagtem Urteil hat einen Anspruch gegen die Internet-Betreiberin aus §823 des Bürgerlichen Gesetzbuches (BGB). Durch das Weiterleiten der IP-Adresse ohne Einwilligung ist das allgemeine Persönlichkeitsrecht des Besuchers in Form des informationellen Selbstbestimmungsrechts aus §823 Absatz 1 BGB in Verbindung mit Artikel 2 Abs. 1 und Artikel 1 Abs. 1 des Grundgesetzes (GG) verletzt. Diesen Anspruch haben alle Benutzer, deren IP-Adresse ohne Einwilligung an die USA übermittelt wurde.

Für das Unternehmen kann das bei tausenden Nutzern sehr teuer und schmerzhaft werden. Deshalb ist es immer ratsam, die Datenschutz-Seite auf der Website zu prüfen und sich von Experten beraten zu lassen. Unsere Kanzlei bietet hierbei eine umfangreiche Palette an Informationen und Beratungen im IT-, Internet– und Datenschutzrecht.

Google Fonts auf meiner Website: Was tun?

Wenn Sie keinen Schadensersatz zahlen möchten, sollten Sie regelmäßig kontrollieren, ob bei einem Update etc. keine neuen Fonts heruntergeladen wurden. Wenn das der Fall ist, sollten Sie jedoch schnell handeln. Um Google Fonts von einer Website zu entfernen, kann man folgende Schritte ausführen:

  • Identifizieren Sie die verwendeten Schriftarten auf Ihrer Website.
  • Laden Sie die Schriftarten auf Ihren Server herunter und hosten Sie sie selbst.
  • Ändern Sie den CSS-Code, um auf die lokal gehosteten Schriftarten zu verweisen.
  • Überprüfen Sie, ob die Schrift auf Ihrer Website korrekt dargestellt wird.

Wichtig: Stellen Sie sicher, dass Sie die Schriftarten lizenzkonform verwenden.

Datenschutz: Reicht eine Einwilligung bei Google Fonts?

Eine vorherige Zustimmung (Einwilligung) zur Datenverarbeitung reicht in den meisten Fällen leider nicht aus, da bei Besuch der Website die Daten bereits verschickt werden. Deshalb muss man als Website-Betreiber dafür sorgen, dass die personenbezogenen Daten in datenschutzkonformer Weise übermittelt werden. Bei Website-Baukästen (beispielsweise WordPress) gibt es im jeweiligen Theme meistens eine Option, die die Fonts über den eigenen Server zur Verfügung stellt. Jedoch kann sich dadurch das ganze Layout und das Design der Website verändern. Es empfiehlt sich daher, ein Plugin zu nutzen, dass Google Fonts über eigene Server bereitstellt bzw. komplett unterbindet, sodass keine Gefahr mehr besteht. Die folgenden Schritte können Ihnen helfen, Google Fonts von einer WordPress-Website zu entfernen:

  • Entfernen Sie den Google Fonts-Code aus dem CSS-Stylesheet: Suchen Sie im Quellcode Ihrer Website nach dem Google Fonts-Code und entfernen Sie ihn.
  • Verwenden Sie ein Plugin: Es gibt Plugins, die Google Fonts automatisch von Ihrer Website entfernen, z. B. „Disable Google Fonts“ oder „Optimize Google Fonts“.
  • Verwenden eines eigenen, lokal gehosteten Schriftarten: Statt Google Fonts zu verwenden, können Sie eigene Schriftarten auf Ihrem Server hosten und verwenden.

Google Fonts: Grauzone im Recht

Zusammenfassend kann man sagen, dass Google Fonts, obwohl sie eine praktische Ressource für Designer und Entwickler sind, auch einige Risiken bergen können. Dazu gehören langsamere Ladezeiten aufgrund der Abhängigkeit von einem externen Server sowie mögliche Datenschutzprobleme, da Google Fonts Informationen über Ihre Website-Besucher sammeln können. Um eine Abmahnung zu vermeiden ist empfehlenswert, Google Fonts zunächst direkt abzustellen. Denn sobald eine Abmahnung hinsichtlich der Datenschutz-Verletzung eingegangen ist, besteht in der Regel auch ein Anspruch auf Auskunft. Das bedeutet, dass die Website-Betreiber die Dauer der Verletzung darlegen müssen.

Wenn Sie Bedenken hinsichtlich der Leistung und Datenschutz haben, sollten Sie in Erwägung ziehen, lokal gehostete Schriftarten zu verwenden oder alternative Schriftartenlösungen zu nutzen. Nehmen Sie hierfür unsere Datenschutz-Experten zu Rate. Der Erstkontakt ist immerhin kostenlos und kann Ihnen eine Menge Arbeit ersparen. Die Kosten des Schadensersatzes kann die Kosten des Rechtsanwalts schnell übersteigen.