Datenschutz: Google Fonts Abmahnungen

[UPDATE 2023 > siehe Ende des Beitrages]

Wichtige Information an alle Webseiten-Betreiber !

Seit etwa Mitte des Jahres gibt es in Österreich eine Abmahnwelle, aufgrund unzulässiger Nutzung von extern eingebundene "Google Fonts" (Schriftarten) auf diversen Webseiten.
Dies würde laut Abmahnung gegen die Datenschutzgrundverordnung verstoßen.

Ist dem auch so ?
Generell können und dürfen wir natürlich keine Rechtsberatung anbieten, aber Grundsätzlich würde dies wohl gegen die DSGVO verstoßen.

Sofern auf der besagten Webseite kein Opt-In Verfahren mittels Cookie-Consent Tool eingebettet ist, sprich eine explizite Einwilligung des Webseiten-Besuchers vorliegt bevor das Script geladen wird.
Das gilt für Google-Fonts als auch andere Schriftarten-Anbieter, sowie jeden anderweitigen externen Dienst außerhalb der EU - wenn der Service/Script nicht lokal eingebunden ist, sondern sich auf externe Server verbindet.

Bestes Beispiel wären alle Google Services, wo bekannterweise die Server hauptsächlich in den USA stehen - vor allem Google Analytics wo Besucher Statistik Daten gesammelt und an dessen Server übermittelt werden.
Ob bzw. welche Daten bei Google Fonts wirklich gesammelt werden, ist bisher nicht 100% klar - darüber hält sich Google bedeckt bzw. betonte, dass hier keine Daten gesammelt werden.
Ausnahme sei die IP Adresse - Diese wäre aber logischerweise nötig, da es eine Verbindung zu dessen Server gibt, um die auf der Webseite extern eingebundene Schriftart auch zu laden.

Abmahnungswelle:

Bei dieser Abmahungswelle, die Konkret von einem Anwalt ausging, wurde von den Webseitenbetreibern 100 Euro Schadensersatz sowie zzgl. 90 Euro Kostenersatz für das Einschreiten des Rechtsanwalts veranschlagt.

Wir können Rechtlich keine konkrete Aussage treffen, das Netz ist jedoch bereits voll von diversen Meinungen und Aussagen von Rechtsexperten, wie man sich in diesem Falle verhalten solle.
Weiter unten finden sie dazu hilfreiche Artikel aus den Medien und WKO.

Einig sind sich bisher so gut wie alle, dass man den geforderten Betrag nicht ohne weiteres Bezahlen solle, sondern erst eine Fristverlängerung beantragen sowie Details anfordern um überhaupt nachvollziehen zu können, ob ein berechtigter "Schaden" vorlag.

Derzeit ist sogar bereits ein Verfahren gegen diesen "Abmahnanwalt" im Gange - ob der Schadensersatz überhaupt gerechtfertigt wäre.
Die Grundlage darauf basiert jedenfalls auf einer berechtigten DSGVO Bestimmung und die Ausgangslage war wohl bereits ein vorheriger Fall in Deutschland, welchem Recht gegeben wurde.

In diesem Fall jedoch prüft die Datenschutzbehörde, ob die Nutzung wirklich gegen die Datenschutzgrundverordnung verstößt - und dies ist die einzige Instanz die ein Verstoß feststellen kann - weder ein Anwalt noch eine Mandantin könnte dies letztendlich Rechtskräftig beurteilen.

Fraglich sei nämlich, ob ein Schaden entstanden sei, da private IP Adressen (dynamisch also wechselnd) nicht immer 100% einer natürlichen Person zuweisbar sind.
Ebenfalls werden diese meist nach kurzer Zeit Anonymisiert und somit teilw. später nicht nachvollziehbar - zumindest nicht ohne rechtzeitig jegliche Details des Besuches zu übermitteln, die laut unseren Recherchen bei dem ersten Schreiben nicht vollständig übermittelt wurden.
Bei manch Aufzeichnungen von betroffenen, die öffentlich gemacht wurden, zeigte sich wiederum, dass die Besucher IP-Adresse gar nicht auf der Webseite geloggt war oder nur für 1 Sekunde, dass wiederum auf den Einsatz von Bots deutet und nicht von natürlichen Personen.
Manch einer bekam eine Abmahnung obwohl besagte IP-Adresse nie auf der Webseite war, dass wiederum auf blinde Massenaussendungen hindeutet.
Zusätzlich gingen alle Abmahnung von einem einzigen Mandanten/Klienten aus, was die Sache zusätzlich für Spekulationen offen lässt - z.B. dass es ein gezieltes Verfahren war und keine Abmahnung eines normalen Surfverhalten eines Webseiten-Besuchers - welcher unmöglich hunderte oder tausende Webseiten darauf hin durchforstet haben wird und soweit Technisch versiert ist -  so zumindest die Meinungen vieler.
Und wenn dem so wäre, könnte dies womöglich keine ausreichende Rechtslage für eine Abmahnung sein, da es keine natürliche Person u. somit kein Schaden an Persönlichen Daten entstanden wäre.
Man darf also gespant sein, was dabei raus kommt.

Unser Technischer Service für Sie:

Sollten auch Sie davon betroffen sein, nehmen Sie dies definitiv ernst und reagieren sofort und korrekt darauf (siehe Links).

Bei den Technischen Angelegenheiten können wir aushelfen.
Gerne führen wir eine kostenfreie Prüfung ihres Webauftrittes durch - ob Sie externe Tools/Dienste wie z.B. in diesem Fall Google Fonts nutzen, die ggf. nicht Datenschutzkonform eingebunden sind.
Anschließend, falls nötig, können wir ein unverbindliches Angebot für eine Umstellung unterbreiten.

Wir empfehlen kurzfristig entweder auf Google Webfonts & co generell zu verzichten oder diese lokal einzubinden und die Datenschutzbestimmungen zu aktualisieren sowie ein Cookie Consent Script zu integrieren.
Diesen Technischen Service können Sie gerne bei uns auf Anfrage buchen (keine Rechtsberatung).

[UPDATE 2023]
Mittlerweile gab es ein Gerichtverfahren und ein Urteil gegen den Anwalt und dessen Klienten.
Die Vorgehensweise war nicht rechtsgemäß. Eine Sammelklage dagegen ist geplant.
Weiteres siehe Artikel auf Futurezone

Weblinks zum Thema:

- - -

#GoogleWebfonts #googlefonts #DSGVO #Abmahnung #Abmahnwelle #Datenschutz #datenschutzgrundverordnung