Die Digital Society hat eine Reihe an Beschwerden über die Aussendung der Abmahnungen über die Verwendung von Google Fonts durch Herrn Rechtsanwalt Hohenecker von Mitgliedern und anderen Betroffenen erhalten. Wir sind den Beschwerden nachgegangen und haben die Informationen analysiert. Dadurch sind wir zur Erkenntnis gekommen, dass hier ein möglicherweise schweres Betrugsdelikt vorliegen könnte. Diesen Sachverhalt haben wir der Staatsanwaltschaft angezeigt.
Beim Betrug täuscht die Täterin/der Täter das Opfer bewusst über Tatsachen. Diese Täuschung hat einen Irrtum der getäuschten Person zur Folge, welcher ihr Person einen Vermögensschaden zufügt und zu einer unrechtmäßigen Bereicherung der Täterin/des Täters (oder anderer Personen) führt. Wir sehen in diesem Falle alle Tatbestandteile erfüllt. Im Folgenden fassen wir unsere Argumente aus der Sachverhaltsdarstellung kurz zusammen:
Vorsätzliche Täuschung und mögliche Bereicherungsabsicht
Frau Z. und Herr RA H. haben in einer Anzahl von versendeten Abmahnungen Behauptungen aufgestellt, die objektiv unrichtig sind. Diese Behauptungen sind geeignet, Dritte über das Vorliegen einer Rechtsverletzung zu täuschen und dazu zu bewegen, den in den Abmahnungen geforderten Betrag von EUR 190 zu bezahlen und somit einen finanziellen Schaden hervorzurufen. Der Betrag war dazu bestimmt, direkt Frau Z. und RA H. zuzufließen und diese zu bereichern.
Große Anzahl an Betroffenen und Wiederholungsabsicht
Die Abmahnungen wurden in großer Zahl und in mehreren Wellen ausgesendet, die sich von Juni bis August 2022 erstreckten. An die 1000 Abgemahnte haben sich in einem Forum gemeldet, die Salzburger Nachrichten sprechen in einem Artikel gerüchteweise von 50.000 Aussendungen. Jede der Abmahnungen hat eine Zahlung von EUR 190 gefordert, was zu einer Schadenssumme führt, die mindestens EUR 190.000 beträgt. Eine Schadensumme von EUR 300.000 wird ab etwa 1.600 ausgesendeten Abmahnungen erreicht, welche laut Presseberichten erreicht worden sein sollte. Weiters gibt es Beweise, dass die Kontaktadressen der Abzumahnenden automatisiert aus den Webseiten ausgelesen wurden, was eine Wiederholungsabsicht nahelegt. Durch das wiederholte Aussenden ergibt sich, dass der Betrug gewerbsmäßig durchgeführt wurde.
Die uns vorliegenden Abmahnungen sind identischen Inhalts und unterscheiden sich nur durch die Daten der abgemahnten Person (inklusive Webseite), durch die angegebene IP-Adresse und durch zwei Screenshot, die als “Beweis” beigefügt werden. Diese Briefe wurden dem Anschein nach vollautomatisch als Serienbriefe gedruckt.
Unrichtige Behauptungen
Die objektiv unrichtigen Behauptungen, die zur Täuschung der Opfer geführt haben, sind teilweise offensichtlich erkennbar und wären jedem Menschen bei auch nur oberflächlicher Kontrolle der Schreiben aufgefallen. Viele weitere objektiv unrichtige Behauptungen wären bei einer sorgfältigen Kontrolle der Details aufgefallen, die in ihrem Sorgfaltsgrad bei der Schwere der Anschuldigungen angemessen gewesen wäre. Durch die Unterlassung einer auch nur oberflächlichen Kontrolle haben Frau Z. und RA H. es billigend in Kauf genommen, dass die Abmahnungen objektiv unrichtige Behauptungen enthalten und daher zumindest bedingt vorsätzlich gehandelt.
Es haben sich in der Folge über 60 Betroffene bei uns gemeldet. Davon haben uns 8 Betroffene ihre Logdateien zur Analyse übersendet, in denen die abgemahnten Anfragen auch zu finden waren.
