Die Abmahnung abwehren
Vorwort
Sie werden in diesem Artikel lernen, wie Sie als Betroffener einer Google Font Abmahnung reagieren, und wie Sie Ihren eigenen Fall aus technischer Sicht prüfen können. Weiters geben wir Ihnen ein paar Vorschläge für mögliche Gegenargumente, mit welchen Sie sich zur Wehr setzen können. Wir selbst sind eine Firma aus Graz, und beschäftigen uns mit Softwareentwicklung, Online-Marketing und auch der Erstellung & Konzeption von Websites. Darüber hinaus bieten wir auch einen Webhosting-Service an und betreiben Server im deutschsprachigen Raum, auf welchen u.A. auch die Websites unserer Kunden gehostet sind.
Eins noch: Alle hier gemachten Angaben zum Sachverhalt und die gezeigten Lösungswege sind ohne Gewähr bzw. tragen wir dafür keine Verantwortung! Wir sind keine Juristen und das hier ist keine Rechtsberatung! Was Jura angeht, so haben wir zwar Grundkenntnisse, es ist aber an und für sich nicht unser Metier ; – )
Allgemeines über Abmahnungen
Bleiben Sie ruhig! Das was Ihnen gerade passiert, geschieht im Moment tausenden anderen Österreichern. Womöglich wird Ihnen etwas vorgeworfen, dass Sie gar nicht getan haben! Es liegt also in Ihrem eigenen Interesse, den Sachverhalt zu prüfen und nicht einfach Geld zu überweisen! Arbeiten Sie daher gründlich und keines Falls unüberlegt. Dazu zählt auch, dass Sie jeglichen Kontakt mit der Gegenseite vermeiden sollten! Machen Sie keine Schuldeingeständnisse und überweisen Sie kein Geld, ohne sich wirklich sicher zu sein! Auch wenn der geforderte Betrag gering zu sein scheint, so kann Ihnen vielleicht die beigefügte Unterlassungserklärung in unmodifizierter Form später zum Verhängnis werden, wenn Sie Ihre Website nicht entsprechend umbauen oder Sie vielleicht wirklich mal einen Folgefehler machen. Je nach Abmahnung werden nämlich meistens Unterlassungserklärungen gefordert, die viel zu weitreichend sind und die Ihnen später (im übertragenen Sinn) das Genick brechen können. Konsultieren Sie unbedingt Ihren Anwalt, bevor Sie derartige Schreiben unterfertigen!
Sachverhalt
Derzeit wird Österreich von einer Abmahnwelle heimgesucht. Zur Zeit werden dutzende Websitebetreiber abgemahnt, die angeblich durch eine falsche Verwendung der Google Fonts gegen die DSGVO verstoßen und die IP-Adressen an Google übermitteln. Gefordert wird Schadenersatz, Unterlassung und ein Auskunftsbegehren. So richtig „losgetreten“ hat das ganze ein Gerichtsurteil aus Deutschland, da das Landesgericht München festgestellt hat, dass die Verwendung von Google Fonts nicht mehr auf das Interesse des Websitebetreibers gestützt werden kann.
Durch das Urteil wurde ein Präzedenzfall geschaffen, welcher nun wahrscheinlich vielen zum Verhängnis wird, da sich die derzeit kursierenden Abmahnungen darauf stützen.
Technischer Aspekt
In der uns vorliegenden Abmahnung wird behauptet, dass durch die Nutzung von Google Fonts die IP-Adresse der Mandantin 213.142.96.XXX ohne deren Zustimmung an Google übermittelt wurde, indem von Google Fonts Gebrauch gemacht wurde. Die angefügten Screenshots sollen das beweisen. Diese bestehen zum einen aus der Startseite und dem ersten Teil des Quelltextes. Hier wird es bereits spannend, denn der bei uns vorliegenden Abmahnung ist im Quelltext nichts von der Einbindung der Google Fonts oder der Google Fonts API zu sehen. Sofern das auch bei Ihnen der Fall ist, könnte das Ihr erstes Argument gegen die Vorwürfe sein!
