Was ist eine Abmahnung?

Eigentlich ist das Wort „Abmahnung“ ein unspezifisches Wort mit keiner festen Definition. Ganz oberflächlich kann man aber sagen, dass eine Abmahnung eine Aufforderung an einen anderen ist, sich rechtstreu zu verhalten.

Google Fonts Abmahnung (RAAG-Kanzlei, RA Lenard - Martin Ismail) - Müssen Sie bezahlen oder nicht?

Rechtsanwältin Sabine Sobola von der LiIDU GmbH rät ganz klar dazu, die Abmahngebühr nicht zu bezahlen. Verschickt werden Deutschlandweit hunderte, wenn nicht Tausende von Abmahnungen von der und Rechtsanwalt Lenard, die für ihre Mandanten ein Schmerzensgeld durchsetzen wollen. Die Höhe liegt dabei zwischen EUR 120,- und EUR 170,-.

Die Abmahnwelle rollt Google Fonts

Letzte Woche wurden viele Abmahnungen an Webseitenbetreiber geschickt, die Google Fonts dynamisch - und nicht statisch eingebunden haben. Was kann man nun tun, wenn man eine Abmahnung erhalten hat?

Sind Rechtsanwälte und Ärzte strafrechtlich wegen Verletzung ihres Berufsgeheimnisses belangbar, wenn Google-Fonts dynamisch eingebunden wird?

Vorerst ist festzustellen, dass die Frage unabhängig von dem Einsatz von Google Fonts ist.

Die Übermittlung von personenbezogenen Daten, insbesondere einer IP-Adresse, an Dritte kann immer dann erfolgen, wenn Drittdienste oder -bibliotheken auf der Webseite eingebunden werden. Ob dieser Dritte sich in den USA oder Deutschland aufhält, ist für eine mögliche Strafbarkeit nach
§ 203 Abs. 1 StGB irrelevant. 

Gegen eine Strafbarkeit sprechen folgende Erwägungen:

• Die Webseite ist der Allgemeinheit zugänglich. Der Besuch lässt nicht den sicheren Schluss zu, dass zwischen dem Besucher und dem Rechtsanwalt oder Arzt ein Mandats- bzw. Patientenverhältnis besteht.

• Der Empfänger einer dynamischen IP-Adresse kann alleine anhand der IP-Adresse eine Person nicht identifizieren. Dass eine dynamische IP-Adresse dennoch ein datenschutzrechtlich relevantes Datum ist, resultiert aus dem äußert weiten Begriff des personenbezogenen Datums nach Art. 4 Ziff. 1 DSGVO. Ausreichend ist, dass die Person indirekt identifizierbar ist. Hierfür hat der EuGH in seinem Urteil zu dynamische IP-Adressen ausreichen lassen, dass der Benutzer mittels einer Anzeige bei den Strafverfolgungsbehörden von einem Webseitenbetreiber identifiziert werden kann. Nur bezüglich der amerikanischen Internetriesen Google, Facebook, Amazon und sonstigen Werbereisen ließe sich gegebenenfalls anführen, dass diesen eine Identifizierung mit Eigenmitteln möglich ist.

Weitere Überlegungen:

• Der Tatbestandsausschluss nach § 203 Abs. 3 S. 2 StGB wurde vom Gesetzgeber für die Situation geschaffen, dass der Anwalt oder Arzt auf externe Dienstleister zugreift. So wird in der Gesetzesbegründung der IT-Spezialist genannt, der Kenntnis von den in der IT-Anlage gespeicherten Daten hat (vgl. auch Uwer BeckOK Datenschutzrecht, Syst. F. Datenschutz bei den freien Berufen Rn. 140; Weidemann, BeckOK StGB, § 203 Rn. 39 f.). Diese Dienstleister können sich dann selbst nach § 203 Abs. 4 S. 1 StGB strafbar machen, wenn sie das Berufsgeheimnis weiterverbreiten.

• Fraglich bleibt jedoch, wie das „Erforderlichkeitskriterium“ von § 203 Abs. 3 S. 2 StGB zu interpretieren ist. Konkret würde die Frage lauten: Ist die Übertragung der IP-Adresse an Google für die Bereitstellung von wichtiger IT notwendig? Das ist schon aufgrund der Möglichkeit einer statischen Einbindung von Google Fonts allerdings nicht der Fall!

