|
|
|
|
|
heute dürfen wir dir eine Stellungnahme der WKO und noch ein paar allgemeine Infos aktuellen Google Web Fonts Abmahnwelle in Österreich senden:
|
|
|
|
Leider ist dies, wie Sie bereits vermutet haben, kein Einzelfall. RA Hohenecker hat massenhaft Abmahnungen für seine Mandantin bzgl der Verwendung von Google Fonts auf der Webseite von Unternehmen ausgeschickt. Allesamt mit der Forderung von 100 Euro Schadenersatz und 90 Euro Kostenersatz. Das Geschäftsmodell der Massenabmahnungen ist in Österreich verpönt, es ist allerdings rechtlich nicht eindeutig unzulässig, insb., da sich der Anwalt auf eine konkrete Mandantin bezieht. Die Rechtsanwaltskammer sieht in diesem Fall bisher zumindest kein standeswidriges Verhalten.
|
Leider haben auch Vergleichsgespräche durch uns mit dem Anwalt nicht geholfen und auch andere Lösungsversuche sind bislang gescheitert. Es sind mittlerweile auch nicht nur Unternehmen betroffen, sondern auch Vereine, Apotheken usw. Zwar verweist der Anwalt darauf bereits Klagen eingebracht zu haben (vgl http://www.datenschutzanwalt.eu/fonts.html), das können wir derzeit jedoch noch nicht bestätigen. Eine Entscheidung der Datenschutzbehörde oder eines Zivilgerichts gibt es noch nicht.
|
Begründet wird der Schadenersatzanspruch jedenfalls mit der unzulässigen Weitergabe der IP Adresse der Mandantin durch die Verwendung von Google Fonts auf Websites in die USA. Da die USA ein unsicheres Drittland ist, ist diese Datenweitergabe unzulässig, sollten keine zusätzlichen Maßnahmen implementiert worden sein (zB Verschlüsselung, Pseudonymisierung, Einholung einer Einwilligung oÄ). Zur Höhe des Schadenersatzanspruches wird das Urteil eines deutschen Gerichts zitiert (LG München, Urteil vom 20.01.2022, Az. 3 O 17493/20), das leider rechtskräftig geworden ist. Dh der grundsätzliche Vorwurf, dass eine Datenweitergabe personenbezogener Daten in die USA DSGVO-widrig ist, ist richtig. Das Damoklesschwert ist grundsätzlich auch in Österreich da, wenngleich die österreichischen Schadenersatzprozess in Österreich wesentlich zurückhaltender sind.
|
Wir empfehlen jedenfalls folgende Vorgehensweise:
|
- Es sollte Kontakt mit dem Anwalt aufgenommen werden, wenn die Frist nicht eingehalten werden kann. 1-2 Wochen um die Angelegenheit mit einer externen IT zu prüfen, sind legitim. Auf allfällige Vorwürfe des Anwalts, dies sei binnen Minuten erledigt, muss nicht weiter eingegangen werden. Sie haben ein Anrecht auf eine angemessene Frist.
- Sie müssen unbedingt prüfen, ob
- Google Fonts im Einsatz ist und
- eine Datenübermittlung in die USA stattfindet (Google Fonts könnte auch zentral eingebunden sein, was zulässig ist)
- und ob die im Schreiben ausgewiesene IP-Adresse in irgendeiner verarbeitet wurde (Logfiles, oÄ).
- Das Auskunftsbegehren im Schreiben (Artikel 15 DSGVO) sollte jedenfalls und unabhängig beantwortet werden.
- Wird die IP Adresse nicht verarbeitet (dh Sie finden die IP Adresse in Ihren Systemen nicht oder haben Google Fonts zentral oder gar nicht eingebunden), kann eine Negativauskunft erteilt werden – s. gleich unten Variante 1 oder 2.
- Wird die IP Adresse verarbeitet, muss eine volle Datenauskunft erteilt werden – s. gleich unten Variante 3.
Variante 1: Wird Google Fonts lokal eingebunden oder gar nicht eingebunden, ist folgende Antwort an den Anwalt möglich (Achtung: Die IP Adresse darf tatsächlich nicht gespeichert werden und auch sonst darf die IP Adresse nicht durch andere Dienste verarbeitet werden wie zB durch Google Analytics oder Facebook Social Plugins):
|
Schreiben an den RA, wenn keine Daten übermittelt wurden:
|
„Sehr geehrter Herr Mag. Hohenecker,
|
Wir haben die von Ihrer Mandantin dargelegten Vorwürfe nach Rücksprache mit unseren IT-Experten geprüft und sind zum Schluss gekommen, dass diese falsch sind. Zwar wird auf unserer Webseite Google Fonts verwendet, jedoch werden hier aufgrund einer lokalen Lösung keine wie auch immer gearteten Daten an Google LLC oder sonstige Empfänger in den USA weitergegeben / Wir haben Google Fonts auf unserer Webseite nicht im Einsatz.
