Allgemeines

Zuletzt haben viele Webseitenbetreiber in Österreich und auch in Vorarlberg Aufforderungsschreiben eines österreichischen Rechtsanwalts (Mag. Marcus Hohenecker – „datenschutzanwalt.eu“) erhalten, in denen angebliche Verstöße gegen die DSGVO wegen der Einbindung von „Google Fonts“ behauptet und Unterlassungs- und Schadenersatzansprüche erhoben bzw eine Auskunftsantrag gemäß Art 15 DSGVO gestellt werden.

In den Schreiben wird eine Klage bzw eine Beschwerde bei der Datenschutzbehörde angekündigt, wenn nicht innerhalb von 14 Tagen eine Zahlung in Höhe von € 190 (€ 100 Schadenersatz und € 90 Anwaltskosten) erfolgt, wodurch ein „Vergleich“ abgeschlossen werden soll.

Die nachfolgenden Ausführungen basieren auf den uns bekannten (allgemeinen) Informationen und stellen eine vorläufige Einschätzung der Rechtslage auf Basis dieser Informationen dar. Eine abschließende Prüfung der Rechtslage kann immer nur im Einzelfall erfolgen. Weiters ist zu beachten, dass die angesprochenen Rechtsfragen bisher nicht abschließend geklärt sind und daher nicht ausgeschlossen werden kann, dass ein Gericht oder eine Behörde allenfalls auch zu einer anderen Einschätzung gelangen könnte.

Rechtliche Würdigung der Einbindung von „Google Fonts“

Die Einbindung der „Google Fonts“ erfolgt in der Regel, um sicherzustellen, dass eine einheitliche Darstellung der auf einer Webseite verwendeten Schriftarten erfolgt. Die Einbindung kann dynamisch (durch einen Link auf Webseiten von Google) oder statisch (durch lokale Speicherung der Schriftarten auf dem Webserver) erfolgen.

Im ersten Fall erfolgt durch den Browser des Webseitennutzers bei Aufruf der Webseite allenfalls auch eine Anfrage an Webseiten von Google, auf denen die verwendeten Schriftarten bereitgestellt sind.

Anders als in den Aufforderungsschreiben und auch in der zitierten Entscheidung des LG München dargestellt, wird dadurch aber nicht zwingend eine direkte Übermittlung oder direkt Weitergabe von IP-Adressen durch den Webseitenbetreiber bewirkt.

Das LG München hat in der in den Aufforderungsschreiben zitierten Entscheidung, welche offenbar auch als „Blaupause“ für die gegenständlichen Aufforderungsschreiben diente, auf Basis der Annahme, dass der jeweilige Webseitenbetreiber die IP-Adresse des Nutzers der Webseite direkt an Google weiterleitet bzw automatisch weitergibt, eine Verletzung im Persönlichkeitsrecht bzw im Recht auf Datenschutz angenommen.
Die Frage, ob es jedenfalls zu einer Weiterleitung oder Weitergabe von IP-Adressen kommt, wurde allerdings vom LG München offenbar schon deswegen nicht weiter geprüft, weil dies von der Beklagten zugestanden bzw nicht bestritten wurde.

In einem Einzelfall könnte aber eine Verletzung der Rechte betroffener Personen nur auf Basis entsprechender Sachverhaltsabklärungen festgestellt werden und insofern ist die Entscheidung des LG München auch nicht ohne weiteres auf andere Anlassfälle anwendbar.

Im Übrigen ist auch nicht abschließend geklärt, welche Bestimmungen der DSGVO durch die Einbindung von „Google Fonts“ tatsächlich verletzt würden bzw ob überhaupt eine in den Anwendungsbereich der DSGVO fallende Datenverarbeitung vorliegt.

Diesbezüglich sind auch die rechtlichen Ausführungen in den Aufforderungsschreiben zumindest teilweise nicht nachvollziehbar, weil beispielsweise eine Verletzung der Bestimmungen des Art 6 Abs 1 DSGVO, die in den Aufforderungsschreiben behauptet wird, schon begrifflich ausscheidet, weil in dieser Bestimmung keine Verpflichtungen für Verantwortliche vorgesehen sind, die verletzt werden könnten.

Allgemein ist aber jedenfalls zu empfehlen, bei der Nutzung von „Google Fonts“ die statische Einbindung bzw lokale Speicherung von Schriftarten vorzuziehen, weil damit allfällige rechtliche Risiken vermieden werden. Insofern sollten auch Webseitenbetreiber, die kein Aufforderungsschreiben erhalten haben, ihre Webseiten entsprechend anpassen.

