Datenschutzverletzung wegen Google Fonts: Was tun? Alle Informationen im Überblick

Derzeit rollt eine regelrechte DSGVO-Abmahnwelle über Österreich, betreffend Google Fonts. Zahlreiche Webseitenbetreiber erreichen aktuell Briefe und E-Mails mit einer Abmahnung eines Datenschutzanwalts. Was ist da dran?

Die Datenschutz-Grundverordnung ist am 25. Mai 2018 in Geltung getreten. Seitdem werden immer wieder Unternehmen, Firmen oder Vereine aufgrund Datenschutzverletzungen abgemahnt. In den meisten Fällen aus begründetem Verdacht. Anders scheint die Sache aber im aktuellen Fall des datenschutzanwalt.eu, Herr Mag. Marcus Hohenecker, zu sein. Tausende Webseitenbetreiber wurden einer Datenschutzverletzung unterrichtet mit der Forderung auf einen „Vergleich“. Zahlreiche Leser und Betroffene haben sich bei uns gemeldet.

Disclaimer: Beim folgenden Artikel handelt es sich um keine Rechtsberatung. Das genaue Vorgehen in diesem Fall sollte stets individuell mit einem Anwalt abgeklärt werden. Wir geben hier ausschließlich Tipps zur weiteren, technischen Vorgehensweise und teilen unsere Rechercheergebnisse mit.

Updates

Update am 23. August, 16:15 Uhr: Einen Tag nach Erscheinen dieses Artikels möchten wir uns herzlich für den ganzen Input und Diskussionen unter diesem Artikel bedanken. Wir hätten nie gedacht, dass unser Artikel so oft geteilt und diskutiert wird. Das riesige Ausmaß dieser Abmahnwelle war uns völlig unklar. Wir werden weiterhin recherchieren und den Artikel mit weiteren Informationen versorgen. Dazu brauchen wir weiterhin eure Unterstützung – lasst uns weitere Details in Form eines Kommentars unter diesem Artikel oder per E-Mail an redaktion@techniknews.net zukommen.

Update am 24. August, 13:05 Uhr: Wir haben unseren Artikel um weitere Informationen ergänzt:

• Merkwürdige Screenshots
• Merkwürdige Domain-Namen
• Wo kommen Google Fonts her?
• Möglichkeiten zur Prüfung auf Google Fonts
• Empfohlenes WordPress Plugin zur Entfernung von Google Fonts
• Stellungnahmen
  • Herr RA Mag. Fraiß
  • WKO
  • Rechtsanwaltskammer NÖ

Update um 26. August, 14:15 Uhr: Wir haben eine ausführliche Stellungnahme einer – unter anderem für Datenschutz spezialisierte – Kanzlei „Zauner Schachermayr Koller & Partner“, RA Mag. Schopper hinzugefügt. Direkt zur Stellungnahme scrollen

Update am 28. August, 18:30 Uhr: Abschnitt „merkwürdige Crawler“ hinzugefügt

Worum geht’s?

In dem Schreiben bezieht sich der Rechtsanwalt auf eine IP-Adresse einer Mandantin namens Eva Z., die die betroffene Webseite zu einem unbekannten Zeitpunkt aufgerufen haben soll. Dabei ist weiters ein Screenshot der betroffenen Webseite zu finden. So weit, so gut. Konkret geht es der Mandantin um eingebaute „Google Fonts“, einem CDN-Dienst des amerikanischen Unternehmens, welcher Schriftarten für Webseiten bereitstellt. Der Webseitenbetreiber soll „ohne Zustimmung der Mandantin an eine Gesellschaft des US-amerikanischen „Alphabet Inc.“-Konzerns („Google“) weitergeleitet haben“, so das Schreiben.

Ein betroffener Webseitenbetreiber hat uns weitere Informationen und das Schreiben bereitgestellt. Wir haben Namen, IP-Adressen, den Domainnamen und Inhalte des Screenshots geschwärzt.

Bild: TechnikNews/Screenshot

Mit dem beigefügten Screenshot wolle er den Zugriff auf die Webseite beweisen und ein Screenshot des Quellcodes soll die Nutzung von Google Fonts beweisen.

Bild: TechnikNews/Screenshot

Betroffene im fünfstelligen Bereich?

Unklar ist, wie viele Personen und Webseitenbetreiber hier tatsächlich betroffen sind. Wir können aber aufgrund der Aufrufzahlen unseres Artikels eine ungefähre Annahme treffen.

Information vom 22. August, 18:00 Uhr: Unser Artikel erfährt sich großer Beliebtheit und hat nur wenige Stunden nach der Veröffentlichung die 1.000-Klicks-Marke überschritten – wir vermuten so Betroffene im vierstelligen Bereich. Es scheint sich aber ausschließlich um österreichische Betroffene zu handeln. Wir werden in dieser Sache weiter recherchieren – weitere Informationen bitte unserer Redaktion via E-Mail an redaktion@techniknews.net zukommen lassen.

Update am 23. August, 13:20 Uhr: Aufgrund weiterhin extrem hoher Resonanz und Klickzahlen unseres Artikels schrauben wir unsere Schätzung der Betroffenen auf einen fünfstelligen 10.000-Bereich.

Ist die Einbettung von Google Fonts erlaubt?

