Abmahnungen wegen Google Fonts
Seit Juli sind massenweise Abmahnungen wegen der Verwendung von Google Fonts auf Webseiten im Umlauf
Lesedauer: 8 Minuten
Konkret wird von den Webseitenbetreiber:innen 100 Euro Schadenersatz und 90 Euro Kostenersatz für das Einschreiten des Rechtsanwalts verlangt.
Updates
12.9.2023 / Musterprozess
Die Verhandlung zum Musterverfahren (das Schadenersatzverfahren der Eva Z. gegen einen niederösterreichischen Unternehmer) wurde am 12.09.2023 nach wenigen Minuten auf unbestimmte Zeit vertagt. Der Anwalt der Klägerin hatte in der Verhandlung einen Antrag auf Ablehnung der Richterin wegen Befangenheit gestellt, weshalb unterbrochen werden musste um über diese Antrag vor dem eigentlichen Verfahren (d.h. ob Schadenersatz in diesem Fall zusteht oder nicht) zu entscheiden. Inhaltlich gibt es daher keine weiteren Neuigkeiten.
Pressemeldungen:
7.9.2023 | Verfahren Bezirksgericht Favoriten
Zu dem am ZRS geführten Musterzprozess (nächste Verhandlung am 12.9.2023) gibt es aktuell noch keine Neuigkeiten.
In dem vom Bezirksgericht Favoriten geführten parallelen Verfahren hat Eva Z. unmittelbar vor Schluss der mündlichen Verhandlung auf die Schadenersatzansprüche verzichtet und muss somit die Verfahrenskosten bezahlen.
25.1.2023 | Musterprozess
Der „Google Fonts – Musterprozess“ wird vorbereitet. Die Verhandlung zur Frage, ob Schadenersatz im Falle der Weitergabe der IP Adresse an die USA zusteht, findet noch im Frühjahr am ZRS Wien statt. Weitere Updates zum „Musterprozess“ und Informationen zum laufenden Strafverfahren finden Sie regelmäßig unter dataprotect.at. Zum disziplinarrechtlichen Verfahren bei der RAK NÖ und zum Prüfverfahren bei der DSB gibt es derzeit leider keine neuen Informationen.
13.9.2022 | Musterprozess
Am 30.8.2022 wurde eine Klage gegen ein niederösterreichisches Mitglied auf Unterlassung und Schadenersatz zugestellt. Das Verfahren wird beim Landesgericht für Zivilrechtssachen in Wien geführt. Voraussichtlich findet im Herbst eine Verhandlung hierzu statt. Die WKO hat Dr. Thomas Schweiger, LLM., CIPP/E (RA-Kanzlei SMP Schweiger Mohr & Partner Rechtsanwälte OG, Linz) und Betreiber des Blogs www.dataprotect.at als Vertrauensanwalt mit der Vertretung der Interessen unseres Mitglieds beauftragt. Dr. Schweiger arbeitet derzeit in enger Abstimmung mit dem Mitglied und der WKO die Klagebeantwortung aus, die noch in den nächsten Tagen dem Gericht übermittelt werden wird.
Sollten Sie eine Klage oder Beschwerde zugestellt bekommen, melden Sie sich bitte nach wie vor bei Ihrer Landeskammer!
Hintergrund
Begründet wird der Schadenersatzanspruch mit der unzulässigen Weitergabe der IP Adresse der Userin durch die Verwendung von Google Fonts auf Websites in die USA. Da die USA ein unsicheres Drittland ist, kann diese Datenweitergabe unzulässig sein, sollten keine zusätzlichen Maßnahmen implementiert worden sein (zB Verschlüsselung, Pseudonymisierung, Einholung einer Einwilligung oÄ). Zur Höhe des Schadenersatzanspruches wird das Urteil eines deutschen Gerichts zitiert (LG München, Urteil vom 20.01.2022, Az. 3 O 17493/20). Anfang 2022 entschied dieses Landesgericht München, dass einer Userin Schadenersatz von 100 Euro aufgrund der Verwendung von Google Fonts ohne Einwilligung zu zahlen ist.
Österreichische Entscheidungen in dieser Sache gibt es noch nicht. Es besteht von der Wirtschaftskammer Österreich das Bestreben, ein Musterverfahren aufzunehmen.
SCREENCAST „Google-Fonts Check: So lassen sich Abmahnungen verhindern“
Wie können Sie checken, ob Ihre Website Google Fonts verwendet?
Dazu haben Sie zwei Möglichkeiten:
- Mittels Prüfung im Quelltext
Öffnen Sie dazu den Quelltext der Seite in Ihrem Browser, was Sie entweder mittels „Rechtsklick - Seitenquelltext anzeigen“ oder der Tastenkombination "Strg + U" machen können. Wenn Sie unter "Sources" bzw. "Quellen" die Zeilen "fonts.googleapis.com" oder "fonts.gstatic.com" sehen, dann heißt das, dass die jeweiligen Schriften von Google-Servern geladen werden. - Via "Fonts Checker"
Sie können Ihre URLs auch über sogenannte "Fonts-Checker"-Systeme laufen lassen, z. B. hier oder hier.
