Ein niederösterreichischer "Datenschutzanwalt" verschickt massenweise Abmahnungen an Website-Betreiber, weil deren Websites "Google Fonts" dynamisch einbinden und es beim Aufruf von Seiten zur Übertragung der eigenen IP-Adresse an Google kommt. Die Klientin, in deren Auftrag der Anwalt agiert (dem Vernehmen nach ist das immer dieselbe Person), sieht sich dadurch in Ihren Grundrechten verletzt und fühlt sich "massiv genervt".
Thomas Kattinger (dMorpheus GmbH)
28.08.2022
Dieser Beitrag wurde am 29.08.2022 aktualisiert.

In den Medien wird von über 10.000 Abmahnungen berichtet. Warum jemand, der so sensibel ist, massenhaft sowie inhaltlich nicht zusammenhängend Websites besucht, nur um deren Betreiber dann abmahnen zu lassen, ist nicht ganz schlüssig. Vermutet wird, dass die abzumahnenden Websites im Zuge eines automatisierten Verfahrens (mittels Crawler-Software "Scrapy") ermittelt wurden - IT-Techniker haben hierfür angeblich konkrete Hinweise. Mittlerweile wurde der Datenschutzanwalt von seinen Standeskollegen selbst angezeigt und seine eigene Interessenvertretung ermittelt ebenfalls in diesem Fall.
Die Vorgehensweise des "Datenschutzanwalts" wirft jedenfalls Fragen auf, u.a. jene, wer in Österreich überhaupt Datenschutzvergehen abmahnen darf?
Die österreichische Datenschutzbehörde stellt hierzu fest, dass
"die Feststellung von Rechtsverstößen in Datenschutzangelegenheiten in Österreich ausschließlich in die Zuständigkeit der Datenschutzbehörde oder der österreichischen Gerichte fällt, jedoch keinesfalls von privaten Einrichtungen oder Privatpersonen vorzunehmen ist"
(Quelle: https://www.dsb.gv.at/download-links/bekanntmachungen.html#Google_Fonts).
Einen Auszug zum mittlerweile umfassenden Medienecho zu dieser Causa entnehmen Sie bitte der Linkliste am Ende dieses Artikel, ebenso eine Anleitung der WKO zur Vorgehensweise bei Abmahnungen.
Wir haben unseren eigenen Anwalt mit der Erstellung einer Musterantwort beauftragt, die wir unseren Kunden unentgeltlich zur Verfügung stellen, jedoch mit Einschränkungen und Auflagen des Urhebers. Wer dieses Schreiben nutzen möchte, wendet sich bitte direkt an uns (Kontaktdaten siehe Artikelende).
Wir prüfen in diesem Artikel, ob die konkreten Forderungen des Anwalts bzw. seiner Klientin von WiX Website-Betreibern erfüllt werden können.
Inhalt der Abmahnung
Vorwurf: Weitergabe der IP-Adresse seiner Klientin an Google ohne deren vorheriger Zustimmung.
Vorwurf: Unterlassung "datenschutzfreundlicher" Voreinstellungen in der Website (Verpflichtung hierzu besteht seit 2019 gem. Art. 32 DSGVO).
Hinweis: "Lokale" Einbindung von Schriftarten (gibt es lt. Datenschutzanwalt "im Internet seit Jahren zuhauf").
Ansprüche der Mandantin:
Anspruch auf Unterlassung gem. Art. 17 iVm Art. 79 DSGVO: Künftig dürfen Client-IP-Adressen nicht mehr an Google übertragen werden.
Anspruch auf Schadenersatz gem. Art. 82 Abs. 1 DSGVO in Höhe von 100 Euro (mit Bezugnahme auf das Urteil des Landesgerichts München vom 20.01.2022): "Der Kontrollverlust über ein personenbezogenes Datum bereitet der Mandantin erhebliches Unwohlsein und nervt sie massiv".
Anspruch auf Ersatz der Kosten der Rechtsverfolgung in Höhe von 90 Euro: "Diese wurde durch die eigenmächtige Datenweitergabe rechtswidrig und schuldhaft verursacht."
Anspruch auf Auskunft über die Datenverarbeitung gem. Art. 15 DSGVO, mittels beiliegenden Formular, binnen eines Monats, ansonsten droht immaterieller Schadenersatz in Höhe von 500 Euro.
Was passiert beim Laden einer (WiX) Website im eigenen Browser?
Sie starten Ihren Browser ...
... und tippen einen Text in dessen Adresszeile. Wenn die Eingabe nicht als Name einer Domain erkannt wird, wird der Text als Suchbegriff an eine Suchmaschine übergeben, die daraufhin passende Ergebnisse präsentiert.
Namensauflösung
Klickt man auf ein Suchmaschinen-Ergebnis wird die dazugehörige Website aufgerufen, alternativ kann der Domain-Name der Website direkt eingegeben werden, z.B. "dmorpheus.design", wobei die Angabe des Zugriffsprotokolls (https://) als Bestandteil der Webseitenadresse (URL) nicht erforderlich ist.
Damit Websites abgerufen werden können, egal ob durch Anklicken von Links oder durch die Direkteingabe der Adresse, muss die IP-Adresse hinter dem Domainnamen der zu ladenden Website, bzw. des betreffenden Webservers, ermittelt werden. Diesen Vorgang bezeichnet man als Namensauflösung und dieser Service wird im Hintergrund von sog. DNS-Servern (DNS: Domain Name Service) erledigt.
Hier passiert es bereits zum ersten Mal: Ihre aktuelle Client-IP-Adresse wird an Ihren DNS-Server übertragen. DNS-Server sind in einem weltweiten Netzwerk hierarchisch organisiert und wenn ein Server keinen Eintrag zu einer Domain findet, reicht er die Suche an den nächsthöheren DNS-Server weiter - und diese Suchkette kann jedenfalls in ein "unsicheres Drittland" führen, z.B. in die USA.