Nach der Ansicht des Rechtsanwalts, nein. Dabei stützt er sich auf eine Entscheidung des Landesgerichts München, welches einer Klage im Fall „Google Fonts“ stattgegeben hat. Dieser Fall sei „klagegegenstandsähnlich“, so der Anwalt im Schreiben an Betroffene.

Anders sieht der Status quo in Österreich aus – wo der Sitz der meisten Webseitenbetreiber in diesem Fall liegt – hier gibt es bislang keinerlei Urteil oder Rechtssprechung seitens Datenschutzbehörde, ob eine Nutzung erlaubt ist oder nicht. Die dsb in Österreich „kann keine Stellungnahme dazu abgeben, ob die Einbindung von Google Fonts auf einer Website tatsächlich gegen die DSGVO verstößt“, liest man in einer Bekanntmachung.

Bild: TechnikNews/Screenshot

Aus diesem Grund fordert der Rechtsanwalt einen Schadensersatzanspruch in Höhe von 100 Euro und kosten für eine „pauschalisierte Rechtsverfolgung“ von weiteren 90 Euro. Insgesamt seien 190 Euro fällig, welche innert 14 Tagen bezahlt werden sollen. Alle Ansprüche würden dadurch „bereinigt und beglichen“.

Anders sieht es Google, laut eigener Datenschutzerklärung: Obwohl zwar ein Request des Nutzers‘ Browser an Google stattfinde, würden IP-Adressen nicht protokolliert. Weiters sei „die Verwendung der Google Fonts API nicht authentifiziert und die Google Fonts API legt keine Cookies fest oder protokolliert sie“, so Google.

Ungereimtheiten

Im Zuge unserer Recherchen sind uns einige Ungereimtheiten aufgefallen, welche wir nicht vorenthalten wollen. Dabei handelt es sich lediglich an uns herbeigetragene Zweifel mit technischer Analyse. Es gilt stets die Unschuldsvermutung.

Merkwürdige Logs

Durchforsten Webseitenbetreiber die eigenen Server-Logs, fallen schnell Ungereimtheiten auf. Bei einem „normalen“ Besuch einer Webseite lädt der Browser alle Inhalte der aufgerufenen Seite herunter, darunter fallen CSS- und JavaScript-Files, Bilder und weitere eingebundene Inhalte. So kommen hier Zweifel auf, ob es sich um einen echten Besuch handelt. Einige tippen auf einen „Crawling-Bot“ – die „Mandantin“ hat in fast allen Fällen nur die Startseite aufgerufen und CSS-Dateien heruntergeladen. Es wurden keinerlei andere Dateien heruntergeladen. Dies entspricht nicht der Norm und ist kein normales Nutzerverhalten.

212.95.x.xxx - - [05/Aug/2022:03:35:59 +0200] "GET / HTTP/1.0" 200 9001 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:103.0) Gecko/20100101 Firefox/103.0"
212.95.x.xxx - - [05/Aug/2022:03:35:59 +0200] "GET /wp-content/cache/autoptimize/css/autoptimize_cbe0024c9a9de47dff8672de7a3adb68.css HTTP/1.0" 200 592 "https://[domainname].at/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:103.0) Gecko/20100101 Firefox/103.0"
212.95.x.xxx - - [05/Aug/2022:03:35:59 +0200] "GET /wp-content/cache/autoptimize/css/autoptimize_single_6d2caf54273844cd8c34f6212d59e16a.css?ver=1640895726 HTTP/1.0" 200 599 "https://[domainname].at/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:103.0) Gecko/20100101 Firefox/103.0"
212.95.x.xxx - - [05/Aug/2022:03:35:59 +0200] "GET /wp-content/cache/autoptimize/css/autoptimize_single_7b4611d3af4903f2d9c0eb0fa3fc3be3.css?ver=1640895726 HTTP/1.0" 200 599 "https://[domainname].at/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:103.0) Gecko/20100101 Firefox/103.0"
212.95.x.xxx - - [05/Aug/2022:03:35:59 +0200] "GET /wp-content/cache/autoptimize/css/autoptimize_single_749ea91c94e3a245daea00ed4e6910f7.css?ver=1648978605 HTTP/1.0" 200 599 "https://[domainname].at/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:103.0) Gecko/20100101 Firefox/103.0"
212.95.x.xxx - - [05/Aug/2022:03:35:59 +0200] "GET /wp-content/cache/autoptimize/css/autoptimize_single_1dde4870e16bf363492509c1dc13b256.css?ver=1640895726 HTTP/1.0" 200 880 "https://[domainname].at/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:103.0) Gecko/20100101 Firefox/103.0"
212.95.x.xxx - - [05/Aug/2022:03:35:59 +0200] "GET /wp-content/cache/autoptimize/css/autoptimize_single_847de10f61f8996b4b9195e51466b53a.css?ver=1640895726 HTTP/1.0" 200 599 "https://[domainname].at/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:103.0) Gecko/20100101 Firefox/103.0"
212.95.x.xxx - - [05/Aug/2022:03:36:00 +0200] "GET /wp-content/assets/lib/font-awesome/webfonts/fa-regular-400.woff2 HTTP/1.0" 200 535 "https://[domainname].at/wp-content/cache/autoptimize/css/autoptimize_cbe0024c9a9de47dff8672de7a3adb68.css" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:103.0) Gecko/20100101 Firefox/103.0"

