Kürzlich flatterten vielen Inhaber:innen von Firmen- und Vereinswebseiten Mahnschreiben ins Haus.
Ein in Groß Enzersdorf ansässiger "Datenschutzanwalt", verweist darauf, dass eine Mandantin die jeweilige Website besucht und daraufhin festgestellt habe, dass ihre IP-Adresse an Google bzw. dessen Mutterkonzern Alphabet weitergeleitet worden sei. Das habe ihr erhebliches Unwohlsein verursacht.
Diese Serienbriefe verursachen einigen Aufruhr und auch Empörung auf Seiten der betroffenen Webseiten-Betreiber:innen. Zur Zeit sieht es so aus, als ob ein Shitstorm über den Anwalt hereinbricht.
Aber Moment, vollkommen aus der Luft gegriffen ist der Vorwurf ja auch wieder nicht – auch wenn die Umsetzung suspekt scheint.
Tatsache ist: Wenn Google Fonts über deren Server eingebunden werden, kontaktieren die Browser bei Seiten-Besuchen tatsächlich Google Server. Zwar steht in den Google Developer FAQs, dass IP-Adressen nicht protokolliert werden, eine gewisse Auswertung findet aber anscheinend statt. Die Rechtslage scheint zu unsicher, wie auch das Urteil des LG München vom 20.01.2022 zeigt.
Das sollte zeitnah passieren
Der erste Schritt wäre die Prüfung der eigenen Website auf eingebettete Google Fonts.
Zwei Möglichkeiten:
-
Im Browser den Quelltext anzeigen lassen und nach "://fonts.google.com/" oder "://fonts.googleapis.com" suchen
- Oder dieses Online-Tool verwenden: https://sicher3.de/
Werden eingebundene Google Fonts gefunden, sollte das Entfernen dieser Einbindung der nächste Schritt sein. Wie komplex das ist, und ob Webseiten-Betreiber:innen das von sich aus erledigen können, hängt von diversen Faktoren ab (eine Auflistung würde hier zu weit führen).
Weitere Tipps bietet die WKO.
Einfache Alternative "Bunny Fonts"
Das Grundproblem zu lösen, ist mit mit moderatem Aufwand machbar, wenn einfach auf Bunny Fonts umstellt wird. Das sind die selben Webfonts, ganz ohne Tracking und sie werden über ein CDN DSGVO-konform von geografisch nahe gelegenen Servern ausgeliefert - in meinem Fall aus Österreich. Einfach ist diese Umstellung, weil tatsächlich nur die eine URL getauscht werden muss.
Bei Umstellung auf lokal (vom Webserver statt Google / CDN) ausgelieferte Fonts ist mit etwas mehr Aufwand zu rechnen.
Sollten Betroffene zahlen oder nicht?
Das kann ich nicht wirklich beantworten, da ich keine Rechtsanwältin bin. Wäre ich betroffen, würde ich es nicht tun. Meine (nicht rechtsverbindlichen!) Überlegungen dazu:
- Seit wann ist "Unwohlsein" etwas, das eine Klage oder Schadensersatz rechtfertigt? (Wobei ich eigentlich bezweifle, dass diese "Mandantin" tatsächlich existiert.)
- Seit wann kann irgendwer einfach Geld einfordern, ohne die dafür zuständige Datenschutzbehörde einzuschalten?
Übrigens sieht es momentan so aus, als hätte der Anwalt das Versenden dieser Serienbriefe gestoppt. Wir werden sehen.
Nachtrag:
Auch Standeskolleg:innen sehen die Vorgehensweise des besagten Rechtsanwalts kritisch, wie die eingebrachte Sachverhaltsdarstellung eines Kollegen aus Salzburg nahelegt. Zwei Kollegen aus Graz wollen ebenfalls Strafanzeige wegen gewerbsmäßigen Betrugs einbringen.
Aufgrund der vielen Beschwerden hat die Rechtsanwaltskammer Niederösterreich ein Ermittlungsverfahren eingeleitet.