Weiters ist fraglich, ob die Screenshots überhaupt etwas beweisen, da das reine Vorkommen der Google-API im Quelltext keinen Aufschluss darüber gibt, ob besagter Code auch tatsächlich ausgeführt wird. Auch wenn auf der Website vor Einwilligung des Cookie-Consents bereits Schmuckschriften bzw. Schriften von Google Fonts zu sehen sind, ist dies kein hinreichender Beweis dafür, dass diese auch tatsächlich von den Google Server bezogen, und damit die IP weitergegeben wird.
Dazu müssen Sie wissen, dass es zwei Möglichkeiten gibt, Google Fonts auf der eigenen Website einzubinden. Tatsächlich ist nur bei einer der beiden ein Verstoß gegen die DSGVO gerechtfertigt! Die Abmahnungen, welche uns vorliegen differenzieren zwischen diesen beiden Fällen scheinbar nicht, da auch eine Seite abgemahnt wurde, welche die Schriftdateien zunächst lokal, und nach Einwilligung des Cookie-Consents von den Google Servern bezieht. In jedem Fall müssen Sie als abgemahnter jetzt eins machen: Prüfen!
Prüfen Sie die Herkunft der IP-Adresse!
Möglicherweise ist Österreich gar nicht zutändig 😉
Herkunft = Zuständigkeit?
Prüfen Sie zunächst eimal, ob das Schreiben die IP-Adresse enthält, welche angeblich weitergegeben wurde.
Stammt die IP-Adresse nicht aus Österreich, wäre zu hinterfragen welches Gericht denn nun eigentlich zuständig ist.
Leider haben wir dazu in Bezug auf die DSGVO noch keine genaueren Informationen. Deswegen der freundliche Aufruf an die Juristen unter euch: Teilt es uns mit! -> office@liebrecht-haas.com
Prüfen Sie, ob die IP tatsächlich an Google übermittelt wird
Let’s go! Wie lässt sich nun ein Gegenbeweis erbringen bzw. wie kann ich als Betroffener prüfen ob die Anschuldigungen gerechtfertigt sind?
Tipp: Sie können die Bilder mit einem Klick darauf vergrößern!
1.) Inkognito-Modus
Öffnen Sie einen Browser Ihrer Wahl (wir verwenden hier Google Chrome) und schalten Sie in den „Inkognito-Modus“. (Strg + Shift + N) bzw. unter Apple Mac (CMD + Shift + N). Die Verwendung des Inkognito-Modus ermöglicht ein unverfälschtes Ergebnis da hier keine bestehenden Daten & Cookies (z.B. Consent-Zustimmungen) das Ergebnis beeinflussen. Tätigen Sie dann einen Rechtsklick und klicken Sie auf „Untersuchen“.
2.) Netzwerk-Analyse
Das Fenster wird nun geteilt und der rechte Teil des Browserfensters zeigt das Analysewerkzeug. Hier ist nun der Tab „Netzwerk“ für Sie relevant! Stellen Sie sicher, dass das „Protokoll beibehalten“ – Hakerl aktiviert wird, damit während einer möglichen Umleitung keine Daten verloren gehen. Navigieren Sie nun zu Ihrer Website, indem Sie die URL direkt und ohne Umwege (z.B. über Google) in die Adressleiste tippen, führen Sie auf der Website selbst keine Klicks durch, sondern lassen Sie die Seite einfach nur durchladen!
3.) Requests analyisieren
Beobachten Sie die Aktivität im Netzwerk-Analysewerkzeug und Verwenden Sie das „Filtern“-Textfeld um nach den folgenden Begriffen zu suchen:
woff2
ttf
api
fonts
Sehen Sie sich dann jedes Suchergebnis genau an, in dem Sie auf den entsprechenden Request klicken. Jetzt wird es spannend: Ausschlaggebend dafür, ob die IP an Google weitergegeben wird, ist das Anfrage-URL Feld. Hier gibt es nun drei grundlegende Fälle, sowie ein Mischfall.
