Zahlreiche österreichische Website-Betreiber erhielten im August 2022 Post von einem Rechtsanwalt , der im Namen "seiner Mandantin" einen Datenschutzverstoss wegen eingebundener Google-Schriften "abmahnt". Was tun, wenn man betroffen ist?

© pixabay_dsgvo-3669706

Konkret wäre die Mandantin "geschädigt" worden, da zur Textdarstellung auf der jeweiligen Website Schriften direkt von Google eingebunden würden und bei deren Abruf die IP-Adresse der Mandantin ohne Ihre Zustimmung an Google übermittelt worden wäre. Mit einer Zahlung von € 190.- könne man jedoch den "erlittenen Schaden" ("psychische Schmerzen, Unwohlsein") ungeschehen machen. Zudem wird eine Auskunft nach DSGVO verlangt, welche personenbezogenen Daten über seine Mandantin gespeichert worden sein (außer, man bezahlt - natürlich...) und eine Unterlassungserklärung gefordert.

Grundlegend ist zu festzuhalten: der "Vorwurf" an sich, ist sachlich richtig - wenn tatsächlich Google-Schriften von deren Servern nachgeladen werden, kommt es möglicherweise auch zur Übertragung personenbezogener Daten in die USA, was gem. DSGVO nicht zulässig ist (unsicheres Drittland). Die Vorgangsweise des Anwalts ist aber mehr als fraglich.

Was tun, falls auch Sie dieses oder ein ähnliches Schreiben erhalten haben?

!! WICHTIG: KEINE PANIK !!

Antworten Sie auf keinen Fall selbst bzw. sofort auf das Schreiben und v.a. zahlen Sie nicht!

Kontaktieren Sie:

  1. Ihren Web-Dienstleister, damit diese überprüfen können, ob auf Ihrer Website wirklich Google-Schriften eingebunden sind und technische Maßnahmen ergreifen können, damit die Schriften nicht mehr von Google geladen werden.

    Bei der Gelegenheit sollten Sie gleich auch prüfen, ob Ihre Website noch weitere Tools nutzt, welche ohne Zustimmung der Besucher (und Ablehnungsmöglichkeit) personenbezogene Daten in unsichere Drittländer wie die USA übermitteln (zB. GoogleAnalytics, eingebundene GoogleMaps-Karten, eingebundene Youtube-Videos, SocialMedia-Streams...) oder überhaupt auf einem Server in den USA liegt! Das sind nämlich die offenen Einfallstore für die nächste Abmahnwelle - es ist nicht die Frage, OB, sondern nur WANN diese kommt.

    Wenn Ihr Web-Dienstleister nicht greifbar ist oder Sie nicht sicher sind, ob Ihre Website Google-Schriften einsetzt und oder noch weitere Datenschutzrisiken bestehen: hier hilft unser

    Kostenloser DSGVO-Check Ihrer Website
  2. Ihren Web-Dienstleister oder Hosting-Provider und lassen Sie in den Server-Logfiles überprüfen, ob der behauptete Zugriff der im Schreiben genannten IP-Adresse auch tatsächlich stattfand (es gibt Hinweise darauf, dass es sich um automatisierte Zugriffe nur zum Zweck der Abmahnung handelt - dann wäre niemand "geschädigt" worden und würde sich der Anwalt u.U. selbst strafbar machen). Aber Achtung: weiter unten lesen Sie, dass gar kein konkreter Tatzeitpunkt angegeben wurde - das könnte Folgen haben!
  3. die Rechtsabteilung Ihrer zuständigen Wirtschaftskammer - wir erhielten die Auskunft, dass diese u.U. gegen das Vorgehen dieses Anwalts selbst rechtliche Schritte einleitet - dazu brauchen Sie natürlich die Daten der Angeschriebenen. So wie es aussieht, könnte sein Vorgehen auch gegen die Standesregeln der Anwaltskammer verstossen.  
  4. Ihren Rechtsanwalt oder einen auf IT-Recht spezialisierten Anwalt, der Sie für Ihre konkreten Reaktionen weiter berät

Wenn möglich, archivieren und scannen Sie dieses Schreiben nicht, denn durch diese "systematische" Verarbeitung fällt auch das unter die DSGVO und Sie würden dem Auskunftsbegehren u.U. auch diese Verabeitung der personenbezogenen Daten der "Mandantin" bekannt geben müssen - samt allfälliger Weiterleitung an zB. Ihre Webagentur, die Wirtschaftskammer, den Rechtsanwalt. Fehlt das, könnte es ein weiterer Angriffspunkt für den netten Zeitgenossen sein.