Anmerkung: Auch die SSL-Zertifikate, die die Kommunikation zwischen Webserver und Webclients verschlüsseln, müssen beim Abruf von Websites vom Aussteller des Zertifikats verifiziert werden und viele dieser Einrichtungen befinden sich in den USA.
Wir haben unsere Website mit WiX entwickelt, einen Domainnamen erworben und diesen mit der Website verbunden. Im obigen Bild sehen Sie, welche IP-Adresse "hinter" unserer Domain steht.
Wie die Namensauflösung genau funktioniert können Sie im Internet recherchieren, wir haben hierzu folgende, leicht verständliche Artikel gefunden:
Was passiert, wenn Du eine Website aufrufst? (Strato, 09.09.2015)
Webseitenaufruf – was passiert im Hintergrund? (IONOS, 10.06.2016)
Wenn wir nun nachforschen, wo sich in der WiX Cloud die IP-Adresse jenes Webservers geografisch befindet, der unsere Website beherbergt, kommen wir zu folgendem Ergebnis:

Der Webserver, der unsere WiX Website an "Clients" ausliefert, steht in den USA (Kansas City, Missouri). Als Internet Service Provider fungiert Google LLC. Durch den Aufruf der Website wurde unsere IP-Adresse in die USA übertragen.
Website ist im Browser sichtbar (mit Google Fonts)
Nun haben wir die gewünschte Website im Browserfenster am Bildschirm:

Um festzustellen, dass unsere eigene WiX Website unsere Besucher nicht nachverfolgt, prüfen wir mit der Browser-Erweiterung "Privacy Badger" (siehe Screenshot oben rechts), was sich durch das Laden der Website, für Besucher unsichtbar im Hintergrund, abspielt. Ein Klick auf das Icon des Privacy Badgers zeigt:

Unsere WiX Website nutzt offenbar die Google Fonts, die vom Server fonts.gstatic.com geladen werden und dieser Server setzt ein Cookie im lokalen Webcache, was vom Privacy Badger als potenzieller "Tracking"-Versuch interpretiert wird.
Spätestens jetzt wurde unsere IP-Adresse bereits zumindest ein zweites Mal in die USA übertragen, und zwar an den Google Fonts-Server.
Wir überprüfen die IP-Adresse des Google Fonts Servers ...

... und kommen zu folgendem Ergebnis:

Der Google Fonts Server befindet sich in Mountain View, Kalifornien. Internet Service Provider ist Google LLC.
Da wir unseres Wissens nach keine Google Fonts verwenden, sehen wir im HTML-Quelltext unserer eigenen WiX Website nach, ob wir weitere Hinweise in Bezug auf die Verwendung von Schriftarten finden.

