Aktuell häufen sich bei uns die Abmahnungen wegen
angeblichen Verstoßes gegen die DSGVO durch den Einsatz von Google Fonts auf
Webseiten. Jeden Tag erreichen uns zwischenzeitlich mehrere
"Abmahnungen" von angeblich Geschädigten, die eine Persönlichkeitsrechtsverletzung
erlitten haben wollen.
Bemängelt wird in den Schreiben und e-Mail, dass Webseitenbetreiber
ohne Einwilligung der Nutzer Google Fonts auf den Webseiten einsetzen.
Hierdurch wird die IP-Adresse des Besuchers der Webseite an Google in die USA
übertragen. Dies stellt eine Datenschutzverletzung dar, da die Besucher zum
einen nicht darüber informiert wurden, dass ihre personenbezogenen Daten an ein
- nach DSGVO - unsicheres Drittland übertragen wurden und auch nicht klar ist,
was Google mit den Daten macht. Daher mahnen sie nach einem angeblichen Besuch
der Webseite den Webseitenbetreiber auf Schadenersatz ab.
Richtig ist, dass auf vermutlich mehreren hunderttausend
Webseiten in Deutschland (und noch mehr in der gesamten EU) Google Tools, wie
Google Maps, Google Fonts, ReCaptcha oder andere US-Dienste eingesetzt werden.
Gerade bei einem Einsatz von Google Maps auf Webseiten wissen viele nicht, dass
hier Google Fonts, d.h. Schriften, nachgeladen werden. Dabei wird auch aus
technischer Notwendigkeit die IP-Adresse des Besuchers übertragen.
Richtig ist weiterhin, dass das Urteil des Landgericht München im
Februar 2022 kein Fake ist. Das LG München hat entschieden, dass ein Webseitenbetreiber, der Google Fonts
dynamisch einbindet, ohne dafür vorab (z.B. über ein Consent-Banner) von
Besuchern eine Einwilligung einzuholen das allgemeines Persönlichkeitsrecht in
Form des informationellen Selbstbestimmungsrechts nach § 823 Abs. 1 BGB des
Besuchers verletzt, wenn IP-Adressen in übertragen werden. Das Gericht
verneinte zudem als Rechtsgrundlage das berechtigte Interesse im Sinne von Art.
6 Abs. 1 f DSGVO, da Google Fonts auch genutzt werden kann, ohne dass beim
Aufruf der Webseite eine Verbindung zu einem Google-Server hergestellt wird
(lokale Installation) Das LG München hat in dem Fall dem Kläger einen
Schadensersatz in Höhe von 100.- € zugesprochen (Art. 82 Abs. 1 DSGVO).
Berücksichtigt wurde dabei, dass die IP- Adresse an einen Server in den USA
übermittelt wurde und dort kein angemessenes Datenschutzniveau gewährleistet
ist (vgl. EuGH, Urteil vom 16.07.2020, Az. C-311/18 – Facebook Ireland -
Schrems). Weiterhin soll die Haftung aus Art. 82 Abs. 1 DSGVO präventiv
weiteren Verstößen vorbeugen und Anreiz für Sicherungsmaßnahmen schaffen. Nicht entschieden wurde, ob eine Einholung
von Einwilligungen des Nutzers vor Ausspielen des Dienstes per Consent Banner
ausreichend wäre, die damit verbundene Übertragung der IP-Adresse in die USA zu
legitimieren.
Nach Bekanntwerden des Urteils des LG München haben wir
seinerzeit schon befürchtet, dass eine neue Abmahnwelle kommt - tatsächlich ist
es jetzt im September/Oktober nun soweit - aktuell rollt eine Massenabmahnwelle
wegen Einbindung von Google Fonts auf Webseiten durch Deutschland. Die
Meldungen anderer IT-Anwaltskanzleien wegen ähnlicher Fälle nehmen jeden Tag
zu. Uns liegen derzeit eine Vielzahl von Fällen von folgenden Geschädigten/Anwälten
vor
- Susanne Schober,
München - ist über die maßlose, unnötige Datenschleuderei, die Sie nicht
kontrollieren kann verärgert und fordert per e-Mail vom Seitenbetreiber 100.- €
- Rechtsanwalt Dikigoros Kairis, Meerbusch (RAAG Kanzlei),
der im Auftrag eines Wang Yu (Adresse nicht bekannt) einen
Schadenersatz in Höhe von 140.- € zuzügl. Anwaltskosten von 50.- € zuzügl. USt
(gesamt 226,10 €) fordert
- Rechtsanwalt Kilian Lenard, Berlin, der im Auftrag eines
Herrn Martin Ismail, Hannover (IG Datenschutz) einen Schadenersatz von 170. -€
fordert.
- J. Medina, Aachen (Vorname unbekannt) - fordert 100.- € auf sein Konto bei der C24 Bank
Sowohl RA Lenard als auch der Kollege Kairis sind uns zuvor nicht als Datenschutzanwälte aufgefallen - jedoch bis dahin auch nicht negativ mit Massenabmahnungen in Erscheinung getreten. Frau Schober und J. Medina mahnen ohne Anwälte im eigenen Namen ab.