|
|
2. Zum Auskunftsbegehren:
|
|
Hinsichtlich des Auskunftsbegehrens gem. Art. 15 DSGVO verweisen wir darauf, dass keine Daten Ihrer Mandantin verarbeitet wurden oder werden, welche über Ihren Auskunftsantrag, die damit zusammenhängende Korrespondenz und die entsprechende interne Dokumentation hinausgehen.
|
Ihnen stehen grundsätzlich die Rechte auf Berichtigung, Löschung, Einschränkung und Widerspruch zu. Dafür wenden Sie sich an uns. Wenn Sie glauben, dass die Verarbeitung Ihrer Daten gegen das Datenschutzrecht verstößt oder Ihre datenschutzrechtlichen Ansprüche sonst in einer Weise verletzt worden sind, können Sie sich bei der Aufsichtsbehörde beschweren. In Österreich ist die Datenschutzbehörde zuständig.
|
Ich gehe davon aus, dass Ihr Schreiben als hinfällig zu betrachten ist.
|
Variante 2: Google Fonts wird verwendet und nicht lokal eingebunden. Die IP Adresse aus dem Schreiben scheint aber nicht auf:
|
Schreiben an den RA, wenn keine Daten übermittelt wurden:
|
„Sehr geehrter Herr Mag. Hohenecker,
|
Wir haben die von Ihrer Mandantin dargelegten Vorwürfe nach Rücksprache mit unseren IT-Experten geprüft und sind zum Ergebnis gekommen, dass diese falsch sind. Zwar wird auf unserer Webseite Google Fonts verwendet, jedoch scheint die IP Adresse Ihrer Mandantin nicht bei uns auf.
|
|
2. Zum Auskunftsbegehren:
|
|
Hinsichtlich des Auskunftsbegehrens gem. Art. 15 DSGVO verweisen wir daher darauf, dass keine Daten Ihrer Mandantin verarbeitet werden, welche über Ihren Auskunftsantrag, die damit zusammenhängende Korrespondenz und die entsprechende interne Dokumentation hinausgehen.
|
Ihnen stehen grundsätzlich die Rechte auf Berichtigung, Löschung, Einschränkung und Widerspruch zu. Dafür wenden Sie sich an uns. Wenn Sie glauben, dass die Verarbeitung Ihrer Daten gegen das Datenschutzrecht verstößt oder Ihre datenschutzrechtlichen Ansprüche sonst in einer Weise verletzt worden sind, können Sie sich bei der Aufsichtsbehörde beschweren. In Österreich ist die Datenschutzbehörde zuständig.
|
Ich gehe davon aus, dass Ihr Schreiben als hinfällig zu betrachten ist.
|
Variante 3: Google Fonts wird verwendet und nicht lokal eingebunden. Die IP Adresse aus dem Schreiben scheint auf:
|
In dieser Variante muss Ihr Kunde überlegen, ob er sich auf ein allfälliges Verfahren vor der Datenschutzbehörde oder vor einem Zivilgericht einlassen will. Wie erwähnt besteht die Möglichkeit, dass Klagen und Beschwerden eingebracht werden, wie erfolgsversprechend diese in Österreich sind, muss noch abgewartet werden.
|
Sie sollten zumindest auch begründen, weshalb kein Schadenersatz bezahlt wird, zB wurde IP Adresse zwar weitergegeben, jedoch wurde zB eine Verschlüsselung aktiviert (Achtung: Sollte die IT bestätigen können!) oder es wurden die Standarddatenschutzklauseln, der Auftragsverarbeitervertrag mit Google abgeschlossen und eine Einwilligung via Cookie-Banner für die Datenweitergabe eingeholt (Achtung: sollte nachweisbar sein!). Wenn das der Fall ist, kann argumentiert werden, dass daher kein Schaden für die Mandantin entstanden ist und die Voraussetzungen für einen internationalen Datentransfer in die USA sowie die Empfehlungen des EDSA (Empfehlungen des EDSA 01/2020 zu „zusätzlichen Sicherheitsgarantien“ vom 10.11.2020) eingehalten worden sind.
|
|
Jedenfalls sollten auf eine lokale Einbindung von Google Fonts – oder einen anderen Schriftenstil – umgestellt werden. Sollten dennoch eine Klage oder eine Beschwerde eingebracht werden, nehme Sie bitte jedenfalls nochmals Kontakt mit mir auf!
|
|
|
|
Noch mehr Infos zu dem Thema, die wir gesammelt haben:
|
|
|
|
Schöne Grüße,
Christoph Haubner
|
|
|
|
Hinweis / Haftungsausschluss:
|
|
Für den Inhalt dieser Mail oder den weiterführende Links übernehmen wir keine Haftung. Diese Mail ist keine Rechtsberatung und ersetzt keinen Anwalt.
|
|
|
|
|
|
|
|
|
