Abmahnwelle Google Fonts
Seit ungefähr 2 Wochen erreicht eine Flut von Schadenersatzforderungen Websitebetreiber im ganzen Land.
Seit ungefähr 2 Wochen erreicht eine Flut von Schadenersatzforderungen Websitebetreiber im ganzen Land.
Es wird eine Datenschutzverletzung im Zusammenhang mit der Verwendung von Google Fonts behauptet und ein Schadenersatzanspruch und ein Auskunftsbegehren gem. DSGVO gestellt. Die Höhe der Forderung beträgt in allen bekannten Fällen EUR 190,00 was auch die Kosten der rechtsanwaltlichen Vertretung der Anspruchstellerin umfasst.
Durch die Einbindung von Google Fonts auf der eigenen Website in der üblichen/vorgesehen Form, werden die verwendeten Schriftarten durch den Browser des Website-Besuchers von Google-Servern zur Darstellung der Website auf den eigenen PC geladen. Für diesen Datentransfer ist die Übermittlung der IP-Adresse des Besuchers an die Google-Server notwendig, damit der Download erfolgen kann.
Die Datenschutzverletzung besteht nach Meinung der betreibenden Partei eben genau darin, dass die IP-Adresse, welche einen User in bestimmten Fällen identifizierbar macht und daher als personenbezogenes Datum bezeichnet wird, an Google weitergegeben wird.
Vorab muss gesagt werden, dass die Ansprüche sich auf ein erstinstanzliches Urteil des Landgerichts München beziehen, welches keinerlei Präjudizcharakter für Österreich hat. Aufgrund der DSGVO, welche europaweit gilt, gelten ähnliche Rechtsvorschriften, einen konkreter Fall aus Österreich ist aktuell nicht bekannt. Auch die Datenschutzbehörde hat noch keine Prüfung von Google Fonts vorgenommen – weitere Informationen dazu in der verlinkten Stellungnahme weiter unten.
Es deuten außerdem viele Punkte darauf hin, dass der Abruf der Vielzahl an Webseiten nicht manuell durch die Mandantin erfolgt ist, sondern automatisiert mithilfe eines sog. Crawlers. Dieser prüft Webseiten ohne zutun eines Users auf bestimmte Kriterien – in diesem Falle nach Code, welcher auf die Verwendung von Google Fonts hinweist. Inwiefern der wissentliche automatisierte Aufruf einen Schadenersatzanspruch auslösen kann, wird hierzu recht in Frage gestellt. Auch wenn die betroffene Person selbst alle Seiten besucht hätte, hätte sie die Übermittlung ihrer Daten an Google damit selbst veranlasst bzw. in Kauf genommen.
Das Vorgehen des betreibenden Rechtsanwalts hat zu einer Vielzahl an Medienberichten geführt und sorgt auch im Berufsstand der Rechtsanwälte für ungewöhnlich klare Aussagen, wie diese zu beurteilen ist – Begeisterung sieht anders aus! Da es bereits zahlreiche Empfehlungen im Netz bzgl. der Vorgehensweise gibt, werden wir hier keine entsprechende Auflistung vornehmen, aber auf einige seriöse Quellen verlinken, die Empfehlungen abgeben:
Wirtschaftskammer Österreich – Handlungsempfehlungen der WKO
Datenschutzbehörde – Stellungnahme zu den Vorfällen
In erster Linie denkt man bei diesem Fall wahrscheinlich an die Rechtsschutzversicherung und aufgrund der Schadenersatzansprüche an die Haftpflichtversicherung. Wir wollen uns auf die einzelnen Sparten kurz eingehen und auch die Cyber-Versicherung hier nicht unerwähnt lassen.
Vorausschicken möchten wir allerdings, dass aufgrund des relativ geringen Forderungsbetrags immer damit zu rechnen ist, dass die größte Hürde meist ein Selbstbehalt sein wird.
