Achtung! Diese Seite wird laufend erweitert und verbessert. Bitte für den Letztstand öfters vorbeischauen bzw. unseren Newsletter rechts unten auf der Seite abonnieren. Stand: 25.8.2022 12:30
Letzte Woche flatterten mehreren unserer Mitglieder Abmahnschreiben ins Haus, in denen sie vom Herrn Rechtsanwalt Hohenecker (der sich selbst als “Datenschutz-Anwalt” bezeichnet) beschuldigt werden, es würden durch die Verwendung von Google Fonts die Rechte seiner Mandantin verletzt. Durch die Einbindung von Google Fonts wäre die IP-Adresse seiner Mandantin in die USA übertragen worden, was gegen die DSGVO verstoßen würde.
In dem Schreiben liegt ein Angebot zu einem Vergleich bei. Nach Zahlung von 100 EUR Entschädigung plus 90 EUR für die Dienste des Rechtsanwaltes kann man die Sache mit einem Vergleich aus der Welt schaffen.
Derartige Schreiben scheinen derzeit einer Vielzahl von Unternehmen zuzugehen, da es auch in den Sozialen Medien bereits einige Aufregung zu diesem Thema gibt. Daher haben wir uns der Sache angenommen und die Sachlage analysiert, sowohl technisch wie rechtlich.
Update: In einem Forum haben sich bisher mehr als 600 Betroffene gemeldet. Auch von den verschiedenen Landeswirtschaftskammern hört man, dass es sich um viele hundert Betroffene handeln muss.
Update 2: Der Rechtsanwalt Hohenecker hat in einem Interview im Standard bekannt gegeben, keine weiteren Abmahnungen mehr verschicken zu wollen, da “der Zweck erfüllt wäre”. Bereits versendete Schreiben behalten aber ihre Gültigkeit.
Update 3: Wir haben einen Muster-Antwortbrief aufgesetzt (siehe Ende der Seite), in dem erst einmal Informationen angefordert werden.
Die im Internet veröffentlichte Vollmacht als signiertes PDF scheint nicht in Ordnung zu sein, da A-Trust bei der Überprüfung ein gelbes Warndreieck statt einem grünen Haken ausgibt (siehe Screenshot rechts). Auch ist die Vollmacht teilweise unleserlich. Hier muss man sehr genau sein, sagt auch VwSlg 19411 A/2016.
Update 4: Im Internet findet man mittlerweile diverse vorformulierte Unterlassungserklärungen. Viele von diesen sind aus unserer Sicht viel zu weit formuliert und stellen ein Schuldanerkenntnis dar, das sich später als nachteilig erweisen könnte. Daher sollte man eine solche Erklärung nicht früher als unbedingt nötig abgeben. Unser untenstehender Antwortbrief verschafft Zeit.
Haftungsausschluss: wir weisen darauf hin, dass all diese Informationen auf dieser Seite allgemeiner Natur sind und keine konkrete rechtliche Beratung ersetzen können. Im Einzelfall kann es immer Details geben, die von unseren Informationen nicht abgedeckt werden. Bitte geht mit diesen Informationen verantwortungsvoll um.
Technische Betrachtung
Der Server gibt keine Daten weiter
Technisch gesehen ist der Vorwurf zunächst unsinnig, weil ja das Gerät der Mandantin selbst die Verbindung hergestellt und die IP-Adresse weitergegeben hat. Die Webseite, die angesurft wird, sagt dem Browser des Surfers, dass ein bestimmter Font geladen werden soll. In vorliegendem Fall wird der Font von einem Server namens “fonts.gstatic.com” geladen. Der Browser der Mandantin führt dann den Ladevorgang tatsächlich durch, und erst dabei wird die IP-Adresse an Google weitergegeben.
