Wie Sie richtig reagieren
Seit dieser Woche werden Unternehmen und Websitebetreiber von Massenabmahnungen eines niederösterreichischen Anwalts beglückt. Den Streitpunkt stellen erneut die Google Fonts dar, welche unrechtmäßig IP-Adressen von Website-Besucher an Google und damit in die USA übertragen sollen.
Bereits im Jänner 2022 entschied das Landgericht München zu Gunsten des Klägers. Urteile und Entscheidungen in Österreich sind noch ausständig und die Rechtslage hierzulande ungewiss. Gerade deshalb sollten Sie auf die Abmahnung gelassen aber jedenfalls reagieren.
Bei Google Fonts handelt es sich um ein Schriftartenverzeichnis von Google LLC. Der Service bietet die Möglichkeit Schriftarten zu verwenden ohne diese direkt auf dem eigenen Server zu hinterlegen. Beim Abruf einer Website bezieht der Besucher Font-Informationen über einen Google-Server.
Wie richtig reagieren?
Erste technische Prüfung
- Prüfen Sie zunächst Ihre Websites und Online-Services auf den Einsatz von Google Fonts.
• Über Google Fonts Checker können Sie einen ersten Test durchführen.
• Alternativ können Sie Ihre Website per Chrome Browser oder Firefox aufrufen und per Entwicklerkonsole (F12) und mit einem Klick auf den Reiter „Netzwerk“ nach „fonts.googleapis.com“ oder „fonts.gstatic.com“ suchen. - Prüfen Sie, ob die im Abmahnschreiben ausgewiesene IP-Adresse in Ihrem Besucher-Log erfasst wurde. Ob die IP-Adresse auch an Google Fonts eine Anfrage gestellt hat, kann im Nachhinein allerdings nicht festgestellt werden. Technische Hilfestellung erhalten Sie vom Entwickler/Ersteller Ihrer Website.
- Finden Sie DSGVO-Widrigkeiten raten wir dringend zur raschen Bearbeitung und unverzüglichen Anpassung.
Die formelle Reaktion
Wichtig ist, dass eine Datenschutzauskunft erteilt werden muss. Fordern Sie vor der Auskunft aber jedenfalls eine Vollmacht des Anwalts und eine Ausweiskopie des klagenden Mandanten an. Eine Vorlage für Ihre erste Reaktion hat Digital Society zur Verfügung gestellt. Kommen Sie der Auskunftserteilung ohne diese Vorabprüfung nach, machen Sie sich bereits bei Ihrer ersten Reaktion einer Verletzung der DSGVO schuldig. Weitere Informationen zum Ablauf finden Sie auf der Info-Website zur Causa der Datenschutzbehörde (dsb).
Haben Sie die technische Prüfung hinter sich, sollten Sie nach Möglichkeit Ihr Anliegen an den rechtlichen Beistand Ihres Vertrauens abgeben. Haben Sie diese Möglichkeit nicht, stellt die WKO ein Musterschreiben zur Auskunftserteilung bereit. Jedenfalls sollten Sie auf das Schreiben des Anwalts reagieren. Die Info-Seite der WKO zur DSGVO Auskunftspflicht enthält auch Information zur Negativauskunft. Fanden sich bei der technischen Prüfung keine IP-Adresse, reagieren Sie dennoch mit einer „Negativauskunft“ auf die Abmahnung. Der Forderung der Zahlung sollten Sie in keinem Fall nachkommen.
Technisch unstimmig
Aus technischer Sicht bleibt der Vorwurf der Datenweitergabe an unautorisierte Dritte stückweise unsinnig, da eine Weitergabe der IP-Adresse über den genutzten Browser und nicht der besuchten Website selbst erfolgt. Vom Speichern der IP-Adresse ist hier nicht die Rede. Websites die Google Fonts zum Nachladen von lokal nicht gespeicherten Schriftarten verwenden, ebnen in diesem Fall die Straße für den Datenverkehr. Befahren wird diese Straße allerdings vom Nutzer und seinem Browser. Die Möglichkeit zur Deaktivierung hält der Nutzer dabei in jedem Fall selbst in der Hand. Google Fonts postuliert außerdem in seinem FAQ zum Service ausdrücklich keine IP-Adressen von Usern zu speichern. Somit wäre der Vorwurf der Speicherung personenbezogener Daten inhaltlos, da keine Datenverarbeitung dieser im Sinne der DSVGO vorliegt.
Weiter fanden wir durch Recherche heraus, dass viele der massenhaft versendeten Abmahnungen Ihre Besuche unter Angabe desselben unnatürlichen Besuchs-Zeitpunkts festhalten. Die Besuchszeit erstreckt sich dabei über nur wenige Sekunden auf der Startseite und das Herunterladen von CSS-Dateien.
Mit internex compliant bleiben
Managed bei internex bedeutet, dass wir Ihnen als Kunden auch in diesem Fall weiterhelfen compliant zu bleiben. Als MSP für Ihre Infrastruktur bauen wir Datenautobahnen und stellen Ihnen Log-Information auf Wunsch zur Verfügung. Für die Umsetzung einer DSVGO-konformen Website ist Ihr Entwickler oder Ihre beauftragte Agentur zuständig. Haben Sie im konkreten Fall zur aktuellen Lage bedenken, liegt es am Ersteller Ihrer Website oder Betreuer Ihres CMS. Kontaktieren Sie in jedem Fall Ihren zuständigen Front-End Dienstleister. Dieser wird sich um die lokale Sicherung Ihrer Fonts und der Blockierung der Google APIs annehmen.
Betreuen Sie Ihre Website eigenhändig, finden Sie hier rasche Abhilfe:
• Google Fonts Dateien und CSS für lokale Einbindung
• WordPress Google Fonts Blocker für die gängigsten Templates