Abmahnwelle: Datenschutzverletzung durch Google Fonts

Derzeit verschickt in Österreich ein niederösterreichischer Rechtsanwalt ein Schreiben mit der Forderung nach Schadenersatz, Unterlassung und einer Datenauskunft. Dieses Schreiben erging scheinbar an hunderte Einzel- und Kleinstunternehmer:innen, inzwischen sind auch (gemeinnützige) Vereine betroffen, darunter auch wir als IG KiKK und einige unserer Mitgliedsvereine.

Die Forderungen basieren auf der Behauptung, dass persönliche Daten seiner Mandantin (IP-Adresse) ohne Zustimmung an Google weitergeleitet wurden, da die Website „Google Fonts“ nutzt. Das bedeutet, dass die Schriftart zum Anzeigen der Website online von Google zur Verfügung gestellt wird. Alternativ und DSGVO konform wäre, die Schriftart auf dem eigenen Server zu speichern.
Diese Weiterleitung an Google stelle eine Datenschutzverletzung gegenüber seiner Mandantin dar, welche dadurch „erhebliches Unwohlsein“ erlitten habe.
Die Schadenersatzforderung beruft sich auf einen Urteilsspruch des Landesgerichts München, das Anfang 2022 aufgrund der Verwendung von Google Fonts ohne Einwilligung der Websitenbesucherin einer Schadensersatzforderung über € 100,-- folge leistete. Damit entschied das Gericht, dass die Nutzung von Google Fonts im Einzelfall gegen die DSGVO verstoßen KANN. Aus juristischer Sicht gibt es verschiedene Einschätzungen, in Österreich gibt es noch keine Judikatur dazu. Es bedarf grundsätzlich der Einzelfallprüfung. Auch auf technischer Ebene wird darüber diskutiert, ob hier überhaupt Daten gesendet werden und ob IP-Adressen als persönliche Daten zu werten sind bzw. Personen damit identifizierbar sind.
Zur Schadenersatzforderung kommt noch die Kostenübernahme der Rechtsverfolgung in der Höhe von € 90.-. Schlussendlich wird ein Vergleich angeboten: Mit der Zahlung von € 190.- sind alle Ansprüche bereinigt und verglichen.

 

Ich habe ein Schreiben bekommen. Was jetzt?

Wir waren mit dem auf Datenschutz spezialisierten Rechtsanwalt Mag. Markus Dörfler in Kontakt:

Das Auskunftsbegehren muss jedenfalls beantwortet werden. Dafür habt ihr einen Monat ab Datum der Zustellung Zeit. Hierfür müsst ihr die Logfiles bzw. Protokolle eurer Website durchsuchen (lassen) nach dem im Schreiben genannten Namen und der IP-Adresse. Je nachdem, ob dort Daten gefunden werden, fällt dann die Antwort aus:
Musterschreiben zur Beantwortung der Auskunft über die Datenverarbeitung

Mag. Dörfler empfiehlt, nicht zu bezahlen und die Schadenersatzforderung zu bestreiten. Es ist nicht ausgeschlossen, dass es zu einer Klage kommt – doch wäre dies risikobehaftet für den Kläger! Sollte es nach einer Zurückweisung tatsächlich zu einer Klage kommen, bitte mit Mag. Dörfler Kontakt aufnehmen (markus.doerfler@h-i-p.at).

Um eine tatsächliche Unterlassung glaubhaft zu machen, solltet ihr umgehend eure Website umstellen und die Schriftarten lokal auf euren Servern speichern! Bevor ihr einen Unterlassungsvertrag unterschreibt, solltet ihr ordentlich prüfen, ob die Vorwürfe (Google Fonts Einbindung auf eurer Website sind vorhanden, Aufruf hat stattgefunden, IP Adresse wurde an Dritte/ins Ausland übermittelt ohne vorherige Einwilligung) tatsächlich stimmen. Voreilig unterzeichnete Unterlassungserklärungen können im Nachhinein zum juristischen Stolperstein werden!