 

Unsicher, ob Ihre Website Datenschutzrisiken birgt?

Dann hilft unser

kostenloser DSGVO-Check Ihrer Website

 

WEITERE ÜBERLEGUNGEN

Wir können und dürfen natürlich keine Rechtsberatung erteilen, aber unsere langjährige Erfahrung dürfen wir mitteilen. Aus dem Schreiben lassen sich unserer Meinung zahlreiche Schlüsse ziehen. Vor allem einer: hektische Aktionen sind nicht angebracht, eher - wie meist in solchen Fällen - ganz im Gegenteil. Zuerst Hausverstand einschalten, dann handeln!

Wir haben uns ein paar Fragen gestellt, die wir Ihnen nicht vorenthalten möchten.

Erforschen Sie Ihr Gedächtnis: Haben Sie das Abmahnschreiben wirklich erhalten?

"Üblicherweise" erhält man rechtlich relevante Schriftstücke aus gutem Grund per Einschreiben - es muss ja auch nachgwiesen werden können, dass der Beschuldigte die Anschuldigung überhaupt zur Kenntnis nehmen und in irgend einer Weise darauf reagieren konnte. So funktioniert ein Rechtsstaat, lieber Herr Rechtsanwalt. Die Abmahnung hat der gute Anwalt aber nicht eingeschrieben versendet (hätte wohl zu viel gekostet und dann hätte sich der ganze Zauber nicht mehr ausgezahlt...).

Was also, wenn die Urlaubsaushilfe, die Ihren Postboten gerade vertritt, das Schreiben leider gar nicht zugestellt hat? Die sind ja oft recht schlampig. Oder die Sekretärin das Schriftstück fälschlich als Werbezuschrift identifiziert und gleich zum Altpapier gegeben hat? Wie könnten Sie dann auf das Schreiben reagieren, wo Sie es doch nicht einmal erhalten haben? Und wie wird der Anwalt vor Gericht das Gegenteil beweisen können (und das müsste er, wenn er sie verklagt!)? Also, vielleicht hat es doch leider der Aushilfspostler, oder die Sekretärin, oder war es doch die Putzfrau... ? Aber das wissen Sie nicht.

Wie will der Anwalt eigentlich feststellen, wen er vor Gericht zerren soll?

Der nette Anwalt möchte einem mit der Sache natürlich möglichst keine unnötige Arbeit machen. Daher empfiehlt er, man solle die "angebotenen" Vergleichskosten mit dem einfachen Zahlungszweck "Vergleich" auf sein Konto anweisen. Daraus entsteht ein folgenschweres Problem: Wie ordnet er die möglicherweise hunderten Zahlungen mit Zahlungszweck "Vergleich" eigentlich den angeschriebenen Websiten zu und wie weiß er, wen er daher nicht mehr verfolgen muss? In den meisten Fällen wird das Konto des Zahlenden ganz anders heißen, wie die Internetdomain. Und bei den vermutlich tausenden Schreiben, die er ausgeschickt hat, würde das selbst manuell nicht herauszufinden sein.

Hier kam ihm aber schnell ein Salzburger Rechtsanwaltskollege zu Hilfe, der empfahl, man solle jedenfalls die Forderungen der Abmahnung alle erfüllen und bei seiner Zahlung unbedingt als Zahlungszweck die abgemahnte Domain dazu schreiben. So hat es dann der arme Anwalt gleich viel leichter. Und außerdem solle man zusätzlich gleich ihn mit einer "Datenschutzüberprüfung der Website" (ab € 490.- für "einfache Websites") beauftragen... Diese Empfehlungen erhielt man übrigens sogar kostenlos! Inzwischen änderte sich der Text seiner Website, auch er geht mittlerweile von Betrugsabsicht aus und empfiehlt jetzt - wie wir von Anfang an - gar nicht zu reagieren (außer natürlich, die Website DSGVO-konform zu gestalten).

Ist das Nachladen von Google-Fonts wirklich strafbar?

Durch die kritisierte Einbindung werden tatsächlich möglicherweise IP-Adressen an ein US-Unternehmen weiter gegeben und dort verarbeitet (Google selbst bestreitet das übrigens), was die DSGVO für unzulässig erklärt. Das in der Abmahnung behauptete "Verbot" des Einsatzes von Google-Schriften mag in einem Einzelfall-Urteil in Deutschland ausgeprochen worden sein, es existiert aber in Österreich (noch) nicht. Sogar die österreichische Datenschutzbehörde sagt dazu bisher nur, dass es "möglicherweise" ein Verstoss sein könnte, das aber noch nicht entschieden ist. Im Gegenteil überprüft man das aufgrund des aktuellen An

 

Unsicher, ob Ihre Website Datenschutzrisiken birgt?

