Was ist eine Abmahnung?

Eigentlich ist das Wort „Abmahnung“ ein unspezifisches Wort mit keiner festen Definition. Ganz oberflächlich kann man aber sagen, dass eine Abmahnung eine Aufforderung an einen anderen ist, sich rechtstreu zu verhalten.

Google Fonts Abmahnung (RAAG-Kanzlei, RA Lenard - Martin Ismail) - Müssen Sie bezahlen oder nicht?

Rechtsanwältin Sabine Sobola von der LiIDU GmbH rät ganz klar dazu, die Abmahngebühr nicht zu bezahlen. Verschickt werden Deutschlandweit hunderte, wenn nicht Tausende von Abmahnungen von der und Rechtsanwalt Lenard, die für ihre Mandanten ein Schmerzensgeld durchsetzen wollen. Die Höhe liegt dabei zwischen EUR 120,- und EUR 170,-.

Die Abmahnwelle rollt Google Fonts

Letzte Woche wurden viele Abmahnungen an Webseitenbetreiber geschickt, die Google Fonts dynamisch - und nicht statisch eingebunden haben. Was kann man nun tun, wenn man eine Abmahnung erhalten hat?

Ist Google Fonts rechtswidrig?

Über den Dienst Google-Fonts können Webseitenbetreiber eine große Anzahl von Schriftarten für ihre Website kostenlos nutzen. Aber ist die Nutzung von Google Fonts datenschutzrechtlich zulässig?

Ist die Google Fonts Abmahnung der RAAG Kanzlei oder Rechtsanwalt Lenard als Betrugsversuch zu werten?

Ausführliche Infos zu den Google Fonts Abmahnungen sowie ein Musterschreiben an die Abmahner finden Sie auf unserem Blog

Sind Rechtsanwälte und Ärzte strafrechtlich wegen Verletzung ihres Berufsgeheimnisses belangbar, wenn Google-Fonts dynamisch eingebunden wird?

Vorerst ist festzustellen, dass die Frage unabhängig von dem Einsatz von Google Fonts ist.

Die Übermittlung von personenbezogenen Daten, insbesondere einer IP-Adresse, an Dritte kann immer dann erfolgen, wenn Drittdienste oder -bibliotheken auf der Webseite eingebunden werden. Ob dieser Dritte sich in den USA oder Deutschland aufhält, ist für eine mögliche Strafbarkeit nach
§ 203 Abs. 1 StGB irrelevant. 

Gegen eine Strafbarkeit sprechen folgende Erwägungen:

• Die Webseite ist der Allgemeinheit zugänglich. Der Besuch lässt nicht den sicheren Schluss zu, dass zwischen dem Besucher und dem Rechtsanwalt oder Arzt ein Mandats- bzw. Patientenverhältnis besteht.

• Der Empfänger einer dynamischen IP-Adresse kann alleine anhand der IP-Adresse eine Person nicht identifizieren. Dass eine dynamische IP-Adresse dennoch ein datenschutzrechtlich relevantes Datum ist, resultiert aus dem äußert weiten Begriff des personenbezogenen Datums nach Art. 4 Ziff. 1 DSGVO. Ausreichend ist, dass die Person indirekt identifizierbar ist. Hierfür hat der EuGH in seinem Urteil zu dynamische IP-Adressen ausreichen lassen, dass der Benutzer mittels einer Anzeige bei den Strafverfolgungsbehörden von einem Webseitenbetreiber identifiziert werden kann. Nur bezüglich der amerikanischen Internetriesen Google, Facebook, Amazon und sonstigen Werbereisen ließe sich gegebenenfalls anführen, dass diesen eine Identifizierung mit Eigenmitteln möglich ist.

Weitere Überlegungen:

• Der Tatbestandsausschluss nach § 203 Abs. 3 S. 2 StGB wurde vom Gesetzgeber für die Situation geschaffen, dass der Anwalt oder Arzt auf externe Dienstleister zugreift. So wird in der Gesetzesbegründung der IT-Spezialist genannt, der Kenntnis von den in der IT-Anlage gespeicherten Daten hat (vgl. auch Uwer BeckOK Datenschutzrecht, Syst. F. Datenschutz bei den freien Berufen Rn. 140; Weidemann, BeckOK StGB, § 203 Rn. 39 f.). Diese Dienstleister können sich dann selbst nach § 203 Abs. 4 S. 1 StGB strafbar machen, wenn sie das Berufsgeheimnis weiterverbreiten.

