gekennzeichnet. 
Immer mehr Website-Betreiber erhalten Post wegen Google Fonts. Oft ist damit eine Geldforderung verbunden. Aber auch ein Auskunftsgesuch oder ein Löschbegehren wird verfolgt. Wie ist vorzugehen? Auch tatsächlich Betroffene erhalten Tipps, wie sie Datenschutzverstöße effektiv eindämmen können.
Einleitung
Google Fonts sind Schriften, die irgendjemand erstellt und auf Google Server hochgeladen hat. Diese Schriften werden in Form von Dateien derart auf Webseiten eingebunden, sodass sie von Google Servern geladen werden. Dies hält das LG München für rechtswidrig. Ich sehe es genauso und hatte es bereits vor längerem ausführlich technisch begründet. Siehe meinen Artikel zu Google Fonts. Es handelt sich übrigens nicht um Google Fonds, sondern um Google Fonts. Fonds sind beispielsweise Geldmittelbestände oder Flüssigkeiten, die beim Garen von Lebensmitteln entstehen oder die PKW-Bereiche mit Rücksitzen.
Wer eine Abmahnung zu Google Fonts oder anderen Google Tools erhält, sollte darauf meistens nicht antworten, aber den Verstoß abstellen. Das hatte ich zuvor beschrieben.
Doch wie sieht es aus, wenn ein Auskunftsgesuch nach Art. 15 DSGVO gestellt wird?
Auskunftsgesuch bearbeiten
Ein Auskunftsgesuch sieht beispielsweise so aus:
Der Punkt 4 des Screenshots zeigt das Auskunftsgesuch, das von einer Person mit dem Vornamen Dejan stammt, der zugleich Kontoinhaber für die Geldforderung von 500 Euro ist. In dem Anschreiben war neben Google Fonts auch Google Analytics thematisiert, das Lieblingstool mancher Marketing-People, die meinen, sie müssten dafür nicht mithaften (was wohl meist falsch ist).
Die in Punkt 3 des Screenshots genannte Unterlassungsaufforderung sowie die in Punkt 2 genannte Löschaufforderung können analog zum Auskunftsgesuch geprüft werden. Was zu tun ist, beschreibe ich nachfolgend.
Aus rechtlicher Sicht muss das Auskunftsgesuch geprüft werden. Das gelingt im ersten Schritt auch einem Nichtjuristen. Prüfen Sie vor allem folgendes:
Angabe der IP-Adresse
Hat der Antragsteller, also derjenige, der Sie angeschrieben hat, seine IP-Adresse angegeben? Fehlt diese Angabe, dann ist das Auskunftsgesuch zu unbestimmt. Wie sollen Sie einem Website-Besucher, von dem Sie nichts wissen, eine Auskunft geben? Sie könnten in diesem Fall das Auskunftsgesuch ignorieren oder, falls Sie antworten, dies aufgrund der Unbestimmtheit zurückzuweisen.
Bitte denken Sie aber daran, alle Verstöße abzustellen. Dazu empfehle ich, einen Webseiten-Check durchzuführen und auch noch jemanden zu fragen, der Ahnung von Webseiten hat. Keine Ahnung haben oft SEO-Agenturen oder Internet-Agenturen. Sehr gut programmieren können halte ich für eine Grundvoraussetzung in diesem Segment. Sie können also gleich Ihren Dienstleister prüfen und bei Inkompetenz einen Wechsel einleiten.
Angabe des Zeitpunkts
Wahrscheinlich hat der Antragsteller den Zeitpunkt angegeben, zu dem er Ihre Webseite besuchte. Fehlt diese Angabe, könnte man hierzu eine Nachfrage stellen. Aber nur, sofern überhaupt eine Antwort nötig ist.
Kam das Gesuch überhaupt bei Ihnen an?
