Website-Betreiber erhalten aktuell Abmahnung und Schreiben mit Schadenersatzforderungen, wenn sie Google-Services wie Google Fonts (ohne Einwilligung) auf ihrer Website einsetzen. In diesen werden sofortige Zahlungen genauso wie die Abgabe einer strafbewehrten Unterlassungserklärung von den Website-Betreibern verlangt.
Du hast auch ein solches Schreiben erhalten? Dann erst mal tief durchatmen, einen Schritt zurücktreten und genau überlegen, was du tust. In Panik zu geraten, sofort zu zahlen und direkt eine Unterlassungserklärungen abzugeben, ist in der Regel keine gute Idee!
In folgendem Artikel erläutern wir dir ausführlich, warum gerade jetzt Abmahnungen zu Google Fonts und Co. im Umlauf sind, zeigen dir anhand uns vorliegenden Schreiben, was genau gefordert wird, ob die Abmahnungen überhaupt berechtigt sind und geben dir Tipps, wie du mit deinem Fall umgehen solltest.
Warum wird die Verwendung von Google-Services auf Websites abgemahnt?
Möchtest du Google-Services wie Google Fonts, Google Analytics, Google Tag Manager, Google Ads, Google reCAPTCHA und viele weitere auf deiner Website verwenden, so benötigst du hierfür in aller Regel eine Einwilligung deiner Website-Besucher. Eine solche Einwilligung kannst du über Consent Management Lösungen (auch als Cookie Banner bekannt) wie Real Cookie Banner einholen.
Google Services dürfen aus gleich drei Gründen in der EU nicht einfach so eingebunden werden:
-
- Verarbeitung personenbezogener Daten: Art. 6 DSGVO schreibt vor, dass du eine Rechtsgrundlage zur Verarbeitung personenbezogener Daten benötigst. Als personenbezogenes Datum gilt in der Regel auch die IP-Adresse deines Website-Besuchers. Sie muss zwangsläufig bei der Anfrage an einen Server, z.B. zum Herunterladen der Schriftarten von Google Fonts, übertragen werden. In den allermeisten Fällen kommt als Rechtsgrundlage nur eine informierte Einwilligung infrage. Website-Betreiber argumentieren gerne, dass sie ein berechtigtes Interesse daran hätten, z.B. Google Fonts in ihre Website einzubinden, was Gerichte jedoch verneint haben. Da du als Website-Betreiber die Verarbeitung der personenbezogenen Daten durch Google auslöst, wenn du z.B. Google Fonts in deine Website einbindest, musst du dich um die Einwilligung kümmern.
- Datentransfer in unsichere Drittstaaten: Art. 46 DSGVO schreibt vor, dass personenbezogene Daten nur in Drittländer – in denen die DSGVO nicht gilt – übermittelt werden dürfen, wenn in unserem Fall Google geeignete Garantien zum Datenschutz geben kann und deinen Website-Besuchern durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen. Die Google Muttergesellschaft ist ein US-Unternehmen und Daten deiner Website-Besucher werden von Google auch in den USA verarbeitet. Gleichzeitig hat das EuGH in der Rechtssache C-311/18 (Schrems II) festgestellt, dass diese Voraussetzungen in den USA für EU-Bürger nicht gegeben sind. Das hat zur Folge, dass Datenübertragungen in die USA erst mal prinzipiell verboten sind! Website-Betreiber versuchen sich damit zu helfen, dass sie spezielle Einwilligungen ihrer Website-Besucher nach Art. 49 abs. 1 lit. a DSGVO einholen, indem sie die Besucher über die Gefahren durch die Datenübertragung aufklären. Ob diese Einwilligungen rechtswirksam sind, kommt auf den konkreten Einsatz des Services an und ist nicht pauschal zu beantworten. Allgemein gilt aber: Wenn du Services aus den USA wie von Google einsetzen möchtest, solltest du immer diese spezielle Einwilligung einholen. Damit zeigst du zumindest deinen Willen, alles richtigzumachen.
- Cookies: Die ePrivacy-Richtlinie schreibt vor, dass technisch nicht essenzielle Cookies und Cookie-ähnliche Informationen nur nach der vorherigen Einwilligung des Website-Besuchers gelesen/geschrieben werden dürfen (siehe in Richtlinie 2009/136/EG Erwägungsgrund 66 und in § 25 TDDDG (früher TTDSG)). Viele Google-Services, wie Google Analytics, arbeiten mit Cookies, um unter anderem deine Website-Besucher bestmöglich zu tracken. Daher kommst du nicht drumherum, eine Einwilligung für die meisten Google Services einzuholen.
Fassen wir zusammen: Du benötigst eine Einwilligung für die Verarbeitung personenbezogener Daten, den US-Datentransfer und meistens auch für Cookies, wenn du Google-Services auf deiner Website einsetzen möchtest. Außerdem muss die Einwilligung einigen rechtlichen Anforderungen erfüllen, was erfahrungsgemäß nicht jedes (kostenloses) Cookie Banner erfüllt. Du solltest bei der Auswahl des passenden Tools also aufpassen!
