Anwaltliche Mahnschreiben - Datenschutzverletzungen „Google Webfonts"

Derzeit werden in Massen anwaltliche Mahnschreiben/Zahlungsaufforderungen versendet, wonach Unternehmen, die auf ihren Websites die Schriftarten von Google Fonts online eingebunden haben, zu Schadenersatzzahlungen und Unterlassungserklärungen aufgefordert werden.

Vorweg: Nehmen Sie diese Abmahnschreiben bitte ernst und ignorieren Sie diese nicht!

Die Schreiben stützen sich auf einen Anlassfall aus Deutschland: Das Landgericht München entschied einer Schadensersatzforderung über € 100,-- aufgrund der Verwendung von Google Fonts auf einer Unternehmenswebsite Folge zu leisten, sofern keine Einwilligung des Websitebesuchers eingeholt wurde.

In Österreich liegt bislang noch keine vergleichbare Entscheidung vor. Da zwischenzeitig aber auch bei der Datenschutzbehörde vermehrt Anfragen zu diesem Thema eingelangt sind, hat diese bereits Informationen dazu bereitgestellt: https://www.dsb.gv.at/download-links/bekanntmachungen.html#Google_Fonts

Aus diesem Anlass haben wir im Folgenden wichtige Fragen und Antworten zu diesem Thema zusammengefasst. Bitte beachten Sie jedoch, dass die folgende Zusammenfassung keine Beurteilung im Einzelfall durch zB einen Rechtsanwalt umfasst:

1. Warum ist es überhaupt problematisch die Schriftarten von „Google Webfonts“ auf der eigenen Website zu verwenden?

Google stellt seit Jahren ein Verzeichnis einer Vielzahl an Schriftarten (=Fonts) kostenlos zur freien Nutzung zur Verfügung. Diese Schriftarten können über die Google Fonts API – eine Schnittstelle – in Websites „online eingebunden“ werden. Dabei werden die Fonts auf den Servern von Google gespeichert und erst beim Aufruf der Website geladen. Durch den Verbindungsaufbau zu den Google-Servern in den USA wird auch die IP-Adresse des jeweiligen Websitebesuchers an Google übermittelt.

Das Datenschutzniveau der USA entspricht nicht den Vorgaben der in Europa geltenden EU Datenschutz-Grundverordnung (DSGVO), insbesondere weil ein Zugriff auf personenbezogene Daten durch US-Behörden nicht ohne Weiteres ausgeschlossen werden kann (vgl. Entscheidung der österreichischen Datenschutzbehörde über die Verwendung von Google Analytics). Auch wenn in Österreich dazu bisher keine Entscheidung der Datenschutzbehörde oder eines Gerichtes vorliegt, machen sich das einige Personen zunutze und konfrontierten Websitebetreiber mit Schadensersatz- und Unterlassungsforderungen.

2. Was muss ich nun zuallererst tun?

Es ist zuallererst technisch zu prüfen, ob auf Ihrer Unternehmenswebsite „Google Web Fonts“ tatsächlich eingebunden ist. Für eine erste Überprüfung stehen im Internet bereits Tools zur Verfügung: https://google-fonts-checker.54gradsoftware.de/de

Vorsicht: Diese „Selbstprüfungstools“ ersetzen keine Prüfung durch einen IT-Experten! Kontaktieren Sie gegebenenfalls den Ersteller Ihrer Website. Dieser sollte am besten über deren Funktionen Bescheid wissen. Insbesondere stehen Ihnen aber auch unsere Ziviltechniker:innen für Informationstechnologie zu Fragen zur DSGVO-konformen Websitegestaltung zur Verfügung!

