Seiten

Donnerstag, 13. Oktober 2022

Abmahnung Google Fonts - Schadenersatz wegen Verstoß gegen DSGVO - RAAG-Kanzlei & RA Kilian Lenard

Aktuell häufen sich bei uns die Abmahnungen wegen angeblichen Verstoßes gegen die DSGVO durch den Einsatz von Google Fonts auf Webseiten. Jeden Tag erreichen uns zwischenzeitlich mehrere "Abmahnungen" von angeblich Geschädigten, die eine Persönlichkeitsrechtsverletzung erlitten haben wollen.

Bemängelt wird in den Schreiben und e-Mail, dass Webseitenbetreiber ohne Einwilligung der Nutzer Google Fonts auf den Webseiten einsetzen. Hierdurch wird die IP-Adresse des Besuchers der Webseite an Google in die USA übertragen. Dies stellt eine Datenschutzverletzung dar, da die Besucher zum einen nicht darüber informiert wurden, dass ihre personenbezogenen Daten an ein - nach DSGVO - unsicheres Drittland übertragen wurden und auch nicht klar ist, was Google mit den Daten macht. Daher mahnen sie nach einem angeblichen Besuch der Webseite den Webseitenbetreiber auf Schadenersatz ab.

Richtig ist, dass auf vermutlich mehreren hunderttausend Webseiten in Deutschland (und noch mehr in der gesamten EU) Google Tools, wie Google Maps, Google Fonts, ReCaptcha oder andere US-Dienste eingesetzt werden. Gerade bei einem Einsatz von Google Maps auf Webseiten wissen viele nicht, dass hier Google Fonts, d.h. Schriften, nachgeladen werden. Dabei wird auch aus technischer Notwendigkeit die IP-Adresse des Besuchers übertragen.

Richtig ist weiterhin, dass das Urteil des Landgericht München im Februar 2022 kein Fake ist. Das LG München hat entschieden, dass ein Webseitenbetreiber, der Google Fonts dynamisch einbindet, ohne dafür vorab (z.B. über ein Consent-Banner) von Besuchern eine Einwilligung einzuholen das allgemeines Persönlichkeitsrecht in Form des informationellen Selbstbestimmungsrechts nach § 823 Abs. 1 BGB des Besuchers verletzt, wenn IP-Adressen in übertragen werden. Das Gericht verneinte zudem als Rechtsgrundlage das berechtigte Interesse im Sinne von Art. 6 Abs. 1 f DSGVO, da Google Fonts auch genutzt werden kann, ohne dass beim Aufruf der Webseite eine Verbindung zu einem Google-Server hergestellt wird (lokale Installation) Das LG München hat in dem Fall dem Kläger einen Schadensersatz in Höhe von 100.- € zugesprochen (Art. 82 Abs. 1 DSGVO). Berücksichtigt wurde dabei, dass die IP- Adresse an einen Server in den USA übermittelt wurde und dort kein angemessenes Datenschutzniveau gewährleistet ist (vgl. EuGH, Urteil vom 16.07.2020, Az. C-311/18 – Facebook Ireland - Schrems). Weiterhin soll die Haftung aus Art. 82 Abs. 1 DSGVO präventiv weiteren Verstößen vorbeugen und Anreiz für Sicherungsmaßnahmen schaffen.  Nicht entschieden wurde, ob eine Einholung von Einwilligungen des Nutzers vor Ausspielen des Dienstes per Consent Banner ausreichend wäre, die damit verbundene Übertragung der IP-Adresse in die USA zu legitimieren.

Nach Bekanntwerden des Urteils des LG München haben wir seinerzeit schon befürchtet, dass eine neue Abmahnwelle kommt - tatsächlich ist es jetzt im September/Oktober nun soweit - aktuell rollt eine Massenabmahnwelle wegen Einbindung von Google Fonts auf Webseiten durch Deutschland. Die Meldungen anderer IT-Anwaltskanzleien wegen ähnlicher Fälle nehmen jeden Tag zu. Uns liegen derzeit eine Vielzahl von Fällen von folgenden Geschädigten/Anwälten vor

  • Susanne Schober, München - ist über die maßlose, unnötige Datenschleuderei, die Sie nicht kontrollieren kann verärgert und fordert per e-Mail vom Seitenbetreiber 100.- €
  • Rechtsanwalt Dikigoros Kairis, Meerbusch (RAAG Kanzlei), der im Auftrag eines Wang Yu (Adresse nicht bekannt) einen Schadenersatz in Höhe von 140.- € zuzügl. Anwaltskosten von 50.- € zuzügl. USt (gesamt 226,10 €) fordert
  • Rechtsanwalt Kilian Lenard, Berlin, der im Auftrag eines Herrn Martin Ismail, Hannover (IG Datenschutz) einen Schadenersatz von 170. -€ fordert. 
  • J. Medina, Aachen (Vorname unbekannt) - fordert 100.- € auf sein Konto bei der C24 Bank

Sowohl RA Lenard als auch der Kollege Kairis sind uns zuvor nicht als Datenschutzanwälte aufgefallen - jedoch bis dahin auch nicht negativ mit Massenabmahnungen in Erscheinung getreten. Frau Schober und J. Medina mahnen ohne Anwälte im eigenen Namen ab.