Unterlassungsanspruch

Grundsätzlich richtig ist, dass bei rechtswidrigen Eingriffen in das Grundrecht auf Datenschutz betroffenen Personen auch ein Unterlassungsanspruch zusteht, wenn zukünftige Rechtsverletzungen nicht ausgeschlossen werden können.

Soweit im gegenständlichen Fall tatsächlich vom Vorliegen einer Rechtsverletzung auszugehen wäre, könnte auch ein Unterlassungsanspruch bestehen.

Im Aufforderungsschreiben wird behauptet, dass eine Deaktivierung der dynamischen Einbindung von „Google Fonts“ die Wiederholungsgefahr nicht beseitigen könne, sondern ein vollstreckbarer Unterlassungstitel vorliegen müsse.

Vor dem Hintergrund der Rechtsprechung des OGH ist diese Darstellung aber jedenfalls verkürzt. So ist es zwar richtig, dass nur die Behauptung, zukünftige Verletzungen unterlassen zu wollen, für die Beseitigung der Wiederholungsgefahr nicht ausreichen kann. Der OGH hat aber festgehalten, dass Wiederholungsgefahr in der Regel dann verneint wird, wenn der rechtswidrige Zustand beseitigt und dadurch die Unterlassungspflicht erfüllt wurde (RIS-Justiz RS0012064 [T20]). Dies ist aber der Fall, wenn die betroffene Webseite so geändert wird, dass keine dynamische Einbindung von „Google Fonts“ mehr erfolgt (womit auch die behauptete Rechtsverletzung ausgeschlossen ist, weil jedenfalls kein Aufruf der Seiten von Google erfolgt).
Letztlich kann aber auch die Beurteilung, ob Wiederholungsgefahr anzunehmen ist, nur im Einzelfall erfolgen. Wenn zum Zeitpunkt der Einbringung der Klage keine Wiederholungsgefahr besteht, wäre eine Unterlassungsklage (kostenpflichtig) abzuweisen.

Schadenersatzanspruch

Hinsichtlich des in den Aufforderungsschreiben geltend gemachten Schadenersatzes ist zu berücksichtigen, dass diesbezüglich bisher keine gefestigte Rechtsprechung vorliegt und eine Reihe von – allenfalls auch im gegenständlichen Fall relevanten – Rechtsfragen dem EuGH zur Entscheidung vorgelegt wurden.

Die in den Aufforderungsschreiben angesprochene Entscheidung des LG München stellt insofern eher einen „Ausreißer“ dar, als österreichische (und deutsche) Gerichte bisher beim Zuspruch von immateriellem Schadenersatz eher zurückhaltend waren und solche Ansprüche auch in tendenziell schwerwiegenderen Fällen abgelehnt haben.

Im Falle einer Klagseinbringung müsste der jeweilige Kläger jedenfalls den Eintritt eines Schadens nachweisen, was in der Praxis durchaus schwierig sein kann.

Gerade in Bezug auf die Schadenshöhe ist die zitierte Entscheidung des LG München nicht unbedingt als Maßstab heranzuziehen, weil dies dort vor allem deswegen kein Thema war, weil nach den Ausführungen im Urteil die Beklagte die Schadenshöhe nicht bestritten hatte.

Neben den allgemeinen rechtlichen Unsicherheiten in Bezug auf Schadenersatzansprüchen wegen Datenschutzverletzungen könnten im gegenständlichen Fall auch weitere Einwendungen erhoben werden, die einem Schadenersatzanspruch allenfalls entgegenstehen (zB Rechtsmissbrauch oder bewusste Inkaufnahme des Schadens durch die betroffene Person).
Zusammenfassend können rechtliche Risiken in Bezug auf Schadenersatzansprüche nicht ausgeschlossen werden, es ist aber alles andere als sicher, dass solche Ansprüche im Rahmen einer Klage zugesprochen würden.

Auskunftsanspruch

Gemäß Art 15 DSGVO können betroffene Personen jederzeit von einem Verantwortlichen eine Bestätigung bzw Auskunft verlangen, ob bzw welche personenbezogenen Daten verarbeitet werden.

Auf einen solchen Auskunftsantrag muss gemäß der Bestimmung des Art 12 Abs 3 DSGVO innerhalb eines Monats reagiert werden, indem entweder die Verarbeitung von Daten bestätigt und die Daten beauskunftet werden oder (bei Nichtvorliegen von Daten) eine Negativauskunft erteilt wird.

