Das Blockieren von Werbung entzieht uns die Finanzierung!
Das Recherchieren und Verfassen von Artikeln kostet viel Zeit. Das Betreiben unserer Infrastruktur kostet Geld.
All das wird mit Werbeeinnahmen finanziert.
Wir mögen Werbung ebenso wenig – deswegen verzichten wir auf nervige Banner und Pop-Ups.
Bitte gib uns eine Chance und deaktiviere Deinen Adblocker!
Alternativ kannst Du uns hier freiwillig unterstützen.
Sprache:  Deutsch English (Beta)

Folgen:

Datenschutzverletzung wegen Google Fonts: Was tun? Alle Informationen im Überblick

Google Fonts
Bild: Google
(Beitragsbild: © 2022 Google)

Derzeit rollt eine regelrechte DSGVO-Abmahnwelle über Österreich, betreffend Google Fonts. Zahlreiche Webseitenbetreiber erreichen aktuell Briefe und E-Mails mit einer Abmahnung eines Datenschutzanwalts. Was ist da dran?

Die Datenschutz-Grundverordnung ist am 25. Mai 2018 in Geltung getreten. Seitdem werden immer wieder Unternehmen, Firmen oder Vereine aufgrund Datenschutzverletzungen abgemahnt. In den meisten Fällen aus begründetem Verdacht. Anders scheint die Sache aber im aktuellen Fall des datenschutzanwalt.eu, Herr Mag. Marcus Hohenecker, zu sein. Tausende Webseitenbetreiber wurden einer Datenschutzverletzung unterrichtet mit der Forderung auf einen „Vergleich“. Zahlreiche Leser und Betroffene haben sich bei uns gemeldet.

Disclaimer: Beim folgenden Artikel handelt es sich um keine Rechtsberatung. Das genaue Vorgehen in diesem Fall sollte stets individuell mit einem Anwalt abgeklärt werden. Wir geben hier ausschließlich Tipps zur weiteren, technischen Vorgehensweise und teilen unsere Rechercheergebnisse mit.

Updates

Update am 23. August, 16:15 Uhr: Einen Tag nach Erscheinen dieses Artikels möchten wir uns herzlich für den ganzen Input und Diskussionen unter diesem Artikel bedanken. Wir hätten nie gedacht, dass unser Artikel so oft geteilt und diskutiert wird. Das riesige Ausmaß dieser Abmahnwelle war uns völlig unklar. Wir werden weiterhin recherchieren und den Artikel mit weiteren Informationen versorgen. Dazu brauchen wir weiterhin eure Unterstützung – lasst uns weitere Details in Form eines Kommentars unter diesem Artikel oder per E-Mail an redaktion@techniknews.net zukommen.

Update am 24. August, 13:05 Uhr: Wir haben unseren Artikel um weitere Informationen ergänzt:

  • Merkwürdige Screenshots
  • Merkwürdige Domain-Namen
  • Wo kommen Google Fonts her?
  • Möglichkeiten zur Prüfung auf Google Fonts
  • Empfohlenes WordPress Plugin zur Entfernung von Google Fonts
  • Stellungnahmen
    • Herr RA Mag. Fraiß
    • WKO
    • Rechtsanwaltskammer NÖ

Update um 26. August, 14:15 Uhr: Wir haben eine ausführliche Stellungnahme einer – unter anderem für Datenschutz spezialisierte – Kanzlei „Zauner Schachermayr Koller & Partner“, RA Mag. Schopper hinzugefügt. Direkt zur Stellungnahme scrollen

Update am 28. August, 18:30 Uhr: Abschnitt „merkwürdige Crawler“ hinzugefügt

Worum geht’s?

In dem Schreiben bezieht sich der Rechtsanwalt auf eine IP-Adresse einer Mandantin namens Eva Z., die die betroffene Webseite zu einem unbekannten Zeitpunkt aufgerufen haben soll. Dabei ist weiters ein Screenshot der betroffenen Webseite zu finden. So weit, so gut. Konkret geht es der Mandantin um eingebaute „Google Fonts“, einem CDN-Dienst des amerikanischen Unternehmens, welcher Schriftarten für Webseiten bereitstellt. Der Webseitenbetreiber soll „ohne Zustimmung der Mandantin an eine Gesellschaft des US-amerikanischen „Alphabet Inc.“-Konzerns („Google“) weitergeleitet haben“, so das Schreiben.

Ein betroffener Webseitenbetreiber hat uns weitere Informationen und das Schreiben bereitgestellt. Wir haben Namen, IP-Adressen, den Domainnamen und Inhalte des Screenshots geschwärzt.

DSGVO Datenschutzanwalt Google Fonts Schreiben

Bild: TechnikNews/Screenshot

Mit dem beigefügten Screenshot wolle er den Zugriff auf die Webseite beweisen und ein Screenshot des Quellcodes soll die Nutzung von Google Fonts beweisen.

DSGVO Datenschutzanwalt Google Fonts Schreiben

Bild: TechnikNews/Screenshot

Betroffene im fünfstelligen Bereich?

Unklar ist, wie viele Personen und Webseitenbetreiber hier tatsächlich betroffen sind. Wir können aber aufgrund der Aufrufzahlen unseres Artikels eine ungefähre Annahme treffen.

Information vom 22. August, 18:00 Uhr: Unser Artikel erfährt sich großer Beliebtheit und hat nur wenige Stunden nach der Veröffentlichung die 1.000-Klicks-Marke überschritten – wir vermuten so Betroffene im vierstelligen Bereich. Es scheint sich aber ausschließlich um österreichische Betroffene zu handeln. Wir werden in dieser Sache weiter recherchieren – weitere Informationen bitte unserer Redaktion via E-Mail an redaktion@techniknews.net zukommen lassen.

Update am 23. August, 13:20 Uhr: Aufgrund weiterhin extrem hoher Resonanz und Klickzahlen unseres Artikels schrauben wir unsere Schätzung der Betroffenen auf einen fünfstelligen 10.000-Bereich.

Ist die Einbettung von Google Fonts erlaubt?

Nach der Ansicht des Rechtsanwalts, nein. Dabei stützt er sich auf eine Entscheidung des Landesgerichts München, welches einer Klage im Fall „Google Fonts“ stattgegeben hat. Dieser Fall sei „klagegegenstandsähnlich“, so der Anwalt im Schreiben an Betroffene.

Anders sieht der Status quo in Österreich aus – wo der Sitz der meisten Webseitenbetreiber in diesem Fall liegt – hier gibt es bislang keinerlei Urteil oder Rechtssprechung seitens Datenschutzbehörde, ob eine Nutzung erlaubt ist oder nicht. Die dsb in Österreich „kann keine Stellungnahme dazu abgeben, ob die Einbindung von Google Fonts auf einer Website tatsächlich gegen die DSGVO verstößt“, liest man in einer Bekanntmachung.

DSGVO Datenschutzanwalt Google Fonts Vergleich

Bild: TechnikNews/Screenshot

Aus diesem Grund fordert der Rechtsanwalt einen Schadensersatzanspruch in Höhe von 100 Euro und kosten für eine „pauschalisierte Rechtsverfolgung“ von weiteren 90 Euro. Insgesamt seien 190 Euro fällig, welche innert 14 Tagen bezahlt werden sollen. Alle Ansprüche würden dadurch „bereinigt und beglichen“.

Anders sieht es Google, laut eigener Datenschutzerklärung: Obwohl zwar ein Request des Nutzers‘ Browser an Google stattfinde, würden IP-Adressen nicht protokolliert. Weiters sei „die Verwendung der Google Fonts API nicht authentifiziert und die Google Fonts API legt keine Cookies fest oder protokolliert sie“, so Google.

Ungereimtheiten

Im Zuge unserer Recherchen sind uns einige Ungereimtheiten aufgefallen, welche wir nicht vorenthalten wollen. Dabei handelt es sich lediglich an uns herbeigetragene Zweifel mit technischer Analyse. Es gilt stets die Unschuldsvermutung.

