Achtung: Abmahnwelle wegen Google Fonts!

Datenschutz-Interessierte kamen vergangenes Jahr nicht um das Thema Google Fonts herum. Google Fonts sind verschiedene Schriftarten für die eigene Website im Internet, die von Google zur Verfügung gestellt werden. Wenn Sie also eine eigene Website erstellen, können Sie diverse Schriftarten hierfür auswählen. Ein Nutzer, der sich dann auf Ihre Website begibt, sieht diese „Fonts“ dann auch. Jedoch werden die Schriftarten bei dem jeweiligen Nutzer zunächst heruntergeladen, wenn er sie vorher nicht installiert hatte. Dadurch sieht die Website dann exakt so aus, wie es der Ersteller geplant hat.

Die jeweiligen Fonts werden allerdings über den Google-Server heruntergeladen, welche sich in den USA (United States of America) befinden. Alle Daten der Nutzer (inklusive IP-Adresse) gelangen dann in dieses außereuropäische Land.

LG München: Schadensersatz für Website-Nutzer

Grund für die starke Abmahnwelle ist vermutlich das Urteil des Landgerichts München vom 20. Januar 2022 mit dem Aktenzeichen 3 O 17493/20. Ein Website-Nutzer bekam 100 Euro Schadensersatz zugesprochen, weil seine IP-Adresse bei Aufruf der Website in ein unsicheres Drittland (USA) übermittelt wurde, worin er nicht eingewilligt hat. Der Website-Ersteller hatte Google Fonts nicht datenschutzkonform eingebunden. Hiernach wurden viele Abmahnungen von Abmahn-Kanzleien ausgesprochen. Das sind Kanzleien, die massenweise Mandanten in Abmahn-Fällen vertreten.

Die IP-Adresse gehört gem. Artikel 4 Nummer 1 der Datenschutz-Grundverordnung (DSGVO) zu den personenbezogenen Daten, welche datenschutzrechtlich besonders geschützt sind. Durch die IP-Adresse kann man nämlich die jeweiligen Internet-Nutzer bestimmen. Die abstrakte Möglichkeit, eine Person zu bestimmen, reicht hierbei aus. Da der europäische Gerichtshof nach der „Schrems II-Entscheidung“ entschieden hat, dass die USA kein angemessenes Datenschutzniveau aufweise, ist die Übermittlung in dieses Land rechtswidrig.

Abmahnwelle: Rechtliche Ansprüche

Der Anspruch des Nutzers aus besagtem Urteil hat einen Anspruch gegen die Internet-Betreiberin aus §823 des Bürgerlichen Gesetzbuches (BGB). Durch das Weiterleiten der IP-Adresse ohne Einwilligung ist das allgemeine Persönlichkeitsrecht des Besuchers in Form des informationellen Selbstbestimmungsrechts aus §823 Absatz 1 BGB in Verbindung mit Artikel 2 Abs. 1 und Artikel 1 Abs. 1 des Grundgesetzes (GG) verletzt. Diesen Anspruch haben alle Benutzer, deren IP-Adresse ohne Einwilligung an die USA übermittelt wurde.

Für das Unternehmen kann das bei tausenden Nutzern sehr teuer und schmerzhaft werden. Deshalb ist es immer ratsam, die Datenschutz-Seite auf der Website zu prüfen und sich von Experten beraten zu lassen. Unsere Kanzlei bietet hierbei eine umfangreiche Palette an Informationen und Beratungen im IT-, Internet– und Datenschutzrecht.

Google Fonts auf meiner Website: Was tun?

Wenn Sie keinen Schadensersatz zahlen möchten, sollten Sie regelmäßig kontrollieren, ob bei einem Update etc. keine neuen Fonts heruntergeladen wurden. Wenn das der Fall ist, sollten Sie jedoch schnell handeln. Um Google Fonts von einer Website zu entfernen, kann man folgende Schritte ausführen:

  • Identifizieren Sie die verwendeten Schriftarten auf Ihrer Website.
  • Laden Sie die Schriftarten auf Ihren Server herunter und hosten Sie sie selbst.
  • Ändern Sie den CSS-Code, um auf die lokal gehosteten Schriftarten zu verweisen.
  • Überprüfen Sie, ob die Schrift auf Ihrer Website korrekt dargestellt wird.