Wenn Sie ganz sicher gehen wollen: Lassen Sie das Filtern-Textfeld frei und durchsuchen Sie jede Anfrage-URL nach einer von Google. Diese URLs dürfen nicht in Verbindung mit Google Fonts vorkommen.
gstatic.com
google.com
fonts.gstatic.com
googleapis.com
Selbst wenn Sie hier Verweise auf den Google Tag Manager oder Google Analytics sehen (Das dürften Sie vor Einwilligung eigentlich auch nicht *zwinker*) dürfen wir daran erinnern, dass Ihnen ja zum jetzigen Zeitpunkt erst mal nur die IP-Weitergabe an Google in Zusammenhang mit den Google Fonts zur Last gelegt wird. Behalten Sie es aber im Hinterkopf, wenn es darum geht Ihre Website entsprechend der DSGVO umzubauen!
Wenn Sie sich wirklich sicher sind, dass Sie die Schritte richtig befolgt haben und auch auf den anderen Seiten Ihrer Website (bitte auch Subdomains checken) keine Verweise von Google Fonts finden, dann haben Sie die Abmahnung höchstwahrscheinlich grundlos erhalten. Sie können ggf. wie folgt argumentieren:
Wir haben die von Ihrer Mandantin dargelegten Vorwürfe geprüft, und sind zu dem Schluss gekommen, dass diese falsch sind. Wir haben Google Fonts auf unserer Webseite nicht im Einsatz!
Quelle: WKO Rechtsabteilung
Das sieht dann so aus: Alle Anfragen-URL’s zeigen keine Fremd-URL von Google!
Das ist gut für Sie! Denn damit haben Sie mehr oder weniger bewiesen: Ich gebe durch die Verwendung von Google Fonts keine IP’s an Google weiter.
Sie könnten dann wie folgt argumentieren:
Wir haben die von Ihrer Mandantin dargelegten Vorwürfe geprüft und sind zu dem Schluss gekommen, dass diese falsch sind. Zwar wird auf unserer Webseite Google Fonts verwendet, jedoch werden hier aufgrund einer lokalen Lösung keine Daten an Google LLC weitergegeben.
Quelle: WKO Rechtsabteilung
Mist! Doch ist das Kind jetzt in den Brunnen gefallen? Nicht unbedingt, Sie müssen jetzt aber unbedingt prüfen, ob der Zugriff wirklich stattgefunden hat!
Es handelt sich um eine Mischform, bei welcher die Fonts sowohl lokal als auch nach Zustimmung des Consents von Google bereitgestellt werden. Wenn Sie auf Ihrer Website „Recaptcha“ verwenden, dürften sich dieser Fall bei Ihnen zeigen. Beachten Sie jedoch, dass Recaptcha nicht zu den „Essentiellen“ Teilen Ihrer Website gehört, und es erst ausgelöst werden sollte wenn über die Verwendung „Externe Medien“ zugestimmt wurde.
Es kommt jetzt auch darauf an, was in Ihrer Datenschutzerklärung steht, und unter welchem Zusammenhang die Fonts bezogen werden. Sieht Ihre Erklärung die Verwendung von Google Fonts nach Einwilligung (z.B externer Medien) zu, haben Sie wahrscheinlich gute Karten.
Prüfen Sie, ob der Zugriff überhaupt stattgefunden hat
Es sind angeblich Fälle bekannt, bei welchen die im Abmahnschreiben genannte IP-Adresse gar nicht in den Logfiles der Server zu finden, oder aber das Zugriffsmuster unplausibel war.
Tipp: Sie können die Bilder mit einem Klick darauf vergrößern!
1.) Sichten Sie die Logfiles!
Sie müssen nun die Zugangsdaten Ihres Hosting-Anbieter heraus kramen und sich in der Verwaltungsoberfläche nach den Begriffen „Log“, „Statistiken“ oder „Protokollen“ umsehen. Leider können wir hierfür keine detalierte Anleitung bereitstellen da es einfach zu viele Anbieter gibt.
Bei den gängigen Anbietern finden Sie die Logfiles auch im Hauptverzeichnis des FTP-Servers. Suchen Sie deshalb bei Ihrem Webhosting-Anbieter nach einer Möglichkeit auf den Webspace zuzugreifen (also quasi nach einer Art Datenansicht / Filemanager). Möglicherweise finden Sie hier den Ordner „Logs“ welche die entsprechenden Dateien enthält. Versuchen Sie auf jeden Fall, die Dateien herunter zu laden, um sie effizient nach der genannten IP-Adresse zu durchsuchen.