Aus diesem Grund entsteht hier – aus Sicht der Webseitenbetreiber – der durchaus begründete Verdacht auf eine Massenabmahnung mit Zuhilfenahme eines Crawlers. Anbei ein weiteres Logfile, welches uns ein weiterer Betroffener zur Verfügung gestellt hat, bei welchem ebenso vorgegangen wurde:

212.95.x.xxx - - [06/Aug/2022:07:09:29 +0200] "GET / HTTP/1.1" 301 312 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:103.0) Gecko/20100101 Firefox/103.0"
212.95.x.xxx - - [06/Aug/2022:07:09:30 +0200] "GET / HTTP/2.0" 200 44364 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:103.0) Gecko/20100101 Firefox/103.0"
212.95.x.xxx - - [06/Aug/2022:07:09:31 +0200] "GET /wp-content/themes/generatepress/assets/css/components/widget-areas.min.css?ver=3.1.3 HTTP/2.0" 200 3447 "https://www.*******************.at/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:103.0) Gecko/20100101 Firefox/103.0"
212.95.x.xxx - - [06/Aug/2022:07:09:31 +0200] "GET /wp-content/themes/generatepress/assets/css/components/font-icons.min.css?ver=3.1.3 HTTP/2.0" 200 3030 "https://www.*******************.at/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:103.0) Gecko/20100101 Firefox/103.0"
212.95.x.xxx - - [06/Aug/2022:07:09:31 +0200] "GET /wp-content/themes/generatepress/assets/css/main.min.css?ver=3.1.3 HTTP/2.0" 200 19704 "https://www.*******************.at/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:103.0) Gecko/20100101 Firefox/103.0"
212.95.x.xxx - - [06/Aug/2022:07:09:31 +0200] "GET /wp-content/plugins/gutenberg/build/block-library/style.css?ver=13.8.1 HTTP/2.0" 200 92489 "https://www.*******************.at/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:103.0) Gecko/20100101 Firefox/103.0"
212.95.x.xxx - - [06/Aug/2022:07:09:31 +0200] "GET /wp-content/themes/generatepress/assets/css/components/font-awesome.min.css?ver=4.7 HTTP/2.0" 200 31062 "https://www.*******************.at/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:103.0) Gecko/20100101 Firefox/103.0"
212.95.x.xxx - - [06/Aug/2022:07:09:32 +0200] "GET /wp-content/themes/generatepress/assets/fonts/generatepress.woff2 HTTP/2.0" 200 1344 "https://www.*******************.at/wp-content/themes/generatepress/assets/css/components/font-icons.min.css?ver=3.1.3" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:103.0) Gecko/20100101 Firefox/103.0"

Favicon: Außerdem würde ein „normaler“ Browser in der Minimal-Variante eines Besuchs zumindest das Favicon (Icon einer Webseite im Browser-Tab) automatisch anfordern, welches in den Logs ersichtlich wäre. Dies ist uns in allen bekannten Fällen aber nicht geschehen. Auch wenn keines vorhanden ist, würde es der Browser zumindest versuchen. Dies würde in den Logs so aussehen:

xxx.xx.x.xxx - - [24/Aug/2022:13:32:32 +0200] "GET /favicon.ico HTTP/1.0" 404 602 "https://**************" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/104.0.5112.102 Safari/537.36 Edg/104.0.1293.63"

Merkwürdige Crawler

Update am 28. August, 18:30 Uhr: Wir haben ein weiteres Indiz für die automatische Durchführung der Abmahnwelle. Wenn wir schon bei Logs sind – einige Tage vor dem Besuch der Mandantin war bei zahlreichen uns zugespielten Logs ein Impressumscrawler am Werk. Dies könnte für die automatische Erstellung der Briefe nützlich gewesen sein. Wieso sollte sonst ein Impressumscrawler eingesetzt werden? Folgende Log-Einträge fallen auf:

81.209.xxx.xxx - - [27/Jul/2022:00:04:44 +0200] "GET /robots.txt HTTP/1.0" 200 536 "-" "netEstate Impressumscrawler (+http://www.netestate.de/De/Loesungen/Impressumscrawler)"
81.209.xxx.xxx - - [27/Jul/2022:00:04:44 +0200] "GET / HTTP/1.0" 200 53461 "-" "netEstate Impressumscrawler (+http://www.netestate.de/De/Loesungen/Impressumscrawler)"
81.209.xxx.xxx - - [27/Jul/2022:00:04:44 +0200] "GET /impressum HTTP/1.0" 301 496 "-" "netEstate Impressumscrawler (+http://www.netestate.de/De/Loesungen/Impressumscrawler)"
81.209.xxx.xxx - - [27/Jul/2022:00:04:45 +0200] "GET /impressum/ HTTP/1.0" 200 30632 "-" "netEstate Impressumscrawler (+http://www.netestate.de/De/Loesungen/Impressumscrawler)"

Jeweils kurz nach dem Besuch des Impressumscrawler taucht das Tool „Scrapy“ in den Logs auf. Dieses eignet sich dafür, Screenshots anzufertigen und Inhalte aus Webseiten zu extrahieren. Ein Schelm, wer böses denkt …

