Schadenersatzforderung wegen Google Fonts

Wie Sie vielleicht schon gehört haben, verschickt ein niederösterreichischer Anwalt zurzeit Schadenersatzforderungen an viele Webseiten-Betreiber.

Da dies einiges an Verunsicherung verursacht, möchte ich Sie hier in meiner Funktion als Webhoster, Betreuer von Webseiten und Datenschutz-Experte über meinen aktuellen Wissensstand informieren.

Bitte beachten Sie: Das Folgende ist nicht als Rechtsberatung zu verstehen, sondern repräsentiert meine – für Sie hoffentlich hilfreiche – Meinung.

Worum geht es?

In den Briefen erklärt Eva Z., vertreten durch den Anwalt Markus H., dass sie eine Webseite besucht hat, die Google Schriftarten (Google Fonts) verwendet und dadurch ungefragt ihre IP-Adresse an Google in den USA weitergegeben hat. Das hat die arme Frau Z. seelisch so belastet, dass sie folgendes fordert:

  1. Schadenersatz und Kostenersatz in Höhe von insgesamt € 190,-
  2. Eine Unterlassungserklärung
  3. Eine Auskunft, welche ihrer personenbezogenen Daten verarbeitet wurden

Ist diese Forderung legitim?

Update 25.8.2022: Nachdem die Sache es jetzt wirklich bis in den ORF und die Tageszeitungen geschafft hat, ist jetzt klar, dass es wohl keine weiteren Schadenersatzforderungen mehr geben wird.
Auf https://marketingrecht.eu/eva-zajaczkowska/ findet sich jetzt eine sehr interessante Beweisführung, warum die Schadenersatzforderung illegal sein dürften. Nämlich durch die Verwendung von automatisierter Software, ohne menschliches zutun. Man kann sich hier sogar einer Klage gegen Eva Z. anschließen.

Das darf zumindest bezweifelt werden.
Diese Briefe sind offensichtlich darauf ausgelegt, kleine Webseitenbetreiber einzuschüchtern und die Höhe der Forderung ist so niedrig gewählt, dass ein Rechtsstreit nicht lohnend erscheint. Es wurde auch keine Beschwerde bei der Datenschutzbehörde eingelegt. Das sieht für mich so aus, als würde hier nicht der Datenschutz im Vordergrund stehen, sondern eher der Wunsch zum Millionär zu werden.

Auch wenn ich nicht weiß, wie viele Briefe verschickt worden sind, es scheinen viele zu sein. Das lässt vermuten, dass der „Schaden“ hier bewusst herbeigeführt wird, nur um Schadenersatz fordern zu können. Ein solches Vorgehen wäre, soweit ich weiß, nicht legal. Aber ich bin eben kein Anwalt.

Einige Anwälte stellen auch in Frage, dass durch die Weitergabe der IP-Adresse tatsächlich ein Schaden entstanden ist. In Österreich gab es noch kein Urteil dazu. In Deutschland wurde im Januar einer Frau Schadenersatz in Höhe von € 100,-  zugesprochen. Auf dieses Urteil bezieht sich Markus H. und folgt der Argumentation des deutschen Gerichtes.

Andererseits ist es tatsächlich so, dass bei der Verwendung von Google Fonts in der üblichen Weise die IP-Adresse des Webseiten-Besuchers an Google weitergegeben wird. Wir müssen darauf in der Datenschutzerklärung hinweisen und begründen das mit unserem „berechtigten Interesse“ an einer ansprechenden Webseite. Also mit der „Rechtsgrundlage“ DSGVO Art 6, Abs 2, lit f (berechtigtes Interesse). Dadurch müssen wir vor der Verwendung von Google Fonts keine Einwilligung einholen.
Diese Rechtsgrundlage könnte tatsächlich nicht ausreichend sein, das wissen wir spätestens seit der Entscheidung zu Google Analytics. Aber im Gegensatz zu Google Analytics wurde dies für Google Fonts noch nicht vor Gericht bestätigt.