Zu beachten gilt dabei aber, dass Sie hier die jeweiligen Unterseiten regelmäßig checken müssen.
Was können Sie machen, wenn Google Fonts dynamisch eingebunden ist?
Google Schriften lassen sich auch herunterladen, um diese vom eigenen Server auf die Webseite zu spielen. Da es sich hierbei um einen komplexen Prozess handelt, finden Sie eine Anleitung.
#schaffenwir WEBINAR "Schadenersatzforderung wegen Google Fonts, was nun?" (29.8.2022)
Webinar der FG Werbung Steiermark zu „Schadenersatzforderung wegen Google Fonts, was nun?“
Was ist zu tun, wenn Sie ein solches Schreiben erhalten haben?
Unsere derzeitige Empfehlung lautet:
- Für den Fall, dass z.B. die Frist aufgrund von urlaubsbedingter Abwesenheit nicht eingehalten werden kann, sollten Sie Kontakt mit dem Rechtsanwalt aufnehmen, und begründet um Fristerstreckung ersuchen. 1-2 Wochen um die Angelegenheit mit einer externen IT zu prüfen, wären jedenfalls legitim. Sie können folgenden Textbaustein verwenden:
Wir haben Ihr Schreiben vom xx.xx.2022 aufgrund urlaubsbedingter Abwesenheit erst am xx.xx.2022 erhalten.
Aufgrund der Komplexität der Materie, ersuchen wir ausdrücklich um eine angemessene Fristverlängerung, da in dem gesetzten Zeitraum eine ordnungsgemäße Prüfung der von Ihnen aufgeworfenen Vorwürfe nicht möglich ist. - Wird im Schreiben nicht explizit auf eine Vollmacht der Mandantin für den Rechtsanwalt verlinkt oder wird dieses nicht beigelegt, fordern Sie die Übermittlung der Vollmacht.
- Nehmen Sie eine technische Überprüfung Ihrer Website vor:
- Ist Google Fonts auf Ihrer Website im Einsatz?
- Findet eine Kommunikation mit dem Google Server statt?
- Wurde die im Abmahnschreiben ausgewiesene IP-Adresse überhaupt erfasst und weitergeleitet?
Das kann in der Tat eine Herausforderung sein, v.a. wenn man keinen technischen Support hat. Grundsätzlich könnten IP-Adressen, die Ihre Webseite besucht haben, in Ihrem Analysetools oder in den Logfiles gespeichert sein. Diese protokollieren den Traffic auf Ihrer Webseite. Aufgrund datenschutzrechtlicher Sicherheitsmaßnahmen wird das allerdings in wenigen Fällen tatsächlich mit der klaren IP-Adresse abgespeichert, sondern diese werden „gehasht“ (d.h. die letzten Stellen werden pseudonymisiert). In den meisten Fällen ist die Speicherung via Logfiles sogar gänzlich deaktiviert. In diesem Fällen könnte eine Rücksprache mit dem Provider noch Ergebnisse bringen, aber dazu werden voraussichtlich mehr Daten benötigt, wie z.B. der Timestamp des Abrufs (Datum und Uhrzeit).
Benötigen Sie weitere Daten, um die Vorwürfe überprüfen zu können, dann nehmen Sie Kontakt mit dem Rechtsanwalt auf und fordern das genaue Datum und Uhrzeit des Webseitenbesuchs seiner Mandantin.
Brauchen Sie Hilfe bei der technischen Überprüfung? Spezialisierte Berater finden Sie z.B. über das UBIT-Firmen-AZ.
Je nachdem, was diese technische Überprüfung ergeben hat (z.B. ob und wie Sie Google Fonts auf Ihrer Website im Einsatz haben und welche Informationen, z.B. IP-Adresse, bei Ihnen vorliegen) ergeben sich unterschiedliche Handlungsmöglichkeiten. - Falls Sie eine rein lokale Lösung von Google Fonts verwenden (daher keine personenbezogenen Daten an Google weitergeleitet werden) und keine Daten der Mandantin (insbesondere weder Name noch IP-Adresse) verarbeiten:
Hier ist eine „Negativauskunft“ zu erteilen („Es werden keine Daten verarbeitet, außer dieses Schreiben…”, vgl. auch Musterschreiben zur Auskunftserteilung) oder mit diesem Textbaustein:- Zu den Vorwürfen:
Wir haben die von Ihrer Mandantin dargelegten Vorwürfe nach Rücksprache mit unseren IT-Experten geprüft und sind zum Schluss gekommen, dass diese nicht zu Recht bestehen. Zwar wird auf unserer Webseite Google Fonts verwendet, jedoch werden hier aufgrund einer bloß lokalen Verarbeitung keine wie auch immer gearteten Daten an Google LLC oder sonstige Empfänger in den USA weitergegeben. - Zum Auskunftsbegehren:
Hinsichtlich des Auskunftsbegehrens gem. Art. 15 DSGVO verweisen wir darauf, dass keine Daten Ihrer Mandantin verarbeitet wurden oder werden, welche über Ihren Auskunftsantrag, die damit zusammenhängende Korrespondenz und die entsprechende interne Dokumentation hinausgehen.