Merkwürdige Logs

Durchforsten Webseitenbetreiber die eigenen Server-Logs, fallen schnell Ungereimtheiten auf. Bei einem „normalen“ Besuch einer Webseite lädt der Browser alle Inhalte der aufgerufenen Seite herunter, darunter fallen CSS- und JavaScript-Files, Bilder und weitere eingebundene Inhalte. So kommen hier Zweifel auf, ob es sich um einen echten Besuch handelt. Einige tippen auf einen „Crawling-Bot“ – die „Mandantin“ hat in fast allen Fällen nur die Startseite aufgerufen und CSS-Dateien heruntergeladen. Es wurden keinerlei andere Dateien heruntergeladen. Dies entspricht nicht der Norm und ist kein normales Nutzerverhalten.

212.95.x.xxx - - [05/Aug/2022:03:35:59 +0200] "GET / HTTP/1.0" 200 9001 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:103.0) Gecko/20100101 Firefox/103.0"
212.95.x.xxx - - [05/Aug/2022:03:35:59 +0200] "GET /wp-content/cache/autoptimize/css/autoptimize_cbe0024c9a9de47dff8672de7a3adb68.css HTTP/1.0" 200 592 "https://[domainname].at/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:103.0) Gecko/20100101 Firefox/103.0"
212.95.x.xxx - - [05/Aug/2022:03:35:59 +0200] "GET /wp-content/cache/autoptimize/css/autoptimize_single_6d2caf54273844cd8c34f6212d59e16a.css?ver=1640895726 HTTP/1.0" 200 599 "https://[domainname].at/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:103.0) Gecko/20100101 Firefox/103.0"
212.95.x.xxx - - [05/Aug/2022:03:35:59 +0200] "GET /wp-content/cache/autoptimize/css/autoptimize_single_7b4611d3af4903f2d9c0eb0fa3fc3be3.css?ver=1640895726 HTTP/1.0" 200 599 "https://[domainname].at/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:103.0) Gecko/20100101 Firefox/103.0"
212.95.x.xxx - - [05/Aug/2022:03:35:59 +0200] "GET /wp-content/cache/autoptimize/css/autoptimize_single_749ea91c94e3a245daea00ed4e6910f7.css?ver=1648978605 HTTP/1.0" 200 599 "https://[domainname].at/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:103.0) Gecko/20100101 Firefox/103.0"
212.95.x.xxx - - [05/Aug/2022:03:35:59 +0200] "GET /wp-content/cache/autoptimize/css/autoptimize_single_1dde4870e16bf363492509c1dc13b256.css?ver=1640895726 HTTP/1.0" 200 880 "https://[domainname].at/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:103.0) Gecko/20100101 Firefox/103.0"
212.95.x.xxx - - [05/Aug/2022:03:35:59 +0200] "GET /wp-content/cache/autoptimize/css/autoptimize_single_847de10f61f8996b4b9195e51466b53a.css?ver=1640895726 HTTP/1.0" 200 599 "https://[domainname].at/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:103.0) Gecko/20100101 Firefox/103.0"
212.95.x.xxx - - [05/Aug/2022:03:36:00 +0200] "GET /wp-content/assets/lib/font-awesome/webfonts/fa-regular-400.woff2 HTTP/1.0" 200 535 "https://[domainname].at/wp-content/cache/autoptimize/css/autoptimize_cbe0024c9a9de47dff8672de7a3adb68.css" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:103.0) Gecko/20100101 Firefox/103.0"

Aus diesem Grund entsteht hier – aus Sicht der Webseitenbetreiber – der durchaus begründete Verdacht auf eine Massenabmahnung mit Zuhilfenahme eines Crawlers. Anbei ein weiteres Logfile, welches uns ein weiterer Betroffener zur Verfügung gestellt hat, bei welchem ebenso vorgegangen wurde:

212.95.x.xxx - - [06/Aug/2022:07:09:29 +0200] "GET / HTTP/1.1" 301 312 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:103.0) Gecko/20100101 Firefox/103.0"
212.95.x.xxx - - [06/Aug/2022:07:09:30 +0200] "GET / HTTP/2.0" 200 44364 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:103.0) Gecko/20100101 Firefox/103.0"
212.95.x.xxx - - [06/Aug/2022:07:09:31 +0200] "GET /wp-content/themes/generatepress/assets/css/components/widget-areas.min.css?ver=3.1.3 HTTP/2.0" 200 3447 "https://www.*******************.at/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:103.0) Gecko/20100101 Firefox/103.0"
212.95.x.xxx - - [06/Aug/2022:07:09:31 +0200] "GET /wp-content/themes/generatepress/assets/css/components/font-icons.min.css?ver=3.1.3 HTTP/2.0" 200 3030 "https://www.*******************.at/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:103.0) Gecko/20100101 Firefox/103.0"
212.95.x.xxx - - [06/Aug/2022:07:09:31 +0200] "GET /wp-content/themes/generatepress/assets/css/main.min.css?ver=3.1.3 HTTP/2.0" 200 19704 "https://www.*******************.at/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:103.0) Gecko/20100101 Firefox/103.0"
212.95.x.xxx - - [06/Aug/2022:07:09:31 +0200] "GET /wp-content/plugins/gutenberg/build/block-library/style.css?ver=13.8.1 HTTP/2.0" 200 92489 "https://www.*******************.at/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:103.0) Gecko/20100101 Firefox/103.0"
212.95.x.xxx - - [06/Aug/2022:07:09:31 +0200] "GET /wp-content/themes/generatepress/assets/css/components/font-awesome.min.css?ver=4.7 HTTP/2.0" 200 31062 "https://www.*******************.at/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:103.0) Gecko/20100101 Firefox/103.0"
212.95.x.xxx - - [06/Aug/2022:07:09:32 +0200] "GET /wp-content/themes/generatepress/assets/fonts/generatepress.woff2 HTTP/2.0" 200 1344 "https://www.*******************.at/wp-content/themes/generatepress/assets/css/components/font-icons.min.css?ver=3.1.3" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:103.0) Gecko/20100101 Firefox/103.0"

Favicon: Außerdem würde ein „normaler“ Browser in der Minimal-Variante eines Besuchs zumindest das Favicon (Icon einer Webseite im Browser-Tab) automatisch anfordern, welches in den Logs ersichtlich wäre. Dies ist uns in allen bekannten Fällen aber nicht geschehen. Auch wenn keines vorhanden ist, würde es der Browser zumindest versuchen. Dies würde in den Logs so aussehen:

xxx.xx.x.xxx - - [24/Aug/2022:13:32:32 +0200] "GET /favicon.ico HTTP/1.0" 404 602 "https://**************" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/104.0.5112.102 Safari/537.36 Edg/104.0.1293.63"

Merkwürdige Crawler

Update am 28. August, 18:30 Uhr: Wir haben ein weiteres Indiz für die automatische Durchführung der Abmahnwelle. Wenn wir schon bei Logs sind – einige Tage vor dem Besuch der Mandantin war bei zahlreichen uns zugespielten Logs ein Impressumscrawler am Werk. Dies könnte für die automatische Erstellung der Briefe nützlich gewesen sein. Wieso sollte sonst ein Impressumscrawler eingesetzt werden? Folgende Log-Einträge fallen auf:

81.209.xxx.xxx - - [27/Jul/2022:00:04:44 +0200] "GET /robots.txt HTTP/1.0" 200 536 "-" "netEstate Impressumscrawler (+http://www.netestate.de/De/Loesungen/Impressumscrawler)"
81.209.xxx.xxx - - [27/Jul/2022:00:04:44 +0200] "GET / HTTP/1.0" 200 53461 "-" "netEstate Impressumscrawler (+http://www.netestate.de/De/Loesungen/Impressumscrawler)"
81.209.xxx.xxx - - [27/Jul/2022:00:04:44 +0200] "GET /impressum HTTP/1.0" 301 496 "-" "netEstate Impressumscrawler (+http://www.netestate.de/De/Loesungen/Impressumscrawler)"
81.209.xxx.xxx - - [27/Jul/2022:00:04:45 +0200] "GET /impressum/ HTTP/1.0" 200 30632 "-" "netEstate Impressumscrawler (+http://www.netestate.de/De/Loesungen/Impressumscrawler)"