Es wurden bei den betroffenen Abgemahnten deren Webserver-Zugriffprotokolle daraufhin analysiert, welche Abfragen tatsächlich von der jeweils angegebenen IP-Adresse zu welchem Zeitpunkt getätigt wurden. Weiters wurde analysiert, welche anderen verdächtigen Zugriffe rund um diese Abfragen getätigt wurden. Zuletzt wurde die tatsächliche Konfiguration der jeweiligen Webseite festgestellt sowie, ob durch die Konfiguration tatsächlich eine Weitergabe der IP-Adresse möglich ist.
Dabei ergeben sich eine Reihe von Widersprüchen zu den Behauptungen in der Abmahnung.
- Auf einigen Webseiten von Abgemahnten ist die behauptete Weitergabe der IP-Adresse via Verwendung von Google Fonts technisch gar nicht möglich. Auf diesen Webseiten werden die Google Fonts direkt von der Webseite der Abgemahnten ausgeliefert. Dadurch erfährt Google nichts vom Zugriff auf die Fonts.
- Auf manchen der vorgelegten Screenshots sind Umstände zu sehen, die kein vernünftiger Mensch als Beweis vorlegen würde. Das sind beispielhaft:
- Großes Cookie-Banner, das die Webseite verdeckt
- Datenbankfehler
- HTML Code der Webseite, auf dem eine Fehlermeldung zu sehen ist
- Aus den Logdateien ist ersichtlich, dass Abrufe nicht durch einen Menschen erfolgten, sondern automatisiert durchgeführt wurden. Bei diesen Abrufen wurden lediglich die HTML- und CSS-Informationen abgerufen, also nur Text und Formatierung, aber keinerlei Bilder oder sonstige Medien. Dadurch würde die Webseite in einem Browser fast unleserlich dargestellt werden. Weiters wurden auch keine ImpressumsInformationen mit einem Browser abgerufen. Die KontaktInformationen aus den Impressen wurden beweisbar über einen kommerziellen Impressums-Service aus den Webseiten ausgelesen.
Rechtliche Überlegungen
Aus der Kombination der aufgestellten Behauptungen und der Faktenlage, wie sie sich aus den diversen Analysen ergibt,ergeben sich sowohl technische wie auch juristische Widersprüche.
Google Fonts waren lokal oder über einen Proxy eingebunden.
Es ist in mehreren Fällen nachweisbar, dass die Google Fonts direkt vom Server der Abgemahnten ausgeliefert wurden, weil sie entweder lokal am Server gespeichert waren oder ein Proxy verwendet wurde. In letzterem Fall wurden die Google Fonts zunächst auf den Server geladen, dort gespeichert und erst in einem zweiten Schritt an Frau Z. ausgeliefert. In beiden Fällen war technisch sichergestellt, dass die IP-Adresse von Frau Z. nicht an Google übertragen wurde.
Dass auf diesen Webseiten die Google Fonts direkt ausgeliefert werden und nicht von Google kommen (wodurch die Übertragung der IP-Adresse stattfindet), ist aus dem HTML- und CSS-Code der Webseite für eine fachkundige Person offensichtlich. Hält eine Person wie Frau Z. Nachschau, ob die Webseite Google Fonts verwendet, so stolpert sie zwangsläufig darüber, dass die Google Fonts ohne eine Weitergabe der IP-Adresse an Google ausgeliefert werden. Es ist nicht möglich, diese Information zu übersehen.
Wird hingegen die Webseite automatisiert von einem Programm (Web-Crawler) ausgelesen, so würde diesem bei schlampiger Programmierung nicht auffallen, dass die Google Fonts über einen Proxy eingebunden sind. Dies würde erst bei einer manuellen Kontrolle auffallen.
Dass dieser Fehler gemacht wurde, dass also abgemahnt wurde obwohl ersichtlich war, dass die Google Fonts nicht von Google abgerufen wurden zeigt, dass ein automatischer WebCrawler zum Einsatz kam und dessen Arbeit nicht von einem Menschen kontrolliert wurde.
Die Art der Verwendung der Google Fonts (ob sie von Google geladen werden oder lokal eingebunden sind) ist ein zentraler Punkt der Abmahnung. Wird dies nicht genau kontrolliert (was durch die vorliegenden Nachweise evident ist), sondern hier Fehler in Kauf genommen, so liegt zumindest bedingter Vorsatz vor.
Caching der Google Fonts
Google bedient sich eines Netzwerks von Servern, um statische, sich nicht (oft) verändernde Inhalte an Browser effizient auszuliefern, eines sogenannten CDNs (Content Delivery Network). Bei jeder Übertragung der Fonts gibt der Server von Google an, nach welcher Zeit zu erwarten ist, dass sich die Font möglicherweise geändert hat. Der Browser speichert die Font im Browser-Cache am PC mit der Zeitinformation, wann wieder nachgeschaut werden soll, ob es eine neue Version der Font gibt. Diese Zeiträume liegen typischerweise bei Tagen und Wochen.
Hat nunmehr Frau Z. mehrere Webseiten (die Google Fonts verwenden) mit ihrem Browser innerhalb kurzer Zeit aufgesucht, so wurden die Google Fonts möglicherweise nur beim Besuch der ersten Webseite geladen, somit ihre IP-Adresse nur bei diesem ersten Zugriff an Google übertragen. Es ist nicht unwahrscheinlich, dass auf den nachfolgenden Seiten die Google Fonts aus dem Browser-Cache verwendet wurden, daher kein Zugriff auf Googles Server erfolgte und daher die IP-Adresse von Frau Z. bei diesem konkreten Zugriff auf diese eine Webseite nicht wie in der Abmahnung behauptet an Google übermittelt wurde. Damit würde diese eine Abmahnung auf einer falschen Behauptung basieren, sohin die Abmahnungsempfängerin täuschen.
Kein Schaden durch Übersendung der IP-Adresse zu Google
Laut eigenen Angaben speichert Google die IP-Adresse bei Abruf der Google Fonts nicht. Die IP-Adresse von Frau Z. wurde zwar technisch zu Google übertragen und dort für die Auslieferung der Google Fonts einige Millisekunden technisch gespeichert, danach aber wieder gelöscht. Juristisch ist zu hinterfragen, ob hier überhaupt ein Vorgang im Sinne der DSGVO stattgefunden hat. Die Abmahnung spricht von “weitergeleitet” bzw. “Weitergabe”, dies ist jedoch kein in Artikel 4 der DSGVO als Datenverarbeitung definierter Begriff. Der am nächsten kommende Begriff ist “Offenlegung durch Übermittlung” (in der Folge in der DSGVO nur als “Übermittlung” bezeichnet), dieser findet sich jedoch nicht in der Abmahnung.
Eine Offenlegung durch Übermittlung bedeutet, “personenbezogene Daten anderen Stellen in einer Weise zugänglich macht, die es diesen erlauben, vom Informationsgehalt Kenntnis zu haben” (Hödl in Knyrim, DatKomm Art 4 DSGVO RZ 35). Wurden die Daten jedoch nicht durch Google gespeichert, so kann Google auch keine Kenntnis vom Informationsgehalt haben, daher in der Folge die Daten auch nicht weiterverarbeiten und dadurch auch keinen Schaden verursachen. Durch die kurzzeitige technische Speicherung und anschließende Löschung selbst jedenfalls entsteht kein Schaden.
An dieser Stelle muss angemerkt werden, dass das Vorliegen eines Schadens jeweils von der Geschädigten zu beweisen ist. Wird die Aussage von Google (sie würden die IP-Adresse nicht speichern) angezweifelt, so wäre dies von Frau Z. bzw. RA H. zu beweisen.
RA H. hat im Text der Abmahnungen nicht die exakten Begrifflichkeiten der DSGVO verwendet und auch nicht schlüssig argumentiert, auf welche Weise die Übermittlung der IP-Adresse an Google stattgefunden habe. Hätte er diese Analyse durchgeführt und die entsprechenden Definition aus dem juristischen Kommentar herangezogen, so wäre ihm aufgefallen, dass der Tatbestand nicht vorliegt. Da er nicht die erforderliche Sorgfalt an den Tag gelegt hat, hat er die dadurch entstandene objektiv unrichtige Behauptung in Kauf genommen und sich damit abgefunden.
Immaterieller Schaden?
Wenn die Daten von Frau Z. Google nicht durch Übertragung offengelegt wurden, besteht auch nicht die Möglichkeit eines (auch nur immateriellen) Schadens. Dies ist jedoch Voraussetzung für einen Schadenersatzanspruch iSd Art 82 DSGVO (Schweiger in Knyrim, DatKomm Art 82 DSGVO RZ 26). Bloßes Unbehagen und bloße Unlustgefühle hat prinzipiell jeder ohne Schadenersatzkonsequenz zu ertragen (ebendort, RZ 27).
Alle abgemahnten Webseiten selbst aufgerufen?
Die abgemahnten Webseiten decken ein sehr großes Spektrum an unterschiedlichen Themengebieten ab. Es ist auszuschließen, dass Frau Z. sich für all diese tausenden Themen so stark interessiert, dass sie ihre Zeit ausschließlich auf diesen Webseiten verbringt. Im Gegenteil weisen eine Vielzahl von technischen Details darauf hin, dass die Webseiten fast ausschließlich durch automatisierte Web-Crawler aufgesucht wurden, die die für die Abmahnungen notwendigen Daten wie Screenshots und Impressumsdaten ohne Zutun eines Menschen gesammelt und gespeichert haben.
Wie schon an anderer Stelle argumentiert, würde kein vernünftiger Mensch fehlerhaften Screenshots zur Beweisführung verwenden. Daraus lässt sich schließen, dass der gesamte Vorgang vom Besuch der Webseite über das Erstellen der Screenshots bis hin zur Erstellung der Abmahnschreiben vollautomatisch erfolgte, ohne dass ein Mensch die einzelnen Schritte mit der erforderlichen Genauigkeit überwacht und kontrolliert hat.
Schuldhaftes Handeln
Ein zentraler Punkt im Strafrecht ist das schuldhafte Handeln. Nur wer die mit Strafe bedrohte Tat auch wirklich ausführen wollte, also einen Vorsatz auf die Tat hatte, soll bestraft werden. Es genügt jedoch, wenn jemand wusste, dass seine Handlung zum Taterfolg führen könnte, und es ihm egal war. Das ist der sogenannte bedingte Vorsatz.
Wenn die Zugriffe und Screenshots persönlich gemacht und dokumentiert wurden, dann wären beim Betrachten die fehlerhaften Screenshots aufgefallen. Wurden dennoch die fehlerhaften Screenshots in die Abmahnungen eingefügt, dann wurde absichtlich über die Tatsache getäuscht, dass Beweise für die Abmahn-Behauptung vorliegen. Wurden die fehlerhaften Screenshots eingefügt, ohne dass eine Person diese kontrolliert hat, dann wurden die Fehler billigend in Kauf genommen. Dann liegt bedingter Vorsatz vor.
Die Fehler sind auch direkt in den versendeten Abmahnungen zu sehen. RA H. unterliegt einer besonderen Sorgfaltspflicht. Bei einer Kontrolle der Abmahnungen hätte RA H. sehen müssen, dass die Abmahnungen fehlerhafte Screenshots enthalten. Dann liegt Wissentlichkeit vor. Ohne Kontrolle hat RA H. billigend in Kauf genommen, dass Fehler enthalten sein können, und es war ihm egal. Auch er hat mit bedingtem Vorsatz gehandelt.
Dass die persönliche Betroffenheit wegen der automatisierten Zugriffe nicht vorliegt, wurde oben gezeigt. Wenn Frau Z. zu einem anderen Zeitpunkt mit einer anderen IP-Adresse auf der Webseite war, dann ist die in der Abmahnung angegebene IP-Adresse falsch. Somit wurden die Abgemahnten über die IP-Adresse getäuscht. Auch darüber hätte Frau Z. bescheid gewusst.
