Google Fonts – Abmahnung
Als Betreiber einer Website haben Sie derzeit gute Chancen, Post von Anwalt Marcus Hohenecker zu bekommen, in der er für seine Mandantin Eva Z. Schadenersatz fordert, weil der „Besuch Ihrer Website“ ein erhebliches Unwohlsein bei ihr auslöste.
Was sind Google Fonts?
Noch vor wenigen Jahren war es für Webentwickler ein großes Problem, wenn auf der Website eine Schriftart für Texte verwendet wurde, die am Endgerät des Website-Besuchers nicht installiert war. Das Ergebnis war, dass die Texte aufgrund der fehlenden Schriftart in einer Standard-Schrift dargestellt wurden.
Seit 2010 stellt Google mit den kostenfreien Google Web Fonts eine Reihe von Schriftarten bereit, welche beim Aufruf einer Website vom „Google-Server“ geladen werden und die Website mit der richtigen Schriftart angezeigt wird, auch wenn diese am Endgerät nicht installiert ist.
Wird eine Website im Browser durch eine Person aufgerufen, werden sämtliche Elemente geladen und gerendert. So werden zB. Bilder vom eigenen Webserver, eingebettete Videos von externen Plattformen, Texte oder eben auch Schriftarten vom Google-Server abgerufen.
Um was geht’s eigentlich?
Sofern auf Ihrer Website Google-Fonts eingebunden sind, wird standardmäßig bei jedem Seitenaufruf eine Verbindung zu Google aufgebaut, damit die Schriftarten der Website geladen und gerendert werden können.
Grundsätzlich ist daran nichts verwerflich, allerdings wird im Zuge dieser Abfrage die (externe) IP-Adresse des Besuchers an Google übermittelt. Theoretisch. Und somit könnte Google ein Profil von Ihrem Website-Besucher erstellen, auf welchen Websites dieser sich zu welcher Uhrzeit aufhielt. Theoretisch. Theoretisch deswegen, weil Google in seiner Datenschutzerklärung schreibt, dass zwar eine Anfrage des Webseiten-Besuchers an Google stattfindet, aber IP-Adressen nicht protokolliert werden.
Durch diese theoretische Datenübermittlung der IP-Adresse erfolgte ein Kontrollverlust über ein personenbezogenes Datum der Betroffenen (IP-Adresse) an „Google“ und verursachte dieser ein erhebliches Unwohlsein der Mandantin, welche dadurch „massiv genervt“ ist und dafür 100 EUR Schadenersatz vom Websitebetreiber fordert.
Übermittlung von personenbezogenen Daten in die USA
IdR wird dabei ein Server in den USA aufgerufen und die IP-Adresse der Website-Besucher wird in ein Drittland[1] übermittelt. Bei der Übermittlung von personenbezogenen Daten an Drittländer ist das Kapitel V der DSGVO anzuwenden und ist diese Übermittlung nur zulässig, wenn im Drittland ein angemessenes Schutzniveau (Artt 45-47 DSGVO) besteht oder eine Ausnahme des Art 49 DSGVO vorliegt. Da mit Schrems II der Angemessenheitsbeschluss der EU-Kommission „Privacy Shield“ zum Datenaustausch zwischen EU und USA aufgehoben wurde, ist eine Datenübermittlung in die USA vorerst nur mehr dann zulässig, wenn der Verantwortliche oder Auftragsverarbeiter geeignete Garantien gem Art 46 DSGVO vorgesehen hat (zB. spezielle Regelungen in Standarddatenschutzklauseln), verbindliche interne Datenschutzvorschriften bestehen (Art 47 DSGVO) oder ein Ausnahmetatbestand des Art 49 DSGVO vorliegt. Ein solcher Ausnahmetatbestand wäre zB. eine ausdrückliche Einwilligung des Website-Besuchers.[2]
Warum Google-Fonts?
Dass gerade jetzt vermehrt Abmahnschreiben bezüglich Google-Fonts verschickt werden, liegt daran, dass im Jänner 2022 am LG München einer Betroffenen 100 EUR Schadenersatz zugesprochen wurden, weil der Website-Betreiber Google-Fonts eingebunden hatte und somit ihre personenbezogenen Daten (IP-Adresse) in ein Drittland ohne Rechtsgrundlage übermittelt wurden. In Österreich gibt es diesbezüglich noch keine Entscheidung und auch die österreichische Datenschutzbehörde hat auf ihrer Website veröffentlicht, dass diese keine Stellungnahme dazu abgeben kann, ob die Einbindung von Google-Fonts auf einer Website tatsächlich gegen die DSGVO verstößt. Mittlerweile hat die DSB ein amtswegiges Prüfverfahren gegen Google wegen Google-Fonts eingeleitet.
Könnte das auch weitere (Google-)Dienste betreffen?
Ja. Die oben genannte Entscheidung vom LG München betrifft nicht Google-Fonts an sich, sondern die Übermittlung von personenbezogenen Daten in ein Drittland ohne Rechtsgrundlage. Somit könnte morgen schon ein ähnliches Schreiben wegen der Integration von GoogleMaps, ReCaptcha, und weiteren Diensten, deren Server in den USA stehen ankommen.
Sofort-Abhilfe für Webseitenbetreiber
Analysieren Sie Ihre Website, ob Google-Fonts dynamisch geladen werden zB. mit dem Google Fonts Checker (zB. https://sicher3.de/google-fonts-checker/) und hosten Sie die Schriftarten lokal auf Ihrem Webserver.
Für WordPress gibt es eine Schritt-für-Schritt-Anleitung auf der Website von Radical Innovators und auch für Joomla, Typo3 und weitere Webseiten gibt es entsprechende Anleitungen auf techniknews.net.
Wie soll man auf das Schreiben reagieren?
Disclaimer: Dieser Blog-Beitrag ist die persönliche Meinung des Autors und ersetzt keine Rechtsberatung! Eine Haftung für den Inhalt und beschriebene Vorgehensweise wird nicht übernommen!
Der Anwalt fordert die Anerkennung des Schadenersatzanspruchs samt Kostenersatz und Auskunft gem Art 15 DSGVO. Ob man dieser Forderung nachkommt oder nicht, ist die persönliche Entscheidung des jeweiligen Webseiten-Betreibers, welche unbedingt mit einem auf Datenschutz spezialisierten Rechtsanwalt besprochen werden sollte. Empfehlungen gibt es jedenfalls auch auf unterschiedlichen Blogs und Webseiten von Rechtsanwälten (zB. https://www.dataprotect.at/2022/08/19/google-fonts-abmahnung-die-n%C3%A4chste-welle/)
Wird der Schadenersatzanspruch und der Kostenersatz nicht beglichen, verlangt die Mandantin Eva Z. eine Auskunft gemäß Art 15 DSGVO, welche jedenfalls zu bearbeiten ist.
Auskunft gemäß Art 15 DSGVO
Jede(r) Betroffene hat das Recht eine Auskunft darüber zu erhalten, ob und welche personenbezogenen Daten verarbeitet werden. Da auch die (externe) IP-Adresse[3] ein personenbezogenes Datum iSd Art 4 Z 1 DSGVO darstellt, sind zumindest in den Logdateien personenbezogene Daten der Betroffenen, die zu beauskunften sind – vorausgesetzt, es hat tatsächlich ein Besuch auf Ihrer Website stattgefunden und die IP-Adresse wird ungekürzt von Ihrem Webhoster im AccessLog gespeichert.
Identitätsnachweis
Voraussetzung für die Geltendmachung eines Betroffenenrechts ist der Nachweis der Identität des Antragstellers. In diesem Fall wurde unter www.datenschutzanwalt.eu/legitimation eine Ausweiskopie der Mandantin Eva Z. veröffentlicht. Wenn auch bestimmte Elemente geschwärzt sind, lassen sich diese Balken mit Standardsoftware teilweise verschieben und es ist ua. das Bild der Betroffenen am Ausweis erkennbar. Der Nachweis der Identität ist somit grundsätzlich gegeben.
In den AccesLogfiles stehen idR. aber weder Name noch Adressdaten der Betroffenen, die mittels eingescanntem Personalausweis zugeordnet werden können, sondern sog. pseudonymisierte IP-Adressen, die vom Internetprovider vergeben werden. Es ist somit vor Erteilung einer Auskunft zu prüfen, ob die angegebene IP-Adresse tatsächlich zum Zeitpunkt des angeblichen Webseiten-Aufrufs der Mandantin Eva Z. zugeordnet war. Würde man auf die Angaben vertrauen und eine Auskunft erteilen ohne einen Nachweis der IP-Adressen-Zuteilung einzuholen, könnte eine Datenschutzverletzung (=DataBreach) realisiert werden. Fraglich ist, inwiefern eine Bestätigung der IP-Adresse vom Anwalt bzw. von der Betroffenen erbracht werden kann. Siehe dazu auch hier. Alternativ würde ggf. auch die Bestätigung erfolgen, indem der Zeitpunkt sowie die Abfolge der Seitenaufrufe beschrieben werden können (zB. Startseite – Produkt XY – Kontakt, …). Vermutlich gab es einen Anlass, warum Ihre Website aufgerufen wurde, welchen die Betroffene im Zweifel sicher nachweisen bzw. bestätigen kann.
Vollmacht
Das Grundrecht auf Geheimhaltung sowie die Ausübung von Betroffenenrechten sind sog. höchstpersönliche Rechte und sind grundsätzlich vertretungsfeindlich. Das bedeutet, dass die Beauskunftung grundsätzlich an die Betroffene selbst zu erfolgen hat. Lediglich durch entsprechende Vollmachten können Betroffenenrechte auch zB. von Rechtsanwälten oder anderen Vertretern eingefordert werden. Auf der Website des Anwalts ist die konkrete Vollmacht abrufbar, welche teilweise geschwärzt und von der Mandantin am 4.8.2022 um 23:01 Uhr elektronisch signiert wurde.