Der Datenschutzbeauftragte des Landes Baden-Württemberg (Deutschland) meinte in einem Podcast dazu, dass er wegen der Nutzung von Google Fonts keine Bußgelder verhängen würde. Auch die österreichische Datenschutzbehörde hat in dieser Hinsicht noch niemanden bestraft (laut RIS). Von daher habe ich die Nutzung von Google Fonts ohne Einwilligung bis zum Vorliegen einer konkreten Entscheidung als legitim betrachtet.


Update 22.8.: Die Wirtschaftskammer Wien hat mich heute dazu zurückgerufen. Im Moment verschicken sie eine E-Mail an betroffene Mitglieder, in der je nachdem ob und wie die Google Fonts eingebaut wurden, unterschiedliche Argumentationen vorgeschlagen werden.

Laut WK lässt sich der Anwalt nicht auf Fristverlängerungen ein. Sie haben inzwischen Beschwerde bei der niederösterreichischen Anwaltskammer eingelegt und vermutet, dass der Anwalt bereits abgemahnt wurde. Außerdem prüft man strafrechtliche Schritte. Leider sind das alles Maßnahmen, die Zeit brauchen. Nach wie vor ist es für die WK wichtig, von den Schadenersatzforderungen zu erfahren. Je mehr Fälle ans Tageslicht kommen, umso wahrscheinlicher ist es, dass man ihm einen Gesetzesverstoß nachweisen kann.

Die Vorschläge der WK sind im Abschnitt „Variante 1 / Prüfung“ allerdings nicht ganz richtig. Eine Anonymisierung der IP Adresse ist an dieser Stelle technisch nicht möglich, Google Fonts werden auch nicht aus Europa geliefert und ich kenne auch keinen Auftragsverarbeitervertrag bzgl. Google Fonts. Ich werde die Kollegen auf diese Fehler hinweisen und Sie sollten nicht mit diesen Punkten argumentieren!

Die WK hat außerdem erwähnt, dass Betroffene, die über eine Rechtsschutzversicherung verfügen, oft nicht zahlen würden.
Noch ist die Sache nicht soweit geklärt, dass die WK eine konkrete Handlungsanweisung geben könnte, jeder muss selbst zu einer Entscheidung kommen.

Ein anderer Anwalt bezeichnet diese Briefe auf LinkedIn als eine „für Anwälte unseriöse Vorgehensweise“ und empfiehlt eine Beschwerde bei der NÖ Anwaltskammer.


Update 21.8.: Herr Dr. Thomas Schweiger, LL.M empfiehlt hier, eine Unterlassungserklärung abzugeben und die Auskunft zu erteilen, aber den Schadenersatz nicht zu zahlen: https://www.dataprotect.at/2022/07/18/abmahnungen-wegen-google-web-fonts/
Er sammelt außerdem hier aktuelle Fälle: https://www.dataprotect.at/abmahnung-google-web-fonts/

Widerstand sammelt sich auf abmahnung.wtf. Von dort stammt auch der Hinweis auf Hr. Dr. Schweiger und man kann einen Newsletter zu den Abmahnungen abonnieren.


Zusammengefasst: Im Moment ist noch nicht abschließend geklärt, ob die Schadenersatzforderung legitim ist oder nicht. Dementsprechend gibt es auch keine eindeutige Empfehlung zu zahlen bzw. nicht zu zahlen. Hr. Dr. Schweiger und die WKO machen zumindest Vorschläge zum Umgang mit der Forderung.

Der ebenfalls enthaltene „Antrag auf Auskunft nach Art 15 DSGVO“ ist wahrscheinlich legitim und sollte beantwortet werden (falls man sich entscheidet nicht zu zahlen).

Sollte ich von der Wirtschaftskammer oder einem Anwalt weitere konkrete Handlungsvorschläge bekommen, werde ich diesen Artikel hier entsprechend aktualisieren und erneut per E-Mail informieren.