Zutreffend wird hier in den meisten Fällen der Baustein des Daten-Rechtsschutzes sein, wobei dieser die Abwehr von Ansprüchen Betroffener bei der Geltendmachung der Rechte nach dem Datenschutzgesetz bzw. der Datenschutz-Grundverordnung
umfasst.
Nicht versichert ist in den gängigen Bedingungswerken allerdings die Abwehr von Schadenersatzansprüchen, die damit in Zusammenhang stehen. Einige Versicherer sind allerdings dazu über gegangen, hier trotzdem die Kosten für ein Anwaltsschreiben durch einen Vertragsanwalt zu übernehmen.
Eine Anfrage an den eigenen Rechtsschutzversicherer ist somit jedenfalls sinnvoll und in den meisten Fällen aufgrund der oben genannten Sebstbehaltsproblematik der erfolgsversprechendste Weg um Kostendeckung für die ersten Schritte zu erhalten.
Bei Bestehen einer Haftpflichtversicherung ist jedenfalls zu prüfen, inwiefern immaterielle Schadenersatzansprüche von der Haftpflichtversicherung gedeckt sind. In manchen Fällen sind solche Ansprüche unter dem Titel Verletzung von Persönlichkeitsrechten bzw. Veröffentlichungsrisiken im Rahmen der Vermögensschadenhaftpflichtversicherung gedeckt.
Für bestimmte Berufsgruppen wie Webdesigner und Werbeagenturen ist auch das Risiko zu sehen, dass Auftraggeber auf einen zukommen können und sich diesbezüglich beim Experten schadlos halten möchten, wenn der Auftraggeber selbst eine entsprechende Aufforderung erhalten hat.
Auch im Rahmen der Cyber-Haftpflichtversicherung kann eine Deckungsprüfung lohnend sein, da auch hier entsprechende Ansprüche gedeckt sein können.
Es wird interessant sein mitzuverfolgen, wie die Angelegeheit sich in den nächsten Wochen entwickelt. Ggfls. werden wir an dieser Stelle ein Update über die neuen Entwicklungen posten.
Google stellt seit Jahren kostenlose Schriftarten für die Verwendung in eigenen Projekten (nicht nur Webseiten) zur Verfügung. Die Verwendung dieser Schriftarten hat sich über die Jahre im Web als Quasi-Standard etabliert, da die Nutzung dieser Schriften für die Ersteller von Webseiten und Designvorlagen sehr einfach möglich ist. Google ermöglicht die Einbindung der Schriften in die eigenen Projekte sowohl online (d.h. die Schriftart wird vom Browser des Websitebesuchers direkt von den Google-Servern geladen) oder offline (hier wird bereits vorab eine Kopie der Schriftart auf den Server des Webseitenbetreibers geladen und dann vom Websitebesucher auch direkt von der Website abgerufen – hier erfolgt keine Kontaktaufnahme mit den Servern von Google).
Für Unternehmen, Stiftungen, Vereine, einzelne Personen & D&O mit Strafrechtschutz
Für Dienstleister & Gewerbe, Versicherungs-Vermitttler, Produktions-Unternehmen etc.
Strafrechtsschutz, Manager-Rechtsschutz, Steuerberater & Wirtschaftsprüfer
Finanzinstitutionen,
Kommerzielle Kunden
Finanzinstitute, Private Equity, Werbung & Medien etc.
Die Zeit, in der man Cyberkriminelle an schlechter Grammatik oder offensichtlichen technischen Fehlern erkennen konnte, ist vorbei. Die neue Generation von KI-gestützten Angriffen ist raffiniert, überzeugend und hochprofessionell.
WEITERLESENAm 1. August 2024 trat der "AI Act" der Europäischen Union in Kraft.
WEITERLESENÜber die EU-Richtlinie NIS2 wurde in den letzten Monaten viel berichtet. Sie stellt viele Unternehmen vor große Herausforderungen und zahlreiche Fehleinschätzungen und Missverständnisse erschweren die effektive Umsetzung.
WEITERLESEN