Das Googlefont-DSGVO-Debakel

Kategorie: Kurzmeldungen Erstellt: Dienstag, 06. September 2022

Wenn deutsche Richter keine Ahnung haben, wie es im "Neuland" so läuft... oder: Wie windige Abgreifer dem gemeinen Netzseitenbetreiber in die Tasche zu langen versuchen.

google font dsgvo abmahnung

Mittlerweile ist der Google-Enkeltrick mit den Fonts eine hübsche Masche, um von Webseitenbetreibern etwas Kohle abzugreifen. Dazu lässt man einen Bot laufen, der im Netz nach den Style-Links füre sogenannte "Google Fonts" sucht und man schreibt den im Impressum genannten Betreiber an, wobei man mitteilt, dass man sich grundsätzlich "unwohl" fühle bei dem Gedanken, das die IP Adresse des Nutzers "nach Amerika" übermittelt werde, denn man wisse ja nie, was man dort mit den Daten mache.

Um das subjektive Unwohlsein zu schmälern, möge der Betreiber die Onlinefonts durch lokal gespeicherte Schriftarten ersetzen und zusätzlich ein finanzielles Trostpflaster in Höhe von 100,- Euro überweisen, um den immateriellen Schaden zu vergelten. Worin dieser Schaden besteht, wird nicht spezifiziert.

Da die meisten Internetprovider in Deutschland dynamische IPs vergeben, die nur durch richterlichen Beschluss mit Nutzerdaten in Zusammenhang gebracht werden dürfen, sollte es den Amerikanern aber nicht ganz einfach sein, eine übermittelte IP (die übrigens grundsätzlich bei jedem Websiteaufruf übermittelt und vom Hoster erfasst wird) zu einer bestimmten identifizierbaren Person zu verfolgen.

In Art 4 Nr. 1 der Datenschutzgrundverordnung (DSGVO) wird eine Person als identifizierbar angesehen,
die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann“.

Die "privaten" Abmahner allerdings ficht das nicht, sie setzen auf den Schreckeffekt und darauf, dass Unternehmen lieber 100,- Euro zahlen als einen Rechtsstreit zu führen. Das ist ihr Erfolgsrezept. Sie berufen sich auf ein ausgesprochen seltsames Urteil des LG München I vom Januar 2022, das einen solchen Fall konstruiert und als DSGVO-Verstoß betrachtet.

Das LG München I urteilt:
Die dynamische IP-Adresse stellt für einen Webseitenbetreiber ein personenbezogenes Datum dar, denn der Webseitenbetreiber verfügt abstrakt über rechtliche Mittel, die vernünftigerweise eingesetzt werden könnten, um mithilfe Dritter, und zwar der zuständigen Behörde und des Internetzugangsanbieters, die betreffende Person anhand der gespeicherten IP-Adressen bestimmen zu lassen (BGH, Urteil vom 16.05.2017, Az. VI ZR 135/13). Dabei reicht es aus, dass für die Beklagte die abstrakte Möglichkeit der Bestimmbarkeit der Personen hinter der IP- Adresse besteht. Darauf, ob die Beklagte oder Google die konkrete Möglichkeit hat, die IP-Adresse mit dem Kläger zu verknüpfen, kommt es nicht an.“ (LG München I, Urteil vom 20.1.2022, Az. 3 O 17493/20)

"verfügt abstrakt über rechtliche Mittel" - das muss man sich mal auf der Zunge zergehen lassen. Der WEBSEITENBETREIBER verfügt vielleicht (im Rahmen der Strafverfolgung) "abstrakt" über solche Mittel, nicht jedoch google! Es kann nicht einfach jeder Hans und Franz die Nutzerdaten zur dynamischen IP einsehen!

Das oben im Bild anzitierte Schreiben ist aus mehreren Gründen fragwürdig.Da wird eine IP Adresse angegeben, die sich nicht pingen lässt. Wie der Absender des Schreiben daraus eine Rückverfolgungsfähigkeit konstruieren will, bleibt ungeklärt.

