Global menu

Our global pages

Close

Google Fonts-Abmahnwelle – Wie Websitebetreiber reagieren sollten

  • Austria

    05-09-2022

    Eine wahre „Abmahnwelle“ rollt durch Österreich und Deutschland. Zehntausende Websitebetreiber erhalten derzeit Abmahnungen wegen angeblicher DSGVO-Verstöße durch die Einbindung von Google Fonts auf ihrer Website. 

    In diesem Betrag erläutern wir die Hintergründe der Abmahnwelle und unsere Empfehlungen dazu, was betroffene Websitebetreiber nun tun und was nicht betroffene Websitebetreiber aus dieser Abmahnwelle lernen sollten.

    Hintergrund

    Zahlreiche Websitebetreiber in Österreich erhielten in den letzten Wochen ein inhaltlich fast gleichlautendes Abmahnschreiben. Ähnliche Schreiben kursieren in Deutschland.

    In den Schreiben heißt es, die jeweilige Website habe unzulässigerweise Google Fonts dynamisch eingebunden, weshalb die IP-Adresse des Websitebesuchers unzulässigerweise an Google in den USA übermittelt worden sei. Dies stelle einen DSGVO-Verstoß dar, der den Websitenutzer zu Schadenersatz und zur Unterlassungsklage berechtige, was gerichtlich geltend gemacht würde, sofern der Websitebetreiber nicht einen gewissen Geldbetrag bezahle – üblicherweise 190€.

    Besondere mediale Aufmerksamkeit erhielten dabei die Abmahnungen eines Anwalts aus Groß-Enzersdorf, der namens einer Mandantin offenbar zehntausende Abmahnschreiben verschickte, dies auch an Kleinstunternehmen, Musikvereine und gemeinnützige Organisationen.

    Die Empörung über dieses Vorgehen ist zu Recht groß. Dennoch sollten diese Abmahnungen und auch das Risiko für ähnliche Abmahnungen in Zukunft nicht verharmlost werden.

    Was sind Google Fonts?

    „Google Fonts“ sind ein Angebot von Google. Sie bieten Website-Betreibern die Möglichkeit, bestimmte von Google bereitgestellte Schriftarten kostenlos auf ihrer Website zu verwenden.

    Dafür gibt es zwei Möglichkeiten: Einerseits kann der Betreiber die Schriftarten herunterladen und lokal auf seinem eigenen Server einbinden („statische Einbindung“). Andererseits kann der Betreiber Google Fonts so einrichten, dass diese bei jedem Aufruf der Website direkt von den Google-Servern geladen werden („dynamische Einbindung“).

    Bei einer solchen dynamischen Einbindung wird daher bei jedem Website-Aufruf eine Verbindung zu den Google-Servern aufgebaut, wobei unter anderem die IP-Adresse des Nutzers übermittelt wird. Diese Übermittlung der IP-Adresse wird in den Abmahnungen als DSGVO-Verstoß gewertet.

    Die rechtliche Einordnung von Google Fonts

    Ob diese dynamische Einbindung von Google Fonts tatsächlich gegen die DSGVO verstößt, ist noch nicht abschließend geklärt – die österreichische Datenschutzbehörde hat hierzu ein amtswegiges Prüfverfahren eingeleitet.

    In Deutschland gibt es hingegen zu Google Fonts bereits eine vielbeachtete Entscheidung des LG München I. Dieses hat Anfang 2022 geurteilt, dass die dynamische Einbindung von Google Fonts und die hieraus resultierende Übermittlung der IP-Adresse des Nutzers an Google DSGVO-widrig sei und sprach der klagenden Privatperson 100€ Schadenersatz und einen Unterlassungsanspruch zu. Dieses Urteil war der Auslöser für die nunmehrige „Abmahnwelle“.

    Dieses Urteil aus München hat natürlich keine Bindungswirkung für österreichische Gerichte und Behörden und wird sich auch nicht eins zu eins auf Österreich übertragen lassen.

    Es spricht dennoch vieles dafür, dass Google Fonts in der dynamischen Einbindung auch in Österreich gegen die DSGVO verstoßen.

    Seit dem berühmt-berüchtigten „Schrems II“-Urteil des EuGH im Juli 2020 wird den USA aufgrund der weitreichenden und nicht überprüfbaren Geheimdienstzugriffsmöglichkeiten kein angemessenes Datenschutzniveau mehr zuerkannt.

    Es ist daher nicht mehr zulässig, personenbezogene Daten in die USA zu übermitteln, es sei denn, durch die Umstände der Datenübermittlung oder zusätzlich getroffene Schutzmaßnahmen kann ein solcher Geheimdienstzugriff verhindert werden.

    Die Frage ist daher, ob die an Google übermittelten IP-Adressen hierbei bereits personenbezogene Daten darstellen. Dies wird nach der Rechtsprechung der österreichischen Datenschutzbehörde (DSB) wohl zu bejahen sein.