Nutzer*innen können das Laden von Web-Fonts leicht verhindern
Das Laden von externen Fonts kann von Surfenden – falls das nicht gewünscht sein sollte – technisch relativ leicht unterbunden werden. Es ist also eine individuelle Entscheidung jeder einzelnen Person, ob diese Fonts vom Server von Google geladen werden oder nicht. Wer sich an diesen Fonts generell stört, kann das wie folgt unterbinden:
Für Google Chrome: Rechtsklick auf das Startsymbol von Chrome – Eigenschaften – und dann am Ende des Startstrings von Chrome folgende Zeichenkette anhängen:
” –disable-remote-fonts” (ohne Anführungszeichen).
In Mozilla Firefox “about:config” öffnen und ““gfx.downloadable_fonts.enabled” auf “false” setzen.
Diese leichte Abschaltbarkeit ist weiter unten noch juristisch von Bedeutung.
Juristische Betrachtungen
Juristisch ist an den Behauptungen und dem Abmahn-Vorgang selbst vieles zweifelhaft. Zu beachten ist allerdings, dass jeder Fall individuell analysiert werden muss. Die nachfolgenden Analysen stellen daher keine allgemein gültigen Empfehlungen dar, sondern basieren auf den Fällen unserer Mitglieder. Andere Fälle sind möglicherweise anders zu beurteilen.
Google speichert gar keine IP Adresse
Wenn man die Beschreibungen zu den Google Fonts aufmerksam durchliest, stellt man fest, dass Google beim Laden der Web-Fonts keine IP-Adresse speichert.
Das ist in den FAQs zu den Google Fonts nachzulesen. Auch werden von Google keine Cookies im Browser des Clients gesetzt. Man kann also bei der Nutzung dieser Fonts aufgrund der Zusicherung von Google davon ausgehen, dass keine personenbezogenen Daten von Google gespeichert werden. Damit liegt auch keine Datenverarbeitung im Sinne der DSGVO vor.
Die IP-Addresse wird zwar während des Abrufs übertragen, weil das technisch notwendig ist. Sie wird jedoch nicht permanent gespeichert. Es wurde bereits in Gerichtsurteilen festgehalten, dass diese technische Art der Datenverwendung keine Speicherung im juristischen Sinn darstellt. Daher kann sie auch keine Datenverarbeitung im Sinne der DSGVO darstellen. Auf jeden Fall ist diese Übertragung und kurzzeitige Speicherung als berechtigtes Interesse gerechtfertigt, da sie keine bleibenden Auswirkungen hat. Denn:
Für die Forderung eines Schadensersatz muss ein tatsächlicher Schaden nachgewiesen werden
Selbst wenn Daten übertragen und von Google verarbeitet worden wären, müsste ein konkreter (immaterieller) Schaden nachgewiesen werden, eine alleinige Rechtsverletzung bzw. nur ein hervorgerufenes Ärgergefühl, ein “Gefühlsschaden”, dass Daten weitergegeben wurden, reicht nicht aus um eine Schadensersatzpflicht zu begründen (vgl. Schweiger in Knyrim DatKomm Art 82 DSGVO RZ 26).
Massenabmahnungen sind sittenwidrig
Da eine ganze Reihe von Webseiten abgemahnt wurden, wird hier wohl bewusst, ja systematisch das Internet durchforstet und dort gezielt nach der Verwendung von Google Fonts gesucht.
Es ist anzunehmen, dass hier tausende solcher Briefe verschickt wurden. Wenn auch nur die Hälfte der verunsicherten Empfänger auf die Forderung eingehen, dann sind wir hier schon in einer Größenordung von hunderttausenden Euro. Das erscheint als durchaus spannendes, aber sittenwidriges Geschäftsmodell.
Unter diesem Aspekt dürfte es bei diesen Massenbriefen nicht um die Herstellung eines rechtskonformer Zustands, sondern um das nicht schutzwürdige Ziel der persönlichen Bereicherung gehen.
So eine Vorgehensweise verstößt jedenfalls gegen den Grundsatz von Treu und Glauben. Es wird sittenwidrig ein behaupteter “Schaden” geltend gemacht, der jedoch durch das gezielte Aufsuchen der Webseiten selbst verursacht wird. Wie oben gezeigt kann das Laden der Fonts in den Browsereinstellungen leicht selbst unterbunden werden. Will man trotzdem jemand anderen dafür verantwortlich machen (und das gleich massenweise), so ist so eine Rechtsausübung schlichtweg schikanös, was zum Glück auch von den Gerichten so gesehen (und geahndet) wird.