Wir finden dabei folgende Server, die Schriftarten (oder auch andere Inhalte) bereitstellen:
Und wir machen einen Versuch: Wir laden eine Schriftart in die WiX Website, um herauszufinden, wie diese technisch verwendet wird:
src: local('Open Sans Condensed Light'), local('OpenSansCondensed-Light'), url(https://fonts.gstatic.com/s/opensanscondensed/v14/z7NFdQDnbTkabZAIOl9il_O6KJj73e7Ff1GhDuHMR7eS2AopSg.woff2) format('woff2');
Das Ergebnis erstaunt uns: Die sog. "lokale" Einbindung von Schriftarten führt bei WiX Websites dazu, dass diese zwar als lokale Schriftart im Quelltext der Website registriert werden (s.o.), als physische Quelle wird jedoch wieder fonts.gstatic.com angegeben. Wir vermuten daher, dass "lokal" hochgeladene Schriftarten in WiX Websites wiederum auf einem amerikanischen Fonts Server, im konkreten Fall bei Google, gespeichert werden. Wir führen noch zahlreiche weitere Versuche durch, mit der lokalen Einbindung von Schriften, auch in anderen WiX Websites, und stellen in jedem Einzelfall fest, dass sich die WiX Cloud die (lokale) Schriftart merkt, indem Sie diese auf dem Google Fonts-Server speichert.
Den Google Fonts-Server haben wir geografisch bereits lokalisiert. Wir recherchieren nun auch die Standorte der weiteren Server und kommen zu folgendem Gesamtergebnis:
Server | IP-Adresse | Ort | ISP |
142.250.180.195 | Mountain View (CA), USA | Google LLC | |
34.96.106.200 | Kansas City (MO), USA | Google LLC | |
34.102.176.152 | Kansas City (MO), USA | Google LLC |
Was sagt eigentlich Google dazu?
In den FAQs zu Google Fonts wird die Frage "Was bedeutet die Verwendung der Google Fonts-API für den Datenschutz meiner Nutzer?" ausführlich beantwortet, u.a. mit folgender Aussage: "IP-Adressen werden nicht protokolliert."
Roland Gersig, Vize-Präsident der Digital Society, schlussfolgert hierzu in seinem Blogbeitrag "Google Font Abzocke" vom 22.08.2022, dass IP-Adressen wegen technischer Notwendigkeit zwar übertragen, aber nicht permanent gespeichert würden und diese technische Art der Datenverwendung lt. Gerichtsurteilen keine Speicherung im juristischen Sinne sei. Daher könne auch keine Datenverarbeitung im Sinne der DSGVO vorliegen. (Quelle: Roland Gersig, Digital Society, Absatz "Google speichert gar keine IP-Adresse")
Wie wir als Agentur damit umgehen
Jede von uns entwickelte WiX Website wird extern von zertifizierten Datenschützern oder Anwälten auf Rechtskonformität überprüft. Wir fungieren als Schnittstelle zwischen Website-Betreiber und Rechtsberatung und publizieren die erforderlichen Rechtstexte auf den Websites unserer Kunden, u.a. mit dem Hinweis in der Datenschutzerklärung, dass "Websites Google Fonts verwenden können und es hierbei zur Übertragung der eigenen IP-Adresse an Google kommen kann". Wir publizieren Websites jedenfalls erst dann, wenn wir aus rechtlicher Sicht hierfür die Freigabe erhalten.
Grundsätzlich sind wir selbstverständlich bereit, Schriftarten so zu verwenden, wie es derzeit aus rechtlicher (Vor)Sicht empfohlen wird - nur hierfür fehlt uns die technische Grundlage.
Wie Sie "Gefühlsschäden" beim Surfen vermeiden
Sensible Website-Besucher können dem eigenen Browser einfach mitteilen, dass er externe Schriftarten nicht verwenden soll. Wie das funktioniert kann online recherchiert werden - erste Foreneinträge hierzu finden sich bereits im Jahr 2013!
Öffnen Sie in Firefox die Seite about:config und suchen dort die Einstellung
gfx.downloadable_fonts.enabled
die Sie dann auf false setzen (s.u.):

