Abmahnwelle wegen Google Fonts: Alles, was ihr wissen müsst
Dieser Artikel ist älter als ein Jahr!
Ein niederösterreichischer Rechtsanwalt sorgt derzeit dafür, dass in ganz Österreich bei vielen Einzelunternehmer*innen (EPUs) und Kleinunternehmer*innen (KMUs) „Alarmstufe rot“ herrscht. In Österreich haben Zehntausende von ihnen eine Unterlassungserklärung, einen Antrag auf Datenauskunft und eine Schadensersatzforderung wegen einer „Datenschutzverletzung“ bezüglich Google Fonts erhalten. Wir erklären, was dahintersteckt und wie man am besten vorgeht, wenn man davon betroffen ist, und warum man keinesfalls zahlen sollte.
Was sind Google Fonts?
Google Fonts sind mittlerweile zur einfachen Standardlösung geworden, wenn es darum geht, Schriftarten auf Websites einzubinden. Google Fonts Schriften lassen sich auf der eigenen Website nutzen. Sie können auf verschiedene Art und Weise auf Websites eingebunden werden: Entweder sie werden auf dem eigenen Server hochgeladen und lokal abgespeichert. Oder sie werden dynamisch eingebunden und liegen auf den Servern von Google, dann werden sie beim Aufruf der Website durch eine*n Nutzer*in nachgeladen.
Was ist dabei das Problem?
Wenn die Google Fonts Schriftarten dynamisch eingebunden sind, wird beim Aufruf einer Website die IP-Adresse der Personen an Google übertragen, die die Seite gerade aufgerufen haben. Bei IP-Adressen handelt es sich um personenbezogene Daten, wenn diese einer natürlichen Person zugeordnet werden können. Diese ist datenschutzrechtlich problematisch, wenn darauf nicht in den Datenschutzbestimmungen der jeweiligen Webseiten darauf hingewiesen wird.
In Deutschland gibt es zu der dynamischen Einbindung von Google Fonts auf Websites ein Urteil vom Landesgericht München, welches entschieden hat, dass Websitebetreiber*innen auf Unterlassung und Schadensersatz verklagt werden können. Bei dem Urteil in Deutschland bekam die Klägerin einen Schadensersatz von 100 Euro zugesprochen. Das Urteil ist allerdings nicht rechtskräftig.
Google selbst gibt an, dass die IP-Adressen zwar übertragen, aber nicht protokolliert werden. "Man kann also bei der Nutzung dieser Fonts aufgrund der Zusicherung von Google davon ausgehen, dass keine personenbezogenen Daten von Google gespeichert werden. Damit liegt auch keine Datenverarbeitung im Sinne der DSGVO vor", erklärt etwa Roland Giersig von der Digital Society.
Wer steckt hinter dem Massenanwaltsschreiben in Österreich?
Der niederösterreichische Rechtsanwalt Marcus H. aus Groß Enzersdorf, der sich selbst als „Datenschutzanwalt“ bezeichnet, verschickte zwischen Anfang Juli und Ende August tausende Anwaltsschreiben mit einem Auskunftbegehren, der Aufforderung zur Unterlassung der Tatsache, dass IP-Adressen seiner Mandantin Eva Z. auf Websites in die USA übertragen werden, und mit einer Schadenersatzforderung von 100 Euro plus 90 Euro Kosten für die Rechtsverfolgung. Dieser Betrag soll mit dem Betreff „Vergleich“ auf ein bestimmtes Konto überwiesen werden.
Wie viele Österreicher*innen sind davon betroffen?
Das lässt sich schwer schätzen, aber vom Umfang der Abmahnschreiben, die bisher bekannt sind, müssen es rund zehntausend sein. Der Technikexperte und Website-Gestalter Ernst Michalek geht davon aus, dass es in Österreich „zehntausende Websites“ im Umlauf gibt, die von Kleinunternehmer*innen und Ein-Personen-Firmen ins Netz gestellt worden sind und die auf Google Fonts zugreifen. Der Wirtschaftskammer Kärnten liegen „hunderte Fälle“ vor, der Rechtsanwältin Adriana Lukas-Jeannée ebenso „hunderte“.
Hat der Anwalt eine spezielle Zielgruppe im Auge?
Laut dem zertifizierten Datenschutzexperten Walter Wratschko betrifft es praktisch alle Branchen: von Shiatsu-Praktiker*innen, Fotostudios bis zu Restaurant-Besitzer*innen ist alles dabei. „Es ist aber praktisch kein Unternehmen auf meiner Liste, das groß genug wäre, um sich eine eigene Rechtsabteilung zu leisten“, so Wratschko. Der niederösterreichische Anwalt zielt daher wohl bewusst auf jene Personen ab, für die es in der Regel teurer ist, sich extra einen Anwalt zu nehmen und mit dem Fall zu beauftragen, als den Schadensersatzbetrag einfach zu zahlen.
Was sollen Betroffene nun aus technischer Sicht tun?
In Österreich gibt es bisher kein Prüfverfahren gegen Google wegen Google Fonts. Es ist daher noch nicht rechtlich geklärt, ob die dynamische Einbindung von Google Fonts wirklich gegen die Datenschutzgrundverordnung (DSGVO) verstößt, wenn Betroffene darin nicht aktiv einwilligen. Die Datenschutzbehörde (DSB) empfiehlt aus technischer Sicht dennoch, dass Websitebetreiber die Schriftarten von Google am besten lokal einbinden sollten. Das sei „empfehlenswert“, so die Behörde.
