Ihr Premium Partner für Informationssicherheits-, Datenschutz- und Risikomanagementberatung
NEWS 23.08.2022
DSGVO-Abmahnungswelle überrollt Österreich!
23. August 2022
Aktuelle Information und Handlungsempfehlungen zur Abmahnungswelle in Österreich beim
Einsatz von „Google Fonts“...
Was ist denn da los in Österreich?
„Während ich – so wie der Großteil der österreichischen Unternehmer und Arbeitnehmer“ aktuell den wohlverdienten Urlaub genieße, hat ein – nennen wir es mal umsatzorientierter Anwalt – in Österreich eine DSGVO-Abmahnungswelle gestartet. Betroffen sind Webseitenbetreiber, die „Google Fonts“ einsetzen.“, so der Geschäftsführer des auf Cybersicherheit und Datenschutz spezialisierten Beratungsunternehmens secriso Consulting - Thorsten Jost – live auf Social Media aus seinem Urlaubsdomizil in Griechenland.
Wir von secriso Consulting haben uns das Vorgehen näher angesehen und geben Ihnen in diesem Artikel ein paar Hintergrundinfos und Tipps.
Was ist der Hintergrund der Abmahnungen?
Seit ungefähr 2 Monaten werden in Österreich Abmahnungen an Webseitenbetreiber versendet. Die Abmahnungen beziehen sich in diesem Fall auf den „nicht DSGVO-konformen“ Einsatz von Google Fonts bzw. der rechtswidrigen Übermittlung von personenbezogenen Daten in die USA. Von den Webseitenbetreibern werden 100 Euro Schadenersatz und 90 Euro Kostenersatz für das Einschreiten eines österreichischen Rechtsanwalts verlangt. Des Weiteren macht der Anwalt im Namen seiner Klientin ein Auskunftsbegehren nach Art 15 DSGVO geltend und verweist auf eine diesbezügliche Vollmacht, die online auf dessen Website abgerufen werden kann.
Wir stellen grundsätzlich fest, dass in der DSGVO derartige Methoden von privaten Massenabmahnungen unbekannt sind. Gemäß Art 82 DSGVO hat jede Person das Recht auf Schadenersatz, wenn ein Verantwortlicher (oder Auftragsverarbeiter) gegen die DSGVO verstößt. Die Voraussetzungen eines Schadenersatzanspruches müssen jedoch immer im Einzelfall geprüft werden. Diese Einzelprüfung ist mangels Verfahrens in Österreich mit Stand 22. August 2022 unseres Wissens nach noch nicht erfolgt.
So richtig „losgetreten“ hat die Abmahnungswelle ein Gerichtsurteil aus Deutschland, indem das Landesgericht München festgestellt hat, dass die Verwendung von Google Fonts nicht mehr auf das Interesse des Websitebetreibers gestützt werden kann und somit eine Einwilligung des Websitebesuchers erforderlich ist (in Verbindung mit Schrems II).
In diesem Zusammenhang wäre jedenfalls zu beurteilen, ob eine systematische Bereicherung durch Massen-Abmahnungen durch Privatpersonen oder Anwaltskanzleien nicht gegen das Gebot von Treu und Glauben verstoßen.
Was sind Google Fonts?
Bei Google Fonts handelt es sich um ein Verzeichnis mit Schriftarten, die von Google angeboten werden und in der eigenen Website verwendet werden können. Die Schriftarten können entweder lokal am eigenen Server hochgeladen werden oder alternativ über einen Google-Server (nach)geladen werden. Unsere Empfehlung wäre jedenfalls die Fonts nur lokal von Ihrem eigenen Server anzubieten und nicht über den Google Webserver „live“ einzubinden.
Weitere Informationen zu Google Fonts finden Sie unter:
https://fonts.google.com/about
Wie reagieren Sie auf die Abmahnung?
Vorweg, wir empfehlen Ihnen das Anwaltsschreiben jedenfalls ernst zu nehmen. Zur weiteren Orientierung geben wir Ihnen folgende Handlungsempfehlungen:
Das Wichtige zuerst: Bleiben Sie ruhig! Das was Ihnen gerade passiert, geschieht im Moment sehr vielen anderen Österreichern. Es liegt also in Ihrem eigenen Interesse, den Sachverhalt zu prüfen und nicht einfach Geld zu überweisen! Arbeiten Sie daher gründlich und keines Falls unüberlegt.
Zum Einsatz von Google Fonts:
-
Überprüfen Sie, ob Sie Google Fonts tatsächlich auf Ihrer Webseite eingebunden haben.
-
Prüfen Sie, ob aufgrund der Einbindung von Google Fonts überhaupt eine Verbindung zum Google Server aufgebaut wird. Protokollieren Sie dies gegebenenfalls.