Wichtig: Die Datenschutzauskunft muss erteilt werden!
Auch die Datenschutzbehörde wurde schon mit dieser Causa befasst. Sie hält offiziell fest, dass die vom Anwalt geforderte Datenschutzauskunft zu erteilen ist. Allerdings muss man sich vor Erteilung der Auskunft vergewissern, dass der Anwalt über eine entsprechende Vollmacht verfügt und sich diese zusenden lassen.
Update: die im Internet bereitgestellte Vollmacht des Rechtsanwalts ist ein signiertes PDF, bei dem die Signaturprüfung von A-Trust ein gelbes Warndreieck ausspuckt. Da sollte man eine tadellose Vollmacht verlangen, siehe unseren Musterbrief weiter unten.
Es muss bei einer solchen Auskunft nämlich gewährleistet sein, dass es sich tatsächlich um die Person handelt, bevor eine Auskunft erteilt wird. Sonst macht man sich einer Verletzung der DSGVO schuldig. Das sieht auch der VwGH so (VwSlg 19411 A/2016 ).
Weiters müsste von der anfragenden Person nachgewiesen werden, dass die IP-Adresse zum Zeitpunkt des Abrufs auch tatsächlich der Mandantin zugewiesen war, da es sich um eine temporäre IP-Adresse handeln könnte. Dazu braucht es auch genauerer Angaben, wann genau der Abruf passiert sein soll. Update: Siehe dazu unseren Musterbrief am Ende der Seite.
Sodann muss man tatsächlich in den Logdateien der eigenen Webseite nachsehen, ob diese IP-Adresse vorhanden ist, und diesen Eintrag beauskunften. Ist diese IP-Adresse aber nicht zu finden, dann wäre das ein Hinweis darauf, dass die Abfrage gar nicht von der Klientin, sondern jemand anderem gemacht wurde, was ein strafrechtlich relevanter Betrug sein könnte.
Achtung! Man sollte auch die anderen Daten nach der Mandantin durchsuchen, z.B. die Kundendaten eines Webshops oder etwaige Mitgliederlisten. Denn etwaige Einträge müssen vollständig beauskunftet werden!
Zukunftssicherheit
Wer auf Nummer sicher gehen will, sollte die Fonts künftig nur lokal hosten. Und bei der Gelegenheit auch kontrollieren, welche anderen externen Ressourcen so geladen werden und ob die nicht besser lokal sein sollten. Ernst Michalek hat zu den Google Fonts eine Anleitung für WordPress geschrieben.
Die Digital Society
Die Digital Society setzt sich aktiv für den Schutz der Rechte der Menschen im Internet ein. Wir sind starke Befürworter des Datenschutzes und sehen es auch als notwendig an, dass Datenschutzrecht durchgesetzt wird.
Hier geht es aber wohl weniger um die Durchsetzung von Datenschutzrecht, sondern um schlichtweg sittenwidrige Bereicherung (wie das Gerichte in ähnlichen Massenabmahnungsverfahren schon mehrfach festgestellt haben). Da auch gewerbsmäßiger schwerer Betrug als Möglichkeit im Raum steht, werden wir diese Sachverhalte juristisch prüfen lassen und gegebenenfalls strafrechtliche und andere juristische Schritte einleiten.
Wir bitten daher von solchen Abmahnungen Betroffene, sich bei uns zu melden: info@digisociety.ngo
Wir sammeln Beweise für ein mögliches strafrechtliches Verfahren. Wenn ihr die in der Abmahnung angegebene IP-Adresse in euren Logdateien findet, dann schickt uns bitte die zugehörigen Zeilen. So lässt sich der Massenabmahnungscharakter klar zeigen. Und ja, diese Art der Datenweitergabe ist DSGVO-konform, da Strafverfolgung durch berechtigtes Interesse gedeckt ist.