Jeweils kurz nach dem Besuch des Impressumscrawler taucht das Tool „Scrapy“ in den Logs auf. Dieses eignet sich dafür, Screenshots anzufertigen und Inhalte aus Webseiten zu extrahieren. Ein Schelm, wer böses denkt …

176.9.xx.xx - - [27/Jul/2022:00:04:47 +0200] "GET / HTTP/1.0" 301 516 "-" "Scrapy/2.4.1 (+https://scrapy.org)"
176.9.xx.xx - - [27/Jul/2022:00:04:47 +0200] "GET / HTTP/1.0" 200 8985 "-" "Scrapy/2.4.1 (+https://scrapy.org)"

Dieselbe IP-Adresse taucht auch einige Tage später erneut auf:

176.9.xx.xx - - [03/Aug/2022:16:39:52 +0200] "GET / HTTP/1.0" 301 516 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) HeadlessChrome/101.0.4951.64 Safari/537.36"
176.9.xx.xx - - [03/Aug/2022:16:39:53 +0200] "GET / HTTP/1.0" 200 9001 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) HeadlessChrome/101.0.4951.64 Safari/537.36"

Merkwürdige Screenshots

Update am 24. August, 12:50 Uhr: Wir haben von Betroffenen zahlreiche Schreiben erhalten, in denen der Screenshot nichtssagend ist. Es ist auf den Bildern keinerlei Nutzung von Google Fonts ersichtlich, weder eine Einbettung noch andere Merkmale. Somit sind auch hier wieder zahlreiche Betroffene der Meinung, dass es sich um einen automatischen Vorgang handeln musste. Eine echte Person hätte den entsprechenden Part korrekt markiert. Anbei ist ein Beispiel zu finden. Wir haben entsprechende Details, die auf die entsprechende Webseite hinweisen könnte, geschwärzt.

DSGVO Datenschutzanwalt Quellcode

Im Screenshot des Quellcodes ist keine Nutzung von Google Fonts ersichtlich. (Bild: TechnikNews/Screenshot)

Zudem sind uns auch Fälle bekannt, in denen nur der noch nicht bestätigte Cookie Banner im Screenshot ersichtlich ist. Je nach korrekter Implementierung fand zu diesem Zeitpunkt noch keinerlei Datenübertragung statt. Der Mandantin „Eva Z.“ war der Zugriff ohne Treffen einer Aktion auf dem entsprechenden Cookie Banner unmöglich.

DSGVO Datenschutzanwalt Cookie Banner

Bild: TechnikNews/Screenshot

Merkwürdige Domain-Namen

An uns wurden einige Infos herangetragen, dass die Domain-Namen bzw. die aufgerufene Webseite laut dem Schreiben nicht (mehr) so in einer Suchmaschine oder ähnlichem auffindbar wäre. Oft ändern Unternehmen ihren Namen bzw. legen sich eine neue Domain zu. In den meisten Fällen bleibt die alte, manchen noch bekannte, Domain aber noch online – es werden nur alle Besucher dann auf die neue Webseite weitergeleitet.

So ist uns etwa auch ein Fall bekannt, bei dem im Schreiben die „alte“ Domain „xyz.at“ (fiktiv) angegeben wurde, diese aber sofort auf den neuen Domain-Namen „abc.at“ (fiktiv) weiterleitet. Der Besuch bzw. die Einbettung von Google Fonts fand also auf der neuen Seite „abc.at“ statt, obwohl die alte Domain „xyz.at“ im Schreiben erwähnt wurde. Laut unserem Betroffenen, sei es Eva Z. aber unmöglich zu wissen, was die alte Domain ist. Diese sei nirgends wo mehr auffindbar und seit Jahren nicht mehr bekannt.

Merkwürdige Übermittlung der Vollmachtserklärung

Zuallererst ist die im Schreiben erwähnte Vollmacht bei den uns bekannten Fällen nicht direkt anbei zu finden, sondern es wird auf diese via Link zum Download verwiesen. Hier könnte man argumentieren, dass die Seite des verweisenden Links inklusive der Handlungsvollmacht jederzeit geändert werden kann – eine schriftliche Beilage zum restlichen Schreiben wäre unveränderbar. Inwiefern dies rechtens ist, können wir nicht beurteilen. Dies sollte mit einem Anwalt besprochen werden.

Abgesehen davon ist ein öffentlicher, ungeschützter, frei im Internet verfügbarer Download eines Ausweises und einer signierten Vollmacht nicht unbedingt datenschutzfreundlich …

DSGVO Datenschutzanwalt Legitimation Link

Bild: TechnikNews/Screenshot

Merkwürdiger Zeitpunkt der Vollmachtserklärung

Wir haben zahlreiche Zusendungen hinsichtlich dieses Falls erhalten – alle erhaltenen Logs zu den Aufrufen wurden nach dem 4. August protokolliert. Das ist insofern interessant, da am 04. August die Vollmachtserklärung der Mandantin Eva Z. an den Rechtsanwalt Mag. Hohenecker unterzeichnet wurde.

Die Mandantin wusste also scheinbar im Vorhinein, dass sie Ansprüche bei Aufrufen von Webseiten stellen wird, bei denen sie sich auf die Suche nach Google Fonts begibt. Die Vollmacht wurde exakt am 04. August 2022, 23:01 Uhr unterzeichnet – bereits wenige Stunden später am 05. August, 03:35 Uhr fanden bereits erste Aufrufe statt (siehe Log oben). Interessantes Vorgehen.

Im Zuge unserer Recherche haben wir auch die digitale Signatur geprüft, welche einwandfrei gültig ist, ganz sicher von Eva Z. stammt und zur angezeigten Zeit unterzeichnet wurde. Eine Prüfung der Signatur ist auf der Webseite von A-Trust möglich.

DSGVO Datenschutzanwalt Vollmacht

Bild: TechnikNews/Screenshot

Technisch: Wie sollten Webseitenbetreiber vorgehen?

Zuallererst sollte Google Fonts lokal gehostet werden. Das heißt, es sollte nicht mehr via Google eingebunden, sondern direkt vom eigenen Server geladen werden. So ist man definitiv auf der sicheren Seite. Im Zweifelsfall sollte eine Webagentur beauftragt werden. So kann man selbst prüfen, ob Google Fonts auf der eigenen Webseite geladen werden.

Wo kommen Google Fonts her?

Google Fonts sind nicht „einfach so“ auf der eigenen Webseite zu finden. Folgende Gründe gibt es, dass diese Einbettung vorhanden ist:

  • Entwicklung: In der Entwicklung der eigenen Webseite wurde, anstatt die Schriftarten lokal zu laden, die Einbindung von Google Fonts vorgezogen.
  • Theme: Wird ein CMS wie WordPress genutzt, könnte das verwendete Design („Theme“) standardmäßig mit Google Fonts ausgestattet sein, anstatt die Schriftart direkt mitzubringen.
  • Einbettungen: Nutzt die eigene Webseite weitere Elemente von Google, etwa Google AdSense (Werbung), YouTube, Google Maps, Google reCAPTCHA? Diese liefern Google Fonts direkt mit. Eine Verhinderung dessen ist nicht möglich.

Schnelle Prüfung auf Google Fonts mithilfe eines automatischen Tools

Einige Webseiten bieten einen „Google Fonts Checker“ an, welcher die Webseite auf das Vorkommen von Google Fonts prüft. Diese Tools lassen sich einfach bedienen, aber geben eventuell nicht 100%ige Garantie, dass wirklich alle Vorkomnisse gefunden werden. Durch den großen Ansturm sind die Checker derzeit teilweise überlastet.