• BeckOK IT-Recht/Mansdörfer StGB § 203 Rn. 41-43: Das Kriterium der Erforderlichkeit hat zur Folge, dass sich die verantwortlichen Personen der Versicherung bei der Entscheidung, welcher Dienstleister im Einzelfall für eine Aufgabe hinzugezogen wird, kundig machen müssen, welche Eingriffe damit in die ihm anvertrauten Geheimnisse verbunden sind, und z.B. Anbieter ausschließen müssen, die sich weiterreichende Zugriffsmöglichkeiten als andere ausbedingen (in diesem Sinn auch Matt/Renzikowski/Altenhain, StGB, 2. Aufl. 2020, Rn. 60).

Ergebnis:

Eine Verletzung des Berufsgeheimnisses ist nicht gegeben, wenn Google Fonts ohne Einwilligung des Websitebesuchers von Ärzten/Rechtsanwälten dynamisch eingebunden wird, weil sich dadurch nicht notwendigerweise ein Mandats- oder Patientenverhältnis ergibt. (Würde dieses Ergebnis anders ausfallen, z.B. für geschlossene Systeme, auf die nur Patienten/Mandanten Zugriff haben und würde § 203 StGB grundsätzlich bejaht werden, würden keine Tatbestandsausschlüsse nach § 203 Abs. 3 StGB greifen.)

Stand: 09.11.2022

Ist eine Abmahnung wegen der Nutzung von Google-Fonts berechtigt, wenn nur über ein Newsletter-Tool die Anwendung „reCAPTCHA“ eingebunden wurde – und reCAPTCHA wiederum Google-Fonts dynamisch eingebunden hat?

Was ist reCAPTCHA?

reCAPTCHA ist ein von Google LLC betriebener CAPTCHA-Dienst, der Webseiten vor Spam und missbräuchlicher Nutzung durch Bots schützen soll.

•Es werden gewisse Parameter erfasst, um zu beurteilen, ob es sich bei dem Nutzer um einen Menschen oder ein Roboterprogramm handelt.

•Wie genau der von Google entwickelte Algorithmus funktioniert ist nicht öffentlich.

•Jedoch kann davon ausgegangen werden, dass die IP-Adresse, das Interaktionsverhalten des Nutzers und Informationen über die vom Nutzer verwendete Hardware erfasst werden.

•Außerdem werden beim Einsatz von reCAPTCHA eine Vielzahl von Cookies im Browser des Nutzers gesetzt.

Ist der Einsatz von reCAPTCHA, unabhängig von Google Fonts, datenschutzkonform möglich?

Da durch den Einsatz von reCAPTCHA auf dem Endgerät des Nutzers Cookies abgelegt und auf dem Endgerät gespeicherte Informationen zum Tracking abgerufen werden, bedarf es gem. § 25 Abs. 1 TTDSG mindestens der Einwilligung des Nutzers.

Sogar, wenn die Einwilligung eingeholt wird, ergeben sich bei dem Einsatz von reCAPTCHA weitere datenschutzrechtliche Probleme:

•Die Informationspflicht nach Art. 13 DSGVO: Für einen Verantwortlichen dürfte es schwierig werden zu beurteilen, welche Daten überhaupt von Google erhoben werden und v.a. zu welchen Zwecken

•Die Übermittlung der Daten in die USA: Hier ist zu beachten, dass die Unsicherheit, die Schrems II (C‑311/18) geschaffen hat, erhalten bleibt. Ob einzig der Abschluss von SCCs ausreichend ist, bleibt im Hinblick auf Rn. 134 ff. des Urteils fraglich. Denn dort bürdet der EuGH dem Verantwortlichen die Verpflichtung auf „(…) in jedem Einzelfall (…) zu prüfen, ob das Recht des Bestimmungsdrittlands nach Maßgabe des Unionsrechts einen angemessenen Schutz der auf der Grundlage von Standarddatenschutzklauseln übermittelten personenbezogenen Daten gewährleistet, und erforderlichenfalls mehr Garantien als die durch diese Klauseln gebotenen zu gewähren.“

•Ob dieser Schutz bei der Übermittlung an US-Unternehmen gewährleistet ist, ist im Hinblick auf die weitreichenden Eingriffsbefugnisse der US-Geheimdienste äußerst kritisch zu sehen. Aus oben genannten Gründen rät auch das Bayerische Landesamt für Datenschutz von dem Einsatz von reCaptcha ab und stellt klar, dass dem Verantwortlichen die Nachweispflicht für die Rechtmäßigkeit des Einsatzes nach Art. 5 Abs. 2 DSGVO trifft

Besteht auch beim Einsatz von reCAPTCHA die Google Fonts Problematik?