Dann hilft unser

kostenloser DSGVO-Check Ihrer Website

 

Gibt es überhaupt personenbezogene Daten?

Das Zugriffsmuster ist recht auffällig: Besucht wurde ausschließlich eine einzige Seite, die Startseite einer Website und das nur wenige Sekunden lang, wobei meist nicht einmal alle in die Seite eingebundenen Elemente (Bilder...) geladen wurden, sondern nur der reine HTML-Quelltext und CSS-Dateien. Genau so gehen automatisierte Bot-Programme vor, die nur einen Zweck verfolgen: massenhaft Websites zu analysieren. Möglicherweise benutzte die "Mandantin" eine solche, denn binnen kürzester Zeit tausende Websites zu besuchen und auch noch zu analysieren, das schafft man wohl nicht mal, wenn man gut ausgebildet, aber ansonsten arbeitslos wäre. Doch eine Software ist keine "Person", es wären dann keinerlei "personenbezogenen Daten" übertragen worden - und die DSGVO wäre überhaupt nicht anzuwenden, das Schreiben vollkommen irrelevant. Deshalb setzen wir die "Mandantin" hier konsequent unter Anführungszeichen...

War wirklich die "Mandantin" des Anwalts auf Ihrer Website?

Der Anwalt hat keinen konkreten Zeitpunkt des angeblichen Zugriffs auf die Website angegeben, es bleibt also völlig offen, wann der angebliche Zugriff seiner Mandantin mit dieser IP erfolgt sein soll. Für welchen Zeitraum soll man also seine Logfiles nach der IP-Adresse durchsuchen? Und viel schlimmer (für ihn): IP-Adressen werden bei jeder Nutzung des Internets neu zugewiesen. Man kann so "ohne Weiteres" gar nicht feststellen, ob die genannte Adresse zum (ja unbekannten Zeitpunkt) dieser Person wirklich zugeordnet war. Dies wäre nur möglich, wenn entweder aufgrund einer schweren Straftat eine richterliche Verfügung vorliegt, die den Internetprovider der "Mandantin" zwingt, diese Zuordnung offenzu legen oder der technisch ja durchaus etwas vorgebildete Anwalt zB. die Chronik des Browserverlaufs seiner "Mandantin" zeigt, dass Sie zu einem bestimmten Zeitpunkt tatsächlich Ihre Website besucht hatte - beides trifft aber nicht zu. Und das alles sollte sich natürlich auch in Ihren Server-Logfiles des selben Zeitraums mit der behaupteten IP widerspiegeln. Ohne konkete Zeitangabe kann man in Wahrheit nicht sicher sein, ob nicht jemand ganz anderer mit dieser IP auf der Website war.

Muss man die geforderte Datenschutzauskunft nach DSGVO wirklich abgeben?

Manche Anwälte und auch die Wirtschaftskammer bejahen das. Es sind dabei 2 Fälle zu unterschieden:

  1. es wurden gar keine Daten dieser "Person verarbeitet oder Sie haben keinen Zugriff (mehr) auf die Logfiles des "Tatzeitpunkts (den Sie noch dazu gar nicht erfahren haben). Dann könnten Sie eine "Negativauskunft" erteilen.
  2. Oder Sie finden die IP-Adressen in Ihren Logfiles, es wurden also Daten (möglicherweise der "Mandantin") verarbeitet, dann wäre zu beauskunften welche, und an wen sie ergangen sind.

ABER:

Die geforderte Datenschutzauskunft nach DSGVO könnte unberechtigt und selbst rechtswidrig sein!

Vielleicht finden Sie Zugriffe von den im Schreiben genannten IP-Adressen in Ihren Log-Files. Doch da private Internetnutzer bei jeder Einwahl ins Internet eine neue, variable IP-Adresse erhalten, könnte diese IP-Adresse auch jemand ganz anderem zugeordnet gewesen sein, als diese IP Ihre Website besuchte - vor allem, wo der Anwalt keinen genauen Zugriffszeitpunkt seiner "Mandantin" nennt. Bei einem Vergehen muss aber zum Beweis wohl mindestens der genaue "Tatzeitpunkt" genannt werden, sonst könnte jeder alles behaupten. Ohne Beweis, dass (und wann) diese IP genau seiner "Mandantin" zugeordnet war könnte die dann unberechtigte Beauskunftung an Dritte sogar selbst ein DSGVO-Verstoss sein! 