Wie setzt man das um, oder wohin kann man sich diesbezüglich wenden?
Viele KMUs und EPUs setzt genau dies jetzt enorm unter Druck, weil ihnen die technische Expertise dazu fehlt. Der Tech-Experte Ernst Michalek hat einen Blogeintrag für all jene veröffentlicht, die Wordpress als Basis nutzen. Hier gibt es notfalls auch einfache Plugins, die die dynamische Einbindung von Google Fonts unterbinden.
Doch nicht überall ist das so einfach. „Es gibt Website-Baukasten-Anbieter wie Wix, bei denen es keine Möglichkeit gibt, Google Fonts abzudrehen, weil diese fix im System integriert sind“, erklärt Michalek. Diese Baukastensysteme werden gerade von KMUs und EPUs gerne für ihre Websites als Basis hergenommen. Hier empfiehlt es sich, Supportanfragen direkt an den Anbieter zu senden. Beim Baukastensystem Jimdo gibt es laut Michalek eine technische Lösung, ebenso für Joomla, ein selbst gehostete Wordpress-Alternative.
„Die Schadensersatzforderung sollten Betroffene auf jeden Fall ablehnen."
Muss ich mir jetzt einen Anwalt nehmen?
Diese Frage muss jeder Betroffene individuell für sich beantworten, da es unterschiedliche Vorgehensweisen gibt. Es wird generell empfohlen, den Anwaltsbrief ernst zu nehmen und das Schreiben nicht einfach zu ignorieren. Die Digital Society hat etwa einen Musterbrief vorformuliert, für den Fall, dass es jemand ohne eigenen Anwalt lösen möchte.
Was ist aus rechtlicher Sicht empfehlenswert?
Rechtsanwältin Adriana Lukas-Jeannée von toplaw.at empfiehlt, sich die Frist für das Auskunftsbegehren vorzumerken. Man hat hier einen Monat Zeit, eine Auskunft zu erteilen. „Danach sollte man prüfen lassen, ob die IP-Adresse wirklich in den Log-Files gefunden wird“, so Lukas-Jeannée. Ein Auskunftsbegehren sei auch dann abzuschicken, wenn die IP-Adresse nicht gefunden wird, das heiße dann „Negativauskunft“, so die Juristin. „Sollte die IP-Adresse entdeckt werden, kann man für die Auskunft Musterformulare der WKO heranziehen“, so die Juristin.
Die Datenschutzbehörde weist darauf hin, dass man im Fall der Erteilung einer Auskunft zuerst überprüfen müsse, ob es eine Vertretungsvollmacht der betroffenen Person gibt. Diese ist im Fall von Eva Z. zwar erteilt, liegt dem Schreiben jedoch nicht als PDF bei, sondern nur auf einer externen Website, die jederzeit geändert werden kann. Im Zweifelsfall sollten Betroffene diese daher vom Anwalt erneut explizit verlangen.
Sollte man die Schadensersatzsumme zahlen?
„Die Schadensersatzforderung sollten Betroffene auf jeden Fall ablehnen“, rät Lukas-Jeannée. „Ich rate all unseren Klienten davon ab, das zu zahlen, denn es gibt zahlreiche Argumente dafür, dass der Schaden gar nicht vorliegt“, so die Juristin. Der Grund dafür: Es bestehe der Verdacht, dass keine natürliche Person die Seite angesteuert hat, so die Anwältin.
Der Kärntner Datenschutzexperte und Techniker Wratschko bestätigt dies: "Wir können bei mindestens 3 bis 4 Fällen bereits nachweisen, dass es sich um Crawler handelt, die eingesetzt wurden und nicht um eine einfache Surftätigkeit von Eva Z. Es wurden Seiten erwischt, bei denen gar keine Google Fonts eingebunden sind. Das passiert nur, wenn er mit einem Crawler gearbeitet hat, sonst wäre er auf bestimmte Websites gar nicht gekommen.“
"Wir können bei mindestens 3 bis 4 Fällen bereits nachweisen, dass es sich um Crawler handelt, die eingesetzt wurden."
Was bedeutet das jetzt für den Anwalt?
Damit wird der Fall des Anwalts auch ein Fall für die Behörden. „Wir haben aufgrund der gewählten Vorgehensweise und der zahlreichen Beschwerden von Amts wegen ein Ermittlungsverfahren eingeleitet“, erklärt dazu die Rechtsanwaltskammer Niederösterreich. Die reine Formulierung des Anwaltsschreibens sei unproblematisch, aber man will den Fall jetzt aufgrund zahlreicher vorliegenden Beschwerden genau prüfen.
„Massenabmahnungen sind nicht grundsätzlich unzulässig, aber wenn wissentlich falsche Behauptungen aufgestellt werden und etwa gar kein Schaden an einer natürlichen Person entstanden ist, würde Rechtsmissbrauch vorliegen“, so die Juristin von toplaw.at.
Wie reagiert der Anwalt?
Der Niederösterreicher hat am Mittwoch angekündigt, keine weiteren Schreiben mehr versenden zu wollen, die aktuellen Schreiben aber ihre Gültigkeit behalten sollen. Der Fachverband Unternehmensberatung, Buchhaltung und IT der Wirtschaftskammer ließ am Mittwoch wissen, dass er einen Musterprozess gegen den Anwalt unterstützen werde. "Die Mitgliedsbetriebe und Unternehmer*innen sind keine Melkkühe für schnelles Körberlgeld“, sagt der Ubit-Obmann Alfred Harl.
Kommentare