2.) Dursuchen der Logfiles
Stellen Sie bei der Sichtung der Logfiles sicher, dass auch wirklich im Besitz des gesamten Traffics in Form von mehreren oder einzelnen Logfiles sind. Manche Server fertigen für http und https gesondert Logs an. Suchen Sie nun in den Logfiles nach der IP-Adresse, über welche der vermeintliche Seitenaufruf stattgefunden hat. Sofern im Schreiben kein genauer Zeitpunkt genannt wird, stellen Sie sicher, dass Sie mit der Suche mindestens einen Zeitraum von 4-6 Wochen abdecken!
Es gibt nun 3 Möglichkeiten:
Wenn die IP-Adresse in keinen der Logfiles aufscheint, haben Sie erneut ein gutes Argument in der Hand. Sie könnten nun z.B. so formulieren:
Wir haben die von Ihrer Mandantin dargelegten Vorwürfe geprüft und sind zu dem Schluss gekommen, dass diese falsch sind. (Zwar wird auf unserer Webseite Google Fonts verwendet), jedoch scheint die IP Adresse Ihrer Mandantin nicht bei uns auf.
Quelle: WKO Rechtsabteilung
Dieser Fall ist besonders interessant, da es aus technischer Sicht eigentlich keinen Sinn macht. Ein normaler Website Zugriff sieht in etwa so aus:
Haben Sie in Ihren Logfiles den Eintrag der IP-Adresse nur ein / zweimal gefunden, kann man eigentlich nicht davon sprechen, dass es sich um einen normalen Seitenaufruf handelt. Insofern könnten Sie probieren den gesamten Besuch der potenziellen Klägerin in Frage zu stellen. Eine Formulierung könnte wiefolgt lauten:
Bei der Sichtung der am Server befindlichen Logfiles wurde festgestellt, dass die von Ihrer Mandantin angeblich zum Zeitpunkt des Verstoßes verwendete IP-Adresse „123.456.789.XXX“ ein zum Sachverhalt nicht passendes Zugriffsverhalten aufzeigt.
Die Logfiles zeigen, dass es ausschließlich einen einzigen Request auf die Website „www.beispiel.xx“ gab, welcher in der vorliegenden Form nicht zum Vorwurf passt. Weiters ist ausgeschlossen, dass über diesen Zugriff Google Fonts über Google geladen wurden da die hierfür notwendigen Skripte nicht von unserem Server an die IP-Adresse Ihrer Mandantin ausgeliefert wurden*
*Achtung: Diesen Satz sollten Sie nur dann verwenden, wenn es EINEN Request gibt, der folgendes Muster aufweist:
213.142.XXX.XXX – – [XX/Aug/2022:XX:XX:XX +0200] „GET / HTTP/1.1“ 301 162 „-“ „Mozilla/5.0….“
Entscheident ist hier nämlich der HTTP Code 301, welcher nichts anderes bedeutet als dass der Besucher umgeleitet wird. Folgt daraufhin jedoch kein weiterer Request im Logfile unter der entsprechenden IP-Adresse, handelt es sich wahrscheinlich um eine automatisierte Anfrage welche meist von Browsern oder Bots ausgelöst wird, und diese dem Befehl auf eine neue Seite weiterzuleiten, nicht folgen. Moderne Browser (oder aber auch Bots) Verwenden diese Technik um die Verfügbarkeit einer Website zu prüfen oder um einen Cache-Hit zu evaluieren.
Sie merken selbst… Bezogen auf das was man Ihnen vorwirft, macht es keinen Sinn.
… Anders übersetzt:
Sehen Sie ein Zugriffsmuster, welches dem obigen Bild so gar nicht ähnelt (z.B. nur 1-2 Einträge unter der besagten IP, dann haben Sie ein weiteres Argument in der Hand, da Sie damit die Echtheit eines menschlichen Seitenaufrufs aus technischer Sicht anzweifeln könnten.
Stellen Sie hier auch nochmal sicher, dass die Aufrufe innerhalb weniger Sekunden erfolgt sind und es keine großen zeitlichen Lücken gibt.
Prüfen Sie jetzt unbedingt noch einmal die Screenshots, und dabei den Quelltext: Zeigen diese tatsächlich, dass Sie Google Fonts verwenden?