Die Google Fonts Problematik besteht bei jedem vom Google eingesetzten Tool, das Google Fonts einbindet. Hierzu gehört eben auch reCAPTCHA (und auch z.B. auch Google Maps).

Nach eigener LiiDU-Recherche scheint die Problematik bei dem Einsatz von reCAPTCHA und Google Maps zu sein, dass diese Google Fonts stets dynamisch einbinden. Selbst wenn Google Fonts auf derselben Webseite statisch eingebunden ist, laden die beiden Dienste Google Fonts dynamisch von den Google Servern.

Also: eine Nutzung von reCAPTCHA ohne Google Fonts scheint nicht möglich zu sein.

Bei dem Einsatz von reCAPTCHA ist mit Blick auf das Nachladen von Google Fonts das Einholen einer Einwilligung notwendig. Das LG München I hat zwar in seinem Urteil ein berechtigtes Interesse an dem Einsatz von Google Fonts mit der Begründung abgelehnt, dass Google Fonts vom Verantwortlichen auch statisch hätte eingebunden werden können. Das ist nun beim Einsatz von reCAPTCHA aber gerade nicht möglich. Jedoch ist aufgrund der großen Auswahl an alternativen Captcha Diensten die Annahme eines berechtigten Interesses fragwürdig. Beide Alternativen können aber nicht von den oben geschilderten Unsicherheiten befreien, die eine Datenübermittlung in die USA mit sich bringt.

Welche Alternativen gibt es?

LiiDU-Tipp:

Für Newsletter bietet sich ein sog. Honeypot an. Es wird in Formularen ein zusätzliches (verstecktes) Eingabefeld geschaffen. Es wird die Bedingung eingesetzt, dass das Formular nur verarbeitet werden darf, wenn dieses Feld leer bleibt. Da Bots nur den Quellcode sehen und alle Felder ausfüllen, werden diese als solche entlarvt.

Weitere Alternativen sind Friendly Captcha oder hCaptcha.

Herr Bachmann regt auch an zu prüfen, ob man nicht das reCaptcha generell herausnehmen kann, denn seiner Erfahrung nach ergeben sich hier keine Nachteile bezüglich Sicherheit.

(Erläuterungen: Die von hCaptcha behauptete DSGVO-Konformität steht nicht fest. Außerdem sitzt das Unternehmen in den USA. Die Einbindung von FriendlyCaptcha erfordert einen größeren technischen Aufwand als reCAPTCHA. FriendlyCaptcha sitzt in Deutschland.)

Stand: 26.10.2022

Wie kann ein Antwortschreiben (Muster) an die Google-Fonts Abmahner Rechtsanwalt Lenard oder die RAAG Kanzlei aussehen?

Ausführliche Infos zu den Google Fonts Abmahnungen sowie ein Musterschreiben an die Abmahner finden Sie auf unserem Blog

Wann kann bei einer Abmahnung Schadensersatz verlangt werden?

Ausführliche Infos zu den Google Fonts Abmahnungen sowie ein Musterschreiben an die Abmahner finden Sie auf unserem Blog

Wa muss ich tun, wenn ich eine Abmahnung wegen Google Fonts erhalten habe?

Zurzeit werden sehr viele Abmahnung von Mitgliedern der Interessengemeinschaft Datenschutz (kurz: IG Datenschutz) verschickt.
Gefordert werden zwischen EUR 170,- und EUR 800,- Schmerzensgeld.

Webseitenbetreiber haben grundsätzlich die Pflicht, Google Fonts statisch einzubinden, da durch die potenzielle Weitergabe der IP-Adressen der Webseiten-Besucher an Google in den USA eine Persönlichkeitsverletzung gesehen werden kann.

Es gibt das rechtskräftige Urteil des Landgerichts München vom 20.01.2022 – 3 O 17493/29

Hier sollte das Unternehmen, das Google Fonts dynamisch eingebunden hat, einen Schadensersatz wegen Persönlichkeitsrechtsverletzung in Höhe von 100,00 € an den Besucher der Webseite bezahlen.

Folgende Fragen sollten (ggf. in Zusammenarbeit mit einem Rechtsanwalt) geklärt werden:

1. Haben Sie tatsächlich Google Fonts dynamisch eingebunden und kann die Gegenseite den Verstoß nachweisen?

Falls nein, brauchen Sie nicht auf die Abmahnung zu reagieren. Falls ja, lautet die zweite Frage:

2. Welcher Schadensersatz wäre angemessen: EUR 100,-, EUR 170,- oder mehr?

Das ist in jedem Fall eine Frage des Einzelfalls und kann nicht pauschal beantwortet werden.