Der zugehörige STAT Eintrag lautet:
"ReqTime:0 sec" 87.160.251.132 - - [01/Sep/2022:09:35:34 +0200] "GET / HTTP/2.0" 200 5468 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/104.0.5112.102 Safari/537.36 Edg/104.0.1293.70" "Traffic IN:484 OUT:5702..."
Man beachte hier die Zugriffszeit: 0 sec (NULL Sekunden) und eine Aufzählung diverser Browser. Hier dürfte ein programmierter BOT die Seite ausgelesen haben, was die Vermutung der gewerbsmäßigen Abmahnung unterstreicht. In einem Verfahren müsste man den Kläger auffordern, nachzuweisen, dass er zum fraglichen Zeitpunkt diese IP nutzte. Wahrscheinlich jedoch ist sie - wie die Browserdaten - gespooft, also händisch ins Protokoll eingetragen, um die eigene Idetität zu verschleiern, was die "Argumentation" des Abmahners natürlich ad absurdum führen würde.

Auffällig ist auch die Formulierung:
"Dies ist im Quelltext Ihrer Webseite an den folgenden Weblinks ("fonts.googleapis.com" oder "fonts.gstatics.com") einfach erkennbar."

Auf der betroffenen Website ist zwar die googleapis-URL eingebettet, nicht jedoch gstatics, was darauf hindeutet, dass dies ein Textbaustein ist, der in Massenschreiben Verwendung findet.

Es ist also davon auszugehen, dass bei diesen sogenannten Abmahnungen Leute am Werk sind, die sich ohne viel Arbeit etwas Geld verdienen möchten. Der Absender des hier anzitierten Schreibens haust in einer Ein-Zimmer-ETW-Anlage (mit Vermietung, 200,-/mon.) im südlichen Frankenberger Viertel von Aachen. Er gibt nur einen Namen (M*****) an, ohne Vor- oder Zunamen. Inwieweit hier eine Verbindung zur Webagentur des Herrn A. M***** besteht, die ihren Sitz etwas weiter nördlich in Aachen hat, ist nicht bekannt.

Was also tun?

Was der Einzelne tut, muss er natürlich selbst entscheiden. Es ist natürlich sinnvoll, die eigenen Websites hinsichtlich der zugeladenen Schriften zu überprüfen und diese Fonts lokal einzubinden oder komplett darauf zu verzichten, um weiteren Massenabmahnungen zu entgehen. Die Google-Schriftarten können hier heruntergeladen werden: https://github.com/google/fonts

Es ist davon auszugehen, dass diese ulkigen Schreiben massenhaft versendet werden und ist es denkbar, dass die Datenschutzaufsichtsbehörden bei einer Beschwerde des Abmahners den Aspekt des massenhaften und geschäftsmäßigen Versands bei ihrer Reaktion auf den Sachverhalt berücksichtigen dürften, auf jeden Fall sollte man darauf hinweisen.

Bei einer Klage ist darauf hinzuwirken, dass die Person, die den Schadensersatz geltend macht, zunächst vor Gericht voll beweispflichtig wäre und den Sachverhalt glaubhaft machen muss. Da die Gerichte in der Regel auch erst dann tätig werden, wenn der Kläger den Gerichtskostenvorschuss gezahlt hat, bliebe dann abzuwarten, inwiefern der Absender eines solchen Schreibens bereit wäre, Prozessrisiken auf sich zu nehmen und Gerichtskosten in jedem Einzelfall tatsächlich vorzustrecken.

Es bleibt spannend. Aber solange völlig sachunkundige Richter solche Urteile wie das oben zitierte auf ihrem Richtertisch lässig durchwinken, wird die Zerstörung des Internets weiter fortschreiten und es wird bald den Großkonzernen gehören und nur noch zum Spielen und Einkaufen benutzt.

 

 

Zugriffe: 570