Sie sollten also gut überlegen, ob Sie - wie es zB. die Wirtschaftskammer empfiehlt - diese Auskunft wirklich erteilen. Vielmehr sollten Sie, wenn Sie reagieren wollen, vom Anwalt weitere Nachweise einfordern, bevor Sie eine tatsächliche Auskunft erteilen, damit Sie sich nicht möglicherweise selbst strafbar machen. Es ist davon auszugehen, dass Sie diese Auskünfte nie erhalten werden und daher auch keine weitere Auskunft erteilen müssen - aber damit sind Sie Ihrer grundsätzlichen Reaktionspflicht nachgekommen.

Ist der Anwalt wirklich bevollmächtigt, seine "Mandantin" zu vertreten?

Die angebliche Vollmacht müsste vorgelegt werden, sie lag aber den Schreiben bisher nie bei, sondern wurde nur verlinkt. Die verlinkte Seite kann jedoch jederzeit geändert werden und auch unerreichbar sein. Das in der Vollmacht enthaltene PDF-Sicherheitszertifikat konnte bisher trotz Prüfung nicht bestätigt werden, die Echtheit ist daher nicht gewährleistet.

 

Unsicher, ob Ihre Website Datenschutzrisiken birgt?

Dann hilft unser

kostenloser DSGVO-Check Ihrer Website

 

Ist wirklich ein "Schaden" eingetreten?

Die Vollmacht wurde lange vor den in den Logfiles sichtbaren Zugriffen der genannten IP-Adressen auf die beanstandeten Websites erteilt. Wer aber absichtlich Fehler sucht, um an eine erhoffte Schadensersatzzahlung zu kommen, hat keinen Schadensersatzanspruch und macht sich u.U. sogar selbst strafbar. Im Übrigen hätte die Mandantin die Pflicht zur Schadensminimierung, welche sie durch fortgesetzten Besuch hunderter weiterer Websites aber offensichtlich nicht nachzukommen bereit ist.

Wurde das Perönlichkeitsrecht der armen "Mandantin" wirklich verletzt?

Die angebliche Vollmacht der angeblichen "Mandantin" trägt das Datum 4. August - die Zugriffe auf die beanstandeten Website erfolgten aber meist erst über eine Woche später! Wozu erteilt man vorab eine Vollmacht zur Verfolgung eines Schadens durch ein Verhalten, das man dann selber erst (bewusst) setzt? Sollten (was technisch sehr einfach ist) geplant und bewusst Websites herausgefiltert werden, auf denen Google-Schriften eingebunden sind, um diese anschließend abzumahnen? Die behauptete Datenübermittlung in die USA hätte dann gerade nicht „ohne ihr Wissen und gegen ihren Willen“ stattgefunden. Wer aber nach Fehlern sucht und das Übermitteln seiner Daten an Google nicht nur in Kauf nimmt, sondern – um an die erhoffte Schadensersatzzahlung zu kommen – regelrecht beabsichtigt, verliert nicht die Kontrolle über seine Daten. Damit ist sein allgemeines Persönlichkeitsrecht nicht verletzt und kann kein Schadensersatzanspruch begründet werden! Ein solches Vorgehen wäre im Gegenteil u.U. sogar selbst strafbar.

Soll man nicht wenigstens die ebenfalls geforderte Unterlassungserklärung abgeben?

Manche meinen, um weitere Rechtsrisiken abzuwenden, man soll dies tun. Dabei müsste aber peinlichst darauf geachtet werden, dass sich die Unterlassung NUR auf die Datenübermittlung durch von Google eingebundene Schriften bezieht. Wäre diese Einschränkung nicht eng genug formuliert, könnte sich Ihre abgegebene Erklärung in der Zukunft zu einer sehr teuren Falle verwandeln. Das Streitwert beträgt hier € 6.000.- und mehr. Wir tendieren eher zur Auffassung, dass die Erklärung besser nicht abgegeben werden sollte.

Und was könnte man tun, um seinen  Ärger los zu werden?

Den Anwalt mit Arbeit versorgen, damit er sich das Geld auch "redlich" (naja ;-) verdient! Man könnte zB. seine Website besuchen und ihm anschließend selber ein Auskunftsbegehren nach DSGVO zusenden ;-) Eine Beschwerde bei der Anwaltskammer wäre eine weitere Möglichkeit, ebenso eine Info an die Presse...

Hilfreiche Links

 

Unsicher, ob Ihre Website Datenschutzrisiken birgt?

Dann hilft unser

kostenloser DSGVO-Check Ihrer Website