    In den vielbeachteten Entscheidungen der DSB zur DSGVO-Widrigkeit von Google Analytics sprach diese aus, dass schon dann von personenbezogenen Daten auszugehen sei, wenn der Nutzer anhand einer Online-Kennung eindeutig wiedererkannt werden kann – selbst wenn der Name des Nutzers nicht herausgefunden werden kann.

    Dies wird im Kontext von Google Fonts auch für die IP-Adresse gelten – schließlich könnte Google so einen Nutzer wiedererkennen, der mehrere Websites ansteuert, die jeweils Google Fonts dynamisch einbinden, und so das Webverhalten des Nutzers analysieren. Zudem kann nicht ausgeschlossen werden, dass der Nutzer für Google aufgrund bereits von Google gesammelter Nutzerprofildaten identifizierbar ist. Ob Google diese Analyse tatsächlich vornimmt oder nicht, ist für die datenschutzrechtliche Einstufung dabei irrelevant.

    Im Zuge der Google-Analytics-Entscheidungen der DSB kam diese zur Einschätzung, dass die von Google getroffenen Schutzmaßnahmen in den USA kein angemessenes Datenschutzniveau garantieren könnten, weshalb eine Übermittlung personenbezogener Daten aus dem EWR an Google gegen die DSGVO verstoße. Es ist daher davon auszugehen, dass die Datenschutzbehörde oder österreichische Gerichte dies auch bei Google Fonts ähnlich sehen würden.

    Es ist daher derzeit davon auszugehen, dass die dynamische Einbindung von Google Fonts tatsächlich gegen die DSGVO verstößt.

    Schadenersatz für Datenschutzverstöße

    Art 82 DSGVO sieht vor, dass betroffene Personen für DSGVO-Verstöße Schadenersatz geltend machen können. Besonders ist dabei, dass nicht– wie sonst im österreichischen Schadenersatzrecht üblich – nur Schadenersatz für einen tatsächlichen materiellen Schaden (z.B. in Folge eines Identitätsdiebstahls) zusteht, sondern auch ein Schadenersatz für immaterielle Schäden zugesprochen werden kann.

    So sprach der OGH (6 Ob 56/21k) etwa dem Datenschutzaktivisten Max Schrems gegen den Anbieter eines großen Sozialen Netzwerks 500€ Schadenersatz zu, da dieser durch einen DSGVO-Verstoß und den damit einhergehenden Kontrollverlust „massiv genervt“ war. Zur Höhe des Schadenersatzanspruches hielt der OGH dabei fest, der Schadenersatz müsse „spürbar sein, um eine präventive und abschreckende Wirkung enthalten zu können“.

    Unter genau welchen Voraussetzungen ein solcher DSGVO-Schadenersatz zusteht, ist noch nicht geklärt und Gegenstand zahlreicher Verfahren vor dem EuGH. So soll der EuGH (C-300/21) etwa über Vorlage des OGH erst klären, ob für einen DSGVO-Schadenersatzanspruch überhaupt ein Schaden nachgewiesen werden müsse, oder ob bereits der bloße DSGVO-Verstoß zum Schadenersatz berechtigt.

    Es ist derzeit durchaus nicht auszuschließen, dass auch ein Website-Nutzer für einen den Nutzer betreffenden DSGVO-Verstoß auf einer Website Schadenersatz gegen den Websitebetreiber geltend machen kann. Auch für einen solchen Verstoß durch Google Fonts ist ein Schadenersatzanspruch durchaus denkbar.

    Schadenersatz bei der laufenden Abmahnwelle

    Im Falle der laufenden Google-Fonts-Abmahnwelle steht jedoch unserer Einschätzung nach kein Anspruch auf Schadenersatz zu. Einerseits, da vieles darauf hindeutet, dass die den Abmahnungen zugrundeliegenden Websiteaufrufe nicht durch eine natürliche Person, sondern durch einen Webcrawler (der selbst keine Datenschutzrechte hat) erfolgten.

    Andererseits, da die betroffenen Websites offenbar gerade in der Absicht aufgerufen wurden, um eine Rechtsverletzung zu provozieren und so einen Schadenersatz zu lukrieren. Dieses bewusste Vorgehen schließt nach unserer Ansicht jeden Schadenersatzanspruch aus.

    Zudem gehen wir davon aus, dass der EuGH für den Zuspruch von Schadenersatz nach der DSGVO zumindest eine spürbare tatsächliche Beeinträchtigung der betroffenen Person fordern wird. Eine solche spürbare Beeinträchtigung kann bei der Versendung zehntausender Schreiben nicht angenommen werden.

    Was betroffene Websitebetreiber tun sollten

    Websitebetreiber, die ein Google-Fonts-Abmahnschreiben erhalten haben, sollten dieses nicht ignorieren.

    Ohne einer individuellen Prüfung des Einzelfalls vorzugreifen, ist üblicherweise das folgende Vorgehen zu empfehlen:

    In einem ersten Schritt sollten Sie die dynamische Einbindung von Google Fonts auf Ihrer Website entfernen und Google Fonts statisch einbinden, um hier einen etwaigen DSGVO-Verstoß abzustellen. Dies ist mit geringem Aufwand möglich und hierfür finden Sie im Internet zahlreiche Anleitungen.

