15.09.2022

Abmahnung: Aufregung um Google Fonts

Eine Rechtsanwalts-Kanzlei in Niederösterreich hat für helle Aufregung im Land mit Abmahnungen gesorgt.

Law & Court | Recht und Gericht © Tingey Injury Law Firm | unsplash.com (veNb0DDegzE)

Glück im Unglück für Webseiten-Betreibende

Zunächst einmal die gute Nachricht, nicht nur das Team von echonet sondern auch viele andere Digital-Agenturen in Österreich und Personen, die für den Betrieb von Webhostings zuständig sind, konnten anhand von Log-Files nachvollziehen, dass die Klientin jenes niederösterreichschen Anwaltes, die Abmahnungen wegen Datenschutzverletzungen an vermutlich tausende Webseiten-Inhabende geschickt hat, wohl eher keinen Anspruch auf die Zahlung einer Entschädigung haben dürfte.

Das lag aber nicht daran, dass das Einbinden von Google Fonts ungefragt und ohne aktive Zustimmung von Webseiten-Besuchenden einfach so erlaubt wäre. Es gibt einen ganz anderen Grund, warum sich die Rechtssache in eine andere Richtung entwickelt: Auf Basis von Log-Dateien konnte vielerorts nachvollzogen werden, dass zwar die HTML-Dokumente und auch CSS-Dateien der Webseite von der vermeintlich geschädigten Person aufgerufen wurden, aber keinerlei sonstige Dateien, Bilder, Videos oder Scripte. Das wiederum legt einen Verdacht nahe: Es war gar keine echte Person vor einem Web-Browser, die die Seite öffnete, denn dann wären auch die Bilder geladen worden, es war vermutlich eine Computer-Software, die die Webseiten öffnete, weil sie vermutlich einzig zu dem Zweck diente, Webseiten zu ermitteln, die Google Fonts einbinden und über den Einbindungstag die Server von Google aufrufen.

Software hat keine Persönlichkeitsrechte: Mit diesem Argument kommen vermutlich aus dem aktuellen Fall viele Betreibende von Webseiten aus dem Problem vorerst heraus. Denn die Logfiles legen eben nahe, dass kein Mensch sondern eine Software hier die Webseiten aufgerufen hat. Eine Software hat aber keinen Anspruch auf den Schutz ihrer Daten, sie kann auch nicht klagen oder ein Gerichtsverfahren anstrengen, sie ist einfach vor dem Gericht rechtlos.

Das ist aber nur im aktuellen Fall so, der in Österreich für viel Aufsehen gesorgt hat. Denn trotzdem ist die Einbindung von Google Schriftarten über den entsprechenden Server von Google ohne eine Einwilligung der Personen, die die Webseite nutzen, nicht erlaubt.

Der konkrete aktuelle Fall...

Was in dem aktuellen Fall in Österreich passiert ist, hat einige - auch unter unserer Kundschaft - Betreibende von Webseiten wohl schlaflose Nächte gekostet oder zumindest eben Aufregung in der Organisation oder Firma verursacht. Inzwischen haben mehrere Rechtsanwaltskanzleien aber Beweismaterial zusammengetragen, das wohl dazu führen wird, dass diese Abmahnwelle nicht erfolgreich sein wird.

Die Gründe, warum diese Abmahnwelle wohl nicht erfolgreich sein wird - wie oben schon angedeutet - sind aber nicht, dass sich die betreibenden Vereine, Organisationen oder Firmen sich korrekt verhalten hätten. Das einverständnislose Einbinden von Google Fonts ist tatsächlich nicht legal. Es liegt vielmehr daran, dass hier methodische Fehler bei der Abmahnwelle gemacht wurden. Und niemand weiß, ob nicht die nächste Abmahnwelle folgt, die dann ohne diese methodischen Fehler arbeitet.

Konkrete Verdachtsmomente für methodische Fehler der Kanzlei

Ob die Kanzlei selbst oder die benannte Mandantin Eva Z. hier diese methodischen Fehler gemacht haben könnte, ist unserer Agentur nicht bekannt. Was bisher über den Fall zu lesen war, legt aber einige Dinge nahe.

  1. Es dürften Branchenverzeichnisse ausgelesen worden sein, weil es teilweise Serienabmahnungen an ganze Branchen in bestimmten Regionen gab und diese auch unabhängig davon waren, ob die im Branchenverzeichnis sichtbare Webadresse noch immer die "Hauptdomain" des Angebotes war. Teilweise wurden Abmahnungen an Inhabende von URLs verschickt, die gar nicht so online sind sonder auf eine andere Domain weiterleiten.
  2. Einsatz von Serien-Screenshot-Software: Weiters konnten viele administrierende von Webseiten auch feststellen, dass hier eine Software namens "Scrapy" im Einsatz war, die für serielle Screenshots von Webseiten genutzt werden kann. Software hat kein Recht auf den Schutz ihrer "persönlichen Daten".
  3. Abmahnschreiben des betreffenden Rechtsanwaltes waren möglicherweise auch automatisiert, denn es gab auch Abmahnungen an Unternehmen mit Sitz außerhalb der Europäischen Union, für die eine DSGVO, auf die sich der Anwalt in der Abmahnung berufen hat, gar nicht bezieht. Es ging dabei offenbar um Unternehmen, die früher einmal in Österreich ansässig waren und die .at-Domain auf die neue Webseite weitergeleitet haben.

Mögliche Lösungen: Einwilligung oder lokale Installation

Konkret bei den Google Fonts gibt es zwei mögliche Lösungswege: Einerseits können die meisten Schriftarten vom Google Server tatsächlich heruntergeladen werden und dann lokal auf dem Webserver gespeichert werden und dann auch von dort eingebunden werden. Das führt dazu, dass es keine Kommunikation mehr mit dem Server von Google gibt, weil die Schriftarten auch kein Lizenzmodell haben.

Die zweite Möglichkeit ist das Einholen der Zustimmung von Personen, die die Webseiten besuchen, zur Datenübertragung an den Server von Google. Auch wenn dort gesagt wird, dass keine Aufzeichnung von IP-Adressen beim Aufruf von Schriftarten gemacht wird, ist trotzdem der Aufruf selbst ein datenschutztechnisches Problem, wenn es dazu keine Einwilligung gibt.

Achtung bei lizenzierten Fonts von Adobe & Co

Noch problematischer wird die Situation, wenn Schriftarten für Webserver gekauft bzw. viel mehr "lizenziert" wurden, denn selbst, wenn die Schriftart physikalisch am Webserver gespeichert wird, sind viele Schriftarten mit Lizenzmodellen verbunden. Diese beziehen sich in den meisten Fällen auf Seitenaufrufe. Technisch gesehen ist es aktuell daher so, dass die Schriftart seitenaufrufe an den Lizenzsever melden muß, sonst funktioniert das Geschäftsmodell des Schriftart-Angebotes nicht. Und genau dieses "Nach-Hause-Telefonieren" löst ein Datenschutzproblem aus, wenn die Schriftart nicht erst nach einer Einwilligung geladen wird.

Fonts wie jene von TypeKit / Adobe können oft gar nicht lokal installiert werden, für diese Schriftarten ist daher immer eine Einwilligung erforderlich und diese Schriftart darf auf einer Webseite nie ohne die Zustimmung der Personen geladen werden, die die Webseite aufrufen.

Gehe zur Übersicht