02. Januar 2023

Abmahnwelle - Google Fonts

Im Herbst 2022 erhielten zahlreiche Unternehmen Anschreiben, in denen ihnen Datenschutzverstöße durch die fehlerhafte Verwendung von Google Fonts auf ihren Webseiten vorgeworfen wurde. Bei diesen "Abmahnungen" handelte es sich in der Regel um Betrugsversuche. Gegen zwei Beschuldigte hat die Generalstaatsanwaltschaft Berlin inzwischen Ermittlungen wegen Betruges aufgenommen und Hausdurchsuchungen durchgeführt. Trotzdem empfehlen wir allen Unternehmen, die eigene Website datenschutzkonform zu betreiben und Google Fonts sowie ähnliche Websonts lokal zu hosten.

Was ist passiert?

  • In den letzten Monaten erhielten viele Unternehmen angebliche Schadenersatzforderungen zwischen 100 und 280 Euro wegen angeblichen Verstößen gegen die Datenschutz-Grundverordnung (DSGVO) aufgrund der datenschutzwidrigen Einbindung von Google Fonts auf der Unternehmens-Website. In vielen Fällen kommen die Forderungen von Rechtsanwaltskanzleien. Den meisten Unternehmen war überhaupt nicht bewusst, möglicherweise einen solchen Verstoß zu begehen.
  • Begründet werden diese Schreiben mit Verweis auf eine Entscheidung des Landgerichts München vom Januar 2022 (LG München, Urteil v. 20.01.2022, Az. 3 O 17493/20  – externer Link zum Urteil). In der zitierten Entscheidung hatte das Landgericht München ein Unternehmen wegen der datenschutzwidrigen Einbindung von Google Fonts dazu verurteilt, dem Kläger 100 Euro als immateriellen Schadenersatz zu zahlen. Bei wiederholtem Verstoß wurde ein Ordnungsgeld von bis zu 250.000 Euro angedroht. Der Kläger hatte mehrfach die Website des beklagten Unternehmens besucht, und seine IP-Adresse war nachweislich wiederholt an Google weitergeleitet worden, ohne dass er damit einverstanden war.
  • Inzwischen hat sich der Verdacht bestätigt, dass es sich bei den allermeisten “Abmahnungen” um Betrugsversuche handeln dürfte. Die Generalstaatsanwaltschaft Berlin hat erklärt (externer Link zur Pressemitteilung vom 21.12.2022), dass sie strafrechtlich Ermittlungen gegen einen Berliner Anwalt sowie dessen Mandanten wegen (versuchten) Betruges und Erpessung aufgenommen hat. Den Beschuldigten wird vorgeworfen, mittels einer speziellen Software zahllose Webseiten durchforstest zu haben und dann wahllos und ohne tatsächlichen Schaden, Schmerzensgeld verlangt zu haben, obwohl ihnen klar war dass ein solcher Anspruch nicht besteht. Dies deckt sich auch mit den Erfahrungen, die uns viele Unternehmen mitgeilt haben.
  • Wir danken an dieser Stelle allen Unternehmen, die uns ihre Fälle zur Weiterleitung gemeldet und die Ermittlungen der Behörden unterstützt haben!
  • Da Nachahmungen nicht ausgeschlossen werden können und der Datenschutz trotz allem gilt, empfehlen wir alle Unternehmen dennoch, ihre Webseiten datenschutzkonform zu gestalten.
Hintergrund: Webfonts (u.a. Google Fonts ) sind Schriftarten verschiedener Anbieter, die auf Webseiten eingebunden werden können. Anders als herkömmliche Schriftarten werden sie nicht auf dem Computer gespeichert, sondern auf einem Server des Anbieters. Wenn ein Besucher die Website des Unternehmens besucht, wird unter Umständen die IP-Adresse des Besuchers automatische an den Anbieter weitergeleitet. Weil IP-Adressen als personenbezogene Daten gelten, ist die Weiterleitung ohne die ausdrückliche Einwilligung des Besuchers nicht erlaubt. Die datenschutzkonforme Einbindung ist aber möglich.

Was ist zu tun?

Wenn Sie eine entsprechende “Abmahnung” wegen Google Fonts erhalten haben, empfehlen wir
  • zunächst, und auf jeden Fall, die eigene Website zu überprüfen, ob ein datenschutzrechtlicher Verstoß überhaupt gegeben sein kann (in manchen Fällen handelte es sich nämlich um gar nicht existierende Websites, bzw. bloße Einträge bei Google usw.). Wenn eine nicht konforme Einbindung von Webfonts vorliegt, diese korrigieren (s.o.)
  • die Zahlungsaufforderung höflich aber bestimmt ablehnen und
  • die rechtsanwaltliche Vollmacht im Original anfordern (Argument: Es besteht der Verdacht einer derzeitigen Abmahnwelle, daher muss die Aufforderung verifizierbar sein)
  • Details zu den Mandanten anfordern, auch wenn es sich dabei um Interessensgruppen handelt. Insbesondere sollte ein Nachweis gefordert werden, dass von der IP-Adresse von der als Mandant genannten Person auf die eigene Website auch tatsächlich zugegriffen wurde und inwiefern hier im Detail eine datenschutzrechtliche Verletzung gegeben sein soll.
  • den Verdacht eines Rechtsmissbrauchs äußern, da es nahe liegt, dass anhand der Vielzahl der (wortgleichen!) Abmahnungen Websites bewusst augesucht werden in der Hoffung eine Abmahnung aussprechen zu können. Dementsprechend Gegenansprüche sowie eine Strafanzeige vorbehalten
Im Idealfall können Sie Beschwerden oder auch Abmahnungen von vornherein verhindern:
  • Unternehmen sollten – generell  – prüfen, ob auf ihrer Website Webfonts,  die automatisch IP-Adresse oder sonstige Daten weiterleiten, verwendet werden. Dies kann in der Regel einfach über den Quellcode der Website ersehen werden. Im Zweifel sollten sich Unternehmen an den Ersteller der Website oder an einen Datenschutzbeauftragten wenden.
    Eine kostenlose Möglichkeit, die eigene Website auf Datenschutz-Mängel zu prüfen, gibt es beispielsweise hier (externer Link).
  • Falls Webfonts verwendet werden, sollte in jedem Fall darauf geachtet werden, dass keine Daten automatisch weitergeleitet werden. Webfonts müssen nicht von einem Server nachgeladen werden, sie können alternativ lokal auf dem eigenen Server gespeichert sein.
  • Eine gute Übersicht und wertvolle Praxistipps zur DSGVO-konformen Einbindung von Webfonts finden Sie beispielsweise hier (externer Link).
  • Wenn Sie Ihre Website mit Wordpress erstellt haben, finden Sie hier eine Anleitung zur korrekten Einbindung: https://wp-ninjas.de/wordpress-google-fonts.
Hinweis: Bitte berücksichtigen Sie, dass unsere Hinweise unverbindlich sind und eine rechtsanwaltliche Beratung nicht ersetzen. Bitte haben Sie auch Verständis dafür, dass wir für die Inhalte Dritter keine Gewähr übernehmen können.