Wichtig: Stellen Sie sicher, dass Sie die Schriftarten lizenzkonform verwenden.

Datenschutz: Reicht eine Einwilligung bei Google Fonts?

Eine vorherige Zustimmung (Einwilligung) zur Datenverarbeitung reicht in den meisten Fällen leider nicht aus, da bei Besuch der Website die Daten bereits verschickt werden. Deshalb muss man als Website-Betreiber dafür sorgen, dass die personenbezogenen Daten in datenschutzkonformer Weise übermittelt werden. Bei Website-Baukästen (beispielsweise WordPress) gibt es im jeweiligen Theme meistens eine Option, die die Fonts über den eigenen Server zur Verfügung stellt. Jedoch kann sich dadurch das ganze Layout und das Design der Website verändern. Es empfiehlt sich daher, ein Plugin zu nutzen, dass Google Fonts über eigene Server bereitstellt bzw. komplett unterbindet, sodass keine Gefahr mehr besteht. Die folgenden Schritte können Ihnen helfen, Google Fonts von einer WordPress-Website zu entfernen:

  • Entfernen Sie den Google Fonts-Code aus dem CSS-Stylesheet: Suchen Sie im Quellcode Ihrer Website nach dem Google Fonts-Code und entfernen Sie ihn.
  • Verwenden Sie ein Plugin: Es gibt Plugins, die Google Fonts automatisch von Ihrer Website entfernen, z. B. „Disable Google Fonts“ oder „Optimize Google Fonts“.
  • Verwenden eines eigenen, lokal gehosteten Schriftarten: Statt Google Fonts zu verwenden, können Sie eigene Schriftarten auf Ihrem Server hosten und verwenden.

Google Fonts: Grauzone im Recht

Zusammenfassend kann man sagen, dass Google Fonts, obwohl sie eine praktische Ressource für Designer und Entwickler sind, auch einige Risiken bergen können. Dazu gehören langsamere Ladezeiten aufgrund der Abhängigkeit von einem externen Server sowie mögliche Datenschutzprobleme, da Google Fonts Informationen über Ihre Website-Besucher sammeln können. Um eine Abmahnung zu vermeiden ist empfehlenswert, Google Fonts zunächst direkt abzustellen. Denn sobald eine Abmahnung hinsichtlich der Datenschutz-Verletzung eingegangen ist, besteht in der Regel auch ein Anspruch auf Auskunft. Das bedeutet, dass die Website-Betreiber die Dauer der Verletzung darlegen müssen.

Wenn Sie Bedenken hinsichtlich der Leistung und Datenschutz haben, sollten Sie in Erwägung ziehen, lokal gehostete Schriftarten zu verwenden oder alternative Schriftartenlösungen zu nutzen. Nehmen Sie hierfür unsere Datenschutz-Experten zu Rate. Der Erstkontakt ist immerhin kostenlos und kann Ihnen eine Menge Arbeit ersparen. Die Kosten des Schadensersatzes kann die Kosten des Rechtsanwalts schnell übersteigen.

Wie sicher sind unsere Daten im Internet?

Millionen Nutzer durch Datenlecks bei Facebook und Twitter betroffen

Durch eine Sicherheitslücke bei Twitter haben Hacker Millionen von persönlichen Daten erlangt. Das Ausmaß ist erheblich, so sollen rund 400 Millionen Nutzer des sozialen Netzwerks betroffen sein. Immer wieder hört man von Datenlecks im Internet, besonders Twitter und Facebook hatten im letzten Jahr immer wieder für Aufsehen gesorgt, durch zahlreiche Schlagzeilen, wo es um Sicherheitslücken der Plattformen ging.

Was spricht man von einem Datenleck?

Von einem Datenleck spricht man, wenn private Informationen eines Nutzers offengelegt werden. Datenlecks können demnach unabsichtlich geschehen, wenn auf die Datensicherheit nicht genug geachtet wurde oder auch durch einen geplanten Angriff von Hackern, welche sich derartige Sicherheitslücken zunutze machen, um an die persönlichen Daten der Nutzer zu gelangen.

