Immer wenn man denkt, perfider gehts nicht mehr, wird man doch wieder überrascht vom Einfallsreichtum einiger Black-Hat-Juristen.
In den letzten Tagen haben zwei Kanzleien (ein Anwalt mit Düsseldorfer Adresse und ein Anwalt aus Berlin) etliche Abmahnungen wegen nicht datenschutzkonformer Einbindung von Google Fonts auf Webseiten an Website-Betreiber versendet.
In diesen Abmahnungen werden Mandanten vertreten, die sich in ihren Rechten bezüglich des Datenschutzes verletzt fühlen, weil sie angeblich Ihre Website besucht haben und sich durch das Weiterleiten der IP-Adresse an Google via Google Schriftarten in ihrem Persönlichkeitsrecht verletzt fühlen.
Auch wenn man erst mal Ruhe bewahren sollte: Diese Anschreiben sind unangenehm, insbesondere wenn man als Empfänger erst einmal nur mit technischen Details bombardiert wird. Es ist schon für Menschen vom Fach schwer genug, alle Fallstricke, die sich aus vielen Gesetzesänderungen und Urteilen ergeben, vorausschauend zu behandeln. Hier eine grobe Erläuterung wie es zu dieser Abmahnwelle gekommen ist:
Wie kann die Abmahnung möglich sein?
Google Fonts sind Schriftarten mit Freien-Software Lizenzen, die Google in einem großen Verzeichnis mit über 1400 Schriften zur Verfügung stellt. (https://fonts.google.com/). Standardmäßig bietet Google an, dass die Schriften, die man auf seiner Website benutzen möchte, über deren Server auf Ihre Website ausgeliefert werden. Das ist einfach wartbar, da zentral und schnell. Nehmen wir an, Sie haben eine Website mit der häufig benutzten Google Schriftart “Open-Sans”.
Wenn ein Besucher Ihre Website besucht, meldet der Server Ihrer Website “Hey, es gibt tatsächlich jemanden, der unsere Seite anschauen will. Alarm! Google Server, bitte gib mir mal schnell die Schriftart “Open Sans”, so dass ich die komplette Seite dem Besucher zeigen kann”. In der HTML-Welt sieht eine Anfrage so aus:
<link href="https://fonts.googleapis.com/css2?family=Open+Sans" rel="stylesheet">
Wie kommt die “Persönlichkeitsverletzung” ins Spiel?
Um die Kommunikation zwischen verschiedenen Knoten im Internet zu ermöglichen, braucht jeder Knoten eine IP-Adresse. So ist das Internet im Prinzip aufgebaut.
Ein Besucher Ihrer Website hat eine IP-Adresse (z.B. von der Telekom), mit der sie oder er in der Weltgeschichte herumsurft. Der Rechner, auf dem Ihre Website läuft, auch Server genannt, hat ebenfalls eine IP-Adresse. Und der Google Rechner also der Schriftserver hat ebenfalls eine IP-Adresse.
Ihre IP-Adresse, die Sie zum Surfen im Internet benutzen, gehört laut eines Urteils des Europäischen Gerichtshofs zu Ihren personenbezogenen Daten und sollte daher von anderen Teilnehmern im Netz besonders geschützt werden. Das regelt unter anderem in Deutschland die DSGVO.
Datenschützer argumentieren, dass die IP-Adresse des Besuchers über diese Kommunikation den EU Raum verlassen kann und in den USA bei Google landet. Diese könnten diese speichern und das ist ohne die Einwilligung des Besuchers nicht in Ordnung.
Darauf beziehen sich nun die Anwälte.
Ein Mitglied der “Interessengemeinschaft Datenschutz” hat nun angeblich Ihre Website besucht und dabei ist es passiert, dass die IP-Adresse durch das Ausliefern der Schrift an Google weitergegeben wurde.
Es wird mit Screenshots der Quelldatei ihrer Website und anderen Beweismitteln argumentiert. Mit Schadenersatzforderungen zwischen 170,- bis ca. 250,- Euro wird Ihnen angeboten, dass damit alle Ansprüche abgegolten sind.