176.9.xx.xx - - [27/Jul/2022:00:04:47 +0200] "GET / HTTP/1.0" 301 516 "-" "Scrapy/2.4.1 (+https://scrapy.org)"
176.9.xx.xx - - [27/Jul/2022:00:04:47 +0200] "GET / HTTP/1.0" 200 8985 "-" "Scrapy/2.4.1 (+https://scrapy.org)"

Dieselbe IP-Adresse taucht auch einige Tage später erneut auf:

176.9.xx.xx - - [03/Aug/2022:16:39:52 +0200] "GET / HTTP/1.0" 301 516 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) HeadlessChrome/101.0.4951.64 Safari/537.36"
176.9.xx.xx - - [03/Aug/2022:16:39:53 +0200] "GET / HTTP/1.0" 200 9001 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) HeadlessChrome/101.0.4951.64 Safari/537.36"

Merkwürdige Screenshots

Update am 24. August, 12:50 Uhr: Wir haben von Betroffenen zahlreiche Schreiben erhalten, in denen der Screenshot nichtssagend ist. Es ist auf den Bildern keinerlei Nutzung von Google Fonts ersichtlich, weder eine Einbettung noch andere Merkmale. Somit sind auch hier wieder zahlreiche Betroffene der Meinung, dass es sich um einen automatischen Vorgang handeln musste. Eine echte Person hätte den entsprechenden Part korrekt markiert. Anbei ist ein Beispiel zu finden. Wir haben entsprechende Details, die auf die entsprechende Webseite hinweisen könnte, geschwärzt.

Im Screenshot des Quellcodes ist keine Nutzung von Google Fonts ersichtlich. (Bild: TechnikNews/Screenshot)

Zudem sind uns auch Fälle bekannt, in denen nur der noch nicht bestätigte Cookie Banner im Screenshot ersichtlich ist. Je nach korrekter Implementierung fand zu diesem Zeitpunkt noch keinerlei Datenübertragung statt. Der Mandantin „Eva Z.“ war der Zugriff ohne Treffen einer Aktion auf dem entsprechenden Cookie Banner unmöglich.

Bild: TechnikNews/Screenshot

Merkwürdige Domain-Namen

An uns wurden einige Infos herangetragen, dass die Domain-Namen bzw. die aufgerufene Webseite laut dem Schreiben nicht (mehr) so in einer Suchmaschine oder ähnlichem auffindbar wäre. Oft ändern Unternehmen ihren Namen bzw. legen sich eine neue Domain zu. In den meisten Fällen bleibt die alte, manchen noch bekannte, Domain aber noch online – es werden nur alle Besucher dann auf die neue Webseite weitergeleitet.

So ist uns etwa auch ein Fall bekannt, bei dem im Schreiben die „alte“ Domain „xyz.at“ (fiktiv) angegeben wurde, diese aber sofort auf den neuen Domain-Namen „abc.at“ (fiktiv) weiterleitet. Der Besuch bzw. die Einbettung von Google Fonts fand also auf der neuen Seite „abc.at“ statt, obwohl die alte Domain „xyz.at“ im Schreiben erwähnt wurde. Laut unserem Betroffenen, sei es Eva Z. aber unmöglich zu wissen, was die alte Domain ist. Diese sei nirgends wo mehr auffindbar und seit Jahren nicht mehr bekannt.

Merkwürdige Übermittlung der Vollmachtserklärung

Zuallererst ist die im Schreiben erwähnte Vollmacht bei den uns bekannten Fällen nicht direkt anbei zu finden, sondern es wird auf diese via Link zum Download verwiesen. Hier könnte man argumentieren, dass die Seite des verweisenden Links inklusive der Handlungsvollmacht jederzeit geändert werden kann – eine schriftliche Beilage zum restlichen Schreiben wäre unveränderbar. Inwiefern dies rechtens ist, können wir nicht beurteilen. Dies sollte mit einem Anwalt besprochen werden.

Abgesehen davon ist ein öffentlicher, ungeschützter, frei im Internet verfügbarer Download eines Ausweises und einer signierten Vollmacht nicht unbedingt datenschutzfreundlich …

Bild: TechnikNews/Screenshot

Merkwürdiger Zeitpunkt der Vollmachtserklärung

Wir haben zahlreiche Zusendungen hinsichtlich dieses Falls erhalten – alle erhaltenen Logs zu den Aufrufen wurden nach dem 4. August protokolliert. Das ist insofern interessant, da am 04. August die Vollmachtserklärung der Mandantin Eva Z. an den Rechtsanwalt Mag. Hohenecker unterzeichnet wurde.

Die Mandantin wusste also scheinbar im Vorhinein, dass sie Ansprüche bei Aufrufen von Webseiten stellen wird, bei denen sie sich auf die Suche nach Google Fonts begibt. Die Vollmacht wurde exakt am 04. August 2022, 23:01 Uhr unterzeichnet – bereits wenige Stunden später am 05. August, 03:35 Uhr fanden bereits erste Aufrufe statt (siehe Log oben). Interessantes Vorgehen.

Im Zuge unserer Recherche haben wir auch die digitale Signatur geprüft, welche einwandfrei gültig ist, ganz sicher von Eva Z. stammt und zur angezeigten Zeit unterzeichnet wurde. Eine Prüfung der Signatur ist auf der Webseite von A-Trust möglich.