Sind meine Daten betroffen?

Hacker haben es besonders auf die sensiblen Daten abgesehen wie Namen, Nutzernamen, Passwörter, E-Mail-Adressen oder auch Bankdaten.

Warum werden Daten meine gehackt?

Hacker, oder auch Cyberkriminelle, haben es auf private und vertrauliche Informationen abgesehen aus verschiedenen Gründen. Beweggründe können sein, diese Daten zu verkaufen, oder weiterzuverwenden. Häufig werden die Daten dann verwendet, um mit diesen dann Phishing zu betreiben. Unter Phishing versteht man das Benutzen von fremden Daten, um vertrauenswürdig zu wirken und so andere Personen zu täuschen. Häufig ist das Ziel von Phishing an weitere Daten zu kommen, Leute zu erpressen, oder durch Bankzugänge an Geld zu gelangen.

Datenlecks gibt es schon lange…

Hacker werden immer aktiver, statistisch gesehen steigen von Jahr zu Jahr die Angriffe im Internet. So hatte das Jahr 2021 im Vergleich zu 2020 nach dem Bundesamt für Sicherheit in der Informationstechnik (BSI), einen Anstieg von 22 % mit 144 Millionen neuen Schadvarianten. Datenlecks und Cyberangriffe von Hackern reichen dabei von Privatpersonen, über Online-Plattformen, bis hin zu Krankenhäusern. Besonders große und schnell wachsende Unternehmen sind betroffen, da bei diesen die Wahrscheinlichkeit für Lücken in der Datensicherheit häufig höher liegen. So war zum Beispiel während der Pandemie die Nachfrage für Lieferdienste sehr hoch und viele neue Lieferanten sind auf den Markt gekommen, in der Folge wurde immer wieder von Sicherheitslücken berichtet.

Datenleck bei Facebook

Facebook machte Schlagzeilen Anfang 2021, als eine halbe Milliarde persönliche Facebook Daten weltweit offengelegt wurden. Darunter waren rund 6 Millionen deutsche Nutzer. Der Mutterkonzern von Facebook namens Meta soll 265 Millionen Euro bezahlen, weil das Datenleck aufgrund von eigenen Versäumnissen bestand. Facebook hat allerdings die Strafe noch nicht bezahlt und geht gegen die Geldbuße gerichtlich vor.

Datenleck bei Twitter

Neben Facebook sind auch andere soziale Netzwerke von Datenlecks betroffen, besonders Twitter hat in der letzten Zeit für Aufsehen in der Datensicherheit gesorgt. Hacker hatten durch ein Datenleck, welches vermutlich aus dem Jahr 2021 stammt, Zugriff auf 400 Millionen Nutzerdaten erhalten und diese anschließend zum Verkauf angeboten. Zunächst hatte ein Hacker namens „Ryushi“ den Twitter-Inhaber Elon Musk Ende 2022 dazu aufgefordert, die Daten selbst aufzukaufen, mit den Worten „Um zu vermeiden, dass Sie in der EU 276 Millionen US-Dollar Strafe zahlen müssen, wie Facebook es getan hat, ist Ihre beste Option der exklusive Kauf dieser Daten.“, für die Daten wollte Hacker „Ryushi“ von Musk 200.000 US-Dollar, im Gegenzug versprach „Ryushi“, die von ihm gesammelten Daten nach Geldeingang zu löschen und niemanden sonst anzubieten.

Dass es sich um keine leere Behauptung hielt, wurde spätestens dann klar, als die Hacker Daten von bekannten Persönlichkeiten, wie dem Sänger Shawn Mendes, dem Basketballspieler Stephen Curry, oder dem Model Cara Delevinge, veröffentlichten. Am 23.12.2022 meldete dann die irische Datenschutzbehörde DPC einen Fall von Datendiebstahl in Höhe von 5,4 Millionen Datensätzen bei Twitter, aus demselben Datenleck soll auch „Ryushi“ die Daten bezogen haben. Die Behörde ermittelt, ob die Daten aufgrund von Verstößen gegen die europäische Datenschutzgrundverordnung (DSGVO) gestohlen worden sind.