Update: auf der Webseite abmahnung.wtf kann man sich als Opfer der Abmahnwelle registrieren und erhält Informationen über neueste Entwicklungen. Dort kann man auch die eigenen Auszüge aus den Logdateien für die angemahnte IP-Adresse hochladen.
Achtung! Aber auch, wenn ihr die IP-Adresse in euren Logdateien der letzten Monate NICHT findet, ist das ein interessantes Indiz, das wir sammeln möchten. Teilt uns das bitte mit!
Wir können nur hoffen, dass sich diese Information schnell verbreitet und nicht noch mehr Webseitenbetreibende auf diesen Abzock-Versuch hereinfallen.
Bitte sagt das weiter!
Musterbrief
Untenstehend haben wir einen Musterbrief aufgesetzt, den unsere betroffenen Mitglieder zurückgeschickt haben.
Der Brief sollte als Einschreiben mit Rückschein verschickt werden, damit man auch einen Nachweis hat, dass er zugegangen ist. In dem Brief werden erst einmal wichtige Informationen abgefragt. Die im Internet veröffentlichte Vollmacht als signiertes PDF scheint nicht in Ordnung zu sein, da A-Trust bei der Überprüfung ein gelbes Warndreieck statt einem grünen Haken ausgibt. Da braucht man natürlich das Original. Weiters ist es datenschutzrechtlich unerlässlich, dass uns als Webseitenbetreibende mitgeteilt wird, zu welchem Zeitpunkt die Abfrage passiert ist. Da die angegebene IP-Adresse eine dynamische Adresse ist, die sich ändern kann (und sich auch offenbar geändert hat, wie man an den vielen verschiedenen IP-Adressen in den Abmahnungen sehen kann), darf man ohne eine halbwegs übereinstimmende Zeitangabe keine Information aus den Logdateien hergeben, da diese ja auch eine andere Person betreffen könnten. Da muss man sehr genau sein.
Daher beschränkt sich auch unsere Beantwortung der Datenauskunftsanfrage auf die Daten, die wir durch die Abmahnung erhalten haben. Erst nach Vorliegen der notwendigen Informationen können wir nähere Auskunft geben. Wenn ihr natürlich aus anderen Quellen Daten gespeichert habt, müsst ihr die korrekt beauskunften. Eine Suche in euren Datenbeständen (zB Kundendaten) bleibt euch nicht erspart.
Zum Schluss wollen wir natürlich auch wissen, welche Daten der Rechtsanwalt und seine Mandantin über uns gespeichert haben, und zwar nicht nur zu unserem Namen, sondern auch zu unserer persönlichen IP-Adresse (wir waren ja auf seiner Webseite), unserer Server-IP-Adresse (von der wurde ja abgefragt und die muss auch gespeichert sein) und unseren Internetdomains (wir wollen wissen, ob die sich in irgendwelchen Logdateien finden). Diesen dritten Punkt bitte bei Verwendung im Musterbrief mit den eigenen Daten zu IP-Adresse und Domains ergänzen.
Betreff: Vorgebliche Google Fonts Datenschutzverletzung; Datenschutz-Auskunft
Sehr geehrter Herr Magister,
Ich habe Ihr Schreiben dankend erhalten und freue mich darüber, dass Ihre Mandantin derartig hohe Ansprüche an Datenschutz stellt.
1) Ersuchen um weitere Informationen
Leider kann ich Ihrem Ansinnen nicht nachkommen, da Sie vergessen haben, eine von Ihrer Mandantin unterzeichnete Vertretungsvollmacht sowie eine ungeschwärzte Ausweiskopie Ihrer Mandantin dem Schreiben beizulegen. Ich ersuche, dies umgehend nachzuholen.
Die unter dem in Ihrem Anschreiben angegebenen Link herunterladbare Vollmacht in Form eines signierten PDF-Dokuments ergibt bei Prüfung durch die A-Trust keinen grünen Haken als Status, sondern ein gelbes Warndreieck. Sie werden daher dafür Verständnis haben, dass ich auf dem Original bestehen muss.
