Abmahnungen zu Google Fonts

1. Die Anfrage, welche Daten über die Mandantin gespeichert werden, ist zu beantworten – Zuwiderhandeln kann mit einer Geldstrafe bis zu EUR 20.000.000 EUR oder im Fall eines Unternehmens von bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres bestraft werden, je nachdem, welcher der Beträge höher ist. Ein Muster für die Beantwortung findet Ihr hier: https://www.wko.at/service/wirtschaftsrecht-gewerberecht/eu-dsgvo-musterschreiben-auskunftserteilung.docx

 

2. Wir raten außerdem, möglichst rasch Eure Website so umzuprogrammieren, dass keine Daten mehr in die USA geschickt werden. Wendet Euch hier an den EDV-Dienstleister Eures Vertrauens. Wir haben euch im zweiten Teil dieser Information einige Tipps zusammengestellt.

 

3. Nicht so eindeutig fällt unsere Analyse des Schadenersatzanspruchs und des Unterlassungsanspruchs aus:  
   1. Gegen das Bestehen eines Schadenersatzanspruchs sprechen einige – aus unserer Sicht: gute - Argumente:
      1. Ein Bot besitzt kein Recht auf Schutz personenbezogener Daten und kann daher nicht in diesem Recht geschädigt werden.
      2. Nach dem (sogar in einer der Klagen zitierten!) EuGH-Urteil vom 19. 10. 2016, C-582/14 (Breyer) gelten dynamische IP-Adressen nur dann als personenbezogene Daten, wenn der Empfänger "über rechtliche Mittel verfügt, die es ihm erlauben, die betreffende Person anhand der Zusatzinformationen, über die der Internetzugangsanbieter dieser Person verfügt, bestimmen zu lassen." Die Klägerin hat nicht aufgezeigt, mit welchen rechtlichen Mitteln Google Zugriff auf diese Zusatzinformationen erlangen könnte.
      3. Mitverschulden durch vorsätzliches Ansteuern der Websites mit einem Bot und durch das unterlassene Deaktivieren automatischer Anfragen bei Dritt-Servern in den Browser-Einstellungen.
      4. Schmerzen, die man sich selbst zufügt, sind nicht ersatzfähig – aktives Suchen nach Websites, die IP-Adressen in die USA transferieren, spricht dafür, dass man mit dem Datentransfer einverstanden war.
      5. Bloßes Unwohlsein unterschreitet die Erheblichkeitsschwelle und begründet daher keinen ersatzfähigen Schaden, zumal Google die IP-Adressen nicht einmal speichert.
      6. Es gibt das Argument, dass der Einsatz von Google Fonts– soweit IP-Adressen nur an Google-Server in Europa übermittelt wurden –  durch ein berechtigtes Interesse der Websiteinhaber gedeckt und diesfalls nicht rechtswidrig ist.
      7. Frau Z. und ihr Anwalt gingen in tausenden Fällen planmäßig vor, handelten aus einem unlauteren (Bereicherungs-)Motiv und haben alle Websites absichtlich aufgerufen bzw von einem Bot aufrufen lassen. Eine Schadenersatzklage verstößt damit gegen Treu und Glauben und wäre wegen Rechtsmissbrauchs abzuweisen.

 

2. Auch gegen den Unterlassungsanspruch sprechen gute Argumente (wenngleich diese stark geschwächt werden, wenn die Klägerin beweisen kann, dass die Daten in die USA gesendet wurden):
   1. Es geht aus dem Abmahnschreiben nicht hervor, ob die Daten der Dame wirklich in die USA geschickt wurden. Die Beweislast liegt hier bei der Dame.
   2. Das verbotene Verhalten ist im Unterlassungsbegehren so deutlich umschreiben, dass es dem Beklagten als Richtschnur für sein künftiges Verhalten dienen kann. Anzugeben ist, welche Handlungen der Beklagte, allenfalls auch wann und wo, zu unterlassen hat. Wir argumentieren, dass das vorliegende Begehren zu unbestimmt ist, weil Frau Z. nicht exakt protokolliert hat, wann und von welcher Quelle welche IP-Adressen an welche Server (samt Land des Serverstandorts!) übermittelt wurden.
   3. Ein Unterlassungsanspruch setzt (neben der gegebenen Wiederholungs­gefahr) eine Rechtsverletzung voraus. Die Argumente gegen das Vorliegen einer Rechtsverletzung in Abschnitt 3.a., Punkte  i.,  ii. und vi. treffen daher genauso auf das Unterlassungsbegehren zu.
   4. Der Einwand des Rechtsmissbrauchs ist ebenfalls auf das Unterlassungsbegehren übertragbar.