Ihrer Mandantin stehen grundsätzlich die Rechte auf Berichtigung, Löschung, Einschränkung und Widerspruch zu. Dafür wenden Sie bzw. Ihre Mandantin sich an uns. Wenn Sie oder Ihre Mandantin glauben, dass die Verarbeitung der Daten gegen das Datenschutzrecht verstößt oder die datenschutzrechtlichen Ansprüche sonst in einer Weise verletzt worden sind, können Sie bzw. Ihre Mandantin sich bei der dafür zuständigen Datenschutzbehörde beschweren.
Ich gehe davon aus, dass Ihr Schreiben als hinfällig zu betrachten ist.
- Zu den Vorwürfen:
- Google Fonts ist nicht lokal eingebunden, eine Kommunikation mit dem Google Server findet statt, jedoch scheint die ausgewiesene IP-Adresse in den Logfiles Ihrer Website nicht auf. Sie verarbeiten sonst keine personenbezogenen Daten der betroffenen Mandantin:
- Passen Sie Ihre Website unverzüglich an die DSGVO-Vorgaben an, zB durch lokale Einbindung von Google Fonts auf Ihrer Website.
- Beantworten Sie den Auskunftsantrag (vgl. Musterschreiben zur Auskunftserteilung und Information zur Auskunftspflicht) oder mit diesem Textbaustein:
- Zu den Vorwürfen:
Wir haben die von Ihrer Mandantin dargelegten Vorwürfe nach Rücksprache mit unseren IT-Experten geprüft und sind zum Ergebnis gekommen, dass diese falsch sind. Zwar wird auf unserer Webseite Google Fonts verwendet, jedoch scheint die IP Adresse Ihrer Mandantin nicht bei uns auf. - Zum Auskunftsbegehren:
Hinsichtlich des Auskunftsbegehrens gem. Art. 15 DSGVO verweisen wir daher darauf, dass keine Daten Ihrer Mandantin verarbeitet werden, welche über Ihren Auskunftsantrag, die damit zusammenhängende Korrespondenz und die entsprechende interne Dokumentation hinausgehen.
Ihnen stehen grundsätzlich die Rechte auf Berichtigung, Löschung, Einschränkung und Widerspruch zu. Dafür wenden Sie sich an uns. Wenn Sie glauben, dass die Verarbeitung Ihrer Daten gegen das Datenschutzrecht verstößt oder Ihre datenschutzrechtlichen Ansprüche sonst in einer Weise verletzt worden sind, können Sie sich bei der Aufsichtsbehörde beschweren. In Österreich ist die Datenschutzbehörde zuständig.
Ich gehe davon aus, dass Ihr Schreiben als hinfällig zu betrachten ist.
- Google Fonts ist nicht lokal eingebunden und die ausgewiesene IP-Adresse scheint in den Logfiles Ihrer Website auf.
- Passen Sie Ihre Website unverzüglich an die DSGVO-Vorgaben an, zB durch lokale Einbindung von Google Fonts auf Ihrer Website.
- Beantworten Sie den Auskunftsantrag (siehe Musterschreiben zur Auskunftserteilung und Information zur Auskunftspflicht.).
- Zur Unterlassungsaufforderung können Sie sich folgendermaßen äußern:
Die Einhaltung datenschutzrechtlicher Vorschriften ist generell ein besonderes Anliegen für uns. Wir werden es selbstverständlich zukünftig unterlassen, Daten entgegen den Bestimmungen der DSGVO mittels Google Fonts an Google zu übermitteln.
Muster für eine Unterlassungserklärung
Die Entscheidung zu zahlen oder nicht zu zahlen, ist immer im Einzelfall abzuwägen. Es gibt jedenfalls einige gute juristische Argumente gegen das Bestehen eines Schadenersatzanspruches. Auch die Datenschutzbehörde hat nun ein amtswegiges Prüfverfahren zur Nutzung von Google Fonts eingeleitet um klären zu können, ob die Weitergabe der IP Adresse tatsächlich gegen die EU-Datenschutzgrundverordnung verstößt.
Dennoch beachten Sie bitte, dass im Fall der Nichtzahlung das Risiko besteht, dass eine Klage auf Schadenersatz bei Gericht und/ oder eine Beschwerde bei der Datenschutzbehörde eingebracht werden könnten. Sollten Sie sich entscheiden, nicht zu zahlen und eine solche erhalten, nehmen Sie bitte jedenfalls Kontakt mit uns auf.
In der Kontaktbox rechts auf dieser Website finden Sie die Ansprechpartner:innen, wenn Sie Ihr Bundesland einstellen.
Weitere Informationen
- Blog Dataprotect
- Der Standard bspw. hier und hier.
- Informationen der Datenschutzbehörde zum Thema Google Fonts
Stand: 21.09.2023