Da es in letzter Zeit mehrere Anfragen wegen der DSGVO in Zusammenhang mit Google Fonts (Google-Schriften) bei uns gab, möchten wir hier versuchen, euch eine kurze Zusammenfassung zu liefern und euch ohne viel technisches Schnickschnack die „Problematik“ erklären.
Worum geht es?
Aktuell gibt es eine Abmahnwelle eines Rechtsanwalts, der anscheinend im Auftrag seiner Mandantin Briefe und E-Mails verschickt. Darin wird erklärt, man habe eindeutige Beweise, dass der Abgemahnte auf seiner Webseite „Google Fonts“ einsetze und dies dazu führe, dass die IP-Adresse besagter Mandantin an Alphabet (Google) übertragen werde. Da besagte Firma Alphabet sich im EU-Drittland befinde und eine etwaige Datenweitergabe die Mandantin extrem nerve, gehe der Anwalt davon aus, dass man gegen die DSGVO verstoße. In dem Brief ebenfalls enthalten ist die Drohung mit Anzeige bei der Datenschutzbehörde sowie die Erwartung, sich auf einen Vergleich einzulassen – also eine einmalige Überweisung von 190 Euro zu tätigen, und die Sache sei erledigt (dabei werden 100 Euro Schadenersatz für den angeblich erlittenen immateriellen Schaden der Mandantin (extremes Genervtsein) und 90 Euro für den Anwaltsbrief gefordert).
Was ist dran an der Sache?
Grundsätzlich ist es nicht erlaubt, Aktivitäten zu setzen, die auf die Rechner von Webseitenbesuchern abzielen, ohne darauf hinzuweisen (und da kann es durchaus um mehr gehen, als „nur“ um Google Fonts). Aber es gibt sehr wohl Möglichkeiten, mit diversen Maßnahmen dem Datenschutz zu entsprechen. Die Rede ist da beispielsweise von Hinweisen, die angeklickt werden müssen, damit die Seite korrekt dargestellt werden kann, von Plugins, die im Hintergrund die Google-Schriftart direkt auf den Server laden (und somit die Verbindung zwischen Nutzer und Google nicht zustandekommenlassen), von Firewall-Einstellungen und IP-Maskierungen und diversen andere Methoden, um den vorsichtigen Websurfer im Sinne der DSGVO zu schützen bzw. zu informieren. (Anmerkung: Wenn Sie während des Lesens sozusagen „ausgestiegen“ sind, keine Angst, das klingt alles schlimmer als es in Wirklichkeit ist. Gerne können Sie auch bei uns nachfragen, dann holen wir Sie da ab, wo Sie gerade gedanklich "stehen".)
Was kann man präventiv unternehmen?
Wenn Sie Ihre Seite selbst gestaltet haben (etwa bei diversen "In-3-Klicks-zur-eigenen-Homepage-Anbietern"), aber die DSGVO und vielleicht auch die Dinge, die Ihre Website im Hintergrund ohne Ihr Wissen und Zutun so anstellt, ein Rätsel für Sie darstellen, wenden Sie sich am besten ehestmöglich an einen IT-Dienstleister Ihres Vertrauens, der sowohl in Bezug auf die DSGVO als auch in Hinsicht auf die technischen Abläufe im Web über entsprechende Expertise verfügt. Ein kleiner Rat aus unserer alltäglichen Praxis: Der Bruder, dessen Freundin eine Schwester hat, deren Cousin im Eingangssemester BWL studiert und nebenbei die ein oder andere Homepage ganz herzeigbar zusammenbastelt, ist damit NICHT gemeint. Gemeint sind IT-Dienstleister wie wir oder auch Kollegen der UBIT – fragen Sie doch einfach in Ihrer Landesvertretung der WKO nach! Ein seriöser IT-Dienstleister macht Ihnen im Normalfalle auch ein sehr gutes Angebot. Haben Sie keine Angst anzufragen, die meisten Webseiten kann man mit dem Einspielen eines kostenlosen PlugIns gegen Abmahnungen durch das falsche Einbinden von Google Fonts absichern. Und das kostet nicht die Welt.
Sie wurden bereits abgemahnt und fragen sich, was Sie tun sollen?
Der erste Rat von WeAppU: KEINE PANIK! Bevor Sie nun schwere Geschütze auffahren, überprüfen Sie, ob die Vorwürfe überhaupt haltbar bzw. begründet sind. Unter diesem Link können Sie Ihre Seite auf das nachladen von Fonts überprüfen: https://sicher3.de/google-fonts-checker/. Alternativ wenden Sie sich an den Programmierer Ihres Vertrauens (den Sie wie bereits oben erwähnt, ausfindig machen – wieder sollte dies nicht der oben genannte Student mit dem Hobby "Alles mit Web, am liebsten animierte GIFs" sein) und lassen Sie diesen die Vorwürfe überprüfen. Ziehen Sie so schnell es Ihnen möglich ist ein Backup der Webseite und der Datenbank inkl. der sogenannten Serverlogs, in denen die Zugriffe protokolliert sind. Speichern Sie dieses als späteren Beweis gesondert ab und rühren Sie es nur dann an, wenn Sie es brauchen (um sich gegen einen etwaigen Vorwurf wegen Verfälschung der Daten oder Ähnlichem behaupten zu können). Nach der Datensicherung wenden Sie sich direkt an Ihre zuständige WKO, in den nächsten Wochen wird diese mehr und mehr an Erkenntnissen, wie man mit solchen Anschuldigungen umgeht, dazugewinnen.
Wir raten Ihnen folgende Schritte durchzuführen:
- Durchsuchen Sie Ihre Serverlogs nach der angeführten IP-Adresse oder kontaktieren Sie Ihren Provider und bitten Ihn dies für Sie zu tun.