3. Die vielleicht wichtigste Frage: Ist Herr Ismail bzw. die IG Datenschutz überhaupt berechtigt, solche Abmahnungen auszusprechen?

Hier müsste die Gegenseite zunächst die individuelle Betroffenheit darlegen. Bei der IG Datenschutz ist das in jedem Fall ausgeschlossen (da eine Organisation). Die einzelnen Mitglieder könnten individuell betroffen sein. Allerdings werden diese in den Abmahnungen nicht mit Adresse genannt, was bei einer Anzeige der anwaltlichen Vertretung aber üblich ist.

Des Weiteren werden in der Abmahnung fast ausschließlich Urteile zitiert, die mit Google Fonts nichts zu tun haben. Damit wird der Eindruck erweckt, es gäbe genau zu diesem Thema umfangreiche Rechtsprechung.

Und schließlich kann man auch fragen, ob Herr Ismail die Webseiten eventuell vorsätzlich und mit dem Ziel der Abschöpfung einer Abmahnsumme angesteuert hat. Aufgrund der massenhaften Abmahnungen legt das eine Rechtsmißbräuchlichkeit nahe.

Evtl. wurde daher ein potenzieller Schaden bewusst herbeigeführt. Die Gegenseite müsste darlegen, ob tatsächlich ein individuelles Unwohlsein beim Betroffenen entstanden ist bzw. ein Kontrollverlust und somit ein Schaden, der zu ersetzen wäre. Für einen solchen Fall gibt es kaum Rechtsprechung, deshalb könnte sich hier Widerstand lohnen

Stand: 05.10.2022

Wie gehen Datenschutz-Aufsichtsbehörden mit angezeigten Datenschutzverstößen um?

Die Beschwerden nehmen zu. Auch „unbedeutende“ Verstöße gegen die DSGVO werden verfolgt.

Das BayLDA hat hierfür eine Statistik veröffentlicht. In 2020 gab es 6185 Beschwerden und Kontrollanregungen. Dabei wurden 230 Bußgelder verhängt. Das sind nicht mal 5% aller Vorgänge.

Stand: 16.02.2022

Gibt es aktuelle Gerichtsurteile zur Abmahnungsfähigkeit von DSGVO-Verstößen? 

Es gibt noch keine aktuelle Entscheidung des BGH.

Die meisten OLGs treffen folgende Entscheidung: wenn eine wettbewerbsrechtliche Relevanz vorliegt, sind auch DSGVO-Normen abmahnfähig.

Aktuellstes Urteil: OLG Stuttgart - 27.02.2020, Az. 2 U 257/19

Sachverhalt:

Der Beklagte, ein gewerblicher eBay Händler, hielt für potenzielle Kunden keine Erklärung zum Datenschutz vor. Er verstößt damit gegen Art. 13 DSGVO.

Die Klägerin war der IDO-Verband (Interessenverband für das Rechts- und Finanzconsulting deutscher Online-Unternehmen).

Die durch die Klägerin ausgesprochene Abmahnung blieb erfolglos. Das LG Stuttgart hatte die Klage mit der Begründung abgewiesen, dass die DSGVO als abschließende Regelung dem UWG vorgehe mit der Folge, dass Datenschutzverstöße nicht als Wettbewerbsverstöße abgemahnt werden könnten (Urteil v. 20.05.2019, Az. 35 O 68/18).

Entscheidung:  

Die Regelungen des Art. 80 DSGVO sind nicht abschließend.

Verstöße gegen die DSGVO sich nach Wettbewerbsrecht abmahnfähig, wenn sie die Marktverhaltensregeln verletzten.

Die Informationspflichten nach Art. 13 DSGVO stellen laut OLG Stuttgart eine solche Markverhaltensregel da, denn diese Informationen hätten eine verbraucherschützende Funktion und sind damit wettbewerbsrechtlich relevant.

Wettbewerbsverbände sind somit nach § 8 Abs. 3 Nr. 2 UWG i. V. m. § 8 Abs. 1 und § 3 a UWG befugt, Verstöße gegen Bestimmungen der DSGVO wettbewerbsrechtlich geltend zu machen, bei denen es sich um Markverhaltensregelungen handelt.

Stand: 26.01.2022