Google Fonts Abmahnwelle überrollt Österreich

Programmcode
Programmcode | fancycrave1 / Pixabay

Ein „Datenschutzanwalt“ mahnt im Namen einer „genervten“ Internetnutzerin bereits 1000e österreichische Website-Betreiber ab. Angeblich würden die Betreiber personenbezogene Daten unerlaubt an Google weiterleiten.

Eurokraten als juristische „Waffenhändler“

Ja, lt. DSGVO sollte man nicht einmal die IP Adresse eines Besuchers ungefragt an den US-Giganten weitergeben, denn lt. Eurokraten ist diese kryptisch aussehende Nummer geeignet, uU. die Identität eines Surfers festzustellen. Bei uns kann damit aber niemand so ohne weiteres den echten Namen, Adresse usw. eines Besuchers herausfinden!

Diese verrückte Gesetzgebung, welche ohnehin nur kleinste bis mittlere Betreiber aus dem EU Raum schikaniert, gibt jedem Hinz und Kunz sozusagen juristische Keulen in die Hand, mit denen diese sich über andere hermachen können.

Ja, seit dem die berüchtigten Münchner Richter das erste Urteil in der Sache fällten, versuchten sehr viele Privatleute damit Geld zu machen und verlangten 100 € von Website-Betreibern. (Nur: Die ignorierten das. Daher kommen die gleichen Leute nun mit einem Anwalt daher.)

„Genervte“ Mandantin ist 1000e Male „überrascht“ vom Datenschutzverstoß

Wie kann es denn passieren, dass die bösen Website-Betreiber solche Vergehen gegen den geheiligten EU Datenschutz begehen?
In gegenständlichen Fall fand eine gewisse Fr. Z., eine Mandantin des „Datenschutzanwaltes“ Mag. H.  den sog. Google Fonts Einbindungscode im Quelltext der 1000-en von ihr heimgesuchten Websites.

Natürlich musste die Mandantin, die sich (lt. Abmahnschreiben) dabei so „genervt und unwohl fühlt„, all diese Websites in wenigen Stunden, bzw. Tagen aufrufen. Und fleißig Screenshots vom Quellcode machen. Sie ignorierte dabei tapfer, dass sie sich dabei 1000e Male in die Hände des „Datenkraken“ begibt.

Für technisch wie rechtlich versierte Beobachter ist klar: „Die Dame, begibt sich jedesmal erneut vorsätzlich in diese Lage und daher könne man maximal einmal von der kolportierten ’negativen, nervenaufreibenden Überraschung wegen der Datenschutzverletzung‘ sprechen.“ Aber nicht tausende Male!
Das riecht nach einer Massen-Abzocke, wie es die deutsche Abmahnmafia seit langem praktiziert“ meint ein IT-Dienstleister, der seit der Erfindung des WWW dabei ist.

Was bewirkt denn dieser Google Fonts Code?

Nicht mehr als dass damit Schriftarten vom Google Server geladen werden. Diese „Google Web Fonts“ sind halt recht beliebt, werden von unzähligen Webbaukästen, Themes, Plugins und Diensten mitgebracht. Nun wird uU., quasi im Tausch für diese Schriften, die IP des Besuchers an Google weitergeleitet.
Auch wenn Google diese Nummern nicht mal protokolliert: Für die Extrem-Datenschützer ist es halt ein Verbrechen.

Ein konkreter Fall

In einem uns bekannten Fall erwischte es einen großen österr. Verein.
Hier hatten gleich 2 sog. WordPress Plugins versagt. Eines davon hätte die möglichen DSGVO Fehler des anderen beseitigen sollen. Doch beide Maßnahmen versagten und auch der beste IT-Mensch ist nur ein Mensch und kann nicht 24/7 überwachen.

Doch die Tools des Abzocker Duos können das und fanden leider den ach so bösen Code.
Nur: Dieser wahrscheinlich automatisierte Abruf wurde natürlich in den Log-Files protokolliert. Daraus zeigt sich, dass es in der einen Sekunde des Besuchs kein Laden weiterer Dateien gab.

Was kann der Website-Betreiber dagegen machen?

Ganz einfach: Man lässt diese Google Fonts nicht von Google laden, sondern lagert die Schriftarten-Dateien am eigenen Server. Oder verzichtet ganz darauf.

Wer hilft mir, das abzustellen?
Es gibt für interessierte Betreiber jede Menge Tools und Hilfen im Netz, wie man diesen Datenaustausch abstellen kann.

Noch besser: Man teilt dies seinem Webdesigner mit. Ok, ein guter IT-Dienstleister sollte das gegenständliche Ärgernis ohnehin seit Anfang 2022 abgestellt, bzw. anders gelöst haben. Doch moderne Web-Programme haben ein digitales Eigenleben und können nach einem Update wieder mit Google Fonts oder anderen Connections zu US-Anbietern kommen.

Weitere, wenn auch theoretische Hilfe kommt von den Interessenvertretungen. Hier hat zB. die WKO überraschend schnell reagiert, diese, bzw. die zuständige Fachgruppe könnte sich sogar einen Musterprozess vorstellen.

Weitere nützliche Links

Die Vorgangsweise nach so einer Abmahnung

Wenn es denn passiert ist, dass so eine Abmahnung inklusive Auskunftsbegehren, Schadenersatz, Unterlassung usw. einlangte, dann raten rechtskundige und technisch damit befasste Personen zu folgender Vorgangsweise:

  1. Das Auskunftsbegehren g. §15 DSGVO ist innerhalb eines Monats zu erfüllen!
    Und wenn die, in dem Schreiben genannte IP-Adresse nicht in den Log-Files auftaucht, dann kann man eine „Negativauskunft“ abgeben.
    Mehr dazu bei der WKO!
  2. Die begehrte Unterlassung kann durchaus legitim sein, immerhin ist die Einbindung von und die Weiterleitung personenbezogener Daten an Google lt. DSGVO so nicht erlaubt.
  3. Schadenersatz (100 €): ist aus oben genannten Gründen (Vorsatz und Massenabruf) nicht gerechtfertigt. Im Gegenteil, der Aufwand, den man als Website-Betreiber hat, um die Auskünfte zu erteilen, könnte gegen-verrechnet werden.
  4. Die Kosten der Rechtsverfolgung (90 €) soll die Mandantin übernehmen; immerhin könnte sie ja auch ohne Rechtsbeistand abmahnen …
  5. Dem Vergleich sollte man schon deshalb nicht zustimmen, weil dem Schreiben keine Vollmacht der begehrenden Person …