In dieser Vollmacht beauftragt Eva Z. (welche mit Namen, Geburtsdatum und Wohnadresse genannt wird) den Rechtsanwalt ua. damit, einen Antrag auf Auskunft über die Datenverarbeitung zu stellen.
Auszug: Ich beauftrage den Rechtsanwalt damit, in den von mir bekanntgegebenen Fällen, in denen ich eine Webseite aufgerufen habe und dadurch meine personenbezogenen Daten ohne meine Einwilligung an Dritte weitergegeben wurden, meine Ansprüche aufgrund dieser Rechtsverletzungen geltend zu machen und einen Antrag auf Auskunft über die Datenverarbeitung zu stellen […].
Demnach liegt mE. eine Vollmacht für jene Fälle vor, die sich vor dem 4.8.2022 23:01 Uhr ereignet haben. In vielen Fällen fand der Webseitenaufruf allerdings erst danach statt, weswegen eine entsprechende Vollmacht einzuholen ist, andernfalls die Auskunft direkt an die Betroffene gesandt werden muss.
Frist für die Auskunft
Nachdem nun die Bestätigung vorliegt, dass zum Zeitpunkt Ihres Webseiten-Aufrufs die genannte IP-Adresse durch den Provider auch tatsächlich der Betroffenen Eva Z. zugeordnet war, ist innerhalb eines Monats eine Auskunft gemäß Art 15 zu erstellen. [4]Auch wenn die genannte IP-Adresse nicht im Logfile vorkommt, ist eine entsprechende Negativ-Auskunft zu erteilen. Muster-Dokumente können auf der Seite von dataprotect.at downgeloadet werden.
Logfiles sichern
Zur Verteidigung von Rechtsansprüchen und allenfalls zur Erbringung von Nachweisen, dass der Webseitenaufruf nicht von einer natürlichen Person durchgeführt wurde, sollten die AccessLogfiles entsprechend ausgehoben und aufbewahrt werden, bis ein etwaiges Verfahren beendet wurde. Wenden Sie sich diesbezüglich an Ihren IT-Dienstleister oder Webmaster. Die Rechtsgrundlage dafür sind berechtigte Interessen iSd Art 6 Abs 1 lit f DSGVO. Vergewissern Sie sich, dass dieser Verarbeitungsvorgang in Ihrem Verarbeitungsverzeichnis dokumentiert ist.
Zusammenfassung
Sollten Sie eine Abmahnung von Mag. Marcus Hohenecker wegen der Nutzung von Google-Fonts auf Ihrer Website erhalten haben, bewahren Sie Ruhe! Die Rechtsgrundlage für die genannte Schadenersatzforderung ist ein Urteil des LG München. In Österreich gibt es derzeit keine mir bekannte Entscheidung bezüglich Google-Fonts, wenngleich die DSB derzeit ein amtswegiges Prüfverfahren[5] durchführt. Prüfen Sie in Abstimmung mit Ihrem Datenschutz-Spezialisten die weitere rechtliche Vorgehensweise und sichern Sie Access-Logdateien gemeinsam mit Ihrem IT-Dienstleister oder Webmaster. Vergewissern Sie sich, dass die Schriften lokal auf Ihrem Webserver gespeichert werden und dass es zu keiner unzulässigen Datenübermittlung von personenbezogenen in die USA kommt.
Holen Sie jedenfalls Nachweise über die Zuordnung der IP-Adresse der Betroffenen Eva Z. zum Zeitpunkt des Webseiten-Aufrufs ein und verlangen Sie eine gültige Vollmacht, bevor eine Art-15-Auskunft erstellt wird, damit es zu einer Datenschutzverletzung kommt.
[1] Der in der DSGVO nicht definierte Begriff „Drittland“ umfasst alle Staaten außer Mitgliedstaaten der EU/EWR, Island, Liechtenstein und Norwegen.
[2] Grds. sind die Ausnahmetatbestände tatsächlich für Ausnahmen gedacht und nicht für die fortwährende Datenübermittlung. Ob eine Einwilligung zB. für die Nutzung einer App, welche ständig pb Daten in die USA übermittelt, zulässig ist, wäre zu prüfen.
[3] Der Europäische Gerichtshof hat mit Urteil vom 19.10.2016 eine Vorlagefrage des BGH zur bislang umstrittenen Frage beantwortet, ob eine dynamische IP-Adresse für den Betreiber einer Webseite als personenbezogenes Datum anzusehen ist und ob die IP-Adresse durch den Betreiber einer Webseite ohne ausdrückliche Einwilligung gespeichert werden darf. Siehe EuGH 19.10.2016, C-582/14.
[4] Diese Frist kann gem Art 12 Abs 3 DSGVO um weitere zwei Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist.
[5] https://www.dsb.gv.at/download-links/bekanntmachungen.html#Google_Fonts (abgefragt am 24.8.2022).