Bild: TechnikNews/Screenshot

Technisch: Wie sollten Webseitenbetreiber vorgehen?

Zuallererst sollte Google Fonts lokal gehostet werden. Das heißt, es sollte nicht mehr via Google eingebunden, sondern direkt vom eigenen Server geladen werden. So ist man definitiv auf der sicheren Seite. Im Zweifelsfall sollte eine Webagentur beauftragt werden. So kann man selbst prüfen, ob Google Fonts auf der eigenen Webseite geladen werden.

Wo kommen Google Fonts her?

Google Fonts sind nicht „einfach so“ auf der eigenen Webseite zu finden. Folgende Gründe gibt es, dass diese Einbettung vorhanden ist:

• Entwicklung: In der Entwicklung der eigenen Webseite wurde, anstatt die Schriftarten lokal zu laden, die Einbindung von Google Fonts vorgezogen.
• Theme: Wird ein CMS wie WordPress genutzt, könnte das verwendete Design („Theme“) standardmäßig mit Google Fonts ausgestattet sein, anstatt die Schriftart direkt mitzubringen.
• Einbettungen: Nutzt die eigene Webseite weitere Elemente von Google, etwa Google AdSense (Werbung), YouTube, Google Maps, Google reCAPTCHA? Diese liefern Google Fonts direkt mit. Eine Verhinderung dessen ist nicht möglich.

Schnelle Prüfung auf Google Fonts mithilfe eines automatischen Tools

Einige Webseiten bieten einen „Google Fonts Checker“ an, welcher die Webseite auf das Vorkommen von Google Fonts prüft. Diese Tools lassen sich einfach bedienen, aber geben eventuell nicht 100%ige Garantie, dass wirklich alle Vorkomnisse gefunden werden. Durch den großen Ansturm sind die Checker derzeit teilweise überlastet.

• sicher3.de – Google Fonts Checker
• 54gradsoftware.de – Google Fonts Checker
• website-bereinigung.de – Google Fonts Checker
• ccm19.de – Google Fonts Checker

Prüfung auf Google Fonts für technisch „Versiertere“ (100% Garantie auf korrekte Funktion)

1. Browser öffnen
2. Entwickler-Tools öffnen: F12 oder STRG + Shift + I
3. Nun sollte sich rechts oder unten ein Fenster öffnen
4. Auf „Netzwerk“/“Network“ klicken -> bei Filter-Typ auf „Font“ einstellen
5. Sollte in der Tabelle der Tab „Domain“ nicht angezeigt werden: Rechtsklick auf eine Überschrift -> Haken bei Domain setzen
6. Eigene Webseite aufrufen

Nun gibt es zwei Möglichkeiten:

1. Es erscheinen nun Einträge mit „fonts.gstatic.com“ oder „fonts.googleapis.com“: Google Fonts werden von Google geladen.
2. Es erscheinen nur Einträge mit der eigenen Domain: die Font ist lokal eingebunden, sehr gut.

In diesem Fall ist keine Google Font eingebunden, sondern die Font wird lokal geladen. (Bild: TechnikNews/Screenshot)

Wie kann Google Fonts entfernt und die Schriftart lokal gehostet werden?

WordPress

• Einfachstes Plugin, funktioniert für die meisten Webseiten: OMGF | GDPR Compliant, Faster Google Fonts. Easy.
• Manuelle Behebung:
  • kopfundstift.de – So bindest du Google Fonts lokal ein: DSGVO-konform mit WordPress
  • egm.at – Google Fonts DSGVO-sicher in WordPress einbinden

Joomla

• allerseiten.de – Google Fonts DSGVO-konform (lokal) in eure Joomla Webseiten einbinden

TYPO3 und weitere Webseiten

Für weitere Webseiten empfiehlt sich die Nutzung des Google Webfonts Helper, welcher die Fonts direkt herunterladen und direkt in das jeweilige Stylesheet einbinden lässt.

Rechtlich: Wie sollte man weiter vorgehen?

Wir können hier keine weitere Rechtsberatung bieten, sondern nur wie bereits erwähnt, die technische Herangehensweise zeigen. Es empfiehlt sich aber auf jeden Fall, Beweise zu sichern und die Serverlogs nach der IP-Adresse abzusuchen. Auch die Bezahlung des Vergleichs sollte ohne weitere Prüfung vorerst nicht stattfinden, ohne die weitere Vorgehensweise mit einem Spezialisten zu besprechen.

Hinweis: Weiter unten sind Statements und Stellungnahmen von Rechtsanwälten zu finden, welche Einschätzung darüber geben, wie vorgegangen werden sollte.

Grundsätzlich müsste der Antrag auf Auskunft gem. Art. 15 DSGVO Antrag auf Auskunft („Request for Access“) aber auf jeden Fall innerhalb eines Monats beantwortet werden. Ob dies auch wirklich getan wird bzw. aus juristischer Sicht sinnvoll ist, sollte mit Absprache des eigenen Anwalts geklärt werden.

Laut Datenschutzbehörde sollte aber vorher überprüft werden, ob dem Antrag eine Vollmacht beiliegt, denn dieser „ist nur gültig, wenn der Anwalt eine entsprechende Vollmacht der vertretenen Person vorlegt“. Eine direkte Beilage war bei den uns bekannten Fällen nicht dabei —, ob eine Verlinkung dahin ausreicht bzw. eine digitale, selbst heruntergeladene Vollmacht akzeptiert werden muss, können wir rechtlich nicht beurteilen.

