Google Fonts – Abmahnungen
[UPDATE 2023 – siehe am Ende des Beitrages]
Wichtige Info für alle Webseiten-Betreiber.
Seit ein paar Wochen gibt es in Österreich eine Abmahnwelle, aufgrund unzulässiger Nutzung von extern eingebundene „Google Fonts“ (Schriftarten) auf diversen Webseiten.
Dies würde laut Abmahnung gegen die Datenschutzgrundverordnung verstoßen.
Wir können/dürfen natürlich keine Rechtsberatung anbieten, aber Grundsätzlich gesehen würde dies auch nach unserer Annahme gegen die DSGVO verstoßen.
Das betrifft jedoch Webseiten, die kein Opt-In Verfahren mittels Cookie-Consent Tool eingesetzt haben, sprich eine explizite Einwilligung des Webseiten-Besuchers vorliegt, bevor das jeweilige externe Script, in diesem Fall die Schriftarten, geladen werden.
Da steht Google-Fonts natürlich nicht als einziger Dienst dar – auch andere Fonts-Anbieter wie z.B. Fonts Awesome wäre ein nicht in der EU gehosteter Dienst
Natürlich sind auch anderweitige externe Dienste außerhalb der EU, welche nicht lokal eingebunden sind, sondern auf externe Server verbindet, davon betroffen.
Beispiel wären generell alle Google Services, in vorderster Linie der Statistik-Dienst Google Analytics wo diverse Daten gesammelt und an dessen Server übermittelt werden.
Bei Google Fonts ist eher unklar ob bzw. welche Daten gesammelt werden – darüber hält sich Google bedeckt bzw. betont, dass hier keine Daten gesammelt werden.
Ausgenommen natürlich die IP Adresse – das wäre aber logischerweise nötig, da es eine Verbindung zwischen den Servern gibt, um die auf der Webseite extern eingebundene Schriftart auch auf die Webseite zu laden.
Abmahnungswelle:
Bei dieser Abmahnung, die von einer Anwalts-Kanzlei ausging, wurde von den Webseitenbetreibern 100 Euro Schadensersatz sowie zzgl. 90 Euro Kostenersatz für das Einschreiten des Rechtsanwalts veranschlagt. Wir können keine Aussage treffen, wie sich betroffene verhalten sollen, aber im Netz finden sich bereits diverse Meinungen und Aussagen von Rechtsexperten, wie man sich in diesem Falle verhalten solle.
Einig sind sich bisher so gut wie alle, dass man den geforderten Betrag nicht ohne weiteres Bezahlen solle, sondern erst eine Fristverlängerung sowie div. Details anfordern soll – um nachvollziehen zu können ob ein berechtigter „Schaden“ vorlag.
Ebenso ist bereits ein Verfahren gegen diesen Anwalt im Gange – ob der Schadensersatz überhaupt gerechtfertigt wäre.
Die Grundlage darauf basiert auf einer berechtigten DSGVO Bestimmung und die Ausgangslage war wohl bereits ein vorheriger Fall in Deutschland, welchem Recht gegeben wurde.
In diesem erstmaligen Fall in Österreich prüft jedoch die Datenschutzbehörde, ob die Nutzung wirklich gegen die Datenschutzgrundverordnung verstößt – und dies ist die einzige Instanz die ein Verstoß feststellen kann – weder ein Anwalt noch eine Mandantin könnte dies letztendlich Rechtskräftig beurteilen.
Unklar ist, ob ein Schaden entstanden sei, da private dynamische IP Adressen nicht 100% einer natürlichen Person zuweisbar sind zzgl. meist nach kurzer Zeit Anonymisiert werden – zumindest wäre es nicht ohne weitere Details des Besuchers (wo erst recht Daten beauskunftet werden müssten) nachvollziehbar.
Laut unseren Recherchen sie im ersten Schreiben die IP Adresse sowie Datum des Besuches übermittelt worden – zugleich interessanterweise die Persönlichen Daten des vermeintlich geschädigten Besuchers.
Bei manch Aufzeichnungen die von betroffenen öffentlich gemacht wurden, zeigte sich, dass die User IP-Adresse gar nicht auf der Webseite war – oder bei manchen nur für 1 Sekunde, dass wiederum auf den Einsatz von Bots deuten könnte und nicht das Surfverhalten einer natürlichen Person.
Manch einer dürfte laut Medien eine Abmahnung erhalten haben, obwohl besagte IP-Adresse nie auf der Webseite war, dass wiederum auf blinde Massenaussendungen hindeutet.
Zusätzlich gingen alle Abmahnung von dem selben Klienten aus, was weitere Spekulationen zulässt, dass es ein eventuell ein gezieltes Verfahren und keine Abmahnung eines Webseiten-Besuchers war – dieser hätte bei der Massenaussendung wohl hunderte bis tausende Webseiten darauf hin durchforsten müssen und Technisch versiert sein um ein „Quelltext-Auszug“ zu übermitteln.
Man darf gespannt sein, was bei der Prüfung der Datenschutzbehörde und Gerichten raus kommt.
Die ganze Sache könnte womöglich kippen, da es eventuell keine Rechtslage für eine Abmahnung sein könnte, wenn kein Schaden an einer natürlichen Person und dessen Persönlichen Daten entstanden wäre.
Wir können Technisch behilflich sein.
Sollten auch Sie davon betroffen sein, nehmen Sie dies definitiv ernst und reagieren sofort und korrekt darauf (siehe untenstehende Links).
Bei den Technischen Angelegenheiten können wir Ihre Webseite updaten.
Gerne führen wir eine kostenfreie Prüfung ihres Webauftrittes durch – ob Sie externe Tools/Dienste nutzen, die nicht Datenschutzkonform eingebunden sind.
Anschließend, falls nötig, können wir ein unverbindliches Angebot für eine Überarbeitung unterbreiten.
Wir empfehlen generell entweder auf Google Webfonts & co zu verzichten oder lokal einzubinden.
Ebenso sollten die Datenschutzbestimmungen aktualisiert und wenn nicht vorhanden ein Cookie Consent Script integriert werden.
Diesen Technischen Service können Sie gerne bei uns auf Anfrage buchen.
[UPDATE 2023]
Mittlerweile gab es ein Gerichtverfahren und ein Urteil gegen den Anwalt und dessen Klienten.
Die Vorgehensweise war nicht rechtsgemäß. Eine Sammelklage dagegen ist geplant.
Weiteres siehe Artikel auf Futurezone
Weblinks zum Thema:
– – –
#GoogleWebfonts #googlefonts #DSGVO #Abmahnung #Abmahnwelle #Datenschutz #datenschutzgrundverordnung