Wenn auf Ihrer Website „Google Fonts“ ohnedies nicht verwendet wird, ist nichts weiter zu tun, (außer Sie haben bereits ein Mahnschreiben erhalten - siehe dazu ausführlich Punkt 4.). Nehmen Sie dies aber trotzdem als Anlass, um die Datenschutzerklärung auf Ihrer Website ordnungsgemäß zu gestalten bzw gegebenenfalls zu überarbeiten und alle Tools und Anwendungen auf deren Datenschutzkonformität zu überprüfen!

Wenn auf Ihrer Website „Google Webfonts“ eingebunden ist, bedarf es einer weiteren Prüfung. Gehen Sie in diesem Fall bitte wie unter Punkt 3. beschrieben vor.

3. Meine Prüfung hat ergeben, dass auf meiner Website „Google Webfonts“ eingebunden ist. Was habe ich nun zu tun?

Werden die „Google Webfonts“ Schriftarten „lokal eingebunden“ genutzt, dh. die Schriftarten lokal auf dem eigenen Server / Webhost gespeichert und nicht von einem Google-Server (nach)geladen, wird die Nutzung der Google Fonts API und der damit verbundene Datentransfer in die USA umgangen. Sollte dies bei Ihnen der Fall sein, ist für Sie nichts weiter zu tun (außer Sie haben bereits ein Mahnschreiben erhalten - siehe dazu ausführlich Punkt 4). Wichtig: Dokumnetieren Sie die Ergebnisse Ihrer Recherche!

Werden die „Google Webfonts“ Schriftarten „online eingebunden“, dh. über eine Schnittstelle zum Google Server verwendet, empfehlen wir die nachstehende Vorgangsweise :

Wir empfehlen "Google Webfonts“ in Zukunft „lokal eingebunden“ zu verwenden oder einen „Cookie Banner“ zu installieren, über den die Einwilligung des Nutzers zur Verwendung von „Google Webfonts“ explizit und DSGVO-konform (Art 49 Abs 1 lit a DSGVO) eingeholt wird. Achtung: Dies wird im Einzelfall sehr schwierig sei, weil die meisten der aktuellen Consentmanager hierauf noch gar nicht ausgelegt sind. Einer lokalen Einbindung ist demnach unserer Ansicht nach der Vorzug zu geben.

Wie so oft finden sich auch in diversen Internetforen bereits Anleitungen zur DSGVO-konformen Einbindung von „Google Webfonts“ (zB. https://www.clickskeks.at/newsblog/detail/so-kannst-du-google-fonts-dsgvo-konform-nutzen; https://usercentrics.com/de/knowledge-hub/google-fonts-dsgvo-konform/ ; https://www.drweb.de/google-fonts-datenschutzkonform-einbinden/ ).

Vorsicht: Die in diversen Internetforen aubrufbaren Anleitungen ersetzen nicht die Beratung durch einen IT-Experten! Kontaktieren Sie gegebenenfalls auch den Ersteller Ihrer Website. Insbesondere stehen auch unsere Ziviltechniker:innen für Informationstechnologie zur Frage der DSGVO-konformen Websitegestaltung zur Verfügung.

Nehmen Sie dies zum Anlass, um die Datenschutzerklärung auf Ihrer Website ordnungsgemäß zu gestalten bzw zu überarbeiten und alle Tools und Anwendungen auf deren Datenschutzkonformität zu überprüfen! DSGVO-Hilfestellungen finden Sie ua auf der Website der Bundeskammer unter https://www.arching.at/mitglieder/datenschutz/dsgvo_hilfestellungen.html. Es empfiehlt sich jedoch natürlich Expert:innen zur Beratung hinzuzuziehen.

4. Ich habe bereits ein Mahnschreiben, welches die Aufforderung  zur Zahlung von Schadenersatz sowie eine Unterlassungsaufforderung beinhaltet, erhalten. Wie soll ich damit umgehen?

In einem ersten Schritt sollten Sie, die im Mahnschreiben erhobenen Vorwürfe aus technischer Sicht prüfen. Prüfen Sie dabei insbesondere auch, auf welche Weise „Google Webfonts“ auf Ihrer Website eingebunden wird. Dazu finden Sie oben unter Punkt 2. und 3. entsprechende Hilfestellungen.