Wenn Sie eine Mail erhalten, in der ein PDF-Anhang enthalten ist, in dem wiederum das Auskunftsgesuch steht, dann haben Sie diesen PDF-Anhang nicht erhalten und sicher auch nicht geöffnet, denn in PDF-Dateien verstecken sich regelmäßig Viren. Vgl. hierzu Beschluss des OLG Hamm vom 09.03.2022 – 4 W 119/20. Der BGH urteilte am 06.10.2022 – VII ZR 895/21 nur über den Zeitpunkt des Zugangs einer unstrittig per Mail erhaltenen Willensbekundung zwischen zwei bereits bekannten Geschäftspartnern. Wenn bisher unbekannte Dritte eine Mail mit einem potentiell virenverseuchten Anhang senden, stellt sich die Frage, ob eine Verpflichtung besteht, diesen Anhang zu öffnen, und wie der Absender beweisen will, dass der Anhang geöffnet wurde. Oft kann der Anhang gar nicht geöffnet werden, weil der Antivirenfilter des Mailprogramms den Anhang bereits entfernt hat oder die Mail gänzlich blockierte.
Wenn Sie selber ein Auskunftsgesuch stellen oder Verantwortliche auffordern wollen, etwas zu unterlassen, dann habe ich einen Tipp für Sie:
Schreiben Sie das komplette Anschreiben in den Text Ihrer Mail und verwenden Sie keinen PDF-Anhang.
Der Zustellbeweis ist so besser möglich.
So können Sie mit einer Zustellbestätigung über Ihr Mailprogramm beweisen, dass die Nachricht und somit Ihr Anschreiben zugestellt wurde.
Etwas anderes ist es, wenn Sie ein Schreiben per Post erhielten. Aber auch hier ist der Mindeststandard das Einschreiben. Vorher ist die Beweiskraft noch nicht wirklich entfaltet. Wenn Sie selber ein Einschreiben verschicken, dann verwenden Sie ein Einwurfeinschreiben. Das teurere Einschreiben mit Rückschein kann der Empfänger nämlich ablehnen. Ein Einschreiben sollte in einem Fensterumschlag verschickt werden. So kann der Empfänger später nicht substantiiert behaupten, im Brief war etwas anderes drin. Noch besser ist die (persönliche) Zustellung per Gerichtsvollzieher (oder durch Sie selbst, sofern Sie in der Nähe wohnen).
Hat der Gegner eine Webseite?
Nicht selten hat derjenige, der Sie anschreibt, eine eigene Webseite oder eine Social Media Präsenz auf Facebook, Instagram oder Twitter. Bei den genannten Social Media Plattformen kann man schon der Auffassung sein, dass diese rechtswidrig sind. Unterhält jemand etwa eine Facebook Fanpage oder ein Twitter Konto (und nutzt Hashtags in seinem Nachrichten), dann kann er gemeinsam mit dem Plattformanbieter verantwortlich für die Verarbeitung Ihrer Daten sein.
Dessen Fehler auf seinen Internetpräsenzen könnten Sie dem Gegner vorwerfen, aber nur, sofern Sie überhaupt antworten (siehe vorigen Punkt). Am besten, Sie haben selber keine Faceblöd Fanpage oder Twitter Präsenz. Dann sind Sie auch nicht angreifbar in dem, was Sie dem anderen vorwerfen können. Wenn Sie sich bei Facebook abmelden möchten, finden Sie hier eine Anleitung: Facebook Konto löschen.
Forderung nach Schadenersatz
Ob dieser gerechtfertigt ist oder nicht, sollte ein Gericht beurteilen. Sofern Sie alle Verstöße abgestellt haben, lassen Sie es darauf ankommen. Das ist meine Empfehlung.
Wurden Beweise mitgeliefert?
Hat der Antragsteller einen Beweis, dass er Ihre Webseite besucht hat? Meistens ist dies nicht der Fall.
Screenshots sind keine Beweise.
IP-Protokolle sind keine Beweise.
Das sind vor allem Beweise:
- Zeugen
- Videoaufnahme
Wurden Beweise für die persönlichen Betroffenheit geliefert?
Hatten oder haben Sie Google Fonts eingebunden und jemand weist Ihnen dies nach, dann ist das etwas anderes als nachzuweisen, dass die angeblich betroffene Person höchstpersönlich diesem Verstoß begegnet ist.
Der Antragsteller eines Auskunftsgesuchs muss also beweisen können, dass er oder sie Ihre Webseite höchstpersönlich besucht hat.
