Viele Unternehmen in Österreich haben dieser Tage Post von datenschutzanwalt.eu, oder besser, dem dahinter agierenden Rechtsanwalt erhalten. Darin behauptet der Jurist, dass er von einer gewissen Eva Z.* dazu bevollmächtigt sei, eine Datenschutzverletzung an seiner Mandantin einzuklagen.

Konkret geht es um die mittlerweile als Standard in vielen Websites verwendeten Google Fonts, wodurch – so seine Argumentation – die Privatsphäre der Webnutzerin Eva Z. durch die unerlaubte Weitergabe der IP-Adresse des verwendeten Gerätes an Google verletzt würde. Dazu aber gleich mehr.

Und damit nicht genug: Der gute Rechtsanwalt Marcus H.* hat auch ein Herz für die solcherart gehörig erschrockenen Unternehmen und will sie erst gar nicht klagen. Mit der Mezzie von € 100,- und weiteren € 90,- für sein beherztes Einschreiten, zahlbar mittels beigelegtem Erlagschein könne man sich sofort von jeglicher böser Absicht der Datenschutzverletzung reinwaschen.

Als DSGVO-sichere und auf Qualität bedachte Kreativ- und Digitalagentur können wir davon nur abraten, auch nur einen Euro ohne vorherige Sachverhaltsprüfung zu bezahlen. Außer, Sie möchten neuerlich Post von ihm erhalten, denn seine reichlich strapazierte Auslegung der DSGVO hat Potential für noch mehr Ärger. Vorweg: Den wird Marcus H. mit hoher Wahrscheinlichkeit schon mit seinen Branchenkolleg:innen und der Standesvertretung, der Rechtsanwaltskammer bekommen. Aber jetzt zur Sache im Detail.

Eins vorweg: Google hat seine Schnittstellen offenbar schon seit einiger Zeit angepasst, denn eine einfache Recherche auf der hauseigenen Entwicklerplattform fördert mit heutigem Datum einen klaren Sachverhalt zu Tage (und entkräftet damit die Vorwürfe von Marcus H.):

Auch wenn demnach auf Google-Seite alles in Ordnung scheint, ist Handlungsbedarf zur eigenen Sicherheit gegen Marcus H. und die ihm zur Verfügung stehenden Mittel empfehlenswert:

Erste Maßnahme: Die Evaluierung der derzeitigen Situation: 

Um zu ermitteln, wie auf das Schreiben von Marcus H. zu reagieren ist, müssen die Vorwürfe geprüft werden, insbesondere,

  • ob eine lokale Verarbeitung der IP-Adresse innerhalb der Website erfolgt
  • ob Google Fonts verwendet werden (und dabei, ob das extern eingebundene oder lokal gehostete Schriften sind)
  • ob eine Datenübermittlung in die USA ohne Zustimmung der Nutzer:innen stattfindet

Google Fonts sind, sofern man keine Zustimmung der Nutzer:innen beim Besuch der Website einholt, nur lokal eingesetzt datenschutzkonform – der Anwalt Marcus H. bezieht sich hiezu in seinem Schreiben auf das Urteil vom Landesgericht München, das aber in Österreich derzeit keine Rechtsverbindlichkeit hat (siehe auch diesen Artikel: Google Fonts sind nicht mehr datenschutzkonform. Was nun? (drweb.de)).

  • Überprüft muss in jedem Fall werden, ob die IP Adresse überhaupt betroffen ist, vor allem dann, wenn Google Fonts nicht lokal (also am Webserver) bereitgestellt werden

Für den Fall, dass keinerlei Daten der Mandantin Eva Z. (insbesondere weder Name noch IP-Adresse) verarbeitet wurden (und keine personenbezogenen Daten an Google weitergeleitet wurden, weil lediglich die lokale Lösung von Google Fonts verwendet wurde), kann dem Anwalt folgendermaßen geantwortet werden:

Sehr geehrter Herr Mag. Hohenecker,

1. Zu den Vorwürfen:

Wir haben die von Ihrer Mandantin dargelegten Vorwürfe nach Rücksprache mit unseren IT-Experten geprüft und sind zum Schluss gekommen, dass diese nicht zu Recht bestehen. Zwar wird auf unserer Webseite Google Fonts verwendet, jedoch werden hier aufgrund einer bloß lokalen Verarbeitung keine wie auch immer gearteten Daten an Google LLC oder sonstige Empfänger in den USA weitergegeben.

2. Zum Auskunftsbegehren:

Hinsichtlich des Auskunftsbegehrens gem. Art. 15 DSGVO verweisen wir darauf,  dass keine Daten Ihrer Mandantin verarbeitet wurden oder werden, welche über Ihren Auskunftsantrag, die damit zusammenhängende Korrespondenz und die entsprechende interne Dokumentation hinausgehen.