- Sollte es möglich sein, auf Ihrer Seite eine Registrierung/Bestellung zu tätigen, überprüfen Sie, ob sich die Person bei Ihnen angemeldet hat.
- Geben Sie in jedem Falle eine Datenschutzauskunft ab, auch wenn Sie keine Einträge gefunden haben. Die DSB schreibt dazu: "
- Sofern Sie, trotz sorgfältiger Recherche, zu dem Ergebnis gelangen, dass Sie die IP-Adresse der betroffenen Person (und auch sonstige Daten) nicht gespeichert haben, ist darüber innerhalb der Regelfrist von vier Wochen ebenfalls eine Auskunft, eine sogenannte Negativauskunft gemäß Art. 15 DSGVO, zu erteilen. Diesfalls können Sie folgenden Satz an die anwaltliche Vertretung der betroffenen Person übermitteln: „Wir verarbeiten keine Sie betreffenden personenbezogenen Daten“.
Quelle: https://www.dsb.gv.at/download-links/bekanntmachungen.html#Google_Fonts
- Sofern Sie, trotz sorgfältiger Recherche, zu dem Ergebnis gelangen, dass Sie die IP-Adresse der betroffenen Person (und auch sonstige Daten) nicht gespeichert haben, ist darüber innerhalb der Regelfrist von vier Wochen ebenfalls eine Auskunft, eine sogenannte Negativauskunft gemäß Art. 15 DSGVO, zu erteilen. Diesfalls können Sie folgenden Satz an die anwaltliche Vertretung der betroffenen Person übermitteln: „Wir verarbeiten keine Sie betreffenden personenbezogenen Daten“.
- Wenden Sie sich an einen kundigen Webdesigner/IT-Techniker und lassen Sie Ihre Seite auf Lücken überprüfen und diese gleich schließen, da sonst eine weitere Abmahnung droht!
- Wenden Sie sich an einen fachkundigen Rechtsanwalt.
Was kann im schlimmsten Falle passieren?
Im aktuellen Falle wird nach derzeitigem Kenntnisstand seitens des besagten Rechtsanwalts damit gedroht, die Daten an die Datenschutzbehörde weiterzugeben, soferne die 190 Euro nicht auf seinem Konto einlangen. Hier passiert vorerst einmal nicht viel.
Die Datenschutzbehörde sagt dazu:
"Ein Beschwerdeverfahren gemäß Art. 77 Abs. 1 DSGVO vor der Datenschutzbehörde ist für alle Beteiligten – also für die betroffene Person und das Unternehmen – kostenfrei."
Quelle: https://www.dsb.gv.at/download-links/bekanntmachungen.html#Google_Fonts
Diese prüft jeden Fall einzeln und entscheidet – sehr vernünftig – in den meisten Fällen mit einer Fristsetzung, innerhalb derer man bestehende datenschutzrechtlichen Verfehlungen ausbessern muss. Danach ist der Fall in der Regel für die Datenschutzbehörde abgeschlossen – außer man weigert sich, nachzubessern, ist unbelehrbar oder "Wiederholungstäter". Was das Schreiben des besagten Anwalts angeht, müssen sich in den nächsten Wochen noch konkrete Informationen seitens diverser Beteiligter ergeben und wir wollen da jetzt nicht spekulieren, denn unsere Kristallkugel macht gerade Urlaub. Allerdings vermuten wir (ein bisserl Kaffeesatzlesen geht dann schon), dass dies nicht der letzte Brief war, der von irgendeinem Anwalt verfasst wird, um kleinen Unternehmen und auch privaten Homepagebetreibern Geld durch Verunsicherung aus der Tasche zu ziehen. Wir halten Sie natürlich gerne auf dem Laufenden, sobald es neue Erkenntnisse gibt.
Checkliste:
- Habe ich ein Hinweispopup mit Zustimmungsmöglichkeit (Cockiebanner etc.)?
- Habe ich eine ausführliche (überprüfte und auf meine Homepage zugeschnittene) Datenschutzerklärung (und nicht einfach irgendwas aus dem Internet herauskopiert)?
- Kommuniziert meine Seite mit externen Dienste und sind diese alle in der Datenschutzerklärung ausgewiesen?
- Gibt es europäische Alternativen zu den Services aus EU-Drittländern?
- Halte ich mich generell an die DSGVO (z. B. Zustimmungshäkchen bei Formularen uvm.)?
- Brauche ich das eigentlich auch alles? (z. B. Google Analytics – reichen mir vielleicht auch die Serverstats?)
Fazit: Wir von WeAppU sehen das Ganze eher gelassen. Solange es Möglichkeiten gibt, seine Webseiten anzupassen und DSGVO-konform zu gestalten, sehen wir das eher sportlich, jedoch sollte man Datenschutz natürlich auch nicht auf die leichte Schulter nehmen und sich wirklich so schnell als möglich professionelle Hilfe holen, um sich eine Menge Ärger vom Hals zu schaffen. Außerdem möchten wir wohl alle dem Geschäft mit der Verunsicherung, die mit dem Senden von Briefen an tausende Menschen einhergeht, keine Basis für einen sehr lukrativen Verdienst bieten.
Wir hoffen, Ihnen damit ein wenig die Angst und den Schrecken nehmen zu können und verbleiben mit einem freundlichen „bis dann“,
Webernig & Schön
www.weappu.net
tel: +43 / 660 767 4 833
Falls Ihnen das alles zuviel ist, helfen wir Ihnen auch gerne aktiv dabei die Google Fonts DSGVO Konform einzubinden:
