Abmahnwelle wegen Google Fonts

Update: 01.12.2022

Zwischenzeitlich erhielten wir ein zweites Schreiben über eine Kundin, die von Herrn RA. Lenard im Namen seines Mandanten Martin Ismail von einer Interessengemeinschaft Datenschutz, nicht identisch mit Viva Datenschutz aber bis auf Nuancen die gleiche Aufmachung, angeschrieben worden war.

Wir gehen aufgrund der Aktenzeichen und der Vielzahl an Meldungen in sozialen Medien von mehreren zigtausend Fällen aus, die wohl kaum von zwei einzelnen Personen in der fraglichen Zeit persönlich aufgesucht werden konnten. Die Wahrscheinlichkeit, dass hier ein automatischer Scanner, ein Bot, erhebliche Schmerzen erlitt, ist hoch. Allerdings sind elektronische Programme nach DSGVO nicht geschützt, da es sich hier nicht um personenbezogene Daten handelt.

In keinem der beiden Schreiben wird ein zweifelsfreier Nachweis erbracht, dass es sich hier um reale Besucher der Website gehandelt hat.

Wir raten dringend dazu, keine Zahlungen zu leisten und statt dessen, für den Fall, dass Sie ein erneutes Schreiben erhalten, den Rat eines fachlich versierten Anwalts einzuholen.

Update: 23.11.2022

Uns liegen mittlerweile Schreiben einer RAAG-Kanzlei vor, die vorgeben einen Herrn S., Teil einer Interessengemeinschaft Datenschutz, viva Datenschutz, zu vertreten. Nebst RA-Gebühren fordert die Kanzlei den Betrag von 230,96 Euro. Die Berichterstattung im Netz und der Presse legt nahe, dass auch dieses Schreiben einer Serie gleichlautender Massenabmahnungen darstellt, die rechtlich ausgesprochen fragwürdig ist.

Insbesondere die vorgebliche Interessengemeinschaft Datenschutz glänzt nicht unbedingt durch eine fundierte Kenntnis datenschutzrechtlicher Pflichten. Das zumindest legt die Analyse der Website des Unternehmens nahe. Aus unserer Sicht geht es ausschließlich darum, das Grundrecht auf informationelle Selbstbestimmung aus wirtschaftlichen Gründen zu missbrauchen. Wir raten allen Betroffenen qualifizierten Rechtsbeistand zu suchen.

Den angesprochenen Heise Artikel mit weiteren Informationen finden Sie hier.

Aktuell grassiert wieder einmal eine Abmahnwelle gegen Websitebetreiber, die Google Fonts von Google Servern laden. Hintergrund der Abmahnwelle ist ein Urteil des LG München (Az.: 3 O 17493/20) vom 20.01.2022, das einen Websitebetreiber zu Auskunfterteilung und Schadensersatz verurteilte.

Der Sachverhalt ist seit Jahren unstrittig, der Abruf von Google Fonts von Google Servern stellt eine Übermittlung personenbezogener Daten in die USA dar. Der Besucher einer Website oder eines Shops hat in aller Regel weder Kenntnis der Übermittlung noch kann er die weitere Verarbeitung durch Google, insbesondere das Zusammenführen mit weiteren Daten zu aussagekräftigen Profilen unterbinden.

Das Grundrecht auf informationelle Selbstbestimmung

wird durch die Betreiber von Websites und Shops die Google Fonts in dieser Weise einsetzen, unterlaufen und hintergangen. Dies wiegt um so schwerer, als der lokale Einsatz von Google Fonts legal möglich ist und eine derartige Datenübertragung wirkungsvoll unterbindet. Es fällt vier Jahre nach Inkrafttreten der DSGVO wirklich schwer zu verstehen, warum Medienagenturen und Designer Google Fonts in der beschriebenen, datenschutzwidrigen Weise einsetzen. Insofern war das Urteil des LG München erwartbar. Erstaunlich nur, dass die Abmahnindustrie das Thema erst 2022 aufgreift.

Neu am Urteil

des Landgerichts ist, dass die Münchener Richter einem Besucher der Website einen Schadensersatz in Höhe von 100,- Euro zugestanden haben.

Dem Kläger steht ein Schadensersatzanspruch aus Art. 82 Abs. 1 DS-GVO zu. Der Begriff des Schadens i.S.d. Art. 82 DS-GVO ist nach dem Erwägungsgrund 146 S. 3 dabei weit auszulegen. Die Auslegung soll den Zielen dieser Verordnung in vollem Umfang entsprechen, auch dem Ziel der Sanktion und Prävention (BeckOK Datenschutzrecht, Wolff/Bring, 38. Edition, DS-GVO Art. 82, Rn. 24).

Ausreichend ist gem. Art. 82 Abs. 1 DS-GVO dabei auch ein immaterieller Schaden. Ob eine Erheblichkeitsschwelle erreicht bzw. überschritten sein muss und so genannte Bagatellschäden auszuschließen sind, ist umstritten (vgl. BVerfG NJW 2021, 1005,Rz. 20 m.w.N.; Kohn ZD 2019, 498 (501); Paal MMR 2020, 14 (16)), kann aber im hiesigen Fall dahingestellt bleiben. Die Beklagte räumt ein, dass sie vor der Modifizierung ihrer Webseite bei den Besuchen des Klägers auf ihrer Webseite dessen IP-Adresse an Google übermittelt hat. Die Übermittlung der IP-Adresse erfolgte damit nicht nur einmalig. Der damit verbundene Eingriff in das allgemeine Persönlichkeitsrecht ist im Hinblick auf den Kontrollverlust des Klägers über ein personenbezogenes Datum an Google, ein Unternehmen, das bekanntermaßen Daten über seine Nutzer sammelt und das damit vom Kläger empfundene individuelle Unwohlsein so erheblich, dass ein Schadensersatzanspruch gerechtfertigt ist. Berücksichtigt werden muss dabei auch, dass unstreitig die IP-Adresse an einen Server von Google in den USA übermittelt wurde, wobei dort kein angemessenes Datenschutzniveau gewährleistet ist …

Urteil des LG München, Az.: 3 O 17493/20

Der Begriff des Schadens

und die aus einem möglichen Schaden resultierenden Ansprüche sind in den Rechtssystemen der USA und Deutschlands unterschiedlich. Horrende Schadenssummen, wie sie in den USA durchaus vorkommen können, sind in Deutschland kaum vorstellbar.

Sie benötigen einen betrieblichen Datenschutzbeauftragten?

Wir betreuen mittelständische Unternehmen und Unternehmensgruppen aus unterschiedlichen Branchen und stellen bei Bedarf den betrieblichen Datenschutzbeauftragten auch im Konzernverbund.

Dennoch sollten die Betreiber von Websites und Shops das Thema nicht unterschätzen. Auch kleine Schadenssummen können in der Summe der möglichen Betroffenen hohe Folgekosten nach sich ziehen.

Verantwortliche

sind verpflichtet, ihre Auftragsverarbeiter, Agenturen und Designer sorgfältig auszuwählen und die rechtskonforme Umsetzung Ihrer Präsenzen zu kontrollieren. Das kommt in der Summe allemal günstiger, als Verarbeitungen mit Risikofaktor zu implementieren.

Mehr zum Thema Auftragsverarbeitung und Kontrolle von Auftragsverarbeitern finden Sie auf dieser Seite.

Ein Schaden?

Grundsätzlich stellt sich allerdings die Frage, analysiert man das Urteil etwas genauer, ob der zielgerichtete Aufruf einer Website mit dem Ziel, eine Abmahnung zu platzieren, mit dem vorgetragenen Fall identisch ist. Daran können berechtigte Zweifel geltend gemacht werden. Insofern ist betroffenen Unternehmen zu raten, fachlichen Rat eines versierten Anwalts einzuholen.


Diese Seite verwendet die Shariff-Lösung der Ct.
Ihre Daten werden erst dann an Dritte übertragen, wenn Sie auf den entsprechenden Button klicken.

Herzlichen Dank fürs Teilen und Bekanntmachen dieser Seite.