Für Unternehmer

Unternehmer mit Mitgliedschaft bei der WKO sollten sich an ihre entsprechende Kammer des Bundeslands wenden. Laut einigen Berichten von Betroffenen wurden diese bereits aktiv, sichten und sammeln alle Fälle. Ein weiteres, gemeinsames Vorgehen der Kammern dürfte in Kürze erfolgen.

Beschwerde einbringen

Sollte man hinter der Aktion eine ungerechtfertigte Sache sehen, kann auch eine Beschwerde bei der Rechtsanwaltskammer NÖ eingebracht werden:

• raknoe.at – Rechtsanwaltskammer Niederösterreich

Hilfreiche Links & Informationen

Anbei eine Linkliste für weitere Anlaufstellen mit rechtlichen Informationen und Ansprechpartnern:

• dsb.gv.at – Informationen der Datenschutzbehörde zum Thema Abmahnungen wegen Google Fonts
• digisociety.ngo – Google Font Abzocke
• abmahnung.wtf – Informationsportal gegen die aktuelle Google Fonts Abmahnwelle
• dataprotect.at – Google Web Fonts Abmahnungen / Verfahren
• wbs-law.de – Abmahnwelle wegen Google-Webfonts: Mit unserem Musterschreiben reagieren Sie richtig!
• reddit.com/r/Austria – Abmahnung: Eva Z. / Causa Datenschutzanwalt.eu
• wko.at – Abmahnungen wegen Google Fonts

Stellungnahmen

Meinungen der Rechtsanwälte

„Kein Schadensersatz für Bots“: RA Mag. Schopper

Wir haben die unter anderem auf Datenschutzrecht spezialisierte Kanzlei „Zauner Schachermayr Koller & Partner“ Graben 21, 4020 Linz, um eine Einschätzung gebeten.

Grundsätzlich: Laut – den der Kanzlei vorliegenden Abmahnschreiben – steht im Raum, dass die IP-Adresse des Websitebesuchers, bei Aufruf der Website, ohne Rechtfertigung an das in den USA befindliche Unternehmen („Google“) übermittelt worden sei. Grundsätzlich verstößt, die in den Abmahnschreiben behauptete Weiterleitung der IP-Adresse an Google, bei Einbindung von Google Fonts über Google Server, gegen die DSGVO, welche bei Datenschutzverletzungen in Art 82 DSGVO auch das Recht auf Schadenersatz einräumt. Ohne Rechtfertigung im Sinne der DSGVO (Einwilligung etc) ist dies nämlich unzulässig. Insbesondere, da es sich bei den USA – aus Sicht der DSGVO – um kein sicheres Drittland handelt, weil kein Angemessenheitsbeschluss im Sinne des Art 45 DSGVO vorliegt. Die vormals bestehenden Abkommen mit den USA („Safe Harbour“ und „Privacy Shield“) wurden vom Europäischen Gerichtshof gekippt, da in den USA kein angemessenes Datenschutzniveau gewährleistet sei.

Ernst nehmen: Rechtsanwalt Mag. Schopper rät zunächst das Abmahnschreiben ernst zu nehmen und Auskunft über die Datenverarbeitung zu erteilen (für den Fall, dass die behaupteten Daten gar nicht verarbeitet/weitergeleitet etc wurden, eine sogenannte Negativauskunft zu erteilen). Auf das Auskunftsersuchen gar nicht zu reagieren kann nämlich zur Folge haben, dass man mittels Klage oder Beschwerde bei der Datenschutzbehörde belangt wird.

Zeit lassen: Eine Beantwortung muss aber nicht gleich erfolgen, es gilt eine gesetzliche Frist für die Erteilung der Auskunft von einem Monat. Diese Frist verschafft einem auch noch Zeit und sollte daher noch zugewartet werden, so der Anwalt, da spannend bleibt „welche Informationen in dieser Angelegenheit noch auftauchen“. Sollte sich nämlich herausstellen, dass die Aufrufe der Websites automatisiert über „Bots“ bzw. „WebCrawler“ – also nicht von einer Person – durchgeführt worden sind (was momentan vermutet wird, aber nicht feststeht), stünde keine Datenschutzverletzung im Raum, da dann keine Person in ihren Rechten verletzt sein kann. Auch ein Auskunftsanspruch ist dann fraglich.

Noch keine Rechtssprechung in Österreich: Hinsichtlich des erhobenen Schadenersatzes bezieht sich die Anspruchstellerin in den Abmahnschreiben auf ein Urteil des Landgerichts München. Festzuhalten ist, dass – soweit ersichtlich – in Österreich bisher noch keine Rechtsprechung zu einem vergleichbaren Fall existiert. Insgesamt ist es aber mehr als fraglich, ob der in den Abmahnschreiben behauptete Gefühlsschaden („Unwohlsein“ bzw „massiv genervt“) tatsächlich vorliegt; insbesondere vor dem Hintergrund der schieren Anzahl an Websiteaufrufen. Festzuhalten ist, dass der Oberste Gerichtshof bislang judiziert, dass Ersatz für Gefühlsschäden nur dann gebührt, wenn ein solcher Schaden tatsächlich eingetreten ist. Außerdem erscheine es im gegenständlichen Zusammenhang – ausnahmsweise – nicht unzulässig dem Schadenersatzanspruch aufgrund der riesigen Anzahl an Websiteaufrufen, den Einwand von Treu und Glauben entgegenzuhalten, so der Anwalt.