 

4. Handlungsoptionen:

 

1. Wer sich über die Vorgangsweise des Anwalts und seiner Klientin ärgert und darüber hinaus noch streitlustig ist, kann die Zahlung des Schadenersatzes und die Abgabe der Unterlassungserklärung verweigern. In diesem Fall wäre die andere Seite in Zugzwang, müsste Gerichtsgebühren vorfinanzieren und Euch klagen. Die Klägerin müsste dann unter anderem beweisen, dass ihre IP-Adresse tatsächlich an einen Server in den USA geschickt wurde – eine Frage, die höchstwahrscheinlich von einem Sachverständigen beurteilt wird, dessen Kosten ebenfalls von der Klägerin vorgestreckt werden müssen (es erscheint bei der Fülle der Abmahnschreiben eher unwahrscheinlich, dass die Klägerin diesen enormen Betrag investieren kann; eher wahrscheinlich wird es einen Musterprozess geben).

 
ABER: Am Ende zahlt jene Partei die Kosten des eigenen und gegnerischen Anwalts sowie die Sachverständigen- und Gerichtskosten, die in dem Streit unterliegt. Die Höhe der zu ersetzenden Kosten richten sich nach dem Streitwert, der – nach derzeitigem Stand – EUR 190,-- und für den Unterlassungsanspruch EUR 6.000,-- beträgt. Das zeigt, dass der Unterlassungsanspruch recht hoch bemessen und für den Fall, dass das Gericht den Unterlassungsanspruch als gegeben annimmt, mit einem recht hohen Kostenrisikoverbunden ist. Dieses Risiko schätzen manche meiner Anwaltskollegen sowie WKO, AK und andere Interessensvertretungen als eher gering ein – ich selbst meine, dass Ihr davon wissen solltet, bevor Ihr eine Entscheidung fällt. Leider übernimmt die Rechtsschutz­versicherung des Imkerbundes die Deckung dieses Risikos nicht.
 

2. Wer sicher gehen will, dass er in Hinkunft keine Scherereien hat und eine gerichtliche Auseinandersetzung, die neben dem unter 4.a. erklärten Kostenrisiko auch noch mit Ärger verbunden ist, vermeiden will, sollte die EUR 190,- bezahlen - obwohl es sehr ärgerlich ist, dass sich jemand an der Unwissenheit der User von Standardsoftware bereichert. In diesem Fall ist die Angelegenheit aber erledigt. Bitte stellt bei der Überweisung sicher, dass die Zahlung Euch zugeordnet werden kann und gebt im Überweisungszweck den URL (vulgo: Webadresse) Eurer Website an.

5. Was würde ich machen, wenn meine Website Google-Fonts verwendet hätte und ich ein solches Schreiben bekommen hätte? Ich selbst fürchte mich nicht so sehr vor einer Klage des Abmahners und halte die Argumente gegen seine Forderungen für gut. Daher würde ich das Auskunftsbegehren beantworten und meine Website umprogrammieren aber weder Schadenersatz bezahlen noch die Unterlassungserklärung abgeben. Letztlich ist diese Vorgangsweise – und das solltet Ihr wissen – mit einem (aus meiner Sicht: geringen) Risiko verbunden, dass eine/r von Euch geklagt wird, im darauffolgenden Prozess unterliegt und dann erhebliche Kosten bezahlen muss. Letztlich hängt es also von Eurer Risikoneigung ab.

 

6. Solltet Ihr noch Fragen haben, schickt bitte ein E-Mail an Julia Tertinek – sie wird die Fragen sammeln und an mich weiterleiten.

 
Bitte beachtet, dass dieser Newsletter die mit den Abmahnschreiben verbundenen Rechtsprobleme nur kurz zusammenfasst und eine individuelle Rechtsberatung nicht ersetzen kann.
 