Ich habe einen solchen Brief bekommen. Was ist zu tun?

Update 25.8.2022: Google Fonts lokal einbinden halte ich immer noch für eine gute Idee, um für zukünftige Abmahner gewappnet zu sein. Und auch sonst kontrollieren, ob die Webseite vielleicht etwas fragwürdiges macht (externe Inhalte wie YouTube, Vimeo, Google Maps, Google ReCaptcha. Oder gar Google Analytics ohne um Einwilligung zu bitten).
Was die rechtlichen Aspekte und den Umgang mit der Forderung, der Unterlassungserklärung und dem Antrag auf Auskunft angeht, würde ich mich an die Ratschläge von marketingrecht.eu und Dr. Schweiger halten.

Die folgende Liste ist damit zum Teil nicht mehr aktuell, ich lasse sie trotzdem erstmal so stehen…

  1. Die Wirtschaftskammer kontaktieren, denn dort werden die Forderungen zurzeit geprüft. Die WK sollte erfahren, wie viele Betriebe betroffen sind und können hoffentlich auch bald Ratschläge zur konkreten Vorgehensweise geben.
  2. Evtl. um eine Fristverlängerung bitten, weil man Rechtsberatung in Anspruch nehmen möchte. Ob das Sinn macht, sollte die WK sagen können.
  3. Falls eine Rechtsschutzversicherung vorliegt, sollten Sie einen Anwalt kontaktieren.
  4. Entscheiden Sie, ob Sie zahlen und / oder eine Unterlassungserklärung abgeben möchten (siehe Vorschlag Dr. Schweiger)
  5. Falls Sie sich entscheiden zu zahlen oder nur eine Unterlassungserklärung abgeben: Sie verpflichten sich, ohne Einwilligung oder andere Rechtsgrundlage keine Daten mehr an Dritte weiterzugeben. Sie sollten also dafür sorgen, dass das tatsächlich der Fall ist. Nicht nur bezogen auf Google Fonts.
  6. Falls Sie nicht zahlen, sollten Sie dem Auskunftsbegehren Folge leisten. Dazu sollten Sie die verarbeiteten Daten einsammeln, denn die werden irgendwann automatisch gelöscht. Mehr dazu unten.
  7. Die Google Fonts auf Ihrer Webseite lokal einbinden, denn egal ob Sie zahlen oder nicht: das Risiko weiterer Schadenersatzforderungen bleibt sonst erhalten.
  8. Eine Beschwerde bei der NÖ Anwaltskammer https://raknoe.at/ wäre sicherlich eine gute Idee.

Einen konkreten Vorschlag, ob Sie zahlen sollten oder nicht, kann und darf ich wie oben beschrieben nicht erteilen. Aber in jedem Fall scheint es jetzt ratsam, dafür zu sorgen, dass die Google Fonts nicht mehr direkt von Google geladen werden. Und dass auch sonst keine Daten ohne Rechtsgrundlage ins Ausland weitergegeben werden. Mehr zu Google Fonts im nächsten Abschnitt.

Ich habe noch keinen Brief bekommen. Was kann ich tun, damit das so bleibt?

Man kann die Google Fonts auch so verwenden, dass sie beim Betrachten Ihrer Webseite nicht von Google, sondern direkt von Ihrer Webseite geladen werden. Damit wird die IP-Adresse auch nicht mehr an Google weitergegeben.

Das hat auch Nachteile, sonst wäre das nämlich überall so konfiguriert:

  • Das Laden der Google Fonts dauert je nach Webhoster evtl. länger, d.h. die Seite wird langsamer
  • Die Auswahl der Schriftarten in WordPress funktioniert abhängig vom verwendeten Theme oder PageBuilder evtl. nicht mehr so wie erwartet, was verwirrend sein kann.
  • Die Implementation kann abhängig von den verwendeten Themes, PageBuildern oder Plugins kompliziert sein, was zusätzliche Kosten verursacht.