Aufgrund allein der Masse der bei uns gemeldeten Abmahnungen
und der unterschiedlichen (oftmals sehr unbekannten) Webseiten ist davon
auszugehen, dass mehreren tausend Abmahnungen gleichzeitig durch die drei oben
Genannten ausgesprochen wurden. Zu vermutet stet, dass die
"Geschädigten" eventuell die Webseiten gar nicht selbst besucht
haben, sondern hier gezielt Suchroboter zum Einsatz kommen, welche Webseiten
mit Google Fonts aufspüren, dokumentieren und dann Abmahnungen generiert
werden.
Ob der - relativ geringe - Schadenersatz bezahlt wird bleibt
jedem selbst überlassen. Ich persönlich würde das Risiko einer Klage auf mich
nehmen, da die Massenabmahnungen sehr nach Rechtsmissbrauch riechen und damit zweifelhaft ist, ob ein Schadenersatz gefordert werden kann. Bislang liegen uns keine Klagen oder einstweilige Verfügungen vor.
Teilweise liegen uns auch auf unsere Schreiben keine Antworten der Gegenseite
vor.
Was jedenfalls umgehend von Ihnen zu erledigen ist, ist den
DSGVO-Verstoß abzustellen, d.h. die Webseite rechtskonform zu gestalten, da die bemänglte Datenschutzverletzung auch ein Bussgeld der Datenschutz-Aufsichtsbehörde nach sich ziehen kann.
Das heiß Google Fonts entweder ganz entfernen oder lokal einbinden, Google Maps zu
entfernen und stattdessen extern verlinken oder zumindest datenschutzkonform
(mit Einwilligung des Nutzers) einzubinden. Weiterhin sollte dringend die
Datenschutzerklärung angepasst werden und vor allem auf Richtigkeit und
Vollständigkeit überprüft werden.
Bei einer Webseitenprüfung und Erstellung der
Datenschutzerklärung sind wir gerne für Sie tätig - schicken Sie einfach eine
e-Mail mit Ihrer Webseite und wie melden uns umgehend bei Ihnen und unterbreiten Ihnen ein Angebot zur
Webseitenprüfung (Cookieprüfung, Tracker, Impressum, AGB, etc.) und Erstellung
einer neuen, an die Webseite angepassten Datenschutzerklärung zu. Von
Generatoren aus dem Internet raten wir ab, da diese oftmals nicht richtig bedient werden und
dann keine der DSGVO entsprechende Datenschutzerklärung generiert wird.
Das oben aufgeführte Urteil des LG München hat uns
angesichts des niedrigen Datenschutzniveaus der USA und den
Zugriffsmöglichkeiten von US-Geheimdiensten auf alle Daten von US-Firmen nicht
wirklich überraschend. Zu beachten ist, dass es sinngemäß nicht nur für Google-Fonts
sondern auch für alle eigebundenen US-Dienste gilt. Somit auch bei anderen
Schriftdienste wie Adobe Fonts oder MyFonts - tatsächlich für alle US-Dienst,
die dynamisch in Internetseiten eingebunden werden.
Sollte sich daher die Ansicht des LG München durchsetzen
(was anzunehmen ist), drohen weitere unzählige Abmahnungen und Schadensersatzforderungen,
da es zig-tausende von Webseiten in Europa gibt, die US-Dienste ohne vorherige
Einwilligung einsetzen! Auch die österreichische Datenschutzbehörde hat
entschieden, dass die Verwendung von Google Analytics gegen die DSGVO verstößt,
da der Dienst Nutzerdaten an Google-Server in den USA übermittelt und so die
Überwachung durch US-Geheimdienste ermöglicht.
Um einer möglichen Abmahnung und Klage zu entgehen, sollten
Webseitenbetreiber daher die Inhalte wie Schriftarten, Skripte oder Bilder selbst
hosten und bei Einbindung von dynamischen Inhalten die Einwilligung von Usern
zur Weitergabe der IP-Adresse einholen. Die Nutzung von US-Diensten (wie
ReCaptacha) ist so weit wie möglich einzuschränken und stattdessen sind
datenschutzkonforme EU-Alternativen zu bevorzugen. Siehe hierzu auch unsere Artikel unter https://www.e-data-protection.de/aktuelle_informationen.htm
Bei Fragen zum Datenschutz auf Webseiten, APPs oder social
Media können Sie uns gerne jederzeit ansprechen - info@e-anwalt.de.
Noch was zum Aufmuntern für alle Betroffenen einer Abmahnung - ein Video von Friedemann Weise - Abmahnanwalt (aus 2013 - Massenabmahnungen treten wieder wie Grippewellen immer wieder auf - Achtung externer Link auf YouTube das zum bösen US-Konzern Google gehört und bei Abruf des Videos Daten, wie IP-Adressen in die USA überträgt - mit Klick auf das Video verlassen Sie unseren Blog - ansehen auf eigenes Risko :--)
_______
aktualisiert 18.10.2020
________
Markus Baron v. Hohenhau
Rechtsanwalt - Fachanwalt für Informationstechnologierecht [ IT-Recht ]
Zertifizierter EU-Datenschutzspezialist (DSGVO/GDPR)