Prüfung auf Google Fonts für technisch „Versiertere“ (100% Garantie auf korrekte Funktion)

  1. Browser öffnen
  2. Entwickler-Tools öffnen: F12 oder STRG + Shift + I
  3. Nun sollte sich rechts oder unten ein Fenster öffnen
  4. Auf „Netzwerk“/“Network“ klicken -> bei Filter-Typ auf „Font“ einstellen
  5. Sollte in der Tabelle der Tab „Domain“ nicht angezeigt werden: Rechtsklick auf eine Überschrift -> Haken bei Domain setzen
  6. Eigene Webseite aufrufen

Nun gibt es zwei Möglichkeiten:

  1. Es erscheinen nun Einträge mit „fonts.gstatic.com“ oder „fonts.googleapis.com“: Google Fonts werden von Google geladen.
  2. Es erscheinen nur Einträge mit der eigenen Domain: die Font ist lokal eingebunden, sehr gut.
Google Fonts lokal

In diesem Fall ist keine Google Font eingebunden, sondern die Font wird lokal geladen. (Bild: TechnikNews/Screenshot)

Wie kann Google Fonts entfernt und die Schriftart lokal gehostet werden?

WordPress

Joomla

TYPO3 und weitere Webseiten

Für weitere Webseiten empfiehlt sich die Nutzung des Google Webfonts Helper, welcher die Fonts direkt herunterladen und direkt in das jeweilige Stylesheet einbinden lässt.

Rechtlich: Wie sollte man weiter vorgehen?

Wir können hier keine weitere Rechtsberatung bieten, sondern nur wie bereits erwähnt, die technische Herangehensweise zeigen. Es empfiehlt sich aber auf jeden Fall, Beweise zu sichern und die Serverlogs nach der IP-Adresse abzusuchen. Auch die Bezahlung des Vergleichs sollte ohne weitere Prüfung vorerst nicht stattfinden, ohne die weitere Vorgehensweise mit einem Spezialisten zu besprechen.

Hinweis: Weiter unten sind Statements und Stellungnahmen von Rechtsanwälten zu finden, welche Einschätzung darüber geben, wie vorgegangen werden sollte.

Grundsätzlich müsste der Antrag auf Auskunft gem. Art. 15 DSGVO Antrag auf Auskunft („Request for Access“) aber auf jeden Fall innerhalb eines Monats beantwortet werden. Ob dies auch wirklich getan wird bzw. aus juristischer Sicht sinnvoll ist, sollte mit Absprache des eigenen Anwalts geklärt werden.

Laut Datenschutzbehörde sollte aber vorher überprüft werden, ob dem Antrag eine Vollmacht beiliegt, denn dieser „ist nur gültig, wenn der Anwalt eine entsprechende Vollmacht der vertretenen Person vorlegt“. Eine direkte Beilage war bei den uns bekannten Fällen nicht dabei —, ob eine Verlinkung dahin ausreicht bzw. eine digitale, selbst heruntergeladene Vollmacht akzeptiert werden muss, können wir rechtlich nicht beurteilen.

Für Unternehmer

Unternehmer mit Mitgliedschaft bei der WKO sollten sich an ihre entsprechende Kammer des Bundeslands wenden. Laut einigen Berichten von Betroffenen wurden diese bereits aktiv, sichten und sammeln alle Fälle. Ein weiteres, gemeinsames Vorgehen der Kammern dürfte in Kürze erfolgen.

Beschwerde einbringen

Sollte man hinter der Aktion eine ungerechtfertigte Sache sehen, kann auch eine Beschwerde bei der Rechtsanwaltskammer NÖ eingebracht werden:

Hilfreiche Links & Informationen

Anbei eine Linkliste für weitere Anlaufstellen mit rechtlichen Informationen und Ansprechpartnern:

Stellungnahmen

Meinungen der Rechtsanwälte

„Kein Schadensersatz für Bots“: RA Mag. Schopper

Wir haben die unter anderem auf Datenschutzrecht spezialisierte Kanzlei „Zauner Schachermayr Koller & Partner“ Graben 21, 4020 Linz, um eine Einschätzung gebeten.

Grundsätzlich: Laut – den der Kanzlei vorliegenden Abmahnschreiben – steht im Raum, dass die IP-Adresse des Websitebesuchers, bei Aufruf der Website, ohne Rechtfertigung an das in den USA befindliche Unternehmen („Google“) übermittelt worden sei. Grundsätzlich verstößt, die in den Abmahnschreiben behauptete Weiterleitung der IP-Adresse an Google, bei Einbindung von Google Fonts über Google Server, gegen die DSGVO, welche bei Datenschutzverletzungen in Art 82 DSGVO auch das Recht auf Schadenersatz einräumt. Ohne Rechtfertigung im Sinne der DSGVO (Einwilligung etc) ist dies nämlich unzulässig. Insbesondere, da es sich bei den USA – aus Sicht der DSGVO – um kein sicheres Drittland handelt, weil kein Angemessenheitsbeschluss im Sinne des Art 45 DSGVO vorliegt. Die vormals bestehenden Abkommen mit den USA („Safe Harbour“ und „Privacy Shield“) wurden vom Europäischen Gerichtshof gekippt, da in den USA kein angemessenes Datenschutzniveau gewährleistet sei.

Ernst nehmen: Rechtsanwalt Mag. Schopper rät zunächst das Abmahnschreiben ernst zu nehmen und Auskunft über die Datenverarbeitung zu erteilen (für den Fall, dass die behaupteten Daten gar nicht verarbeitet/weitergeleitet etc wurden, eine sogenannte Negativauskunft zu erteilen). Auf das Auskunftsersuchen gar nicht zu reagieren kann nämlich zur Folge haben, dass man mittels Klage oder Beschwerde bei der Datenschutzbehörde belangt wird.

Zeit lassen: Eine Beantwortung muss aber nicht gleich erfolgen, es gilt eine gesetzliche Frist für die Erteilung der Auskunft von einem Monat. Diese Frist verschafft einem auch noch Zeit und sollte daher noch zugewartet werden, so der Anwalt, da spannend bleibt „welche Informationen in dieser Angelegenheit noch auftauchen“. Sollte sich nämlich herausstellen, dass die Aufrufe der Websites automatisiert über „Bots“ bzw. „WebCrawler“ – also nicht von einer Person – durchgeführt worden sind (was momentan vermutet wird, aber nicht feststeht), stünde keine Datenschutzverletzung im Raum, da dann keine Person in ihren Rechten verletzt sein kann. Auch ein Auskunftsanspruch ist dann fraglich.

Noch keine Rechtssprechung in Österreich: Hinsichtlich des erhobenen Schadenersatzes bezieht sich die Anspruchstellerin in den Abmahnschreiben auf ein Urteil des Landgerichts München. Festzuhalten ist, dass – soweit ersichtlich – in Österreich bisher noch keine Rechtsprechung zu einem vergleichbaren Fall existiert. Insgesamt ist es aber mehr als fraglich, ob der in den Abmahnschreiben behauptete Gefühlsschaden („Unwohlsein“ bzw „massiv genervt“) tatsächlich vorliegt; insbesondere vor dem Hintergrund der schieren Anzahl an Websiteaufrufen. Festzuhalten ist, dass der Oberste Gerichtshof bislang judiziert, dass Ersatz für Gefühlsschäden nur dann gebührt, wenn ein solcher Schaden tatsächlich eingetreten ist. Außerdem erscheine es im gegenständlichen Zusammenhang – ausnahmsweise – nicht unzulässig dem Schadenersatzanspruch aufgrund der riesigen Anzahl an Websiteaufrufen, den Einwand von Treu und Glauben entgegenzuhalten, so der Anwalt.