Ihrer Mandantin stehen grundsätzlich die Rechte auf Berichtigung, Löschung, Einschränkung und Widerspruch zu. Dafür wenden Sie bzw. Ihre Mandantin sich an uns. Wenn Sie oder Ihre Mandantin glauben, dass die Verarbeitung der Daten gegen das Datenschutzrecht verstößt oder die datenschutzrechtlichen Ansprüche sonst in einer Weise verletzt worden sind, können Sie bzw. Ihre Mandantin sich bei der dafür zuständigen Datenschutzbehörde beschweren.

Wir/Ich gehe/n davon aus, dass Ihr Schreiben als hinfällig zu betrachten ist.

Quelle: https://abmahnung.wtf/unterstuetzt-die-wko-bei-abmahnung/

Zweite Maßnahme – wenn Google Fonts nicht lokal verwendet werden:

Die Auskunft innerhalb von 30 Tagen ab Einlangen des Briefes von Marcus H. muss erfolgen, allerdings sollte in dieser Zeitspanne auch dreierlei bewerkstellit werden:

  1. Falls Google Fonts nichtlokal verwendet werden, dies auf lokales Hosting umstellen lassen oder lizenzierte Webfonts eines Schriftenanbieters einbetten.
  2. Anhand des Codes der Website nachprüfen lassen, ob trotz nichtlokaler Google Fonts IP-Adressen übertragen wurden. Das ist nämlich nicht zwingend der Fall, insbesondere dann nicht, wenn z.B. mit dem Zustimmungs-Plugin von z.B. Borlabs die Anzeige von Google Fonts und die damit mögliche Übertragung von Daten auf US-Server abzulehnen gewesen wäre.
  3. Die Datenschutzbestimmungen der Homepage anpassen: https://dsgvo-informationsverpflichtungen.wkoratgeber.at/
  4. Die Rechtsschutzversicherung fragen, ob fallweise eine Kostendeckung durch die Versicherung gegeben ist.
  5. Dieses Schreiben an den Rechtsanwalt Marcus H. richten:

    Sehr geehrter Herr Mag. Hohenecker,

    die Einhaltung datenschutzrechtlicher Vorschriften ist generell ein besonderes Anliegen für uns.
    Hinsichtlich des Auskunftsbegehrens gem. Art. 15 DSGVO verweisen wir auf das Dokument im Anhang und beauskunften wir wie folgt: (https://www.wko.at/service/wirtschaftsrecht-gewerberecht/eu-dsgvo-musterschreiben-auskunftserteilung.htmlbitte anpassen, wie es zutreffend ist).
  6. Abwarten. Da der Anwalt in den kommenden Tagen und Wochen einiges zur Wahrung seiner Zulassung zu tun haben wird, darf angenommen werden, dass er die Sache damit auf sich beruhen lässt.

Was CIDCOM inzwischen tut:

Wir checken gerade alle unsere Kundenwebsites auf mögliche Lücken (z.B. verfügt WordPress bereits in der Basisausstattung über Google Fonts, die oft gar nicht verwendet werden, aber am Server vorhanden sind) und nehmen ggf Anpassungen am Design, dem Cookie-Consent-Tool und den Datenschutzbestimmungen vor. Gerne übernehmen wir diese Prüfung auch, wenn Ihre Website nicht von uns programmiert wurde.

Unterm Strich:

In Websites können sich immer wieder kleine Fehler einschleichen, die niemand absichtlich oder durch Fahrlässigkeit verursacht hat. Deswegen greift die österreichische Datenschutzbehörde hier auch nicht zu harten Bandagen, sondern gibt großzügige Nachbesserungsmöglichkeiten. Und sie deckt dem Vernehmen nach auch nicht das unstatthafte Verhalten des Rechtsanwalts Marcus H., der dieses Aufsichtsorgan offensichtlich für unlauteren Zugewinn in die Pflicht nehmen will. Nachgerechnet: Wenn nur 100 Unternehmen die geforderten € 190,- einzahlen, haben er und seine "Mandantin" ein schönes Körberlgeld erwirtschaftet. Wir bekamen übrigens auch als Agentur das Anschreiben des Rechtsanwaltes mit einem Screenshot, dem klar zu entnehmen war, dass unsere Website trotz Google Fonts keine IP-Adressen übergibt. Ein Schelm, wer dabei böses denkt.

Wenn Sie sich noch eingehender dazu informieren möchten, steht unser Team gerne mit Auskunft, Rat und Tat telefonisch, per Email oder persönlich bereit. Außerdem werden wir Sie in einer der nächsten Ausgaben der CIDCOM-Post über weitere Entwicklungen zur Causa am Laufenden halten.

Weiterführend hier noch ein sehr informatives Link eines Spezialisten zum Thema: https://www.dataprotect.at/auskunft-google-web-fonts/

*) Anm.: Name aus Datenschutzgründen verkürzt

Bilder: Photodisc Getty Images, Google Developer Forum