Profis mit Erfahrung

Google Fonts Abmahnungen
Über die Nutzung von Google Fonts und kursierende Google Fonts Abmahnungen in Österreich.
Über die Nutzung von Google Fonts und kursierende Google Fonts Abmahnungen in Österreich.
Aktualisiert 08.05.2023
Google stellt den Betreiber/innen von Websites auf https://fonts.google.com/ eine breite Auswahl von Schriftarten unter Apache Lizenz (Version 2.0) zur Verfügung. Diese Schriftarten, also Fonts, können kostenlos genutzt werden. Beliebte Google Fonts sind u.a.
Um die Google Schriftarten nutzen zu können, kann man das entweder mit eigenen Layout-Anweisungen (CSS-Anweisungen) umsetzen, oder – wesentlich simpler – die gewünschten Schriftarten in Einstellungen von WordPress-Themes oder -Plugins wählen. Dabei werden aber überwiegend die Schriften direkt vom Google Server in den Browser der Website-Besucher/innen geladen. Seit Inkrafttreten der DSGVO wird diese sogenannte Dynamische Variante als problematisch angesehen.
Nach Art.45 – EU-DSGVO – Datenübermittlung auf der Grundlage eines Angemessenheitsbeschlusses dürfen nur dann personenbezogene Daten in ein Drittland übermittelt werden, wenn »die Kommission beschlossen hat, dass das betreffende Drittland, ein Gebiet oder ein oder mehrere spezifische Sektoren in diesem Drittland oder die betreffende internationale Organisation ein angemessenes Schutzniveau bietet. Eine solche Datenübermittlungen bedarf keiner besonderen Genehmigung.«
Darauf begründet sich die vorherrschende Rechtsmeinung, dass der Einsatz von Google Fonts dann einen Verstoß gegen die DSGVO darstellt, wenn diese Fonts beim Besuch einer Website direkt vom US-Server abgerufen werden, ohne dass die Besucher:innen vorab zugestimmt hätten.
Es gibt aber auch Art.46 – EU-DSGVO – Datenübermittlung vorbehaltlich geeigneter Garantien:
Vorbehaltlich der Genehmigung durch die zuständige Aufsichtsbehörde können die geeigneten Garantien gemäß Absatz 1 auch insbesondere bestehen in […] Vertragsklauseln, die zwischen dem Verantwortlichen oder dem Auftragsverarbeiter und dem Verantwortlichen, dem Auftragsverarbeiter oder dem Empfänger der personenbezogenen Daten im Drittland oder der internationalen Organisation vereinbart wurden.
Art.46 – EU-DSGVO
Google – als Empfänger der personenbezogenen Daten im Drittland – teilt zur Nutzung der IP-Adresse mit, dass diese nur zur Zusendung der Schriftart (das ist eine technische Notwendigkeit) benötigt, und die IP-Adresse gar nicht gespeichert würde.
Die Google Fonts-API protokolliert die Details der HTTP-Anfrage einschließlich des Zeitstempels, der angeforderten URL und aller HTTP-Header (einschließlich Verweis-URL und User-Agent-String), die in Verbindung mit der Verwendung der CSS API bereitgestellt werden.
IP-Adressen werden nicht protokolliert.
Google Fonts FAQ (2022-08-29)
Später hatte Google das nochmals präzisiert.
The Google Fonts Web API is designed to limit the collection, storage, and use of data, and Google in particular does not use it for creating profiles of end users or for advertising. Such data is kept secure and separate from other data.
https://fonts.googleblog.com/2022/11/your-privacy-and-google-fonts.html
Die Datenschutzbehörde in Österreich hat das amtswegige Prüfverfahren gegen Google wegen Google Fonts noch nicht abgeschlossen. Sie gibt daher aktuell (Bekanntmachungen, 2022-08-29) keine Stellungnahme dazu ab, ob die Einbindung von Google Fonts direkt vom Google Server tatsächlich gegen die DSGVO verstößt.
Meiner Meinung nach (Anm.: Heinz Duschanek) ist der Einsatz der Schriftarten direkt vom Google Server aktuell gar kein Verstoß gegen die DSGVO, jedenfalls gibt es dazu in Österreich noch keine Entscheidung. Diese Ansicht wird auch von Anwälten und dem Verein Digital Society geteilt, ist allerdings derzeit nicht die überwiegende Rechtsmeinung.