Voraussetzung für einen Auskunftsanspruch ist allerdings, dass die betroffene Person, die den Antrag stellt, ihre Identität in nachvollziehbarer Weise nachweist. Wenn dies nicht der Fall ist, kann der Verantwortliche gemäß Art 12 Abs 6 DSGVO weitere Informationen zur Bestätigung der Identität anfordern.

In den vorliegenden Aufforderungsschreiben ist auch ein Auskunftsantrag gemäß Art 15 DSGVO enthalten. Insofern in den Aufforderungsschreiben jedoch nur der Name der (angeblich) betroffenen Person angeführt ist, wird eine Bestätigung der Identität in der Regel nicht möglich sein. Die von der Homepage des Absenders abrufbaren „Identitätsnachweise“ sind sehr weitgehend geschwärzt, sodass diese wohl ebenfalls keine abschließende Verifizierung der Identität der (angeblich) betroffenen Person ermöglichen.
Außerdem sind auch zu der (angeblichen) Verarbeitung von IP-Adressen keine sonstigen Informationen angeführt (insbesondere Datum und Zeit des Abrufs), weshalb auch hier weitere Informationen erforderlich sein werden, um den Auskunftsantrag zu bearbeiten.

Es ist daher zu empfehlen, beim Absender des Aufforderungsschreiben zusätzliche Informationen zu den Umständen des Abrufs der Webseite anzufordern und auch nachvollziehbare Dokumente zum Nachweis der Identität zu verlangen.

Eine entsprechende Reaktion sollte innerhalb der Frist des Art 12 Abs 3 DSGVO, also innerhalb eines Monats erfolgen.

Sollten in der Folge keine weiteren Informationen einlangen, kann eine Auskunft unter Hinweis auf Art 12 Abs 2 DSGVO verweigert werden. Gesondert wäre auch noch zu prüfen, ob im Hinblick auf die in den Aufforderungsschreiben enthaltenen Auskunftsanträge die Bestimmung des Art 12 Abs 5 DSGVO anzuwenden wäre, wonach ebenfalls eine Auskunft verweigert werden kann.

Empfehlung für die Vorgangsweise nach Erhalt eines Aufforderungsschreibens

In den Aufforderungsschreiben wird die Möglichkeit eingeräumt, durch Zahlung einer Summe von € 190 einen „Vergleich“ abzuschließen. In diesem Zusammenhang ist allerdings zu beachten, dass ein solcher „Vergleich“ für sich genommen keinerlei rechtlichen Schutz gegen Ansprüche weiterer betroffener Personen bietet.

Wenn Webseitenbetreiber nicht bereit sind, die im Aufforderungsschreiben genannte Summe zu bezahlen und dadurch einen Verstoß anzuerkennen, können die folgenden Schritte gesetzt werden, um mögliche rechtliche Risiken in Zusammenhang mit dem Aufforderungsschreiben zu minimieren:

1. Dokumentation des Eingangsdatums des Aufforderungsschreiben (insbesondere für fristgerechte Reaktion auf Auskunftsantrag.
2. Umstellung der betroffenen Webseite auf die statische Nutzung von „Google Fonts“ oder Nutzung sonstiger lokaler Schriftarten
3.  Nach erfolgter Umstellung der Webseite: Rückmeldung an Absender des Aufforderungsschreibens mit folgendem Inhalt:
   • Mitteilung, dass „Google Fonts“ nicht mehr oder nur noch statisch genutzt wird und dadurch der behauptete Unterlassungsanspruch wegfällt, weil keine Wiederholungsgefahr mehr vorliegt
   • Hinweis, dass sich aus den Angaben im Aufforderungsschreiben kein ersatzfähiger Schaden ableiten lässt
   • Anforderung ergänzender Informationen zu den Umständen des Abrufs der Webseite (insbesondere Datum und Zeit des Aufrufs) sowie nachvollziehbare Unterlagen zur Bestätigung der Identität der betroffenen Personen
4. Falls nähere Angaben zur betroffenen Person und zum Abruf der Webseite einlangen: Verifizierung, ob Daten beim Webseitenbetreiber verarbeitet werden und gegebenenfalls Auskunftserteilung
5. Im Falle der Einbringung einer Klage durch die betroffene Person (ein diesbezügliches Restrisiko kann nicht ausgeschlossen werden), können sich Webseitenbetreiber auf Basis der vorstehenden rechtlichen Ausführungen verteidigen

Gerne unterstützen wir Sie bei der Umsetzung der angeführten Schritte oder im Fall der Einleitung eines Verfahrens und stehen auch für Rückfragen gerne zur Verfügung.