Wenn sich Frau Z. oder RA H. über technische Details nicht sicher waren und trotzdem die Abmahnung verfolgt haben, dann haben sie die Fehler und damit die Täuschungen der Abgemahnten in Kauf genommen und es war ihnen egal. Auch hier landet man bei zumindest bedingtem Vorsatz.
Privilegierung als Rechtsanwalt
Normalerweise sind Rechtsanwälte insofern privilegiert, als sie die Angaben ihrer Mandantschaft nicht nachprüfen müssen. Sie sind nur für den rechtlichen Teil verantwortlich. Ist ihnen jedoch die Unrichtigkeit einer Angabe bekannt, so dürfen sie darüber nicht lügen.
RA H. unterhält seit über einem Jahr eine enge persönliche Beziehung mit Frau Z., beide wollen heiraten. Auch berichten die Medien, dass Frau Z. und RA H. gemeinsam abends vor der Privatwohnung von wütenden Abgemahnten zur Rede gestellt wurden.
Bei einem solchen Nahverhältnis ist es unwahrscheinlich bis nahezu ausgeschlossen, dass RA H. nichts von den technischen Vorgängen gewusst haben soll, die Frau Z. hinsichtlich der Webseiten durchgeführt hat.
Jedenfalls aber hat RA H. die Unrichtigkeit der ausgesendeten Abmahnungen hinsichtlich offensichtlicher fehlerhafter Angaben zu verantworten.
An dieser Stelle sei darauf hingewiesen, dass RA H. öffentlich behauptet hat, es wäre kein Web-Crawler zum Einsatz gekommen.
Hinweis auf weitere Mittäter
In den Logdateien ist klar die Verwendung von Webseiten- und Impressums-Crawlern zu sehen. Weiters wurden automatisierte Abfragen von einem IP-Adressen-Bereich aus durchgeführt, welcher dem Hosting-Provider Hetzner zugeordnet ist. Dies macht nur Sinn, wenn der Webseiten-Crawler in einer virtuellen Maschine bei Hetzner betrieben wurde. Ein solcher professioneller Betrieb erfordert ein relativ hohes Maß an technischer Kompetenz. Zwar hat Frau Z. laut Presseberichten über das AMS einen Web-Programmierkurs besucht, jedoch ist es unwahrscheinlich, dass in diesem das Aufsetzen und der Betrieb von Web-Crawlern unterrichtet wird, da diese Fähigkeit im Vergleich zu anderen Programmier-Kenntnissen wenig dabei hilft, einen Job zu finden.
Daraus ergibt sich der starke Verdacht, dass eine weitere Person mit entsprechenden technischen Kenntnissen hier mitgeholfen haben könnte.
Auch die Verwendung des Impressums-Crawlers benötigt eine gewisse technische Sachkenntnis. Da die Verwendung des Impressums-Crawlers eng mit dem normalen Crawler gekoppelt ist (in den Logdateien finden sich die beiden Einträge in unmittelbarer zeitlicher Nähe), liegt hier der Verdacht nahe, dass auch der ImpressumsCrawler von einer dritten Person eingebunden und verwendet wurde.
Unterstützung
Wir werden selbstverständlich die Staatsanwaltschaft mit unseren weiteren Beweismitteln und technischen Expertisen unterstützen. Wir könnten jedoch auch selbst Unterstützung brauchen. Die Digital Society ist eine gemeinnützige Organisation, die sich ausschließlich von Spenden und Mitgliedsbeiträgen erhält, um ihre Unabhängigkeit zu gewährleisten. Wenn Sie uns untersützen möchten, so können sie das am Einfachsten durch eine Mitgliedschaft tun. Und natürlich, indem Sie herumerzählen, was wir so tun. Herzlichen Dank dafür.
- Über den Autor
- Artikel
Roland Giersig ist Physiker, studiert Rechtswissenschaften, ist Sicherheitsexperte und Inhaber und Geschäftsführer der Firma SafeSec. Seine Anliegen sind besonders die Transparenz der öffentlichen Verwaltung und die Einhaltung der Grundrechte im digitalen Raum.