Überprüfen (und dokumentieren) Sie insbesondere auch, ob Sie personenbezogene Daten (zB: IP-Adresse) der im Schreiben genannten betroffenen Person tatsächlich gespeichert haben (zB in Logfiles).

Die (anwaltlichen) Mahnschreiben enthalten üblicherweise eine Zahlungs-/Reaktionsfrist von 14 Tagen. Da die Umsetzung der o.g. Schritte einige Zeit in Anspruch nehmen kann, kann an den Absender eines Mahnschreibens in der Zwischenzeit mit der Bitte um Fristerstreckung angesucht werden. Nähere Infos zur Möglichkeit der Fristerstreckung finden sie unten unter Punkt 5.

Abhängig von der technischen Überprüfung Ihrer Website stehen Ihnen im Falle eines erhaltenen Mahnschreibens folgende Reaktionsmöglichkeiten zur Verfügung (siehe auch: Empfehlung der Datenschutzbehörde) :

  • Sie nutzen kein „Google Webfonts“ und verarbeiten keine personenbezogene Daten im Schreiben genannten betroffene Person: Teilen Sie dies dem Absender des Mahnschreibens mit und beantworten Sie das allenfalls an Sie gerichtete Auskunftsbegehren. Nähere Informationen zum Auskunftsbegehren finden Sie unter Punkt 6.
  • Sie verwenden zwar „Google Fonts“, allerdings haben Sie die Schriftarten lokal eingebunden oder verfügen über einen „Cookie-Banner“, über den eine DSGVO-konforme Einwilligung zur Verwendung von „Google Webfonts“ eingeholt wird (Achtung: Der "Cookie-Banner" muss bestimmte Voraussetzungen erfüllen, welche derzeit kaum von einem "Cookie-Banner" erfüllt werden, hier ist eine sehr genaue Prüfung erforderlich): Teilen Sie dies dem Absender des Mahnschreibens mit und argumentieren Sie, im Falle dass die IP-Adresse der im Mahnschreiben genannten betroffenen Person verarbeitet wurde, dass keine Übermittlung der IP-Adresse an US-Server stattgefunden hat bzw eine entsprechende Einwilligung vorliegt. Vergessen Sie nicht, trotzdem ein allfälliges Auskunftsbegehren zu beantworten. Nähere Informationen zum Auskunftsbegehren finden Sie unter Punkt 6.
  • Sie verwenden „Google Webfonts“ und die IP-Adresse der im Mahnschreiben angeführten Person wurde an Google Server in den USA weitergeleitet. Lassen Sie in diesem Fall überprüfen, ob eine IP-Anonymisierung aktiviert wurde, ob Sie mit Standardvertragsklauseln oder, ob die Einwilligung über einen Cookie-Banner eingeholt wurde (dies wird zumweist nicht der Fall sein, siehe oben). Beheben Sie so rasch wie möglich eine allenfalls nicht DSGVO-konforme Verwendung von „Google Fonts“. Eine Hilfestellung dazu finden Sie unter Punkt 3. Passen Sie gegeben falls auch Ihre Datenschutzerklärung[1] und die Verwendung anderer Tools Ihrer Website an. Diese Anpassungsschritte können in einem allenfalls anschließenden Verfahren von großer Bedeutung sein. In der Folge stehen Ihnen folgende Optionen offen:

    Wenn Sie sich nach Durchführung dieser Prüfschritte für die Zahlung des im Mahnschreiben geforderten Schadenersatzbetrages entschieden haben, brauchen Sie einem Auskunftsbegehren in den meisten Fällen nicht mehr nachkommen. Bitte prüfen Sie dies jedoch genau.