Ähnelt das Zugriffsmuster dem im Fall B gezeigten Beispiel eines „harmonischen“ Seitenaufrufs, und wurden die Daten tatsächlich über den Google Server bereitgestellt (-> oben Fall C) ist dies wahrscheinlich die ungünstigste Kombination für Sie.
Handeln oder ignorieren?
Je nachdem wie obiger „Check“ für Sie ausgefallen ist, können Sie jetzt entsprechend reagieren (oder auch nicht).
Abhängig davon, welche Fälle bei Ihnen eingetreten sind, könnten Sie bzw. ihr Rechtsanwalt ein entsprechendes Schreiben an die Gegenseite übermitteln, welches die hervorgebrachten Argumente beinhaltet.
Sollte von Ihnen auch ein Auskunftsbegehren gefordert worden sein, können Sie dieses abhängig von den entsprechenden Fällen wie folgt (negativ) beantworten, sofern die IP entweder nicht bei Ihnen aufscheint oder Sie Google Fonts korrekt eingebunden haben:
Das Auskunftsbegehren beantworten
Hinsichtlich des Auskunftsbegehrens gem. Art. 15 DSGVO verweisen wir darauf, dass keine Daten Ihrer Mandantin verarbeitet wurden oder werden, welche über Ihren Auskunftsantrag, die damit zusammenhängende Korrespondenz und die entsprechende interne Dokumentation hinausgehen.
Ihnen stehen grundsätzlich die Rechte auf Berichtigung, Löschung, Einschränkung und Widerspruch zu. Dafür wenden Sie sich an uns. Wenn Sie glauben, dass die Verarbeitung Ihrer Daten gegen das Datenschutzrecht verstößt oder Ihre datenschutzrechtlichen Ansprüche sonst in einer Weise verletzt worden sind, können Sie sich bei der Aufsichtsbehörde beschweren. In Österreich ist die Datenschutzbehörde zuständig.
Die Frage aller Fragen: Was passiert wenn ich nicht antworte / zahle, aber den Verstoß begangen habe:
Das kann Ihnen leider keiner beantworten & wir möchten Ihnen an dieser Stelle auch zu keiner Entscheidung raten. Theoretisch könnten Sie von der Gegenseite auf Unterlassung und Schadenersatz geklagt werden. Weiters könnte die Gegenseite eine Meldung bei der Datenschutzbehörde machen, welche u.U. drakonische Strafen vorsieht, von welchen allerdings in der Vergangenheit (zumindest in Österreich) noch kaum Gebrauch gemacht wurde (hörensagen).
Prinzipiell sollten Sie keine Abmahnung ignorieren, schon gar nicht wenn sie mittels eingeschriebenem Brief von einem Rechtsanwalt kommt. Kommt die Abmahnung als normaler Brief, wird die Gegenseite sich im Falle einer Klage schwer tun, Ihnen den Erhalt des Schriftstückes nachzuweisen. Es ist an dieser Stelle selbsterklärend, dass sich diese „Taktik“ in Rauch auflöst, sobald Sie in irgendeiner Form mit der Gegenseite kommunizieren. Sollte tatsächlich geklagt werden, und Ihnen der Erhalt des Schriftstückes nicht nachgewiesen werden können, haben Sie lt. unserem Rechtsverständnis (wie gesagt, keine Gewähr!) später immer noch die Möglichkeit auf den Vergleich einzusteigen und damit die Sache zu einem kostenschonenden Ende zu bringen. Wir weisen an dieser Stelle noch einmal darauf hin, dass dies keinesfalls eine Empfehlung zu Ihrem individuellen Fall darstellen soll.
Weiters wird es für das zuständige Gericht wahrscheinlich schwer werden, tausende von Klagen wegen eines DSGVO-Verstoßes zu bearbeiten, zumal man als Kläger erstmal einen gewissen Beitrag bei Gericht hinterlegen muss, damit dieses auch tätig wird ; – ).
Dennoch sei gewarnt: Besagte Klagen gab es bereits in Deutschland, wobei wir in Österreich noch von keinem zu diesem Sachverhalt genau passenden Fall gehört haben bzw. die uns vorliegenden Beweise dafür nicht aus unabhängiger Quelle stammen.
So oder so! Wir wünschen Ihnen alles Gute & viel Erfolg!
