Zum Hauptmenü Zum Inhalt

Abmahnwelle Google Fonts – Viel Lärm um Nichts?

Was war passiert?

Viele tausend Unternehmen haben in den vergangenen Wochen ein Abmahnschreiben eines niederösterreichischen Rechtsanwalts wegen angeblich rechtswidriger Verwendung von „Google Fonts“ auf ihrer Website erhalten. Darin wird ihnen vorgeworfen, dass durch die Einbindung dieses Dienstes die IP-Adresse der stets selben Websitebesucherin an die Server von Google in die USA übertragen wurde und es dadurch zu einem sogenannten Kontrollverlust ihrer personenbezogenen Daten gekommen sei.

Für dieses Verhalten verlangte sie Schadenersatz sowie Ersatz für die Kosten des Einschreitens ihres Anwalts. In diesem Zusammenhang wurde ein Vergleichsangebot unterbreitet: Bei Zahlung von EUR 190,00 würden keine weiteren Ansprüche mehr geltend gemacht und auch vom zugleich geltend gemachten Auskunftsbegehren Abstand genommen.

Was ist Google Fonts?

Google Fonts ist ein interaktives Verzeichnis mit über 1.400 Schriftarten, welche die Google LLC zur freien Verwendung bereitstellt. Google bietet dabei die Option an, Schriften auf der eigenen Website zu nutzen, ohne dass diese auf den eigenen Server hochgeladen werden müssen. Diesfalls werden beim Aufruf der Webseite durch einen Benutzer die Schriften über einen Google-Server nachgeladen. Dieser externe Aufruf bewirkt, dass Daten der Websitebesucher, wie die IP-Adresse, an Google übertragen werden.

Datenschutzrechtliche Relevanz der Verwendung von IP-Adressen

IP-Adressen, selbst wenn diese dynamisch vergeben werden, stellen nach der Rechtsprechung des Europäischen Gerichtshof (EuGH) dann personenbezogene Daten dar, wenn der Verantwortliche (das ist in der hier vorliegenden Konstellation in der Regel der Websitebetreiber) über „rechtliche und faktische Mittel“ verfügt, die es ihm – auch unter Einbindung Dritter (so vor allem durch den Internet Service Provider) – ermöglichen, die natürliche Person (also den Besucher der Website) zu identifizieren.

Aus datenschutzrechtlicher Sicht sind die USA, infolge der Ungültigkeit des Privacy Shields durch den EuGH, ein unsicherer Drittstaat, weshalb für die Datenübertragung von personenbezogenen Daten in die USA die explizite Einwilligung des Betroffenen erforderlich ist.

Zwingend ist das Vorliegen eines Personenbezugs bei IP-Adressen allerdings nicht. Der Besuch vieler tausend Websites binnen sehr kurzer Zeit legt den Verdacht nahe, dass dieser nicht von einer Person selbst vorgenommen wurde, sondern mittels einer Software (etwa einem sogenannten „Webcrawler“). Da eine solche in der Regel auf einem Server eines Unternehmens läuft, spricht viel dafür, dass die IP-Adresse solcherart nicht dem Schutz der Datenschutz-Grundverordnung (DSGVO) unterliegt. Zudem ist infolge der spärlichen Angaben im Abmahnschreiben fraglich, ob bei der angegebenen IP-Adresse tatsächlich eine Verknüpfung mit der betroffenen Person besteht.  

Ist die erhobene Schadenersatzforderung berechtigt?

Für eine Schadenersatzforderung ist allgemein ein konkreter Schaden erforderlich. Dieser wird in den Abmahnschreiben pauschal mit einem sogenannten Kontrollverlust über die Daten begründet. In concreto wird vorgebracht, dass dieser bei der Betroffenen erhebliches Unwohlsein verursacht habe und sie derartige Verstöße „massiv nerven“ würden. Tatsächlich hat das Landgericht München in einer vielkritisierten Entscheidung in dem durch die Übermittlung einer IP-Adresse liegenden Kontrollverlust einen immateriellen Schaden von EUR 100,00 zuerkannt. Allerdings wurde die Frage nach der Schadenersatzpflichtig in einem vergleichbaren Fall von einem anderen deutschen Gericht dem EuGH zur Vorabentscheidung vorgelegt. Die Frage ist somit nicht endgültig geklärt.