Weiterlesen: Einschätzung und Antwortempfehlung von Mag. Dörfler

Update: Inzwischen werden Stimmen laut, die davon abraten, die Datenschutzauskunft zu beantworten, da keine lesbare Vollmacht und Ausweiskopie beigelegt wurden. Im Brief wird auf online hinterlegte Dokumente verwiesen, welche jedoch geschwärzt sind. Eine Auskunft darf jedoch nur an bevollmächtigte Personen gegeben werden.
Weiters wird im Auskunftsbegehren lediglich Name und IP-Adresse genannt, jedoch nicht die Zugriffszeit (Datum und Uhrzeit). Aufgrund dynamischer IPs könnte also allein mit der Suche nach IP-Adressen im Logfile Daten über andere Personen gegeben werden. Hierfür müsste die Mandantin beweisen, dass sie im Besitz der IP zum Zeitpunkt des Zugriffs war, oder zumindest den Zeitpunkt des Zugriffs nennen. Die Empfehlungen bleiben jedoch dabei, das Auskunftsbegehren zu beantworten.

 

Nutze ich Google Fonts auf meiner Website?

Auch wenn ihr kein solches Schreiben erhalten habt, empfehlen wir euch dringend, eure Websites DSGVO konform zu gestalten. Um schnell heraus zu finden, ob eure Website Google Font nützt, könnt ihr sie mit einem „Google-Fonts-Checker“ prüfen. Sollten die Google Fonts verwendet und nicht korrekt eingebunden sein, sollte dies unbehend geändert werden!

 

Wie entferne ich Google Fonts von meiner Website?

Wordpress Plugin: Borlabs blockiert Google Fonts, OMGF lädt Google Fonts lokal

HTML/CSS Anleitung: Google Webfont Helper

 

Was kann ich darüber hinaus tun?

Wie inzwischen mehrere Medien berichten, sind derartige Schreiben scheinbar zu mehreren Tausend verschickt worden. Viele stellen sich die Frage, ob dieses Vorgehen rechtens ist. Mehrere Stellen sammeln bereits die Fälle. Eine Sammlung könnte möglicherweise vor Gericht beweisen, dass es sich hier um ein lukratives Geschäftsmodell und nicht um eine Datenschutzverletzung und Schadenersatzforderung handelt. Daher macht es Sinn, das eigene Schreiben bzw. Informationen dazu an sammelnde Stellen weiterzuleiten:


Rechtsservice der Wirtschaftskammer Kärnten
Europaplatz 1
9021 Klagenfurt am Wörthersee, Österreich
05 90 904 725
rechtsservice@wkk.or.at

Anwalt Dr. Thomas Schweiger via Dataprotect.at

Kanzlei Harlander & Partner hat Anzeige erstattet sammelt Informationen.

 

UPDATE (29.08.2022):

Inzwischen hat sich der Anwalt in mehreren Medien zu Wort gemeldet, u.a. wird berichtet, dass keine weiteren Briefe mehr versendet werden und Vereine/Non-Profit-Organisationen nicht weiter verfolgt werden sollen.

Die Rechtsanwaltkammer Niederösterreich hat ein Disziplinarverfahren eingeleitet; zwei Anwälte haben Anzeige eingereicht. Betroffene können sich für einen Pauschalbetrag von 50€ zzgl Steuern bei der Kanzlei Harlander & Partner den Gegenmaßnahmen anschließen.

 

Weitere Informationen zur Causa:

informationsportal gegen die aktuelle google fonts abmahnwelle mit Updates und diversen Mustervorlagen

Information der Datenschutzbehörde

Warnung der WKO Kärnten

Informationsseite der WKO

einfache Handlungsanleitung von Rechtsanwalt Mag. Thomas Fraiß

umfangreiche Übersicht von Liebrecht & Haas GmbH, mit Detailinformationen zu den technischen Hintergründen und wie man die eigene Website überprüft.

 

Weitere Informationen zur DSGVO:

WKO DSGVO Ratgeber

 

Disclaimer: DIES IST KEINE RECHTSBERATUNG, sämtliche Schriftstücke sollten von einem Anwalt angesehen bzw. geprüft werden.