    In einem zweiten Schritt sollte binnen eines Monats ab Erhalt des Schreibens auf das in den Schreiben üblicherweise enthaltene DSGVO-Auskunftsersuchen reagiert werden.

    Schließlich empfehlen wir, weitere Nachweise über den Verstoß anzufordern und – bei entsprechender Übermittlung von Nachweisen – eine Unterlassungserklärung abzugeben, um einer Unterlassungsklage vorzubeugen.

    Wer gerne zum „Gegenangriff“ übergehen möchte, kann diese Antwort auch mit einem eigenen Auskunftsersuchen nach § 1 Abs 3 Z 1 DSG verbinden.

    Gerne stellen wir Ihnen auf Anfrage ein Antwort-Musterschreiben zur Verfügung.

    Keinesfalls empfehlen wir, den geforderten Geldbetrag zu bezahlen.

    Wir weisen darauf hin, dass der genannte Rechtsanwalt aus Groß-Enzersdorf mittlerweile bekanntgegeben hat, dass gemeinnützige Organisationen nicht geklagt würden und diese keine weiteren Schritte zu erwarten hätten. Gemeinnützige Organisation dürfen daher (ggf. nach Beantwortung des Auskunftsersuchens) diese Abmahnschreiben getrost ignorieren, sollten aber dennoch die DSGVO-Konformität ihrer Website herstellen, um weiteren Abmahnungen vorzubeugen.

    Was nicht betroffene Websitebetreiber lernen sollten

    Auch Websitebetreiber, die von dieser Abmahnwelle „verschont“ geblieben sind, sollten hieraus lernen.

    Denn grundsätzlich sind Websitebetreiber für Datenschutzverletzungen auf ihrer Website verantwortlich und haftbar, auch wenn diese von einem dort eingebundenen Drittanbietertool verursacht werden.

    Es ist davon auszugehen, dass dies nicht die letzte Abmahnwelle für DSGVO-Verstöße auf Websites war. DSGVO-Verstöße auf Websites, vor allem in Zusammenhang mit Cookies, Tracking & co. sind für das gut geschulte Auge (oder den gut programmierten Webcrawler) leicht erkennbar.

    Besonders dann, wenn der EuGH das Schadenersatzrecht nach der DSGVO weit auslegen sollte, so ist davon auszugehen, dass dies in Zukunft auch von anderen als „Geschäftsmodell“ erkannt wird.

    Dabei ist auch zu erwähnen, dass die EU-Verbandsklagenrichtlinie, die bis Ende 2022 umzusetzen ist, auch für DSGVO-Schadenersatz die Möglichkeit der Sammelklage eröffnen wird. Auch ein Schadenersatz von bloß 100€ erreicht gleich völlig andere Dimensionen, sollte dieser gleichzeitig von hunderten oder tausenden Individuen im Rahmen einer Sammelklage gefordert werden.

    Websitebetreiber sollten daher dringend sicherstellen, dass ihre Websites den Anforderungen der DSGVO genügen. Besonderes Augenmerk sollte dabei auf Drittanbieter-Tools liegen, die auf der Website verbaut werden (Kartendienste, Social-Media-Plugins, Analysetools, etc.). Die Zeiten, in denen vermeintliche „Gratistools“ bedenkenlos auf der eigenen Website verbaut werden konnten, sind jedenfalls vorbei.

    Gerne unterstützen wir Sie bei der DSGVO-konformen Umsetzung Ihrer Website!

    Sie möchten mehr erfahren? Nehmen Sie an unserem DHK-Online-Expertengespräch am 22. September 2022 zum Thema „Google Fonts Abmahnwelle“ teil!

     

    Mag. Michael Röhsner, LL.M.
    Legal Director
    michael.roehsner@eversheds-sutherland.at

     

    This information is for guidance purposes only and should not be regarded as a substitute for taking legal advice. Please refer to the full terms and conditions on our website.

    < Go back

    Print Friendly and PDF

    © Eversheds Sutherland 2023. All rights reserved. Eversheds Sutherland is a global provider of legal and other services operating through various separate and distinct legal entities.

    Eversheds Sutherland is the name and brand under which the members of Eversheds Sutherland Limited (Eversheds Sutherland (International) LLP and Eversheds Sutherland (US) LLP) and their respective controlled, managed and affiliated firms and the members of Eversheds Sutherland (Europe) Limited (each an "Eversheds Sutherland Entity" and together the "Eversheds Sutherland Entities") provide legal or other services to clients around the world. Eversheds Sutherland Entities are constituted and regulated in accordance with relevant local regulatory and legal requirements and operate in accordance with their locally registered names. The use of the name Eversheds Sutherland, is for description purposes only and does not imply that the Eversheds Sutherland Entities are in a partnership or are part of a global LLP. The responsibility for the provision of services to the client is defined in the terms of engagement between the instructed firm and the client.