Da es vermehrt auf vielen sozialen Netzwerken zu Hacker Angriffen gekommen ist, wie bei Facebook und Twitter, besteht die Gefahr, dass Hacker mehrere personenbezogene Daten verknüpfen, um so noch mehr Informationen über eine Person zu erlangen. Das macht das Auftreten der Hacker dann noch glaubwürdiger und für die betroffene Person noch gefährlicher.

Erst vor wenigen Tagen wurde dann bekannt, dass eine Twitter Datenbank mit 235 Millionen Einträgen scheinbar frei verfügbar ist, dies teilte der israelische Sicherheitsforscher Alon Gal mit. Dabei sei ziemlich sicher, dass diese von dem Hackerangriff Ende Dezember stammen, wo die 400 Millionen Daten, der Twitter Nutzer, erbeutet wurden.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rät Internetnutzern, regelmäßig zu überprüfen, ob Ihre Daten bei bekannt gewordenen Datenlecks gestohlen worden sind. SBS LEGAL berät Sie gerne, wenn es um ihre Sicherheit im Internet, oder andere datenschutzrechtliche Themen geht.

Das Kontaktformular ersetzt die E-Mail-Adresse nicht!

Betreiber einer kommerziellen Website müssen für die Kontaktaufnahme eine E-Mail-Adresse angeben. So heißt es in dem Beschluss des Landgerichts Düsseldorf vom 17.08.2022 – Az. 12 O 219/22.

Kontaktformular statt E-Mail-Adresse

In dem gerichtlichen Verfahren wendete sich die Verbraucherzentrale Nordrhein-Westfalen gegen eine Flug-Airline. Die Verbraucherzentrale bemängelte, dass die Airline auf ihrer Website keine E-Mail-Adresse angegeben hat. Verbraucher hatten nur über ein Kontaktformular die Möglichkeit, sich mit der Airline in Verbindung zu setzen.
Das Landgericht musste nun entscheiden, ob die Bereitstellung eines Kontaktformulars ausreicht, oder ob die Airline auch eine E-Mail-Adresse bereitstellen muss.
Das Landgericht entschied zu Gunsten der Verbraucherzentrale und hält die Angabe einer E-Mail-Adresse für zwingend.
Nach § 5 Telemediengesetz hat der Diensteanbieter geschäftsmäßiger, in der Regel gegen Entgelt angebotenen Telemedien Angaben, die eine schnelle elektronische Kontaktaufnahme und unmittelbare Kommunikation mit ihnen ermöglichen, einschließlich der Adresse der elektronischen Post leicht erkennbar, unmittelbar erreichbar und ständig verfügbar zu halten.
Daraus folgt, dass das Kontaktformular nicht die E-Mail-Adresse ersetzt.  
Da die Airline eine solche Adresse nicht bereitstellte entschied das Landgericht im Eilrechtsschutz gegen diese und erließ eine einstweilige Verfügung auf Unterlassen.

Nicht auf toten Briefkasten zurückgreifen

Diese Rechtsprechung sollte aber nicht zum Anlass genommen werden eine E-Mail-Adresse bereitzustellen um die sich niemand kümmert. Oder diese Adresse mit einem automatischen Antwortprogramm auszustatten, durch das auf eine andere Form der Kommunikation verwiesen wird.
Es besteht keine allgemeine Pflicht für Unternehmen auf E-Mails zu antworten. Jedoch bedeutet dies nicht, dass sie ihrer Pflicht zur Bereitstellung einer E-Mail-Adresse gerecht werden, indem sie lediglich diese Adresse angeben, da aber nichts weiter hinter steckt.
Die Angegebene E-Mail-Adresse muss dem hinter der Rechtsprechung stehenden Sinn und Zweck dienen und die Kommunikation zwischen Unternehmen und Verbrauchern verbessern.
Es gibt bereits Urteile in denen es als wettbewerbswidrig beurteilt wurde, wenn lediglich eine automatische Antwort erfolgte, in der mitgeteilt wurde, dass die Nachricht nicht zur Kenntnis genommen wird.

Bei weiteren Fragen zum Internetrecht oder zum Datenschutz kontaktieren Sie gern jederzeit auch SBS LEGAL Rechtsanwälte