• Fraglich bleibt jedoch, wie das „Erforderlichkeitskriterium“ von § 203 Abs. 3 S. 2 StGB zu interpretieren ist. Konkret würde die Frage lauten: Ist die Übertragung der IP-Adresse an Google für die Bereitstellung von wichtiger IT notwendig? Das ist schon aufgrund der Möglichkeit einer statischen Einbindung von Google Fonts allerdings nicht der Fall!

• BeckOK IT-Recht/Mansdörfer StGB § 203 Rn. 41-43: Das Kriterium der Erforderlichkeit hat zur Folge, dass sich die verantwortlichen Personen der Versicherung bei der Entscheidung, welcher Dienstleister im Einzelfall für eine Aufgabe hinzugezogen wird, kundig machen müssen, welche Eingriffe damit in die ihm anvertrauten Geheimnisse verbunden sind, und z.B. Anbieter ausschließen müssen, die sich weiterreichende Zugriffsmöglichkeiten als andere ausbedingen (in diesem Sinn auch Matt/Renzikowski/Altenhain, StGB, 2. Aufl. 2020, Rn. 60).

Ergebnis:

Eine Verletzung des Berufsgeheimnisses ist nicht gegeben, wenn Google Fonts ohne Einwilligung des Websitebesuchers von Ärzten/Rechtsanwälten dynamisch eingebunden wird, weil sich dadurch nicht notwendigerweise ein Mandats- oder Patientenverhältnis ergibt. (Würde dieses Ergebnis anders ausfallen, z.B. für geschlossene Systeme, auf die nur Patienten/Mandanten Zugriff haben und würde § 203 StGB grundsätzlich bejaht werden, würden keine Tatbestandsausschlüsse nach § 203 Abs. 3 StGB greifen.)

Stand: 09.11.2022

Ist eine Abmahnung wegen der Nutzung von Google-Fonts berechtigt, wenn nur über ein Newsletter-Tool die Anwendung „reCAPTCHA“ eingebunden wurde – und reCAPTCHA wiederum Google-Fonts dynamisch eingebunden hat?

Was ist reCAPTCHA?

reCAPTCHA ist ein von Google LLC betriebener CAPTCHA-Dienst, der Webseiten vor Spam und missbräuchlicher Nutzung durch Bots schützen soll.

•Es werden gewisse Parameter erfasst, um zu beurteilen, ob es sich bei dem Nutzer um einen Menschen oder ein Roboterprogramm handelt.

•Wie genau der von Google entwickelte Algorithmus funktioniert ist nicht öffentlich.

•Jedoch kann davon ausgegangen werden, dass die IP-Adresse, das Interaktionsverhalten des Nutzers und Informationen über die vom Nutzer verwendete Hardware erfasst werden.

•Außerdem werden beim Einsatz von reCAPTCHA eine Vielzahl von Cookies im Browser des Nutzers gesetzt.

Ist der Einsatz von reCAPTCHA, unabhängig von Google Fonts, datenschutzkonform möglich?

Da durch den Einsatz von reCAPTCHA auf dem Endgerät des Nutzers Cookies abgelegt und auf dem Endgerät gespeicherte Informationen zum Tracking abgerufen werden, bedarf es gem. § 25 Abs. 1 TTDSG mindestens der Einwilligung des Nutzers.

Sogar, wenn die Einwilligung eingeholt wird, ergeben sich bei dem Einsatz von reCAPTCHA weitere datenschutzrechtliche Probleme:

•Die Informationspflicht nach Art. 13 DSGVO: Für einen Verantwortlichen dürfte es schwierig werden zu beurteilen, welche Daten überhaupt von Google erhoben werden und v.a. zu welchen Zwecken