    Wenn Sie sich nach Durchführung dieser Prüf- und Anpassungsschritte gegen das Mahnschreiben zur Wehr setzen wollen, könnte Ihnen das Musterschreiben der Bundeskammer der Ziviltechniker:innen eine Hilfestellung bieten. Das Musterschreiben finden Sie hier (im Mitgliederbereich). Bedenken Sie jedoch, dass das Musterschreiben im Hinblick auf die derzeit (Stand 24.8.2022) kursierenden Mahnschreiben eines niederösterreichischen Rechtsanwalts erstellt wurde. Dieses muss vor dem Versand auf den Einzelfall bezogen angepasst werden und übernimmt die Bundeskammer der Ziviltechniker:innen bei der Verwendung des Musterschreibens weder eine Haftung für damit im Zusammenhang stehende Kosten noch für sonstige Schäden. Das Musterschreiben ersetzt in keinem Fall eine Einzelfallbetrachtung durch einen Rechtsanwalt. 

    Bitte beachten Sie: Wenn Sie sich gegen das Mahnschreiben beispielsweise durch Verwendung des Musterschreibens der BKZT zur Wehr setzen, entbindet Sie das nicht von Ihrer Pflicht, zur Beantwortung eines gleichzeitig gestellten Auskunftsbegehrens. Nähere Informationen zum Auskunftsbegehren finden Sie unter Punkt 6.

    Bedenken Sie , dass im Falle eines Zivilprozesses uU höhere Prozesskosten auf Sie zukommen können[2] und prüfen Sie, ob derartige Prozesse eventuell von ihrer Rechtschutzversicherung gedeckt sind. Es wird empfohlen, eine Abklärung mit der Rechtsschutzversicherung vor Versand des zur Verfügung gestellten Musterschreibens der Bundeskammer der Ziviltechniker:innen vorzunehmen.

Bewahren Sie sämtliche Korrespondenz mit der anwaltlichen Vertretung der betroffenen Person für einen angemessenen Zeitraum auf. Die Korrespondenz können Sie als Beweismittel in einem allfälligen Verfahren vor Gericht oder vor der Datenschutzbehörde verwenden.

5. Im (anwaltlichen) Mahnschreiben wird mir eine Zahlungsfrist von 14 Tagen ab dem Datum des Schreibens eingeräumt. Ich brauche allerdings länger, um die Angelegenheit zu überprüfen und die notwendigen Schritte einzuleiten. Was kann ich tun?

Sie können den Absender des Schreibens kontaktieren und schriftlich um Fristerstreckung ansuchen:

Textbeispiel Fristerstreckung: „Wir haben Ihr Schreiben erhalten und prüfen dieses gerade. Wir ersuchen um Fristerstreckung bis zum…, um diese Angelegenheit mit externen IT-Spezialisten überprüfen zu können.“

Es wird empfohlen, die Fristerstreckung lediglich auf die Schadenersatzforderung (und die Zahlungsfrist) zu beziehen. Hinsichtlich eines etwaigen Auskunftsbegehrens wird empfohlen, dieses unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags, zu beantworten. Siehe dazu ausführlich Punkt 6.

6. Neben der Aufforderung der Zahlung enthält das (anwaltliche) Mahnschreiben auch einen Antrag auf Auskunft gemäß Art 15 DSGVO. Was hat es damit auf sich und in welchen Fällen muss ich diesem entsprechen?

In den uns bisher bekannten Fällen wird der Antrag auf Auskunft an die Zahlungsaufforderung geknüpft und gilt als zurückgezogen, sofern die Zahlung geleistet wird. Wenn Sie sich also für eine Zahlung entschieden haben, müssen Sie dem Auskunftsbegehren nicht mehr entsprechen und sich damit nicht mehr näher beschäftigten. Bitte prüfen Sie dies jedoch im Einzelfall nochmals genau nach.