Fehlen diese Beweise, dann kann man das Anschreiben ohne größeres Risiko unbeantwortet lassen. Im schlimmsten Fall kommt es zu einer Klage, bei der die Beweise eingereicht werden müssen. Statt nicht antworten könnte man auch nach den Beweisen fragen. Das aber auch nur, wenn es sich nicht um einen Massenabmahner handelt.
Anwaltskanzlei hilft
Achtung vor Anwaltskanzleien, die auf deren Webseite ihre Hilfe anbieten, wenn Sie eine Abmahnung von Lieschen Müllermeier erhalten haben. Denn nicht selten stecken diese Kanzleien mit dem Abmahner unter einer Decke. Über den „Suchbegriff“ des Namens des Abmahnenden wird Kundschaft zur Kanzlei gelotst.
Rechtsschutzversicherung oder Haftpflichtversicherung
Aus Erfahrung kann ich sagen, dass es nicht fruchtbar ist, seine Versicherung um Hilfe zu bitten. Vielleicht können Sie das tun, wenn es hart auf hart kommt. Fragen Sie aber nicht, wie Sie vorgehen sollen, wenn Sie ein Schreiben per Mail erhalten haben. Sie bekommen garantiert oft eine Empfehlung, die kontraproduktiv ist.
Fazit
Ich empfehle, betroffenen Personen folgendes Vorgehen. Daraus ergibt sich auch gleich die Handlungsempfehlung für Betreiber von Webseiten als Verantwortliche:
- Schreiben Sie eine Mail an den Betreiber einer Website, auf der Datenschutzverstöße festzustellen sind. Schreiben Sie alles in den Mailtext und verwenden Sie keinen Anhang. Nennen Sie Ihre IP-Adresse nicht. Sorgen Sie für eine Zustellbestätigung. Setzen Sie eine angemessene Frist. Ich halte 14 Tage für angemessen.
- Hat der Webseitenbetreiber die Verstöße nicht abgestellt, werden Sie verbindlich:
- Nehmen Sie sich einen Zeugen oder filmen Sie mit einer Handykamera (Stativ?) Ihren Besuch der fraglichen Webseite. Zur Beweisführung bitte Hinweise beachten.
- Schreiben Sie den Webseitenbetreiber erneut an und fordern Sie ihn auf, die Probleme abzustellen. Nennen Sie Ihre IP-Adresse. Erwähnen Sie Ihren Beweis (Zeuge und/oder Video). Fordern Sie eine Auskunft. Fordern Sie eine Löschung. Beispieltexte finden Sie oben im Screenshot.
- Passiert nicht das, was Sie wollen, gehen Sie zu einem Anwalt und erlassen Sie eine Abmahnung.
- Passiert nichts, verklagen Sie den Webseiten-Betreiber.
Für Profis: besorgen Sie sich eine statische IP-Adresse, mit der Sie den Besuch der fraglichen Webseite vollziehen. Nennen Sie diese in Ihrem Schreiben.
All diese Schreiben mit Geldforderungen haben ein Gutes: Endlich werden manche aus ihrem Dornröschenschlaf aufgeweckt.
Nehmen Sie den Dienstleister, der Ihre Webseite betreut, in die Haftung.
Prüfen Sie dann seine Reaktion.
Weitere Empfehlungen:
- Haben Sie eine kleine Webseite oder kleine Unternehmung, dann brauchen Sie keine SEO-Agentur. Artikel folgt. Das Geld können Sie anderweitig besser investieren. Zudem haben Sie so weniger Datenschutzprobleme.
- Hat Ihre Internet-Agentur wenig Ahnung von Datenschutz oder kann nicht programmieren, dann wechseln Sie den Anbieter.
- Nehmen Sie Ihre Dienstleister in Haftung: Gibt es keinen Haftungsausschluss, dann haftet Ihr Dienstleister mit Ihnen zusammen. Machen Sie das Ihrem Dienstleister klar und warten Sie dessen Reaktion ab.
- Verweist Ihr Dienstleister auch xrecht24 o. ä., dann sollten Sie den Dienstleister kritisch hinterfragen.
