Abmahnwelle Google Fonts

Abmahnwelle wegen Google-Fonts

Seit ca. einen Monat erhalten private und gewerbliche Website-Betreiber Anwaltsbriefe mit einer Schadenersatzforderung wegen eines Verstoßes gegen die europäische Datenschutz-Grundverordung (DSGVO). Begründet wird die Abmahnung wird mit einer Datenweitergabe durch die Verwendung von „Google Fonts“ auf der jeweiligen Website.

Auch gemeinnützige Vereine, wie Chöre oder Blasorchester, waren von dieser Abmahnwelle davon bereits betroffen.

Als Absender dieser Briefe gilt der Rechtsanwalt Mag. Marcus Hohenecker aus Groß-Enzersdorf/Bezirk Gänserndorf in Niederösterreich. Er fordert dabei im Namen seiner Mandantin Eva Z. einen Schadensersatz von EUR 100,00 (zuzüglich EUR 90,00 an Anwaltskosten).

 

Technischer Hintergrund

Bei „Google Fonts“ handelt es sich um kostenfreie Schriftarten, die in der grafischen Ausgabe der Website genutzt und im konkreten Fall direkt über Google-eigene Webadressen eingebunden wurden. Auch in kommerziell angebotenen Website-Vorlagen („Templates“) oder Baukästen werden Schriftarten in dieser Form oft ohne weitere Hinweise verwendet.

Damit wird bei jedem Aufruf der Website die Schriftartdatei von externen Servern bei Google nachgeladen. Implizit wird dadurch die öffentliche Adresse (IP Adresse) des genutzten Computers oder Mobiltelefons auch übertragen. Google mit dem Dachkonzern Alphabet Inc. hat seinen Sitz in Mountain View, Kalifornien, USA und damit im Sinne der DSGVO in einem Drittland.

 

Maßnahmen für Betroffene

Der Chorverband Österreich mit Präsident DDr. Karl-Gerhard Straßl empfiehlt betroffenen Vereinen die geforderten €190,00 nicht einzuzahlen und sich an eine Beratungsstelle zu wenden.

Zur Klärung der folgenden Fragen ist eine technische Prüfung z.B.der vereinseigenen Websiteszeitnah notwendig, z.B. durch den Administrator der Seite oder einen IT-Dienstleister.

• Sind überhaupt Google Fonts auf der eigenen Website eingebettet?
• Wenn ja, kann ein Aufruf der Website von jener IP-Adresse, die im Anwaltsbrief genannt wird, durch eigene Server-Zugriffsprotokolle (wenn vorhanden) bestätigt werden?

Für eine schnelle Prüfung kann z.B. auf den Google Fonts Checker der SICHER3 GmbH zurückgegriffen werden: https://sicher3.de/google-fonts-checker/

Basierend auf den Ergebnissen dieser Prüfung kann eine Erfüllung der Auskunftspflicht gemäß den Empfehlungen der Östereichischen Datenschutzbehörde (DSB) erfolgen.

Siehe: https://www.dsb.gv.at/download-links/bekanntmachungen.html#Google_Fonts

Auch die Kulturplattform Oberösterreich und die dort engagierte Kanzlei „Höhne, In der Maur & Partner“ sehen „keinen Anspruch auf Schadenersatz, da die Weitergabe der IP-Adresse an US-amerikanische Dienste nicht per se verboten ist“. Details:

https://www.h-i-p.at/blog/abmahnwelle-durch-rechtsanwalt-hohenecker-im-namen-von-frau-eva-zajaczkowska-wegen-google-fonts/

https://kupf.at/blog/abgemahnt-wegen-google-fonts-was-tun/

Leitfaden für Betroffene der Wirtschaftskammer:

https://www.wko.at/service/wirtschaftsrecht-gewerberecht/abmahnungen-wegen-google-fonts.html

Medienberichte:

https://www.heise.de/news/DSGVO-Abmahnwelle-wegen-Google-Fonts-7206364.html

https://www.derstandard.at/story/2000138472819/datenschutzanwalt-fordert-in-massenbrief-190-euro-von-websitebetreibern-fuer-google

 

Allgemeine Maßnahmen für Website-Betreiber

Auch wenn man nicht von dieser Abmahnwelle betroffen ist. Hier einige Tipps zum Betrieb der vereinseigenen Website:

• Sicherer Betrieb der Website (regelmäßige Updates z.B. von Content-Management-Systemen, Datensicherung/Backup)

• Verwendung eines SSL-Zertifikats für die Bereitstellung der Website über eine verschlüsselte Verbindung (sichtbar am Schlosssymbol in der Adresszeile des Webbrowsers)

• Schriftartdateien sollten nur vom eigenen Webserver bzw. dem Speicherplatz beim Webhosting-Anbieter eingebunden werden. Nicht von externen Adressen wie „fonts.googleapis.com“!

• Aktuelle Datenschutzerklärung bzw. Impressum auf der Website.

• Auf „Google Analytics“, ein Dienst von Google zur Erfassung von Herkunft, Verweildauer, Seitenaufrufe, etc. der Website-Besucher sollte nachdrücklich verzichtet werden.

  • Die Österreichische Datenschutzbehörde hat festgestellt, dass Website-Betreiber diesen Dienst „nicht in Einklang mit der DSGVO einsetzen können“. Daher sollte kein Einbau von „Google Analytics“ in die Website erfolgen.
    Siehe: https://www.dsb.gv.at/download-links/bekanntmachungen.html#Google_Analytics, https://noyb.eu/de/oesterr-dsb-eu-us-datenuebermittlung-google-analytics-illegal,

  • Lösungen für anonymisierte Zugriffsstatistiken sind hier zu bevorzugen. Webhosting-Anbieter stellen oft bereits grundlegende Zugriffsstatistiken bereit.

• Website-Bausteine diverser Social-Media-Anbieter, wie „Facebook Like Button“, „Instagram Feed“, etc. sind mit vergleichbaren/weitreichenden Datenschutzproblemen behaftet und sollten vermieden werden. Ohne Zustimmung der Website-Besucher und Dokumentation in der Datenschutzerklärung sollten diese Komponenten nicht aktiviert werden.