Die Summe der Entschädigungszahlungen ist gerade so hoch bzw. niedrig, dass viele Empfänger lieber bezahlen, als sich den Stress mit der Anwaltssuche und dem Widerspruch zu machen. Wenn man das massenartig versendet und nur ein kleiner Prozentanteil der Angemahnten zahlt, verdienen die Anwälte und die fraglichen Mandanten viel Geld.
Was kann man dagegen vorbereitend tun?
Überprüfen Sie zunächst, ob Ihre Website überhaupt bezüglich Google Fonts betroffen ist:
https://www.e-recht24.de/google-fonts-scanner
Falls der Check einen Alarm liefert, sollten Sie den letzten Knoten, also den Schriftserver von Google ausschalten, indem Sie die Schriftarten direkt auf den Rechner Ihrer Website herunterladen und von dort an den Besucher ausliefern. Das nennt sich dann “Google Schriftart lokal einbinden”. Es gibt verschiedene Möglichkeiten, die je nach Website variieren. In WordPress liefert das PlugIn “OMGF” durchaus brauchbare Resultate. Manchmal muss man dem Ganzen aber manuell zu Leibe rücken. Bitte sprechen Sie uns für eine Überprüfung an.
Was tun, wenn man eine Abmahnung bzw. einen Vergleich erhalten hat?
Hier können und dürfen wir natürlich keinen juristischen Rat geben. Aber an dieser Stelle ein paar Denkanstöße 😉
- Sicherlich wird kein Mensch hunderttausende Webseiten im Netz aufrufen, die Quelldateien überprüfen und Screenshots machen. Dahinter verbirgt sich also wahrscheinlich ein Programm, das die betroffenen Websites abfischt. Allein dieser Vorgang ist nicht zulässig. Ein Anwalt kann bei Missbrauch seine Lizenz verlieren.
- Falls es sich offenbar um eine Massenabmahnung handelt (was man durch eine Suche schnell herausfindet) stellt sich die Frage. Unter Hundertausenden von Anschreiben – wie hoch ist die Wahrscheinlichkeit, dass sich eine Kanzlei die Mühe macht, genau Sie zu verklagen, wenn Sie einfach gar nichts unternehmen?
- Ein weiterer Punkt ist, dass Google darauf hinweist, dass bei der Auslieferung der Schriften gar keine IP-Adressen protokolliert werden. Siehe hier https://developers.google.com/fonts/faq.
- Lässt man es zum Verfahren kommen wäre auf jeden Fall auch ein interessanter Aspekt, dass die Schriftarten-Server von Google in einem so genannten CDN (Content Delivery Network) liegen. Das ist ein Verbund mit lauter gespiegelten Servern, damit man jeweils die Daten aus dem nächstgelegenen Knotenpunkt im Internet abruft. Und in diesem Falle wäre der nächst gelegene Server des CDN in Europa. Eventuell hat also die IP-Adresse des “Mandanten” die Grenzen nie verlassen. Dies kann man aus einem einfachen Screenshot nicht ablesen.
Einige weitere Tipps finden Sie ebenfalls bei e-recht…
Fälle bei uns und Fazit
Wir haben jetzt nochmals alle unserer Kundenseiten überprüft, die auf unseren Systemen laufen, und keine Webseiten gefunden, die Schriften vom Google Server nachladen.
Leider berichten inzwischen 3 Kunden, deren Website wir betreuen, dass sie entsprechende Schreiben erhalten haben, obwohl wir bereits im Februar damit begonnen hatten, Schriften nur noch Lokal einzubinden. Nachforschungen ergaben dann, dass es ein WordPress-PlugIn gab, das dazu führte, dass die Schriften nachgeladen wurden. Inzwischen haben wir diesen Fehler behoben, aber so etwas ist natürlich ärgerlich.
Mit einem unserer Kunden werden wir nun gemeinsam gegen diese Art von Abmahnung vorgehen. Wenn es möglich ist, werden wir Sie hier im Blog auf dem Laufenden halten.
Ein Gutes hat die Sache nun auch wieder: Wir beschäftigen uns nun noch intensiver mit dem Thema DSGVO und können Ihnen diesbezüglich weiteren Rat geben. Außerdem schreib ich endlich wieder Newsletter 🙂
Bei Fragen zögern Sie nicht uns bei Fragen zu diesem Thema zu kontaktieren!