Schritt für Schritt – Der Anwalt empfiehlt folgend vorzugehen:

  1. Das Schreiben sollte ernst genommen werden. Man solle dies auch zum Anlass nehmen zu überprüfen, ob die eigene Website datenschutzkonform ist: „Dies ist auch deshalb wichtig, weil zu erwarten ist, dass auch in Hinkunft derartige Wellen von Datenschutzverletzungsvorwürfen kommen werden und oftmals auch andere datenschutzrechtliche Unzulänglichkeiten bei Websites vorliegen“
  2. Man sollte insbesondere konkret überprüfen, ob Google Fonts im Einsatz ist, Daten in die USA weitergeleitet werden und, ob die im Abmahnschreiben konkret angeführte IP-Adresse tatsächlich verarbeitet wurde und, ob tatsächlich eine Übermittlung erfolgt ist.
  3. Unabhängig davon sollte man die Auskunftspflicht nach Art 15 DSGVO erfüllen und für den Fall, dass keine Verarbeitung stattfand eine Negativauskunft geben. Wie oben bereits dargestellt, hat man dafür eine Frist von einem Monat, die einem noch Zeit für weitere Informationsbeschaffung gibt, die man nutzen sollte.
  4. Der Schadenersatzanspruch und der Kostenersatzanspruch besteht aus obigen Gründen aus Kanzlei-Sicht nicht zu Recht und könnte mit guten Gründen bestritten werden. Dies kann aber nicht mit Sicherheit prognostiziert werden, da die Rechtslage nicht eindeutig ist und im Übrigen die einzelnen Fälle inhaltlich variieren können. Man sollte sich daher rechtsfreundlich beraten lassen, wozu auch die Kanzlei gerne zur Verfügung steht.

„Ende gut, alles gut“: RA Mag. Thomas Fraiß

Der Rechtsanwalt Mag. Thomas Fraiß aus Wien schreibt auf seinem Blog, dass die Sache beendet sein könnte. Auch „DerStandard“ berichtet dies. Ihm lägen Informationen vor, dass „Herr Kollege Hohenecker bzw. Frau Z. keine weiteren Schritte setzen“ würden. Dennoch empfiehlt er, dass „in technischer Hinsicht sichergestellt werden sollte, dass bei den betroffenen Webseiten ein DSGVO konformer Zustand hergestellt wird“

„Angeblich wird Herr Kollege Hohenecker bzw. Frau Z. keine weiteren Schritte setzen. Die Betroffenen müssen in rechtlicher Hinsicht vorerst also nichts unternehmen. In technischer Hinsicht sollte ungeachtet dessen sichergestellt werden, dass bei den betroffenen Webseiten ein DSGVO konformer Zustand hergestellt wird. Die bereits an Frau Z. bezahlten Beträge sollten meiner Meinung nach zurückbezahlt werden, das wäre insbesondere im Fall von Ermittlungen durch die Staatsanwaltschaft relevant“

Eine schriftliche Begründung zur angeblichen Trendwende des RA Hohenecker und der Mandantin Eva Z. liege Herr Fraiß aber noch nicht vor.

„Forderung bestreiten“: RA Mag. Markus Dörfler

Rechtsanwalt Mag. Dörfler von der Kanzlei „Höhne, In der Maur & Partner Rechtsanwälte GmbH & Co KG“ empfiehlt im Blog, „Forderung zu bestreiten, jedoch den Auskunftsanspruch gemäß Art 15 DSGVO zu erfüllen.“ Auch habe die Mandantin keinen Anspruch auf Schadensersatz, da die Weitergabe von IP-Adressen zu US-Diensten kein Problem darstelle:

„Anders als im Schreiben von Herrn Rechtsanwalt Hohenecker ausgeführt, hat Frau Zajaczkowska aus unserer Sicht keinen Anspruch auf Schadenersatz, da die Weitergabe der IP-Adresse an US-amerikanische Dienste nicht per se verboten ist und die Verarbeitung damit nicht rechtswidrig erfolgt ist. Mangels Rechtswidrigkeit hat Frau Zajaczkowska auch keinen Anspruch auf Schadenersatz. Die Frage der Zulässigkeit der Übermittlung personenbezogener Daten an US-amerikanische Dienste wird gerade heftig diskutiert, es liegt jedoch noch keine rechtskräftige Entscheidung dazu vor“

Antwort ausstehend: RA Mag. Hohenecker bzw. Mandantin Eva Z.

Wir haben den Rechtsanwalt in dieser Causa, Herrn Mag. Hohenecker, bzw. seine Mandantin Eva Z. ebenfalls um eine Stellungnahme, auch eingehend auf die „Ungereimtheiten“, gebeten. Eine Antwort dazu steht allerdings noch aus.

Datenweitergabe in die USA DSGVO-widrig: WKO

Zahlreiche Unternehmen haben sich an die WKO gewendet. Der Grundtenor der Kammer ist, dass die „Datenweitergabe personenbezogener Daten in die USA DSGVO-widrig“ sei. Allerdings sei dies nur der Fall, wenn „keine zusätzlichen Maßnahmen implementiert worden sein (zB Verschlüsselung, Pseudonymisierung, Einholung einer Einwilligung oÄ) sollten“

Die empfohlene Vorgehensweise der WKO lautet wie folgt (wir zitieren aus einem E-Mail):

  1. Es sollte Kontakt mit dem Anwalt aufgenommen werden, wenn die Frist nicht eingehalten werden kann. 1-2 Wochen um die Angelegenheit mit einer externen IT zu prüfen, sind legitim. Auf allfällige Vorwürfe des Anwalts, dies sei binnen Minuten erledigt, muss nicht weiter eingegangen werden.
  2. Es muss unbedingt geprüft werden, ob
    1. Google Fonts im Einsatz ist und
    2. eine Datenübermittlung in die USA stattfindet
    3. und ob die im Schreiben ausgewiesene IP-Adresse in irgendeiner Art verarbeitet wurde (Logfiles, oÄ)
  3. Das Auskunftsbegehren im Schreiben (Artikel 15 DSGVO) sollte jedenfalls und unabhängig beantwortet werden:
    1. Wird die IP Adresse nicht verarbeitet, kann eine Negativauskunft erteilt werden
    2. Wird die IP Adresse verarbeitet, muss eine volle Datenauskunft erteilt werden

Musterantworten sind direkt bei der WKO zu erfragen, es sei bitte hier direkt Kontakt mit der entsprechenden Kammer des Bundeslandes aufzunehmen.

Kein klares Urteil: österreichische Datenschutzbehörde dsb

Mittlerweile hat die österreichische Datenschutzbehörde ein Statement auf der eigenen Webseite veröffentlicht. Kurz gesagt empfiehlt man auch dort, auf das Auskunftsansuchen unbedingt zu antworten, ist aber für „Schadenersatzklagen nicht zuständig und kann sich daher zum konkret geltend gemachten Schadenersatzanspruch im Hinblick auf Google Fonts nicht äußern“

Laut der dsb ist generell unklar, ob das Einbetten von Google Fonts gegen die DSGVO verstößt. Hier hat die Behörde selbst kein klares Urteil:

„Die Datenschutzbehörde hat zum aktuellen Zeitpunkt kein Prüfverfahren gegen Google wegen Google Fonts geführt. Die Datenschutzbehörde kann daher keine Stellungnahme dazu abgeben, ob die Einbindung von Google Fonts auf einer Website tatsächlich gegen die DSGVO verstößt“

Als Laie weiß man nun also: nichts. Die Rechtslage in Österreich ist nicht klar – und auch die höchste Instanz bei Datenschutzangelegenheiten selbst hat keine klare Aussage.

Nicht erfreut: Rechtsanwaltskammer NÖ

Auch die RAKNOE hat sich auf ihrer eigenen Webseite mittlerweile zur Causa „Google Fonts“ geäußert. So heißt es in einer Stellungnahme auf der Startseite, es hätte gelindere Mittel gegeben:

„Ganz allgemein sollten Massenabmahnungen dieser Art jedoch nicht das erste Mittel sein, das ein Anwalt in einem solchen Fall ergreift. Es gäbe sicher gelindere Mittel, um auf DSGVO-Probleme von Websites und die Rechte einzelner BesucherInnen hinzuweisen.“

Außerdem habe man „aufgrund der gewählten Vorgehensweise und der zahlreichen Beschwerden von Amts wegen ein Ermittlungsverfahren eingeleitet“. Auch verstehe man „durchaus, dass es aufgrund der Massen an versendetet Briefen Zweifel gibt, ob eine einzelne Person tatsächlich so viele Webseiten in so kurzer Zeit persönlich besucht haben kann. Die rechtlich relevante und individuelle Beurteilung dieser Fälle obliegt jedoch ausschließlich den Gerichten“

Auch wenn man nicht darüber erfreut sei, denn „niemand in der Rechtsanwaltskammer ist über solche Massenabmahnungen von Anwälten und die damit verbundene öffentliche Diskussion erfreut“, sieht man keine Notwendigkeit hier aktuell einzuschreiten:

„Nach der Formulierung dieser Aufforderungsschreiben hat Mag. Hohenecker die Interessen seiner Mandantin vertreten und das Gesetz damit nicht verletzt. Auch wenn wir Massenabmahnungen dieser Art nicht begrüßen, ist ein Einschreiten gegen Mag. Hohenecker im Rahmen der Berufsaufsicht daher aus heutiger Sicht nicht geboten. Weitere Informationen zum Sachverhalt, die wir gerade erheben, können selbstverständlich zu einer geänderten Beurteilung führen.“

Mehr dazu beitragen

Gemeinsam erfährt man bekanntlich mehr. Wir bleiben weiter dran, brauchen aber Unterstützung von Betroffenen.