So hatte etwa das Landgericht München Monate kurz zuvor einer Klage auf Unterlassung stattgegeben. Dem Kläger stehe gegen die Websitebetreiberin ein Anspruch auf Unterlassung der Weitergabe seiner IP-Adressen an Google zu. Die unerlaubte Weitergabe der dynamischen IP-Adresse des Klägers an Google verletze dessen allgemeines Persönlichkeitsrecht in Form des informationellen Selbstbestimmungsrechts nach § 823 Abs. 1 BGB (deutsches Recht). Zusätzlich sprach das Landgericht München dem Kläger Schadensersatz in Höhe von 100 Euro zu.
Bitte merken Sie sich kurz diese Zahl.
Der Rechtsanwalt Marcus Hohenecker hatte im Auftrag seiner Mandantin Eva Z. (Name der Redaktion bekannt) Anfang August mutmaßlich tausende Websitebetreiber/innen gebührenpflichtig abgemahnt.
»Der erfolgte Kontrollverlust über ein personenbezogenes Datum an Google, also ein Unternehmen, das bekanntermaßen massenhaft Daten über seine Nutzer sammelt, verursacht meiner Mandantin erhebliches Unwohlsein und nervt sie massiv. Die Datenweitergabe an gerade ein solches Unternehmen stellt für meine Mandantin einen tatsächlichen und spürbaren Nachteil dar«.
Abmahnschreiben RA Marcus Hohenecker
Das Unwohlsein könne durch eine Zahlung von 100,- Euro behoben werden (Sie erinnern sich an das Landgericht München?). Für seine Dienstleistung verlangte der Anwalt 90,- Euro, macht also insgesamt 190,- Euro aus, ohne Trinkgeld.
Mittlerweile werden keine weiteren solche Schreiben von RA Hohenecker ausgesendet. Der Betroffenen-Anwalt Peter Harlander will dagegen mit seiner Kanzlei Strafanzeige wegen gewerbsmäßigen Betrugs einbringen, an der man sich gegen geringes Entgelt beteiligen kann. Es sollen hinreichend Beweise vorliegen, dass die Mehrzahl der betroffenen Websites nicht persönlich von der Mandantin Hoheneckers besucht, sondern vollautomatisiert ausgelesen worden sei. Und eine Software habe keinen Anspruch wegen Verletzung des Datenschutzes. Der mit der »Dokumentation« beauftragte IT-Dienstleister hat die Details dazu bekanntgegeben (https://www.derstandard.at/story/2000144029763/involvierter-it-unternehmer-google-schriftartenbelastet-datenschutzanwalt).
Anders ausgedrückt: es steht nun der Vorwurf im Raum, die Mandatin des Anwalts hätte gezielt nach Gründen für ihr Unwohlsein suchen lassen. Insgesamt seien 180.000 Datensätze generiert worden, die zumindest zu 32.000 Mahnschreiben geführt hätten.
32.000 x 100,- = ?
Die österreichische Datenschutzbehörde hält mit Stand 23.08.2022 fest:
Es wird aber ausdrücklich klargestellt, dass die Feststellung von Rechtsverstößen in Datenschutzangelegenheiten in Österreich ausschließlich in die Zuständigkeit der Datenschutzbehörde oder der österreichischen Gerichte fällt, jedoch keinesfalls von privaten Einrichtungen oder Privatpersonen vorzunehmen ist. Die Feststellung einer Datenschutzverletzung kann somit immer erst nach Durchführung eines gesetzlich bestimmten, formgebundenen Verfahrens erfolgen.
Zur Klärung des Sachverhalts hat die Datenschutzbehörde zwischenzeitig ein amtswegiges Prüfverfahren gegen Google wegen Google Fonts eingeleitet.
Datenschutzbehörde
Auch das sagt aktuell die Datenschutzbehörde zum Thema »Google Fonts in Websites«:
Unverbindlich wird jedoch empfohlen, die folgenden technischen Schritte umzusetzen:
Datenschutzbehörde, Bekanntmachungen
- Überprüfen Sie, ob Google-Fonts tatsächlich auf Ihrer Website eingebunden ist.
- Überprüfen Sie, ob Sie Google-Fonts überhaupt benötigen. Oft wird Google-Fonts bei „Website-Baukästen“ standardmäßig eingebunden.
- Sofern Sie Google-Fonts auf Ihrer Website einbinden und benötigen, überprüfen Sie, ob die Schriftarten von einem Google-Server (nach)geladen werden, oder ob die Schriftarten lokal eingebunden sind. Eine lokale Einbindung ist empfehlenswert.
