Abmahnungswelle wegen Google Fonts
In den letzten Tagen erreichten uns vermehrte Mitgliederanfragen zum Thema Abmahnung wegen Google Fonts. Laut den Physio Austria vorliegenden Informationen haben bundesweit Mitglieder ein anwaltliches Schreiben erhalten, in welchem ihnen vorgeworfen wird, aufgrund der Einbindung von Google Fonts auf der beruflichen Website einen DSGVO-Verstoß begangen zu haben und sie aufgefordert werden Schadenersatz zu leisten. Hintergrund des Schadenersatzanspruches ist, dass bei der Verwendung von Google Fonts die personenbezogenen Daten der/des Websiteuserin/Websiteusers durch Google in die USA übermittelt werden können. Da die USA als ein sog. „unsicheres Drittland“ eingestuft wird, in welchem der Datenschutz nicht das durch die DSGVO geforderte Schutzniveau hat, dürfen personenbezogene Daten nicht ohne Weiteres übermittelt werden. Die Bekanntmachung der Datenschutzbehörde (Stand:23.08.2022) zum Thema Google Fonts finden Sie hier: Information der Datenschutzbehörde zum Thema Abmahnungen wegen Google Fonts
Es verhält sich in Bezug auf die Datenübermittlung vergleichbar mit einem weiteren Tool von Google, nämlich Google Analytics vor dessen Einsatz Physio Austria bereits 2018 gewarnt hat. In diesem Zusammenhang hat die Datenschutzbehörde (DSB) 2021 bescheidmäßig festgestellt, „dass Website-Betreiber*innen das Tool Google Analytics (jedenfalls auf Grundlage des im Bescheid festgestellten Sachverhalts) nicht in Einklang mit der DSGVO einsetzen können.“
Welche Schritte sind zu setzen, wenn Sie ein solches Schreiben erhalten haben?
1. In einem ersten Schritt sollten Sie mit Ihrer/Ihrem IT-Spezialist*in und Webadministrator*in Kontakt aufnehmen, um Ihre berufliche Website dahingehend technisch überprüfen zu lassen, ob insbesondere Google Fonts auf Ihrer Website tatsächlich eingebunden bzw. im Einsatz ist und ob die behauptete Übermittlung der im Abmahnungsschreiben angesprochene IP-Adresse in die USA stattgefunden hat. Die durch die DSB empfohlene Vorgehensweise bei dieser Überprüfung der Website und der Dokumentation darüber zum Thema Google Fonts finden Sie hier: Information der Datenschutzbehörde zum Thema Abmahnungen wegen Google Fonts
2. Auch ist die Beauftragung einer rechtsanwaltlichen Vertretung unbedingt notwendig, weil eine individuelle rechtliche Prüfung auf Basis des technischen Protokolls (das Auskunft darüber gibt, ob durch die Einbindung von Google Fonts auf der beruflichen Website tatsächlich eine Datenübermittlung in die USA stattgefunden hat) dementsprechend notwendig ist, sowie eine Einwilligungserklärung auf der Website eingesetzt wird, welche die etwaig erfolgte Übermittlung abdecken würde.
Nach erfolgter Prüfung der behaupteten Ansprüche und Eckpunkte des konkreten Einzelfalles sollte Ihre/Ihr Rechtsanwältin/Rechtsanwalt des Vertrauens dem Antrag auf Auskunft – wie von der gegnerischen Rechtvertretung aufgefordert - Folge leisten und ihn entsprechend beantworten. Auch für den Fall, dass keine Datenverarbeitung stattgefunden hat (keine Übermittlung der IP-Adresse) oder die Einwilligung zur Übermittlung vorlag, muss eine inhaltlich begründende schriftliche „Negativauskunft“ (Reaktionspflicht!) erteilt werden. Wir empfehlen ausdrücklich ohne rechtsanwaltliche Vertretung von pauschalen und unsubstantiierten Angaben wie z.B. „es ist kein Schaden bei der/dem Websitebenutzer*in eingetreten, etc.“, Abstand zu nehmen.
3. Sie sollten diesen Fall unbedingt zum Anlass nehmen und Ihre berufliche Website technisch überprüfen und (dauerhaft) warten lassen sowie eine nachhaltige Website-Korrektur vornehmen. Wir empfehlen Ihnen ausdrücklich die Beauftragung von Professionist*innen, da die mit Werkvertrag beauftragten IT-Spezialist*innen und Webadministrator*innen »Auftragsverarbeiter*innen« im Sinne der DSGVO sind und für die DSGVO-konforme Umsetzung der Website verantwortlich sind und in solchen Anlassfällen in der Regel auch zur Haftung herangezogen werden können. Entsprechende Professionist*innen können Sie unter dem folgenden Link auf der WKO- Seite abrufen: WKO Firmen ABC
Bereits 2018 hat Physio Austria darauf hingewiesen, dass z.B. Google- Services, welche eine Datenübermittlung in die USA vornehmen nicht im Einklang mit der DSGVO eingesetzt werden können. Mit dem final feststellenden Urteil des EuGH vom 16.07.2020 ist bestätigt worden, dass das "US-Privacy Shield" keine ausreichende Grundlage war, um Daten von europäischen Betroffenen in den USA zu verarbeiten. Denn dort sei der Schutz der personenbezogenen Daten nicht gewährleistet - das Datenschutzniveau entspricht laut EuGH nicht jenem der DSGVO auch weil die Daten nicht entsprechend dem europäischen Niveau geschützt seien als auch der Rechtschutz der Bürger nicht ausreichend hoch sei und daher ist die Übermittlung nicht zulässig.
Physio Austria kommuniziert seit 2018 unverändert das zentrale Thema der DSGVO-konformen Websitenutzung und Gestaltung. In diesem Zusammenhang verweisen wir auf unseren Inform-Artikel vom Dezember 2018.
Stand: 23.08.2022