  • Lasse uns weitere Informationen zukommen: Wir recherchieren weiter in diesem Fall. Bitte um zusätzliche, nützliche Hinweise (Server-Logs, Anschreiben, Sonstiges) an redaktion@techniknews.net.
  • Verfasse einen Kommentar: Hat man euch abgemahnt? Seid ihr ein Verein, Unternehmen oder Privatpersonen? Kommentiere unter diesem Artikel, um weiteren Lesern zu helfen.

Wir aktualisieren diesen Artikel regelmäßig mit weiteren Informationen.

Empfehlungen für Dich

>> Aktuelle Amazon-Angebote & Top-Deals <<

David Wurm

Macht das TechnikNews-Ding gemeinsam mit einem tollen Team schon mehrere Jahre lang. Werkelt im Hintergrund an der Server-Infrastruktur und ist auch für alles Redaktionelle zuständig. Ist an der aktuellen Technik fasziniert und bloggt gerne über alles Digitale. Ist sonst in der Freizeit oftmals beim Webentwickeln, Fotografieren oder Radiomachen anzutreffen.

David hat bereits 890 Artikel geschrieben und 372 Kommentare verfasst.

Web | Facebook | Twitter | Insta | YouTube
Benachrichtigungseinstellungen
Benachrichtigungen über
guest
Dein Name, der öffentlich angezeigt wird.
Wir werden Deine Mailadresse nicht veröffentlichen.
167 Kommentare
neueste
älteste beste
Inline Feedbacks
View all comments
Jojo

Hallo zusammen! Vielen Dank dafür! Ich hätte noch einen alternativen Google Fonts Checker: https://devotion-it.de/online-marketing/google-fonts-checker/
Dieser zeigt nämlich zusätzlich noch die verwendeten Schriftarten an.
Viele Grüße, Jojo

Hobby IT-Schnüffler

Alles – wirklich ALLES da (in den Log-Files)

> IP Adresse der Eva (212.95.5.190) 15 Hits in 3 Sekunden
> Zugriff des netEstate-Crawler´s (81.209.177.xxx)
> Zugriff des Scrapy-Crawler´s (176.9.20.xxx)

w14201c

Die Basis der Argumentation des geschätzten Kollegen ist das Urteil EuGH 19.10.2016, C-582/14, wie er selbst schreibt. Nur ist eben nicht vollständig und korrekt zitiert: Das Urteil schränkt im Originaltext klar ein, unter welchen Bedingungen die IP-Adresse ein personenbezogenes Datum ist. Siehe dazu Absatz 49, aus dem in der Abmahnung auch zitiert wird. Da gibt es ein klares „… wenn er über rechtliche Mitteln verfügt …„. Über diese verfügt man als Site-Betreiber oder auch als „Fa. Google“ sicher nicht. Im Referenzurteil geht es also um einen völlig anderen Sachverhalt und damit entfällt die sachliche und rechtliche Basis für die Argumentation in den Abmahnungen. Der Link zum Originaltext: https://curia.europa.eu/juris/document/document.jsf?docid=184668&doclang=DE

Fotograf

Meine Website http://www.thomassalvato.at war auch betroffen. Die Website wurde mit WIX hergestellt. Lt. WIX ist eine lokale Einbindung der Fonts nicht möglich. Ich habe allerdings einen entsprechenden Eintrag betreffend GoogleFonts in meinen Datenbestimmungen.
Die IP-Adresse von Eva Z. war nicht in den Logfiles vorhanden. Dies wurde durch die IT des Webseitenbetreibers geprüft.

Jurist

Interessant:Der Anwalt hat sein Jus-Studium lt. seiner Homepage in 16 Semestern bewältigt, bei einer Mindestdauer von 8 Semestern. Er hat für seine Rechtsanwaltausbildung 4 Kanzleien „verbraucht“,was unüblich ist. Ich ziehe daraus meine Schlüsse und habe sein Schreiben in den Mistkübel geschmissen.Inzwischen scheint weitgehend festzustehen, daß sein Vorgehen rechtswidrig war.Eine derart dilettantische Aktion ist es nicht wert, Beachtung zu finden.

Alois
Rüdiger Schultz

Google Fonts bei anderen Google Produkten (MAPS)

Es reicht in solchen Fällen nicht, einfach alle „eigenen“ Aufrufe von GoogleFonts (fonts.gstatic.com bzw. fonts.googleapis.com) zu deaktivieren. Man muss zusätzlich noch in der eigenen GoogleMaps Javascript Applikation etwas einbauen.
Hier der Link dazu (hat mir sehr geholfen für unsere Projekte):

https://cameronjonesweb.com.au/blog/fix-google-maps-including-overriding-roboto-fonts/#comment-15925

Grigorij

Hallo!

Wie kann man verhindern, dass Google Maps die Fonts fonts.gstatic.com bzw. fonts.googleapis.com herunterlädt?

Mit freundlichen Grüßen

Georg

Eine Kundin hat ZWEI Schreiben bekommen, jeweils Mandantin Eva, jeweils für dieselbe Website, einmal vom 12.08. UND einmal vom 17.08. ABER jeweils mit einer anderen IP.

Warum die Dame zweimal auf eine Seite geht bei der Unwohlsein die Folge ist, ist mir schleierhaft. War also doch vielleicht nicht eine reale Person, die da die Seiten aufgerufen hat. Wo kann ich das melden, das ist doch ein wunderbarer Beweis, oder sehe ich das falsch?

BananaJoe

Beweis ist das keiner, aber ein Indiz.

Michae S.

Ich selbst bin nicht betroffen, verfolge aber dieses Geschehen rund um diese Abmahnung seit ein paar Tagen
Auf verschiedenen Seiten wird dazu geraten, der Auskunft nachzukommen. Nur liegt dem Schreiben keine Bevollmächtigung bei. Diese ist nur über einen Link aufrufbar. Und hier ergeben sich folgende Probleme:

  1. Der Inhalt dieser Seite kann jederzeit geändert werden.
  2. Laut Aussagen von Betroffenen kommt es bei der Signaturüberprüfung zu einem Fehler (Gelbes Rufzeichen)

Bevor ich also jemandem eine Auskunft erteile, muss ich mich zuvor 100% vergewissern, dass auch die rechtmäßige Person diese Auskunft beantragt.

Somit begebe ich mich in die nächste DSGVO- Falle, wenn man einfach Prüfung dem Antragsteller Auskunft erteilt.
Oder verstehe ich da in dem Zusammen hang etwas falsch?

BananaJoe

Ich habe für einen Kunden dem Herrn RA darauf hingewiesen das mir anhand der IP ohne Zeitstempel des Zugriffs keine eindeutige Zuordnung zu seiner Mandantin möglich ist, er möge mir doch bitte bekannt machen wann seine Mandantin auf die Webseite meines Kunden zugegriffen hat.