-
Wenn Sie Google Fonts benötigen, überprüfen Sie, ob die Schriftarten vom Google Server nachgeladen werden. Wenn dies der Fall ist, ändern Sie die Einbindung, indem Sie die Schriftarten lokal einbinden.
Zur Abmahnung
-
Achten Sie auf die im Abmahnschreiben angeführte 14-tägige Antwortfrist.
-
Für eine Auskunft nach Art 15 DSGVO haben Sie grundsätzlich 1 Monat Zeit, sofern Ihnen alle relevanten Informationen (samt Identitätsnachweis) vorliegen.
-
Prüfen Sie Ihre Logfiles und Analysetools nach der im Abmahnschreiben angegebenen IP-Adresse. Ist diese in den Logfiles vorhanden, dann machen Sie einen Auszug von nur dieser IP-Adresse mit den relevanten zugehörigen Einträgen. Dies ist die Grundlage für die Auskunft.
-
Bevor Sie eine Auskunft erteilen, stellen Sie sicher, dass dem Anwalt eine gültige Vollmacht der Betroffenen vorliegt. Auch die digitale Signatur muss geprüft werden, ob diese gültig ist.
-
Da es sich nach unseren Erkenntnissen bei der IP-Adresse um eine dynamische und nicht um eine statische IP-Adresse handelt (diese ändert sich mit jeder neuen Verbindung mit dem Internet), kann uE von Ihnen als Verantwortlicher keine Zuordnung zur Person getroffen werden. Es handelt sich für Sie dabei um pseudonymisierte personenbezogene Daten. Fordern Sie den Anwalt oder Betroffenen daher auf Ihnen einen Nachweis zu übermitteln, aus dem hervorgeht, dass die angeführte IP-Adresse auch der betroffenen Person zugeordnet wurde. Dazu ist es auch erforderlich, dass Ihnen Datum und Zeitpunkt des Besuchs auf Ihrer Website genannt werden.
-
Wenn Ihnen alle relevanten Informationen vorliegen und die Identität der betroffenen Person eindeutig nachgewiesen werden kann, erteilen Sie die Auskunft per E-Mail innerhalb der Frist.
ACHTUNG: Auch wenn Sie keine Einträge in Ihren Logfiles finden, erteilen Sie eine Negativauskunft – geben Sie damit bekannt, dass von der Person keine personenbezogenen Daten von Ihnen verarbeitet werden. -
Beachten Sie, dass sich die Frist für die Auskunft nach Art 15 DSGVO um 2 Monate zu Ihren Gunsten verlängern kann, wenn Ihnen nicht zeitgerecht die für die Auskunft erforderlichen Informationen vom Betroffenen übermittelt werden.
Zur Unterlassungserklärung
-
Bevor Sie eine Unterlassungserklärung abgeben, lassen Sie diese rechtlich prüfen. Je nach Abmahnung werden oft Unterlassungserklärungen gefordert, die viel zu weitreichend sind und die später weitreichende Folgen mit sich bringen. Konsultieren Sie unbedingt Ihren Anwalt, bevor Sie derartige Schreiben unterfertigen!
Zu den Kosten für einen Schadenersatz
-
Der tatsächliche Verstoß gegen die datenschutzrechtlichen Vorgaben löst zwar grundsätzlich einen Schadensersatzanspruch aus, die Rechtsverletzung muss vom Betroffenen aber zunächst nachgewiesen werden. Die reine Behauptung der Verletzung reicht wohl nicht aus. Zu prüfen wäre auch, ob die IP-Adresse des Webseitenbesuchers bei der Übertragung an Google kaskadiert wurde, dann ist von dem Vorliegen eines datenschutzrechtlichen Verstoßes schon nicht mehr auszugehen.
-
Der Schadenersatzanspruch (der höchstwahrscheinlich nicht gerechtfertigt ist) wäre uE ablehnen, wobei anzumerken ist, dass es dazu noch keine klare Rechtsprechung in Österreich gibt, und die Frage, ob ein “Kontrollverlust” ausreichend ist, um einen (immateriellen) Schaden iSd Art 82 DSGVO darzustellen, letztendlich beim EuGH liegt. In diesem Zusammenhang wäre jedenfalls auch technisch einzubringen, ob die Person selbst überhaupt auf der Webseite war oder ob der sogenannte „Besuch“ eventuell durch ein automatisiertes Programm (Crawler) erfolgte.
Gerne helfen wir Ihnen! Kontaktieren Sie uns einfach unter office@secriso.com oder telefonisch unter +43 463 276376.
Recherchequellen zum Hintergrund:
https://www.dsb.gv.at/download-links/bekanntmachungen.html#Google_Fonts
https://www.wbs-law.de/it-und-internet-recht/datenschutzrecht/google-webfont-musterschreiben-61157/
https://www.dataprotect.at/2022/08/19/google-fonts-abmahnung-die-nächste-welle/
https://liebrecht-haas.com/rechtliches/abmahnung-google-fonts-pruefen/