Wegen dieser Gründe habe auch ich (wie 50 Millionen andere Webseiten) Google Fonts bislang „normal“ eingebunden. Aber nachdem ich mich jetzt ein paar Tage intensiv mit diesen Schadenersatzforderungen beschäftigt habe, erscheint auch mir sinnvoll, Google Fonts lokal einzubinden, um diesem Risiko aus dem Weg zu gehen.

Möchte man das Risiko einer Schadenersatzforderung also vermeiden, geht man wie folgt vor:

  1. Prüfen, ob die eigene Webseite Google Fonts verwendet und von Google lädt.
    Für die Kunden, deren Webseite ich betreue bzw. hoste, prüfe ich das und melde mich.
    Ansonsten kann man die Adresse der eigenen Webseite hier eingeben: https://sicher3.de/google-fonts-checker/ oder
    https://google-fonts-checker.54gradsoftware.de/de-DE Ich selbst prüfe Webseiten normalerweise von Hand, indem ich im Browser die „Entwicklertools“ (auch Inspektor genannt) starte, die eigene Webseite aufrufe und unter „Quellen“ nachsehe, ob fonts.googleapis.com oder fonts.gstatic.com aufgeführt sind.
    Die Entwicklertools öffnet man in Chrome, Firefox, Safari und Edge mit Strg + Umschalt + I (Windows) oder ⌥ + ⌘ + I (Mac). Übrigens müsste man theoretisch alle Unterseiten einzeln prüfen, aber normalerweise hat man auf der Startseite schon alle Schriften.
    Falls es aber eine Unterseite mit einem Slider oder anderen besonderen Inhalten gibt, lohnt es sich, sie separat zu prüfen. Falls das Ergebnis negativ ist, ist die Sache erledigt. Sonst machen Sie wie folgt weiter:
  2. Ein Backup der Webseite erstellen
    Vor jeder größeren Änderung an der Webseite sollte man ein Backup machen. Falls es dafür bei Ihnen noch keinen Mechanismus gibt, können Sie einfach das Plugin „Updraft“ installieren. Damit kann man mit einem Klick ein Backup erstellen und es auch genauso einfach wiederherstellen.
  3. Die Google Fonts „lokal“ einbinden
    Die Vorgehensweise unterscheidet sich je nach verwendetem WordPress Theme und PageBuilder.
    Manche Themes (z.B. Avada) haben einen Schalter dafür, mache erfordern, dass man vorgegebenen Code einbaut und die Schriftarten hochlädt.
    Also zuerst googlen (z.B. „Avada Google Fonts lokal“ für das Avada Theme) und den Anweisungen folgen, die man findet. Wenn man nicht fündig wird, oder es nicht wie gewünscht funktioniert, hilft das WordPress Plugin OMGF (https://wordpress.org/plugins/host-webfonts-local/). Bis jetzt hat für mich immer die kostenlose Version ausgereicht.
    Einfach in WordPress installieren, Einstellungen / Optimize Google Fonts aufrufen und dort einmal „Save and Optimize“ anklicken. Auch wenn nicht WordPress eingesetzt wird, hilft Google. Oder der Support des jeweiligen Herstellers.
    Hier pflege ich eine Liste mit Vorschlägen / Anleitungen für die lokale Einbindung von Google Fonts je nach WordPress Template:
    Google Fonts lokal einbinden (die Liste ist erst im Aufbau)
  4. Prüfen, ob die Änderung erfolgreich war.
    Das ist wichtig, denn manchmal werden die Google Fonts gar nicht vom Theme, sondern von einem Plugin geladen oder man hat sich irgendwo vertippt. Dazu einfach nochmal Schritt 1 ausführen.
  5. Aussehen der Webseite prüfen
    Prüfen, ob die Webseite noch so aussieht wie vorher, insbesondere die Schriften prüfen.
    Falls nötig korrigieren oder im Notfall das Backup zurück sichern und sich Unterstützung holen.