Peter Solc

Die PS-TRAINING GmbH hat heute eine Abmahnung erhalten. Angeblich war Frau Eva Z. auf der Webadresse stress.at (Eine Domain die auf die Hauptseite solc.at weitergeleitet wird)
Ich lasse die Logs prüfen, melde dies der wko und werde nach einer Rechtsberatung vermutlich eine Beschwerde bei der RAKNOE einreichen.
Peter Solc (Geschäftsführer)

Ann

also die IP Adresse, und auch andere Adressen finde ich in meinen logfiles nicht gehen aber nur bis 7.8. alles andere wurde schon gelöscht, da ich gelesen habe das viele Übergriffe ab dem 5.8 stattgefunden haben ist es natürlich möglich das es davor passiert ist, das fehlende Datum macht die sache aber natürlich absichtlich schwerer..ich werde eine negativauskunft schreiben und fertig, denn selbst wenn die Dame auf meiner Website war, sind ihre Daten sowieso schon gelöscht..

Johanna

Liebe Betroffene, ich stelle euch hier gerne die Stellungnahme der Rechtsabteilung der Ärztekammer OÖ zur Verfügung – bitte darauf nicht direkt Bezug nehmen falls ihr es verwendet, danke. Liebe Grüße und gutes Gelingen euch allen, Johanna bezugnehmend auf das anwaltliche Schreiben von RA Mag. Marcus Hohenecker in der Rechtssache „Google Fonts Datenschutzverletzung“ dürfen wir wie folgt Stellung nehmen:   In dem Scheiben wird eine – durch die Nutzung eines Google Dienstes erfolgende – Datenschutzverletzung und das Bestehen eines Schadenersatzanspruchs in Höhe von insgesamt € 190,00 (inkl Kosten) behauptet.   Das tatsächliche Vorliegen eines Verstoßes gegen datenschutzrechtliche Vorschriften hängt von den technischen Hintergründen Ihrer jeweiligen Homepage ab:   Sollte tatsächlich eine Übermittlung der IP-Adressen an Google erfolgen, so läge ein Verstoß gegen die Bestimmungen der DSGVO vor, sofern zuvor keine Einwilligung der Homepage-User eingeholt wurde! Bitte klären Sie dies mit dem Ersteller Ihrer Homepage ab.   Selbst wenn es zu der behaupteten Datenschutzverletzung auf Ihrer Homepage gekommen sein sollte, ist derzeit strittig, ob in einem solchen Fall überhaupt ein Schadensersatzanspruch besteht. In Deutschland existiert hierzu eine unterinstanzliche gerichtliche Entscheidung, welche einen Schadenersatzanspruch bejaht; in Österreich gibt es dazu derzeit keine gerichtlichen Entscheidungen. Aktuell ist ein Verfahren vor dem EuGH anhängig, in dessen Rahmen die Voraussetzungen eines derartigen Schadenersatzanspruchs geklärt werden sollen; eine Entscheidung des EuGH wird aber wohl erst in einigen Monaten vorliegen.   Die Entscheidung, ob Sie der Zahlungsaufforderung nachkommen und den Vergleich annehmen oder lediglich dem Auskunftsbegehren (siehe weiter unten in diesem Text) entsprechen und eine Unterlassungserklärung (Erklärung, dass Ihre Homepage umgestaltet wurde und künftig keine personenbezogenen Daten ohne Zustimmung der betroffenen Person an Google übermittelt werden) abgeben, liegt in Ihrem persönlichen Ermessen. Wir schätzen die Gefahr einer tatsächlichen Klagserhebung und/oder einer Beschwerde bei der Datenschutzbehörde als gering ein.   Es wird dringend empfohlen, dass Sie Ihre Homepage derart umgestalten bzw durch Ihren Homepageersteller umgestalten lassen, dass es zu keinen – zustimmungslosen – Datenübermittlungen mehr kommt bzw kommen kann. Generell raten wir von der Nutzung von Google-Produkten auf Homepages ab, da es bei diesen sehr häufig zu Datenübermittlungen kommt.   Zentral ist ebenso, dass Sie – sofern Sie sich gegen die fristgerechte Zahlung entscheiden – dem gestellten Auskunftsbegehren gem Art 15 DSVGO binnen längstens eines Monats (nach Erhalt des Aufforderungsschreibens) nachkommen und eine Unterlassungserklärung abgeben. Achten Sie darauf, dass alle Punkte des dem anwaltlichen Schreiben angeschlossenen Auskunftsbegehrens behandelt werden. Es ist auch eine Kopie der verarbeiteten Daten zu übermitteln. Sollten Ihnen keine Daten vorliegen bzw Ihnen die Person unbekannt sein, ist eine Leerauskunft (Mitteilung, dass keine personenbezogenen Daten der betroffenen Person verarbeitet werden) zu erstatten. Übermitteln Sie die Beantwortung des Auskunftsbegehrens sowie die Unterlassungserklärung per Post an Mag. Hohenecker.   Sollte Ihre Homepage durch eine Drittfirma erstellt worden sein, könnten Ihnen gegen diese allenfalls Regressansprüche zustehen, die Sie gegebenenfalls gerichtlich einfordern müssten.   Sofern Sie über eine Rechtschutzversicherung verfügen, empfehlen wir Ihnen, diese zu kontaktieren.   Zusammenfassung der vorzunehmenden Schritte, sofern Sie sich gegen die fristgerechte Zahlung entscheiden: • Homepagegestalter kontaktieren (zur Ermittlung, ob tatsächlich Daten übermittelt werden) •… Weiterlesen ...

heeheeee

…. es ist auffällig dass Kunden deren Domains am selben Host liegen alle den Brief bekommen haben und Kunden deren Domains auf einem anderen Host liegen bis jetzt verschont geblieben sind…… also das Surfverhalten der lieben Frau ist in der Hinsicht schon sehr auffällig, da zwischen den Websites ja keine Verbindung besteht, außer dass sie halt am selben Host liegen…. um da eine Verbindung herzustellen muss man aber schon gezielt danach suchen… oder halt einen Dienst nutzen der die Domains nach Host indiziert….

Roman Chlada

Wichtig für Benützer von WIX.com und ähnlichen Plattformen:

Das Münchener Urteil wird damit begründet, dass es ohne Schwierigkeiten möglich wäre, Google Fonts lokal einzubinden. Das ist wohl richtig, wenn man direkt mit dem html-Code arbeitet. Es scheint auch nicht schwer zu sein mit Joomla oder WordPress.

Es ist aber nicht möglich, wenn die Website mit einer Plattform wie zB WIX.com erstellt wurde. Der html-Code bleibt in dem Fall Eigentum der Plattform und man ist völlig auf die automatisierten Funktionen und Optionen der Plattform angewiesen.

Lokales Einbinden von Google Fonts kommt da selbstverständlich nicht vor, weil sich daran ausserhalb des deutschen Sprachraumes niemand stört.

Auf solchen Plattformen dürfte es keine andere Möglichkeit geben, die Nutzung von Google Fonts zu vermeiden, als selbst herauszufinden, welche der zur Verfügung stehenden Schriften Google Fonts sind und welche nicht (sie sind natülich in keiner Weise als solche gekennzeichnet). So man eine findet, die kein Google Font ist, kann man die Schriften entsprechend ändern, was aber auch das Erscheinungsbild der Website verändert.

Es gibt keine Garantie, dass die Plattform nicht zu einem späteren Zeitpunkt ganz auf Google Fonts umsteigt und die anderen Schriften durch Entsprechungen ersetzt.

Das Münchener Urteil ist auf diesen Fall nicht anwendbar, weil der Schaden, der keiner ist, eben nicht durch einen Handgriff behoben werden kann.

Looser

Der besagte Anwalt war Spitzenkanditat für die Piraten Partei und trat in Oe24.TV als vehementer Impfplicht Gegner mehrmals auf. Vielleicht braucht er wieder Geld für eine Neuparteigründung und den Wahlkampf da ja die Piratenpartei in der Versenkung verschwunden ist.

Alois

Ich bin leider kein IT-Experte und habe hier einmal eine technische Frage:
In meinem Schreiben ist lediglich der Screenshot des Quellcodes ersichtlich. Wenn sich nun jemand nur den Quellcode ansieht (z. Bsp. view-source:https://….), ohne vorher die Seite normal besucht zu haben, werden dann überhaupt die Google Fonts geladen?