Aufgrund allein der Masse der bei uns gemeldeten Abmahnungen und der unterschiedlichen (oftmals sehr unbekannten) Webseiten ist davon auszugehen, dass mehreren tausend Abmahnungen gleichzeitig durch die drei oben Genannten ausgesprochen wurden. Zu vermutet stet, dass die "Geschädigten" eventuell die Webseiten gar nicht selbst besucht haben, sondern hier gezielt Suchroboter zum Einsatz kommen, welche Webseiten mit Google Fonts aufspüren, dokumentieren und dann Abmahnungen generiert werden.

Ob der - relativ geringe - Schadenersatz bezahlt wird bleibt jedem selbst überlassen. Ich persönlich würde das Risiko einer Klage auf mich nehmen, da die Massenabmahnungen sehr nach Rechtsmissbrauch riechen und damit zweifelhaft ist, ob ein Schadenersatz gefordert werden kann. Bislang liegen uns keine Klagen oder einstweilige Verfügungen vor. Teilweise liegen uns auch auf unsere Schreiben keine Antworten der Gegenseite vor.

Was jedenfalls umgehend von Ihnen zu erledigen ist, ist den DSGVO-Verstoß abzustellen, d.h. die Webseite rechtskonform zu gestalten, da die bemänglte Datenschutzverletzung auch ein Bussgeld der Datenschutz-Aufsichtsbehörde nach sich ziehen kann. 

 Das heiß Google Fonts entweder ganz entfernen oder lokal einbinden, Google Maps zu entfernen und stattdessen extern verlinken oder zumindest datenschutzkonform (mit Einwilligung des Nutzers) einzubinden. Weiterhin sollte dringend die Datenschutzerklärung angepasst werden und vor allem auf Richtigkeit und Vollständigkeit überprüft werden. 

Bei einer Webseitenprüfung und Erstellung der Datenschutzerklärung sind wir gerne für Sie tätig - schicken Sie einfach eine e-Mail mit Ihrer Webseite und wie melden uns umgehend bei Ihnen und unterbreiten Ihnen ein Angebot zur Webseitenprüfung (Cookieprüfung, Tracker, Impressum, AGB, etc.) und Erstellung einer neuen, an die Webseite angepassten Datenschutzerklärung zu. Von Generatoren aus dem Internet raten wir ab, da diese oftmals nicht richtig bedient werden und dann keine der DSGVO entsprechende Datenschutzerklärung generiert wird.

 Das oben aufgeführte Urteil des LG München hat uns angesichts des niedrigen Datenschutzniveaus der USA und den Zugriffsmöglichkeiten von US-Geheimdiensten auf alle Daten von US-Firmen nicht wirklich überraschend. Zu beachten ist, dass es sinngemäß nicht nur für Google-Fonts sondern auch für alle eigebundenen US-Dienste gilt. Somit auch bei anderen Schriftdienste wie Adobe Fonts oder MyFonts - tatsächlich für alle US-Dienst, die dynamisch in Internetseiten eingebunden werden.

Sollte sich daher die Ansicht des LG München durchsetzen (was anzunehmen ist), drohen weitere unzählige Abmahnungen und Schadensersatzforderungen, da es zig-tausende von Webseiten in Europa gibt, die US-Dienste ohne vorherige Einwilligung einsetzen! Auch die österreichische Datenschutzbehörde hat entschieden, dass die Verwendung von Google Analytics gegen die DSGVO verstößt, da der Dienst Nutzerdaten an Google-Server in den USA übermittelt und so die Überwachung durch US-Geheimdienste ermöglicht.

Um einer möglichen Abmahnung und Klage zu entgehen, sollten Webseitenbetreiber daher die Inhalte wie Schriftarten, Skripte oder Bilder selbst hosten und bei Einbindung von dynamischen Inhalten die Einwilligung von Usern zur Weitergabe der IP-Adresse einholen. Die Nutzung von US-Diensten (wie ReCaptacha) ist so weit wie möglich einzuschränken und stattdessen sind datenschutzkonforme EU-Alternativen zu bevorzugen. Siehe hierzu auch unsere Artikel unter https://www.e-data-protection.de/aktuelle_informationen.htm

Bei Fragen zum Datenschutz auf Webseiten, APPs oder social Media können Sie uns gerne jederzeit ansprechen - info@e-anwalt.de.

Noch was zum Aufmuntern für alle Betroffenen einer Abmahnung - ein Video von Friedemann Weise - Abmahnanwalt (aus 2013 - Massenabmahnungen treten wieder wie Grippewellen immer wieder auf  - Achtung externer Link auf YouTube das zum bösen US-Konzern Google gehört und bei Abruf des Videos Daten, wie IP-Adressen in die USA überträgt - mit Klick auf das Video verlassen Sie unseren Blog - ansehen auf eigenes Risko :--)

_______
 
aktualisiert 18.10.2020
________

Markus Baron v. Hohenhau   
Rechtsanwalt - Fachanwalt für Informationstechnologierecht [ IT-Recht ]   
Zertifizierter EU-Datenschutzspezialist (DSGVO/GDPR)