Grafik:
vereinfachte Darstellung zur besseren Übersicht
(unter Downloads)
 
 

 
 

Durch die technische Beurteilung könnte man zu dem Schluss kommen, dass der Vorwurf nicht richtig ist.
 

1. Google führt in seiner Funktionsbeschreibung zu den Google Fonts Diensten explizit an, dass keine IP-Adresse der Zugriffe gespeichert werden.
    
2. Selbst mit einer gespeicherten IP-Adresse wäre ohne zusätzliche Daten des Internetproviders keine Personenzuordnung möglich.
    
3. Google bietet seine Dienste, wie alle anderen großen Anbieter oder auch Betreiber größerer Webseiten über sogenannte Content-Delivery-Netzwerke (CDN) an. Ein CDN hat Server/Standorte auf der ganzen Welt, um die angeforderten Daten auf möglichst kurzem Weg zum Internet-Besucher zu senden. Bei Google sind dafür Server an mehreren Standorten in Europa zuständig (siehe https://cloud.google.com/about/locations) 
    
4. Die Einbindung von externen Inhalten bzw technischen Bausteinen ist aufgrund der heutigen Funktionalität (und somit Komplexität) von Webseiten technischer Standard und stellt sicher, dass immer die jeweils aktuellen (und damit auch sichersten) Ressourcen für die gewünschte Nutzung verwendet werden. 

 
Die tatsächliche Beurteilung ist aber noch offen und obliegt dem Gericht (siehe vorherige Ausführungen).
 
Auch wenn eine dynamische Einbindung technischer Inhalte durchaus sinvoll ist und Vorteile hat, kann das bei Schriftarten durchaus auch mit einer lokalen Einbindung gelöst werden. Google bietet das umfassendste Schriftartenpaket für die Nutzung auf Websites an und erlaubt es auch, die benötigten Schriftarten herunterzuladen und lokal auf dem Server der Website zur Einbindung zu hinterlegen (OpenSource-Lizenz).
 
Das ist für den Laien natürlich nicht einfach umzusetzen, aus technischer Sicht aber kein großes Problem. Das größte Problem bei der Umstellung ist die Vielzahl an technischen Möglichkeiten, mit der Websites programmiert werden. Diese werden meist mit einem CMS-System (Content-Management-System) umgesetzt. Die bekannten Systeme sind WordPress, Typo3 undDrupal..
 
Je nach dem mit welchem CMS-System eure Website programmiert wurde, muss die Umstellung unterschiedlich erfolgen. Am Ende ist es aber immer eine Änderung der Verweise auf die zu nutzenden Schriftarten – es wird quasi der Link zur Google-Schrift-Datei auf eine lokal am Server hinterlegte Datei geändert. Das für den/die Betreuer:in/Ersteller:in eurer Website mit ein paar Handgriffen und mit etwa einer Stunde Aufwand erledigt.
 
Niemand muss also mehrere hundert Euro in eine Prüfung und Korrektur der Website investieren. Ich sehe hier einen Betrag von 70 bis max. 150 Euro als angemessen, da es eine Standardaufgabe ist, die aktuell bei sehr vielen Websites umgesetzt wird.
 
 

Ob eure Website überhaupt davon betroffen ist, könnt ihr mit diesem Tool überprüfen:
www.sicher3.de/google-fonts-checker/
 
Wendet euch bitte an den/die Betreuer:in/Ersteller:in eurer Website, um die Umstellung zu veranlassen. Solltet ihr dafür keinen Ansprechpartner haben, könnt ihr euch an mich wenden und ich werde versuchen zu helfen bzw einen Kontakt zu vermitteln.
 
Bei der Gelegenheit lasst bitte auch gleich prüfen, ob eure Website andere externe Einbindungen und Tools nutzt, die gegen die DSGVO verstoßen. Beispielsweise Google Analytics, Nutzertracking-Tools, Chat-Anwendungen.Die Nutzung solcher Tools ist natürlich grundsätzlich möglich, muss aber auf der Seite ausgewiesen werden und der Nutzer/Besucher muss vor dem Laden dieser Inhalte den Bedingungen zustimmen (Stichwort Cookie-/Consent-Banner).
 
Mit besten Grüßen,
Ernst Brandl und Daniel Pfeifenberger