•Die Übermittlung der Daten in die USA: Hier ist zu beachten, dass die Unsicherheit, die Schrems II (C‑311/18) geschaffen hat, erhalten bleibt. Ob einzig der Abschluss von SCCs ausreichend ist, bleibt im Hinblick auf Rn. 134 ff. des Urteils fraglich. Denn dort bürdet der EuGH dem Verantwortlichen die Verpflichtung auf „(…) in jedem Einzelfall (…) zu prüfen, ob das Recht des Bestimmungsdrittlands nach Maßgabe des Unionsrechts einen angemessenen Schutz der auf der Grundlage von Standarddatenschutzklauseln übermittelten personenbezogenen Daten gewährleistet, und erforderlichenfalls mehr Garantien als die durch diese Klauseln gebotenen zu gewähren.“

•Ob dieser Schutz bei der Übermittlung an US-Unternehmen gewährleistet ist, ist im Hinblick auf die weitreichenden Eingriffsbefugnisse der US-Geheimdienste äußerst kritisch zu sehen. Aus oben genannten Gründen rät auch das Bayerische Landesamt für Datenschutz von dem Einsatz von reCaptcha ab und stellt klar, dass dem Verantwortlichen die Nachweispflicht für die Rechtmäßigkeit des Einsatzes nach Art. 5 Abs. 2 DSGVO trifft

Besteht auch beim Einsatz von reCAPTCHA die Google Fonts Problematik?

Die Google Fonts Problematik besteht bei jedem vom Google eingesetzten Tool, das Google Fonts einbindet. Hierzu gehört eben auch reCAPTCHA (und auch z.B. auch Google Maps).

Nach eigener LiiDU-Recherche scheint die Problematik bei dem Einsatz von reCAPTCHA und Google Maps zu sein, dass diese Google Fonts stets dynamisch einbinden. Selbst wenn Google Fonts auf derselben Webseite statisch eingebunden ist, laden die beiden Dienste Google Fonts dynamisch von den Google Servern.

Also: eine Nutzung von reCAPTCHA ohne Google Fonts scheint nicht möglich zu sein.

Bei dem Einsatz von reCAPTCHA ist mit Blick auf das Nachladen von Google Fonts das Einholen einer Einwilligung notwendig. Das LG München I hat zwar in seinem Urteil ein berechtigtes Interesse an dem Einsatz von Google Fonts mit der Begründung abgelehnt, dass Google Fonts vom Verantwortlichen auch statisch hätte eingebunden werden können. Das ist nun beim Einsatz von reCAPTCHA aber gerade nicht möglich. Jedoch ist aufgrund der großen Auswahl an alternativen Captcha Diensten die Annahme eines berechtigten Interesses fragwürdig. Beide Alternativen können aber nicht von den oben geschilderten Unsicherheiten befreien, die eine Datenübermittlung in die USA mit sich bringt.

Welche Alternativen gibt es?

LiiDU-Tipp:

Für Newsletter bietet sich ein sog. Honeypot an. Es wird in Formularen ein zusätzliches (verstecktes) Eingabefeld geschaffen. Es wird die Bedingung eingesetzt, dass das Formular nur verarbeitet werden darf, wenn dieses Feld leer bleibt. Da Bots nur den Quellcode sehen und alle Felder ausfüllen, werden diese als solche entlarvt.

Weitere Alternativen sind Friendly Captcha oder hCaptcha.

Herr Bachmann regt auch an zu prüfen, ob man nicht das reCaptcha generell herausnehmen kann, denn seiner Erfahrung nach ergeben sich hier keine Nachteile bezüglich Sicherheit.

(Erläuterungen: Die von hCaptcha behauptete DSGVO-Konformität steht nicht fest. Außerdem sitzt das Unternehmen in den USA. Die Einbindung von FriendlyCaptcha erfordert einen größeren technischen Aufwand als reCAPTCHA. FriendlyCaptcha sitzt in Deutschland.)

Stand: 26.10.2022

Wie kann ein Antwortschreiben (Muster) an die Google-Fonts Abmahner Rechtsanwalt Lenard oder die RAAG Kanzlei aussehen?

Ausführliche Infos zu den Google Fonts Abmahnungen sowie ein Musterschreiben an die Abmahner finden Sie auf unserem Blog

Wann kann bei einer Abmahnung Schadensersatz verlangt werden?

Ausführliche Infos zu den Google Fonts Abmahnungen sowie ein Musterschreiben an die Abmahner finden Sie auf unserem Blog