In Österreich wurde diese Frage zwar noch nicht behandelt jedoch hat der Oberste Gerichtshof zuletzt betont, dass der Ersatz eines immateriellen Schadens nach der DSGVO einen konkret nachzuweisenden ideellen Nachteil voraussetzt. Gerade das lässt die in den Abmahnschreiben vorgebrachte pauschale Behauptung des Unwohlseins und des Störens vermissen. Gegen eine Zuerkennung eines Schadenersatzes spricht zudem der infolge des Besuchs von vielen tausend Websites innerhalb kurzer Zeit naheliegende automatisierte und bewusste Aufruf der Websites selbst.

Zuletzt ist fraglich, ob der Betroffenen überhaupt für jeden Websitebesuch ein Schadenersatz in der geforderten Höhe zusteht, was dazu führen würde, dass der Betroffenen letztlich gesamt mehrere Millionen Euro Schadenersatz zustehen würde. Ein Ergebnis, welches der Zielsetzung eines Schadenersatzes entgegenstehen würde.

Ist das Auskunftsbegehren in jedem Fall zu beantworten?

Auskunftsbegehren müssen gemäß Art 12 der DSGVO grundsätzlich binnen eines Monats beantwortet werden. Dies auch dann, wenn keine personenbezogenen Daten verarbeitet wurden. In solchen Fällen ist eine Negativauskunft (also die Information, dass keine personenbezogenen Daten der Person verarbeitet wurden) zu erteilen. Diese Pflicht betonte auch die Datenschutzbehörde in ihrer Bekanntmachung zur Abmahnwelle.

Was kann man machen, wenn man den geforderten Geldbetrag bereits geleistet hat?

Mit der Bezahlung des Betrages ist das Vergleichsangebot grundsätzlich angenommen und die Angelegenheit bereinigt. Sollte sich herausstellen, dass die Leistung des vergleichsweise bezahlten Betrages rechtsgrundlos wird (etwa infolge Irrtums über die Vergleichsgrundlage oder Rechtsmissbrauchs), kann dieser Betrag bereicherungsrechtlich jedenfalls binnen drei Jahren zurückgefordert werden.

Wie ging es nach den Abmahnschreiben weiter?

Aufgrund der Abmahnwelle wurde nicht nur bei der zuständigen Staatsanwaltschaft eine Sachverhaltsdarstellung wegen Betrugs eingebracht sowie durch die niederösterreichische Rechtsanwaltskammer von Amts wegen ein disziplinarrechtliches Ermittlungsverfahren eingeleitet, sondern wurden zudem auch zivilrechtlich mehrere Klagen gegen den Anwalt erhoben.

Wenn Sie zu diesem Thema Fragen haben oder sichergehen wollen, dass Ihr Unternehmen datenschutzkonform ist, steht Ihnen unser Team Datenschutz jederzeit zur Verfügung. Unser Rechtsanwalt Thomas Riesz hat in der Tageszeitung „Die Presse“ bereits Stellung zu den Abmahnschreiben genommen.

Disclaimer

Dieser Beitrag stellt lediglich eine allgemeine Information dar und ersetzt keine Rechtsberatung. Die Haslinger / Nagele Rechtsanwälte GmbH übernimmt keinerlei Haftung für Inhalt und Richtigkeit dieses Beitrages.

 

13. September 2022

 
Zurück zur Übersicht
  • JUVE Top Arbeitgeber 2024
  • Referenz | Haslinger / Nagele, Logo: JUVE Awards
  • JUVE Top 20 Wirtschaftskanzlei-Oesterreich
  • Promoting the best. Women in Law Award