- Wenn Sie technische Expertise besitzen, können Sie zusätzlich überprüfen, ob aufgrund der Einbindung von Google Fonts auf Ihrer Website überhaupt eine Verbindung zu einem Google-Server aufgebaut wird. Dokumentieren Sie ihre Ergebnisse.
Die österreichische Datenschutzbehörde sagt also »Eine lokale Einbindung ist empfehlenswert«, und nicht: »… muss erfolgen«.
Wichtig auch zu wissen: München ist eine Stadt in Deutschland, nicht in Österreich. Die beiden Staaten haben zwar eine ähnliche, aber nicht exakt dieselbe Rechtslage.
Eine Chronologie der Ereignisse können Sie hier nachlesen.
Sind Sie betroffen? Was sollten Sie tun, um etwaigen Google Fonts Abmahnungen gelassen entgegentreten zu können?
Seit der Entscheidung des Landgerichts München, das die fehlende Datenverarbeitung durch Google leider außer Acht gelassen hat, kursieren in Deutschland und langsam auch in Österreich die Abmahnschreiben und Wünsche nach finanzieller Abgeltung von Unwohlsein in einer Größenordnung wie die Erbschafts-Scam-Mails. Hinz und Kunz gestatten sich ihr liebevoll gepflegtes, kontinuierliches Unwohlsein durch gezieltes Aufsuchen von mutmaßlichen DSGVO Verstößen vergolden zu lassen.
Ich gebe hier keine Rechtsberatung ab, aber es scheint sich für mich nach dem Lesen vieler Artikel von Rechtsanwälten in dieser Angelegenheit herauszukristallisieren, dass eine Zahlung der gewünschten Summe nicht angebracht ist. Lesen Sie bitte weiter.
Sie können auf die Nutzung von Google Fonts verzichten, und nutzen stattdessen Systemschriften. Das sind Schriften, die in der Regel bei der Erstinstallation und bei Updates (Softwareaktualisierungen) des Betriebssystems durch den jeweiligen Hersteller (z.B. Apple®, Microsoft® oder Google®) installiert werden. Diese Fonts können daher bedenkenlos von Websites angesprochen werden:
Sie können aber auch Google Fonts lokal auf Ihrem Server ablegen und von da aus in die Website einbinden. Das erreichen Sie durch:
Vorteil der »Lokalisierungs«-Plugins: Sie unterbinden das Laden der externen Google Fonts, und binden die gewünschten Schriftarten gleichzeitig lokal ein. Es ändert sich daher nichts am Aussehen der Website. Die Google Fonts sind lokal gespeichert und werden nicht mehr vom Google Server geladen.
Nachteil der »Lokalisierungs«-Plugins: es könnten immer noch Google Fonts vom Google Server geladen werden, weil sich manche Themes oder Plugins nicht an bestimmte Standards halten, und diese zusätzlichen Schriftarten daher nicht erkannt werden.
Nachteil der manuellen Arbeit: auf die bequeme Auswahl von Schriftarten in WordPress müssen Sie ab nun verzichten.
Test-Tools unterstützen Sie dabei herauszufinden, ob Ihre Website noch Google Fonts vom Google Server lädt. Hier eine Auswahl:
Sie können auch selbst in den Quelltext Ihrer Website sehen (alle Seiten ansehen!).
Öffnen Sie im Browser Chrome eine Seite und rufen Sie mit »Strg + Umschalttaste + I (Buchstabe i)« das Entwicklermenü auf. Hier klicken Sie den Reiter »Sources« (»Quellcode«) an, darunter »Page« (»Seite«). Suchen Sie nach Begriffen wie »fonts.googleapis.com« oder »fonts.gstatic.com«.
Wenn Sie diese finden, dann binden Sie die Google Schriftarten immer noch vom Google Server aus in Ihre Website ein. In unserem Beispiel wird etwa die Schriftart Merriweather noch vom Google Server eingebunden.
Bei lokaler Einbindung sollten diese Serverbezeichnungen nicht mehr erscheinen.
Bitte beachten Sie, dass manche Einbindungen, wie Google Maps oder Google ReCaptcha (aber auch etwaige andere Einbettungen durch Plugins), immer Google Fonts von einem US-Server abrufen. Dem lässt sich nur abhelfen, indem Sie
Natürlich unterstützen wir Sie gerne bei Recherche und Behebung.
RA Hohenecker hatte mit allen Abmahnschreiben auch einen Auskunftsanspruch gemäß Art 15 DSGVO geltend gemacht. Diese Auskunft sollte in jedem Fall erteilt werden.