Weiters benötige ich weitere Angaben, um Ihren Anspruch prüfen und Ihrer Auskunftsbitte Folge leisten zu können und ersuche um baldigste Beantwortung folgender Fragen:
Zu welchem Zeitpunkt (Datum und Uhrzeit) erfolgte der Zugriff auf meine Webseite durch Ihre Mandantin von der angegebenen IP-Adresse aus?
Mit welchen Mitteln erfolgte der Zugriff?
Zudem benötige ich einen Nachweis, dass Ihre Mandantin zu diesem Zeitpunkt auch Inhaberin der angegebenen IP-Adresse war.
2) Beantwortung des Auskunftsansuchens laut Art 15 DSGVO
Zum Auskunftsanspruch: über Ihre Mandantin verarbeite ich derzeit – mit Ausnahme der im Rahmen des gegenständlichen Auskunftsbegehrens von Ihnen an mich übermittelten Daten – keine personenbezogenen Daten.
Über eine Verarbeitung der angegebenen IP-Adresse Ihrer Mandantin kann und darf ich erst Auskunft geben, wenn für mich feststeht, dass Ihre Mandantin zum Zeitpunkt des Zugriffs auch tatsächlich Inhaberin der angegebenen IP-Adresse war, da ich ansonsten möglicherweise personenbezogene Daten einer anderen Person unberechtigterweise herausgeben würde.
Da mir der Datenschutz ein Herzensanliegen ist, haben Sie sicherlich dafür Verständnis, wenn ich hier besonders genaue Maßstäbe anlege, wie sie ja auch von Ihrer Mandantin gefordert werden. Auch der VwGH sieht das so streng, siehe VwSlg 19411 A/2016.
Ich weise Sie hiermit auf Ihr Recht hin, sich an die Datenschutzbehörde zu wenden, wenn Sie mit dieser Auskunft unzufrieden sein sollten.
Ich betone jedoch, dass ich gerne weitere Auskünfte erteile, sobald die noch offenen Fragen hinsichtlich der Berechtigung Ihrer Mandantin geklärt sind.
3) Antrag auf Auskunft laut Art 15 DSGVO
Im Gegenzug ersuche ich um Auskunft gemäß Art. 15 der Datenschutz-Grundverordnung, welche personenbezogenen Daten zu meiner Person bei Ihnen und Ihrer Mandantin verarbeitet wurden und werden.
Ich weise darauf hin, dass neben mit meinem Namen verknüpfte personenbezogenen Daten auch alle Daten in Verbindung mit folgenden personenbezogenen Daten zu beauskunften sind:
- IP-Adresse meines Clients: xxx.xxx.xxx.xxx
- IP-Adresse meines Servers: xxx.xxx.xxx.xxx
- Auf mich registrierte Domains: xxx.xx, xxx.xx
Es sind also im Besonderen auch alle Auszüge aus Logdateien, die bei Ihnen, Ihren Auftragsverarbeitern oder Ihrer Mandantin gespeichert sind und die diese meine personenbezogenen Daten enthalten, zu beauskunften.
Ich ersuche um Übermittlung aller Daten, die mit den oben genannten Daten in Verbindung stehen. Ich erwarte Ihre Antwort gemäß Art 12 DSGVO binnen eines Monats, andernfalls ich mich genötigt sehe, die diesbezüglichen Dienste der Datenschutzbehörde in Anspruch zu nehmen.
In Erwartung Ihrer geschätzten Antwort verbleibe ich
Mit vorzüglichster Hochachtung
Weiterführende Links
- In der Futurezone gibt es eine sehr gute Zusammenfassung der Ereignisse und Meinungen.
- Artikel in der NÖN
- Juristische Analyse durch Mag. Markus Dörfler, LLM
- Sehr juristisches Antwortschreiben von Dr. Thomas Schweiger, LLM
- Reddit Thread mit vielen weiteren Links und Infos
- Über den Autor
- Artikel
Roland Giersig ist Physiker, studiert Rechtswissenschaften, ist Sicherheitsexperte und Inhaber und Geschäftsführer der Firma SafeSec. Seine Anliegen sind besonders die Transparenz der öffentlichen Verwaltung und die Einhaltung der Grundrechte im digitalen Raum.