Wenn Sie sich aber generell gegen eine Zahlung entschieden haben und dem Absender des Mahnschreibens beispielsweise wie unter Punkt 4. beschrieben antworten, müssen Sie dem Auskunftsbegehren trotzdem nachkommen:

Jede von einer Datenverarbeitung betroffene Person hat grundsätzlich das Recht auf Auskunft (Art 15 DSGVO) darüber, welche ihrer personenbezogenen Daten (wie zB: Namen, Email-Adresse, IP-Adresse) innerhalb eines Unternehmens bzw beim Besuch der Unternehmenswebsite verarbeitet werden. Betroffene Person ist aus diesem Grund auch ein Webseitenbesucher, dessen IP-Adresse im Zuge des Aufrufs einer Website gespeichert wird.

Das Ansuchen auf Auskunft kann formlos gestellt werden, der Auskunftswerber hat aber gleichzeitig seine Identität nachzuweisen (beispielsweise durch Vorlage einer Ausweiskopie). Wenn begründete Zweifel an der Identität bestehen, kann der Verantwortliche einen Identitätsnachweis verlangen. In den uns bisher bekannten Fällen enthalten die Mahnschreiben zum Punkt Auskunftsbegehren einen Link, über den eine Kopie des Personalausweises der Mandantin, des Rechtsanwaltsausweises des Vertreters sowie der anwaltlichen Vollmacht für jedermann einsehbar abrufbar und elektronisch signiert ist. Aufgrund des dreisten Vorgehens des Absenders der Massenschreiben kann/könnte natürlich auch die Identität der vermeintlichen Mandantin sowie das Vollmachtverhältnis angezweifelt werden. Es steht Ihnen daher frei, vor Erteilung der Auskunft nach Art 15 DSGVO, zusätzliche Identitätsnachweise zu verlangen. Bedenken Sie dabei aber, dass Ausweisdokumente und qualifizierte elektronische Signaturen anerkannte Identitätsnachweise sind und die Verweigerung eines Auskunftsbegehren eine Beschwerde bei der Datenschutzbehörde nach sich ziehen kann. 

Stellt eine betroffene Person ein solches Auskunftsbegehren so ist dieses grundsätzlich schriftlich zu beantworten und hat bestimmten, inhaltlichen Vorgaben zu entsprechen. Bitte finden Sie auf der Website der Bundeskammer der Ziviltechniker:innen ein Muster für die Erteilung einer Auskunft gemäß Art 15 DSGVO. Angemerkt wird, dass der Inhalt des Auskunftsbegehrens (zB Negativauskunft siehe unten) sich an den (Speicher)Stand am Tag der Abfertigung/Übermittlung der Auskunftserteilung an den Absender des Mahnschreibens orientieren kann.

Achtung: Die Beantwortung ist auch dann erforderlich, wenn keine personenbezogenen Daten der betroffenen Person verarbeitet werden. Stellen Sie daher nach einer entsprechenden Recherche fest, dass die im Schreiben angegebene IP-Adresse der betroffenen Person, nicht beim Besuch Ihrer Unternehemenswebsite verarbeitet wurde, müssen Sie dennoch eine Leermeldung („Negativauskunft“) an den Antragsteller übermitteln.

Das Auskunftsbegehren ist grundsätzlich unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zu beantworten.

 

[1] Ein Muster für eine Datenschutzerklärung finden sie auf der Website der Bundeskammer der Ziviltechniker:innen unter https://www.arching.at/fileadmin/user_upload/redakteure/Datenschutz/Datenschutzerklaerung_Websites_2018_01.doc

[2] Dies insbesondere deshalb, weil einschlägige Judikatur in Österreich bislang nicht vorliegt und es nicht ausgeschlossen ist, dass einzelne Gerichte die mittels Mahnschreiben geltend gemachten Ansprüche auch zuerkennen. Bzw ist nicht ausgeschlossen, dass der tätig gewordene niederösterreichische Rechtsanwalt tatsächlich Klage einbringt.