Schritt für Schritt – Der Anwalt empfiehlt folgend vorzugehen:

1. Das Schreiben sollte ernst genommen werden. Man solle dies auch zum Anlass nehmen zu überprüfen, ob die eigene Website datenschutzkonform ist: „Dies ist auch deshalb wichtig, weil zu erwarten ist, dass auch in Hinkunft derartige Wellen von Datenschutzverletzungsvorwürfen kommen werden und oftmals auch andere datenschutzrechtliche Unzulänglichkeiten bei Websites vorliegen“
2. Man sollte insbesondere konkret überprüfen, ob Google Fonts im Einsatz ist, Daten in die USA weitergeleitet werden und, ob die im Abmahnschreiben konkret angeführte IP-Adresse tatsächlich verarbeitet wurde und, ob tatsächlich eine Übermittlung erfolgt ist.
3. Unabhängig davon sollte man die Auskunftspflicht nach Art 15 DSGVO erfüllen und für den Fall, dass keine Verarbeitung stattfand eine Negativauskunft geben. Wie oben bereits dargestellt, hat man dafür eine Frist von einem Monat, die einem noch Zeit für weitere Informationsbeschaffung gibt, die man nutzen sollte.
4. Der Schadenersatzanspruch und der Kostenersatzanspruch besteht aus obigen Gründen aus Kanzlei-Sicht nicht zu Recht und könnte mit guten Gründen bestritten werden. Dies kann aber nicht mit Sicherheit prognostiziert werden, da die Rechtslage nicht eindeutig ist und im Übrigen die einzelnen Fälle inhaltlich variieren können. Man sollte sich daher rechtsfreundlich beraten lassen, wozu auch die Kanzlei gerne zur Verfügung steht.

„Ende gut, alles gut“: RA Mag. Thomas Fraiß

Der Rechtsanwalt Mag. Thomas Fraiß aus Wien schreibt auf seinem Blog, dass die Sache beendet sein könnte. Auch „DerStandard“ berichtet dies. Ihm lägen Informationen vor, dass „Herr Kollege Hohenecker bzw. Frau Z. keine weiteren Schritte setzen“ würden. Dennoch empfiehlt er, dass „in technischer Hinsicht sichergestellt werden sollte, dass bei den betroffenen Webseiten ein DSGVO konformer Zustand hergestellt wird“

Eine schriftliche Begründung zur angeblichen Trendwende des RA Hohenecker und der Mandantin Eva Z. liege Herr Fraiß aber noch nicht vor.

„Forderung bestreiten“: RA Mag. Markus Dörfler

Rechtsanwalt Mag. Dörfler von der Kanzlei „Höhne, In der Maur & Partner Rechtsanwälte GmbH & Co KG“ empfiehlt im Blog, „Forderung zu bestreiten, jedoch den Auskunftsanspruch gemäß Art 15 DSGVO zu erfüllen.“ Auch habe die Mandantin keinen Anspruch auf Schadensersatz, da die Weitergabe von IP-Adressen zu US-Diensten kein Problem darstelle:

„Anders als im Schreiben von Herrn Rechtsanwalt Hohenecker ausgeführt, hat Frau Zajaczkowska aus unserer Sicht keinen Anspruch auf Schadenersatz, da die Weitergabe der IP-Adresse an US-amerikanische Dienste nicht per se verboten ist und die Verarbeitung damit nicht rechtswidrig erfolgt ist. Mangels Rechtswidrigkeit hat Frau Zajaczkowska auch keinen Anspruch auf Schadenersatz. Die Frage der Zulässigkeit der Übermittlung personenbezogener Daten an US-amerikanische Dienste wird gerade heftig diskutiert, es liegt jedoch noch keine rechtskräftige Entscheidung dazu vor“

Antwort ausstehend: RA Mag. Hohenecker bzw. Mandantin Eva Z.

Wir haben den Rechtsanwalt in dieser Causa, Herrn Mag. Hohenecker, bzw. seine Mandantin Eva Z. ebenfalls um eine Stellungnahme, auch eingehend auf die „Ungereimtheiten“, gebeten. Eine Antwort dazu steht allerdings noch aus.