Wenn der Name seiner Mandantin Eva Z. in Ihrem Unternehmen nicht bekannt und nirgendwo gespeichert ist (was wohl mehrheitlich anzunehmen ist), sowie auch die Ihnen mitgeteilte IP-Adresse zum genannten Zeitpunkt nicht in Log-Dateien Ihres Webservers aufscheint, dann kann eine Negativ-Auskunft innerhalb der Regelfrist von vier Wochen etwa der folgenden Form erteilt werden:
„Sehr geehrter Herr Mag. Hohenecker,
Über Frau Eva Z. verarbeiten wir – mit Ausnahme des Auskunftsbegehrens – keine personenbezogenen Daten.“
Im Fall der Ablehnung einer Schadensersatzzahlung:
»Wir als Betreiber der Website [DOMAINNAME ERGÄNZEN] bestreiten den von Ihnen im Schreiben vom [DATUM ERGÄNZEN] geltend gemachten Anspruch dem Grunde und der Höhe nach.«
Sollten Sie bei der Suche nach Frau Eva Z. dagegen fündig werden, müssen Sie dann doch ein umfassendes Auskunftsschreiben verfassen. In jedem Fall bewahren Sie sämtliche Korrespondenz mit der anwaltlichen Vertretung der betroffenen Person für einen angemessenen Zeitraum auf.
Zuletzt noch weitere Artikel mit Ratschlägen:
Die WKO (Wirtschaftskammer Österreich) hatte in einer ersten Reaktion zur Zahlung geraten. Sie hat sich damit keinen Link von diesem Artikel verdient, aber der Vollständigkeit halber zeige ich die URL zur mittlerweile aktualisierten Version der WKO Empfehlung:
https://www.wko.at/service/wirtschaftsrecht-gewerberecht/abmahnungen-wegen-google-fonts.html
Eine erste Klagebeantwortung liegt mittlerweile vor: https://www.dataprotect.at/2022/09/21/google-fonts-verfahren-die-klagebeantwortung/
Ich hoffe, dieser Beitrag ist hilfreich. Für Anregungen, Ergänzungen oder widersprüchliche Meinungen steht Ihnen der Kommentarbereich zur Verfügung.
Das Landgericht München I hat in seiner Entscheidung am 30.03.2023 (Aktenzeichen: 4 O 13063/22) klargemacht, dass Ansprüche nicht geltend gemacht werden können, wenn sie explizit mit dem Ziel provoziert werden, Ansprüche erst herbeizuführen. Das Gericht benutzt explizit den Begriff der „Tatprovokation“.
Es fehle in diesem Fall an einer persönlichen Betroffenheit des Beklagten.
„Wer Websites gar nicht persönlich aufsucht, kann persönlich auch keine Verärgerung oder Verunsicherung über die Übertragung seiner IP-Adresse an die Firma Google in den USA verspüren.“
Landgericht München I (Az.: 4 O 13063/22)
Der Kläger Rechtsanwalt Dr. Max Greger hatte in einer negativen Feststellungsklage die Feststellung begehrt, dass der Google Fonts Abmahner Martin I.
Dieses Urteil wirkt allerdings nur zwischen den Parteien des Rechtsstreits. Für einen etwaigen geltend gemachten Anspruch gegen weitere Personen hat dieses Urteil keine unmittelbare Rechtskraftwirkung. Allerdings kann in Verhandlungen auf dieses Urteil Bezug genommen werden.
Vor dem Bezirksgericht Wien Favoriten ist die Klägerin Eva Z. erstmal gescheitert, sie konnte ihren persönlichen Schaden nicht belegen. Das Gericht verurteilte die Frau zu Zahlung der Verfahrenskosten.
Rechtsanwalt Mag. Ulrich Kopetzki bietet die Teilnahme an einer Sammelklage an, unter https://abmahnantwort.at/
Damit könne man auf unkomplizierte und kostenlose Art auf das Schreiben rechtswirksam reagieren, Schadenersatz geltend machen sowie bereits einbezahlten EUR 190 zurückfordern.
Auch Hildegard von Bingen wurde abgemahnt. Die Universalgelehrtin lebte von 1098 bis 1179.
Ich finde es komisch, dass Unternehmen sich beschweren und dabei aber oftmals Google Analytics ohne Einwilligung verwenden. Die Hälfte der Cookie-Banner funktioniert auch nur pseudomäßig.
Ich habe meine Seiten alle mit einem Google Font Checker geprüft und dann richtig eingebunden. Problem gelöst!
Google-Fonts-Checker: https://happyworx.de/google-fonts-checker
Danke für den Beitrag, weiter so 😀