Und wenn Sie Chrome verwenden, starten sie ihn einfach mit dem Parameter
--disable-remote-fonts
Fazit
Ausnahmslos alle Server, die Inhalte der von uns untersuchen WiX Websites liefern (Schriften, Bilder, Videos, etc.), befinden sich physisch in den USA und bei jedem Laden von Inhalten kommt es zu IP-Adressübertragungen in die USA.
Die Forderungen des "Datenschutzanwalts" bzw. seiner Klientin können WiX Website-Betreiber derzeit nicht erfüllen (sofern diese Forderungen überhaupt legitim sind):
WiX ist ein Cloud-System mit rd. 220 Mio. Usern weltweit und wird offenbar auf Basis der technischen Infrastruktur von Google betrieben.
Alle Ressourcen, die für die Website-Entwicklung erforderlich sind, stehen nur online zur Verfügung (d.h. lokal geht gar nichts).
Die in die Cloud hochgeladenen, eigenen Schriftarten werden auf dem Google Fonts-Server gespeichert oder es wird auf die bereits dort befindlichen Pendants einer Schrift referenziert.
Es kann derzeit eine künftige "Unterlassung" nicht zugesichert werden - stattdessen befindet man sich in der permanenten Gefahr der drohenden (neuerlichen) Abmahnung (bis diese Thematik rechtlich und/oder technisch geklärt ist).
WiX Website-Betreiber haben außerdem keine Möglichkeit, die Client-IP-Adressen Ihrer Besucher in Logfiles zu recherchieren und müssen sich hierfür in jedem Einzelfall an den Provider WiX.com wenden - auch wir als WiX Agentur haben hierfür keine Tools zur Verfügung. Daher muss WiX.com bei der Beantwortung des Auskunftsbegehrens unterstützen.
Achtung: Die in diesem Artikel beschriebenen Rahmenbedingungen und Ergebnisse sind "kein WiX-Problem". Vielmehr betrifft die gegenständliche Problematik "alle Baukastensysteme", die die Realisierung von Websites explizit online ermöglichen. Die gegenständliche Problematik betrifft vermutlich Millionen von Websites.
Die Ergebnisse zu unseren Recherchen bedeuten gemäß unserem derzeitigen Wissenstand nicht, dass man sich mit online entwickelten Websites in einer rechtlichen Grauzone befindet. Eine endgültige rechtliche Klärung ist ausständig und Juristen, die mit uns den Sachverhalt erörtert haben, gehen davon aus, dass die Sache zugunsten von Website-Inhabern entschieden werden wird. Die österreichische Wirtschaftskammer hat jedenfalls bereits Ihre Entschlossenheit bekundet, einen Musterprozess zu führen.
Haftungsausschluss
Für diesen Artikel wurde sorgfältig recherchiert und alle Quellverweise wurden zum Zeitpunkt der Einbindung überprüft. Alle in diesem Artikel enthaltenen Informationen sind allgemeiner Natur und können keine rechtliche Beratung ersetzen. Wir übernehmen auch keine Haftung für externe Inhalte bzw. für Verweise auf externe Inhalte.
Links
Bekanntmachungen der Datenschutzbehörde (Österr. Datenschutzbehörde, 23.08.2022)
Abmahnwelle wegen Google Fonts: Alles, was ihr wissen müsst (futurezone, 24.08.2022)
Datenskandal: Anwalt unter Verdacht der Abzockerei (Kurier, 24.08.2022)
Datenschutzaffäre: Abmahnungswelle eines Anwalts wird jetzt zum Bumerang (Kurier, 27.08.2022)
Autor
Thomas Kattinger
Gründer und Geschäftsführer der dMorpheus GmbH
in der IT-Branche seit 1988 tätig mit Fokus auf Software Engineering, IT Consulting
und "Digital Business" (insbesondere eCommerce)
dMorpheus ist eine WiX Agency auf "Legend"-Level (*****), die für Unternehmen, Organisationen und Private Websites im Cloud-Ökosystem von WiX.com erstellt und wartet. Seit Oktober 2020 wurden über 3.600 Anfragen für WiX bearbeitet.
www.dmorpheus.design | contact@dmorpheus.email | +43 676 852381 205