Datenweitergabe in die USA DSGVO-widrig: WKO

Zahlreiche Unternehmen haben sich an die WKO gewendet. Der Grundtenor der Kammer ist, dass die „Datenweitergabe personenbezogener Daten in die USA DSGVO-widrig“ sei. Allerdings sei dies nur der Fall, wenn „keine zusätzlichen Maßnahmen implementiert worden sein (zB Verschlüsselung, Pseudonymisierung, Einholung einer Einwilligung oÄ) sollten“

Die empfohlene Vorgehensweise der WKO lautet wie folgt (wir zitieren aus einem E-Mail):

1. Es sollte Kontakt mit dem Anwalt aufgenommen werden, wenn die Frist nicht eingehalten werden kann. 1-2 Wochen um die Angelegenheit mit einer externen IT zu prüfen, sind legitim. Auf allfällige Vorwürfe des Anwalts, dies sei binnen Minuten erledigt, muss nicht weiter eingegangen werden.
2. Es muss unbedingt geprüft werden, ob
   1. Google Fonts im Einsatz ist und
   2. eine Datenübermittlung in die USA stattfindet
   3. und ob die im Schreiben ausgewiesene IP-Adresse in irgendeiner Art verarbeitet wurde (Logfiles, oÄ)
3. Das Auskunftsbegehren im Schreiben (Artikel 15 DSGVO) sollte jedenfalls und unabhängig beantwortet werden:
   1. Wird die IP Adresse nicht verarbeitet, kann eine Negativauskunft erteilt werden
   2. Wird die IP Adresse verarbeitet, muss eine volle Datenauskunft erteilt werden

Musterantworten sind direkt bei der WKO zu erfragen, es sei bitte hier direkt Kontakt mit der entsprechenden Kammer des Bundeslandes aufzunehmen.

Kein klares Urteil: österreichische Datenschutzbehörde dsb

Mittlerweile hat die österreichische Datenschutzbehörde ein Statement auf der eigenen Webseite veröffentlicht. Kurz gesagt empfiehlt man auch dort, auf das Auskunftsansuchen unbedingt zu antworten, ist aber für „Schadenersatzklagen nicht zuständig und kann sich daher zum konkret geltend gemachten Schadenersatzanspruch im Hinblick auf Google Fonts nicht äußern“

Laut der dsb ist generell unklar, ob das Einbetten von Google Fonts gegen die DSGVO verstößt. Hier hat die Behörde selbst kein klares Urteil:

„Die Datenschutzbehörde hat zum aktuellen Zeitpunkt kein Prüfverfahren gegen Google wegen Google Fonts geführt. Die Datenschutzbehörde kann daher keine Stellungnahme dazu abgeben, ob die Einbindung von Google Fonts auf einer Website tatsächlich gegen die DSGVO verstößt“

Als Laie weiß man nun also: nichts. Die Rechtslage in Österreich ist nicht klar – und auch die höchste Instanz bei Datenschutzangelegenheiten selbst hat keine klare Aussage.

Nicht erfreut: Rechtsanwaltskammer NÖ

Auch die RAKNOE hat sich auf ihrer eigenen Webseite mittlerweile zur Causa „Google Fonts“ geäußert. So heißt es in einer Stellungnahme auf der Startseite, es hätte gelindere Mittel gegeben:

„Ganz allgemein sollten Massenabmahnungen dieser Art jedoch nicht das erste Mittel sein, das ein Anwalt in einem solchen Fall ergreift. Es gäbe sicher gelindere Mittel, um auf DSGVO-Probleme von Websites und die Rechte einzelner BesucherInnen hinzuweisen.“

Außerdem habe man „aufgrund der gewählten Vorgehensweise und der zahlreichen Beschwerden von Amts wegen ein Ermittlungsverfahren eingeleitet“. Auch verstehe man „durchaus, dass es aufgrund der Massen an versendetet Briefen Zweifel gibt, ob eine einzelne Person tatsächlich so viele Webseiten in so kurzer Zeit persönlich besucht haben kann. Die rechtlich relevante und individuelle Beurteilung dieser Fälle obliegt jedoch ausschließlich den Gerichten“

Auch wenn man nicht darüber erfreut sei, denn „niemand in der Rechtsanwaltskammer ist über solche Massenabmahnungen von Anwälten und die damit verbundene öffentliche Diskussion erfreut“, sieht man keine Notwendigkeit hier aktuell einzuschreiten:

„Nach der Formulierung dieser Aufforderungsschreiben hat Mag. Hohenecker die Interessen seiner Mandantin vertreten und das Gesetz damit nicht verletzt. Auch wenn wir Massenabmahnungen dieser Art nicht begrüßen, ist ein Einschreiten gegen Mag. Hohenecker im Rahmen der Berufsaufsicht daher aus heutiger Sicht nicht geboten. Weitere Informationen zum Sachverhalt, die wir gerade erheben, können selbstverständlich zu einer geänderten Beurteilung führen.“

Mehr dazu beitragen

Gemeinsam erfährt man bekanntlich mehr. Wir bleiben weiter dran, brauchen aber Unterstützung von Betroffenen.

• Lasse uns weitere Informationen zukommen: Wir recherchieren weiter in diesem Fall. Bitte um zusätzliche, nützliche Hinweise (Server-Logs, Anschreiben, Sonstiges) an redaktion@techniknews.net.
• Verfasse einen Kommentar: Hat man euch abgemahnt? Seid ihr ein Verein, Unternehmen oder Privatpersonen? Kommentiere unter diesem Artikel, um weiteren Lesern zu helfen.

Wir aktualisieren diesen Artikel regelmäßig mit weiteren Informationen.

Empfehlungen für Dich

• Google Fonts: „Datenschutzanwalt“ und Mandantin Eva Z. in näherem Verhältnis?
• In eigener Sache: Wir werden Transparenter und DSGVO-konform
• Apple-Mitarbeiter hören teilweise Gespräche mit Siri ab
• Google lässt Euch persönliche Daten nun automatisch löschen