Info zu Datenschutz und Nachladen von Google Fonts

Update vom 24.08.2022. Unsere Analyse zu den Google Fonts Abmahnungen

Derzeit kommt es leider bei vielen Website-Betreibern zu Abmahnungen wegen der Verwendung von Google Fonts. Hier wären unsere Empfehlungen:

In den nächsten Tagen könnten noch einige Briefe von einem Anwalt namens Mag. Hohenecker kommen, dass eine besagte Dame Eva Z. ihren Datenschutz durch das Laden von Google Fonts verletzt sieht, da ihre IP-Adresse an Google weitergegeben wurde. Diese Zugriffe wurden sehr wahrscheinlich automatisiert von einem Bot erstellt, also würde es sich nicht um eine Verletzung des Datenschutzes handeln, sondern nur um’s Geld.

Wir würden folgende Vorgehensweise empfehlen (natürlich ohne Gewähr), aber mit den uns zur Verfügung stehenden Informationen sorgfältig zusammengefasst.

1. Google Fonts prüfen:

Wir prüfen derzeit alle von uns erstellten oder verwalteten Seiten, ob Google Fonts online geladen werden und sollte das der Fall sein, laden wir die Schriften lokal nach. Hier kann man das selbst nochmals überprüfen: https://website-bereinigung.de/blog/google-fonts-checker

2. lt. Info von WKO sollte man auf das Schreiben reagieren (Dokumente sind unten verlinkt), wir würden aber noch warten.

Folgendes wäre zu prüfen:

• Ist Google Fonts auf Ihrer Website im Einsatz?
• Findet eine Kommunikation mit dem Google Server statt?
• Wurde die im Abmahnschreiben ausgewiesene IP-Adresse überhaupt erfasst und weitergeleitet?
  Falls keine Weiterleitung der IP-Adresse in die USA nachweislich erfolgt, besteht diesbezüglich keine Forderung auf Schadenersatz.

Musterschreiben zur Auskunftserteilung
Information zur Auskunftspflicht

Ob in diesem Fall der geforderte Schadenersatz zusteht, kann aufgrund der in Österreich derzeit noch ungeklärten Rechtslage nicht eindeutig beantwortet werden lt. WKO.

Aber:

• Ob eine IP Adresse über Google Fonts an Google weitergegeben wurde, kann man nicht prüfen, die Serverlogs haben damit nichts zu tun und sind auch meist anonymisiert.
• Der Zeitpunkt des Zugriffs fehlt in dem Schreiben
• Die Screenshots haben meist nichts mit dem Thema Google Fonts zu tun, es ist nicht ersichtlich, ob sie geladen werden, wären also kein Beweis.

Wir werden deshalb alles nochmals von einem Anwalt prüfen lassen, bevor wir reagieren und halten euch auf dem Laufenden.
Wir hoffen außerdem, dass hier die Anwaltskammer einschreitet, da hier ein anderer Vorsatz als der Datenschutz dahintersteckt und vieles an dem Schreiben sehr dubios ist.

3. Cookie Hinweis aktualisieren:

Auch hier hat sich einiges geändert und das könnte der nächste Angriffspunkt von Anwälten sein. Wir sollten die Websites deshalb auf ein externes Tool umstellen, vor allem, weil die Cookies laufend gescannt werden sollten und weil sich rechtlich laufend Änderungen ergeben. Wir würden folgenden Anbieter empfehlen:
https://devowl.io/de/wordpress-real-cookie-banner/

Vorteile:

• In WordPress einfach als Plugin zu installieren
• Scannt alle Cookies
• Funktioniert mehrsprachig
• Kann an das Design der Website farblich angepasst werden
• wurde bereits von uns getestet und funktioniert

Der Aufwand alles zu Konfigurieren liegt hier bei ca. 2h pro Website und die laufenden Kosten liegen bei € 49,00 pro Jahr.

Bitte melden, wenn wir das gleich so umsetzen dürfen.

4. Zur Sicherheit die Datenschutzerklärung überprüfen lassen:
Sollte die Datenschutzerklärung nicht aktuell sein, dann bitte von einem Anwalt eures Vertrauens prüfen lassen.

Weitere Informationen zu dem Thema findet man außerdem hier:

https://www.derstandard.at/story/2000138472819/datenschutzanwalt-fordert-in-massenbrief-190-euro-von-websitebetreibern-fuer-google

https://www.dataprotect.at/2022/08/19/google-fonts-abmahnung-die-n%C3%A4chste-welle/

https://calysto-marketing.at/dsgvo/abmahnungen-wegen-nutzung-von-google-fonts-durch-rechtsanwalt-mag-hohenecker-im-namen-von-frau-eva-zajaczkowska-21-8-2022/

Bekanntmachungen der Datenschutzbehörde:

https://www.dsb.gv.at/download-links/bekanntmachungen.html

Falls euch das betrifft und bei weiteren Fragen dazu, bitte einfach an info@teamsisu.at wenden. Wir helfen gerne weiter.

1. Auskunft über die Speicherung und Verarbeitung der Daten

Wir haben bei uns am Server versucht festzustellen, ob man die IP eindeutig nachweisen kann und zumindest bei hetzner werden die letzten 3 Stellen durch eine Zufallszahl ersetzt. Das heißt dass man zumindest bei einem hetzner Server keine Rückschlüsse auf die Person ziehen kann und somit keine Daten zu beauskunften sind.

2. Die Schadensersatz-Forderung  

Um Schadenersatz zu fordern, muss bekanntlich ein konkreter Schaden vorliegen, in diesem Fall müsste alse eine konkrete Person geschädigt worden sein.

Bei unseren Analysen gab es bei einer betroffenen Website heuer aus dem Umfeld der IP-Adresse 212.95.8.xxx am 5.8. genau 9 Einträge.

Folgendes wurde an diesem Tag aufgerufen:

1. Die Website wurde aufgerufen und per 301 auf „www“ umgeleitet
2. Das Dokument geladen
3. Ein CSS File geladen
4. Ein weiteres CSS File geladen
5. 5 verschiedene lokale Fonts geladen

Das ist verdächtig, denn zu keinem Zeitpunkt wird ein Bild, ein Skript File, ein Favicon oder irgendetwas anderes geladen. Lädt man diese Website in einem vollwertigen Browser, sollten (insofern nichts gecached wurde) mindestens 43 Requests pro Seitenaufruf dieser Seite passieren.

Wir können also davon ausgehen, dass am 05.08.2022 von der IP Adresse 212.95.8.xxx kein Aufruf mit einem Browser wie Chrome oder Firefox stattgefunden hat, sondern die Website über ein, für normale Besucher ungewöhnliches Tool, wie z.B. einem Bot aufgerufen wurde.

Da es sich also ziemlich sicher nicht um eine Person handelt, gehen wir davon aus, dass auch kein personenbezogener Datensatz an Google weitergeleitet wurde und wenn die Datenschutzbehörde das prüft würden wir uns darauf berufen. Deshalb gibt es aus unserer Sicht keinen Schaden.

Ich hoffe wir konnten mit unserer Einschätzung etwas weiterhelfen, natürlich ohne Gewähr aber nach bestem Wissen & Gewissen.

Leider dürfen wir keine Tipps zur konkreten Vorgehensweise geben, aber wenn eine technische Dokumentation notwendig ist, können wir dabei unterstützen die Daten zu analysieren. Außerdem würden wir würden warten bis die Frist abläuft, da man beobachten sollte, was sich in den nächsten Tagen in dem Fall noch so tut.