Wenn Sie was ganz Verrücktes ausprobieren möchten, dann beschäftigen Sie sich mit datenschutzfreundlichen Alternativen. Auf dieser Webseite werden viele genannt, beispielsweise zu Google Maps, Google Analytics oder Google Fonts. Vielleicht brauchen Sie aber auch gar kein Tracking Tool oder keine interaktive Karte?
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. In IT & Datenschutz bin ich auch als Sachverständiger tätig. Mir sind juristische Gegebenheiten nicht fremd. Meine Ergebnisse gewinne ich durch Betrachtung von Technik und Recht. Das scheint mir absolut notwendig, wenn es um digitalen Datenschutz geht. Über Ihre 
Deshalb liebe ich diesen Blog: "Keine Ahnung haben oft SEO-Agenturen oder Internet-Agenturen. Sehr gut programmieren können halte ich für eine Grundvoraussetzung in diesem Segment. Sie können also gleich Ihren Dienstleister prüfen und bei Inkompetenz einen Wechsel einleiten."
In der Tat wie immer kein Bullshit, sondern die traurige Wahrheit.
Warum nicht gleich in Anlehnung an das chinesische Projekt Goldener Schild, das deutsche staatliche Projekt – im Namen des Datenschutzes – das Große schwarz-rot-goldene Schild starten?
Jeder Programmier-Laie wäre dann vor Abmahnungen und zukünftigen Änderungen geschützt.
Na da bewegen Sie sich auf extremst dünnen Eis mit Ihren Ratschlägen.
Sie unterstellen, dass alleinig deutsches recht anwendbar ist.
In anderen Ländern reicht der Abgangsvermerk, sprich die Email wurde gesendet.
Daneben gibt es heute bereits Möglichkeiten Emails zu tracken, auch wenn diese nicht gelesen worden sind.
Das Nichtlesen von Anhängen bei einem Auskunftsersuchen legen Ihnen Gerichte im Ausland durchaus als Zugangsvereitelung aus. Spätestens, wenn die Aufsichtsbehörde involviert wird, kann diese hier ein Verhalten sehen, was nicht compliant ist und ein Bussgeld verhängen.
Ich rate daher dringends das Auskunftsersuchen vollumfänglich zu beantworten.
Im Regelfall haben Sie ja vorher bereits gegen Informationspflichten verstossen.
Sind Sie vielleicht der Anwalt, der abmahnt?
Es gibt doch bei Massenabmahnungen gar keinen Beweis, dass der Abmahnende eine betroffene Person ist.
Das Geschwafel mit den Landesgesetzen greift hier überhaupt nicht.
Unabhängig davon, beziehe ich mich, wenn überhaupt, auf deutsches und europäisches Recht. Mein Blog ist nicht für Spanien gedacht.
Liegt hier nicht ein Missverständnis vor? Mir ging es um den Anhang einer Mail, nicht um die Mail an sich.
Anhänge können bekanntlich Viren enthalten. Man kann daher nicht davon ausgehen, dass ein Anhang auch geöffnet wurde, außer, der Nachweis dafür kann erbracht werden. Viele Mailprogramme wehren Mails mit bestimmten Anhängen sogar ab. Die Mails sind dann zugestellt, aber nicht angekommen oder gelesen werden oder der Anhang wurde nicht zugestellt oder nicht gelesen.
Aus Erfahrung kann ich nur sagen: Im Falle von Google Fonts hilft der Informatiker weiter als der Anwalt.
und selbst für Spanien würden Ihre Aussagen gelten.
Dort heisst das "GDPR" – EU General Data Protection Regulation, und gerade die Südländer sind mit Strafen nicht zurückhaltend. Dort wird weit mehr geahndet als z.B. in D.
"Für Profis: besorgen Sie sich eine statistische IP-Adresse, mit der Sie den Besuch der fraglichen Webseite vollziehen. Nennen Sie diese in Ihrem Schreiben."
Es muss "statische IP-Adresse" lauten. 🙂
Richtig, vielen Dank für Ihre freundliche Rückmeldung.
Korrektur ist vorgenommen. Begriff nun sogar fett gedruckt…