Wie reagiere ich auf den Antrag auf Auskunft?

Laut DSGVO hat jeder das Recht zu erfahren, welche personenbezogenen Daten von einer Firma konkret verarbeitet wurden bzw. werden.
Normalerweise würde man mit dem Antragsteller Kontakt aufnehmen und höflich fragen, was genau er wissen möchte. Das macht es leichter, die gewünschte Auskunft zu erteilen.

Auf dieses Recht beruft sich Markus H., verzichtet aber auch gleich wieder auf die Auskunft, wenn man den Schadenersatz zahlt. D.h. wenn man sich entschließt zu zahlen, muss man sich um die Auskunft nicht mehr kümmern.

Wenn Sie sich jedoch entscheiden, nicht zu zahlen, müssen Sie die gewünschte Auskunft erteilen, ansonsten droht eine Strafe. Und hier macht es wohl auch wenig Sinn, mit Markus H. Kontakt aufzunehmen.

Diese Auskunft müssen Sie binnen eines Monats nach Antrag erteilen, können sich diese Frist aber um zwei Monate verlängern. D.h. wenn Sie mehr Zeit brauchen, informieren Sie Markus H. schriftlich, dass Sie die gewünschten Informationen bereitstellen werden, aber mehr Zeit benötigen, um sich bei der Auskunftserteilung helfen zu lassen. Erwähnen Sie, dass Sie die Auskunft binnen 3 Monaten nach Antrag erteilen werden.

Um eine Auskunft erteilen zu können, müssen Sie erst einmal wissen, welche Daten Sie von Eva Z. verarbeitet haben. Ich gehe mal davon aus, dass Sie mit der Dame bisher keinerlei Kontakt hatten, d.h. wir reden hier nur von der Datenverarbeitung, die bei einem Besuch Ihrer Webseite passiert. Falls Sie tatsächlich schon einmal Kontakt mit Eva Z. hatten, müssten Sie die dabei verarbeiteten Daten ebenfalls in die Auskunft einbeziehen.

Welche Daten Ihre Webseite von jedem Besucher verarbeitet, sollte in Ihrer Datenschutzerklärung vermerkt sein. Das sind zumindest  die Informationen, die im Protokoll des Webservers gespeichert wurden. Dann die IP Adresse etc. die durch die Nutzung von Google Fonts an Google weitergegeben wurden. Falls Sie Google Analytics, Facebook Pixel verwenden, oder Google Maps oder YouTube Videos eingebunden haben, gehören auch die dabei übertragenen Daten dazu.

Da Markus H. auch Kopien der verarbeiteten Daten haben möchte, müssen Sie dann noch herausfinden, ob Teile dieser personenbezogenen Daten gespeichert worden sind.
Die Protokolle des Webservers können Sie bei ihrem Webhoster herunterladen und können dort nach der im Brief angegebenen IP-Adresse suchen. Diese Einträge müssen Sie weitergeben.
Wenn Sie Google Analytics verwenden und die IP Adresse dort nicht anonymisiert wird, müssten Sie auch dort nach der IP-Adresse suchen und die gefundenen Daten herausgeben.

Oft werden Sie aber von einem einfachen Webseiten-Besucher außer dem Protokoll keine gespeicherten Daten finden. Meine Webserver speichern die Zugriffe nur für einen Monat mit der kompletten IP-Adresse, in älteren Protokollen sind IP-Adressen anonymisiert. In Ihre Auskunft gehören natürlich nur Protokollinhalte, in denen die komplette IP-Adresse vermerkt ist. Bei mir sähe das z.B. so aus:

94.16.33.171 - - [21/Aug/2022:11:44:43 +0200] "GET / HTTP/1.0" 200 23371 "https://tethis-it.at/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/104.0.5112.81 Safari/537.36 Edg/104.0.1293.54"
94.16.33.171 - - [21/Aug/2022:11:44:44 +0200] "GET /robots.txt?1661075085635 HTTP/1.0" 200 944 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/104.0.5112.81 Safari/537.36 Edg/104.0.1293.54"
94.16.33.171 - - [21/Aug/2022:11:44:44 +0200] "POST /wp-content/plugins/matomo/app/matomo.php?action_name=tethis%20IT%20-%20Kluge%20IT%20f%C3%BCr%20Unternehmer&idsite=1&rec=1&r=535830&h=11&m=44&s=45&url=https%3A%2F%2Ftethis-it.at%2F&urlref=https%3A%2F%2Ftethis-it.at%2F&_id=&_idn=1&send_image=0&_refts=0&pdf=1&qt=0&realp=0&wma=0&fla=0&java=0&ag=0&cookie=1&res=1920x1080&pv_id=VJCUh6&pf_net=0&pf_srv=688&pf_tfr=35&pf_dm1=167 HTTP/1.0" 204 751 "https://tethis-it.at/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/104.0.5112.81 Safari/537.36 Edg/104.0.1293.54

Mit diesen gesammelten Informationen können Sie jetzt z.B. die entsprechende Vorlage der Wirtschaftskammer ausfüllen:
https://www.wko.at/service/wirtschaftsrecht-gewerberecht/eu-dsgvo-musterschreiben-auskunftserteilung.html

Die Art der verarbeiteten Daten ist für jede Webseite anders, deshalb kann ich hier kein allgemeingültiges Beispiel zur Verfügung stellen.
Aber ich werde mich bemühen, zumindest ein Beispiel für den Teil bzgl. Google Fonts zu erstellen und hier zu ergänzen.

Google schreibt übrigens zur Datenverarbeitung im Rahmen von Google Fonts folgendes (lt. https://developers.google.com/fonts/faq)

Die Google Fonts-API protokolliert die Details der HTTP-Anfrage einschließlich des Zeitstempels, der angeforderten URL und aller HTTP-Header (einschließlich Verweis-URL und User-Agent-String), die in Verbindung mit der Verwendung der CSS API bereitgestellt werden.
IP-Adressen werden nicht protokolliert.

Eine Herausforderung gibt es dabei: Werden die Daten an ein nicht-EU Drittland weitergeben, muss man auch die „entsprechenden Garantien“ für eine sichere Datenverarbeitung angeben.
Bei Google Fonts geben wir die Daten in die USA weiter und hätten in der Vergangenheit das „Privacy Shield“ als Garantie angegeben. Da das jetzt nicht mehr gilt, ist ein „Auftragsverarbeitervertrag mit Standardvertragsklauseln“ nötig. So etwas kann man mit Google z.B. für Analytics oder andere Dienste abschließen, wahrscheinlich gilt diese Vereinbarung nicht für die Google Fonts. Wir können den Punkt also nur auslassen, oder auf die Google Datenschutzerklärung (https://policies.google.com/privacy) und die Tatsache, dass die IP Adressen nicht protokolliert werden, verweisen.

Benötigen Sie Hilfe?

Wenn Sie beim lokalen Einbinden der Google Fonts oder beim Erstellen der Auskunft Hilfe benötigen, können Sie mich gerne kontaktieren.
Da der Aufwand je nach Aufbau Ihrer Webseite sehr unterschiedlich sein kann, kann ich (noch) keine Pauschalpreise anbieten und erstelle Ihnen ein individuelles Angebot. Üblicherweise nimmt die lokale Einbindung der Google Fonts aber nur rund eine halbe Stunde in Anspruch.

Falls ich helfen kann, kontaktieren Sie mich bitte per Mail an office@tethis-it.at.

0 Kommentare

Hinterlasse einen Kommentar

An der Diskussion beteiligen?
Hinterlasse uns deinen Kommentar!

Schreibe einen Kommentar