PS: Vielen vielen Dank für die Berichterstattung auf dieser Seite!

Martin

Eigentlich nicht, weil view-source nur Textinhalt in den Browser lädt.

Johann

Auch ich habe vorige Woche den Brief des Anwalts erhalten und blöderweise geöffnet.
Die Anschrift lautete nicht auf meinen Namen sondern den Titel meiner Website und einer unvollständigen Adresse. Dummerweise kennt mich der Postzusteller gut, sonst hätte ich den Brief gar nicht bekommen.
Ich habe umgehend das Rechtsservice der WKO kontaktiert und dort hat man mir geraten doch auf den Brief zu reagieren (Fristverlängerung).
Nachdem ich hier die Posts gelesen habe bin ich aber unsicher ob es klug war auf den Brief zu reagieren.
Ich hatte tatsächlich Google Fonts eingebunden (über ein WP Template, YouTube Einbettung, Google Captcha).

StenM2020

Artikel in der Krone – auch hier sollte man entsprechende Kommentare hinterlassen: https://www.krone.at/2790403

Eugen

Von mir wurden auch 6 Kunden in dieser Woche vom Abmahnanwalt angeschrieben. Und es werden täglich mehr….

Heike

Es werden weiterhin neue Briefe versendet?!

Werner

Habe das Schreiben heute auch bekommen, doch es geht darin um eine Website, die gar nicht meine ist. Ein dreister Abzockversuch. Abgesehen davon teilt mir der Anwalt in dem Schreiben die IP-Adresse seiner Mandantin mit – ist das datenschutzkonform, wo es doch gar nicht um meine Website geht, sie sie (angeblich) besucht hat?

sunny

Ich betreibe selbst eine Webagentur und einige meiner Kunden sind bereits betroffen. Ich werde heute Anzeige bei der Staatsanwaltschaft gegen die in den Schreiben genannte Mandantin stellen.

Myst111

Mit welcher Begründung bzw. welche Straftatbestand?

Helmut

Verdacht auf Prozessbetrug; wenn eine automatisierte Suche verwendet wurde (wovon angesichts der Indizien unbedingt auszugehen ist.

Maria Sailer

Kann man sich der Klage anschließen?

Myst111

Nach dem Motto „Die Geister die ich rief“ werde ich von den Seiten Hohenecker.at und Datenschutzanwalt.eu mal erfragen welche Daten von mir Verarbeitet werden. Vielleicht haben andere hier ja auch Interesse zu wissen was der Mag. Hohenecker so von uns speichert und erfährt damit auch welchen Aufwand so eine Datenerhebung verursacht, speziell wenn das gleich mal ein mal 100 oder 1.000 von Ihm verlangen ;-).

Georg

Vielleicht wurde das hier schon erwähnt, dann bitte um Verzeihung, wenn ich es wiederhole: Habe ich soeben in seiner Datenschutzerklärung auf hohenecker.at gelesen:1.4. Eine Protokollierung der Zugriffe (etwa der IP-Adresse) erfolgt ebenso nicht. Die Verarbeitung der IP-Adresse erfolgt nur durch den jeweiligen Webserver für die Bereitstellung der Website, ohne, dass wir Zugriff auf diese Information haben.

Christian

Ich glaube nachgesehen zu haben dass er bei world4you ist. Da wird jedenfalls 2 wochen gespeichert und jeder webseitenbetreiber hat zugriff darauf.

https://www.world4you.com/faq/de/dsgvo/faq.wie-lange-werden-webserver-logfiles-gespeichert.html

Johanna

habe leider auch diesen Brief bekommen, habe dann den Selbsttest der WKO für meine Seite gemacht und es scheinen die google fonts eben nicht lokal eingebunden zu sein. Mich überfordern diversen Behebungsvideos und Vorschläge, bin nicht wirklich wordpress geschult. gebe jetzt auf, werde in der früh die WKO kontaktieren.
Nachdem mein provider auch world4you ist, scheint es das ich das nicht nachprüfen kann ob die Eva auf meiner Seite war.
Ich finde es nicht rechtens, dass zwei Leute soviel Ärgernis erzeugen.

Yomi

Welcher Selbsttest? Weiss nichts von der WKO. Bitte um Link!

Matthias A

installiere das oben im artikel erwähnte plugin. funktioniert unkompliziert und ohne viel einrichtung.

ansonsten poste deine mailadresse. ich oder ein anderer hier helfen gerne aus.

liebe grüsse aus der nachtschicht

Ann

bin auch bei world4you – die helfen dir leider nicht weiter! ich weiß auch nicht welche daten der provider speichert, sie haben mir nur geantwortet das es nach 14 tagen gelöscht wird, also würde ich die IP Adresse wahrscheinlich nicht mehr finden..

max

world4you hat inzwischen schon reagiert und das hier veröffentlicht

https://www.world4you.com/faq/de/top-themen/faq.abmahnung-wegen-google-fonts-wo-finde-ich-die-logfiles.html

weiters gibts(zumindest bei ner wordpressseite) die möglichkeit sich die stats anzumschaun, daszu auf der adminseite einloggen und dann auf https://meine.url/stats gehen

Claudia

https://de.wordpress.org/plugins/disable-remove-google-fonts/ – Hi Johanna – ich bin auch total technikdoof – aber das habe ich dann doch geschafft im WordPress – vielleicht schaffst du es auch.

Immer locker bleiben

Der Brief wurde ohne Nachweis zugestellt. Ohne einen Einschreibebrief könnt ihr den Brief ja vielleicht gar nicht bekommen haben. Falls ein Einschreibebrief kommt, einfach nicht annehmen. Dann wird dieser Anwalt schon aufhören mit diesen Unsinn.

Ann

Hat jemand Erfahrung wie man herausfindet welche Daten zu welcher Person gespeichert werden und aus welchem Zweck? Mein Hoster world4you hilft mir hier leider nicht weiter..

Qurt

Du bekommst bei world4you Zugang auf die Log-Dateien via FTP. ist alles sehr einfach und klar dokumentiert im my.world4you Portal

Die Suche in den Logs hat die bei mir angeführte IP-Adresse nicht angezeigt, also, war die „Dame“ gar nicht auf meiner WEbsite

Pete

Die Frage ist, ob sie auf der Website war zwischen dem 4.8 (=Datum der Vollmacht) und Datum des Anwaltsschreibens. Leider, vielleicht auch absichtlich steht in dem Brief ja kein Datum, wann sie auf der Website war. Ich finde ebenfalls keine IP in den Logfiles kann dies aber nur bis zum 7.8 rückwirkend überprüfen.

Ann

ok danke für die Antwort..world4you löscht alle 14 tage die daten, also wäre bei mir die IP Adresse auch nicht mehr vorhanden denke ich..

Mankra

Aktuell wird scheinbar nur wegen Google Fonts abgemahnt.
Ist die Einbindung von Scripten, Bildern, Bibliotheken per CDN außerhalb der EU ebenfalls laut DSGVO regelwidrig?

max

Das kommt drauf an was die alles mitschicken… ich denke nicht dass man das so pauschal beantworten kann.

Stefan

Ich sehe das genauso. Wenn es nur um die IP Adresse geht, dann hinterlassen Bilder und JavaScripts die jedenfalls.
Dh Dinge wie bootstrap oder Material Design oder jQuery wären da wohl ebenso was für diese Masche.

Niclas

Liebe Redaktion! Ist eine Stellungnahme des Anwalts in diesem Artikel geplant? Wäre interessant die Vorgehensweise aus seiner Sicht zu hören.

Weiter so!

Ziko

So schnell wie der abhebt ist er noch nicht ausgelastet. Auskunft senden, anrufen, bewerten, Emails senden. Was man in den Wald schreit, kommt zurück.

Mimimi

Hoffentlich klickt die Mandantin nicht unabsichtlich auf https://www.google.com oder ähnliches … sonst fühlt sie sich UNWOHL!

Ben

Der psychische Schaden muss fatal sein

Firmian

Sie ist wahrscheinlich suizidgefähdet…