Urteil LG München (AZ 3 O 17493/20) ermuntert zum Abmahnen
Du setzt Google-Services ohne oder mit unzureichender Einwilligung auf deiner Website ein? Dann besteht hier auf jeden Fall Handlungsbedarf! Aber vielleicht hast du schon einige Jahre diesen Verstoß auf deiner Website und wunderst dich, warum du gerade jetzt eine Abmahnung oder einen Brief mit Schadenersatzforderungen erhalten hast.
Das LG München hat in AZ 3 O 17493/20 im Januar 2022 geurteilt, dass der Einsatz von Google Fonts nur mit der Einwilligung des Website-Besuchers zulässig sei. Das Pikante an der Entscheidung ist, dass dem Kläger 100 € Schadenersatz für die Übermittlung seiner IP-Adresse an Google Fonts zugesprochen wurde.
Die Rechtslage ist laut dem Newsletter von RA Dr. Schwenke jedoch weniger klar, als die Berichterstattung über das Urteil suggeriert. Es sei unklar, ob ein Schmerzensgeld von 100 € nicht zu hoch sei (vergleiche aus Ausführungen von Mauß Datenschutz zur Bemessung von Schadenersatzforderungen nach DSGVO). Außerdem wurde in dem Urteil nicht geklärt, ob das sehr geringe Risiko von Geheimdienstaktivitäten durch die Übertragung der IP-Adresse in Folge des Aufrufs einer gewöhnlichen Website berücksichtigt wurde. Das müssten höhere Instanzen wie das OLG oder der BGH klären.
Ungeachtet dessen animiert das Urteil aktuell Menschen, Abmahnungen und Briefe mit Schadenersatzforderungen an Website-Betreiber zu versenden, wenn diese Google Fonts oder andere Google-Services auf ihrer Website (ohne Einwilligung) einsetzen.
Wer verschickt die Abmahnungen und was wird gefordert?
Eine Abmahnung zu erhalten, ist zunächst nicht positiv. Jedoch ist eine Abmahnung ein tolles deutsches Rechtskonstrukt, denn sie ermöglicht es eine kostengünstige außergerichtliche Einigung zu erzielen, anstatt gleich in ein teures Klageverfahren vor Gericht einzusteigen. Typischerweise werden Abmahnungen im Wettbewerbsrecht versendet. Zum Beispiel mahnt Online-Shop A den Online-Shop B ab, da sich B einen unfairen und unrechtmäßigen Vorteil herausgenommen hat. Ziel ist es also, außergerichtlich eine Lösung zu finden, damit beide Online-Shops die gleichen Chancen haben, Kunden zu gewinnen.
Bei den Abmahnungen von Google-Services auf Websites ist das anders. Wir haben von Real Cookie Banner Nutzern bislang ausschließlich Abmahnungen oder Schreiben mit Schadenersatzforderungen von Privatpersonen gesehen. Diese agieren bislang in eigenem Namen und ohne Rechtsanwalt. Besonders aktiv scheinen Nikolaos Ioannidis (Ort unbekannt) und Loris Bachert (aus Heidelberg mit Absender-Postfach in Mosbach) zu sein.
Die Schreiben, welche unsere Kunden erhalten haben, wurden bislang immer per E-Mail versendet. In den Schreiben werden unterschiedliche Forderungen aufgestellt, die sich in folgende Kategorien einteilen lassen:
- Schadenersatz: Der Website-Betreiber wird dazu aufgefordert, z.B. Google Fonts von seiner Website zu entfernen und für den bereits begangenen Datenschutzverstoß einen Schadenersatz von z.B. 100 € auf das Bankkonto des Absenders der E-Mail zu überweisen.
- Strafbewehrte Unterlassungserklärungen: Der Website-Betreiber wird dazu aufgefordert, z.B. Google Fonts von seiner Website zu entfernen und gegenüber des Absenders der E-Mail per Post eine Unterlassungserklärungen abzugeben, in dem er zusichert, nie mehr Datenschutzverstöße mit Google-Services auf seiner Website zu begehen. Falls er gegen diese Auflage verstoßen sollte, verpflichtet er sich pro Datenschutzverstoß z.B. 3.000 € Strafe an den Absender der E-Mail zu bezahlen.
Solltest du als Abgemahnter der Forderung innerhalb der gesetzten Frist nicht nachkommen, so könnte der Abmahner Klage gegen dich erheben. Zu beachten gilt hierbei, dass sich der Kläger (wie auch der Angeklagte) einem hohen Prozesskostenrisiko aussetzt. Betrachtet man, dass die Abmahner Privatpersonen (ohne Rechtsanwalt) sind, solche E-Mails offensichtlich an einer Vielzahl an Website-Betreiber versenden und die Rechtslage nicht höchstrichterlich geklärt ist, würden sie sich selbst einem hohen finanziellen Risiko aussetzen. Daher glauben wir, dass in vielen Fällen keine Klage erhoben wird, wenn man den Forderungen der Abmahner nicht nachkommt.
Die Abmahner könnten, anstatt Klage zu erheben, den Datenschutzverstoß auch bei der für dich zuständigen Datenschutzbehörde melden. Dabei hätten sie kein Prozesskostenrisiko, könnten aber auch keinen finanziellen Vorteil erlangen. Jedoch ist auch hier unserer Erfahrung nach nicht viel zu befürchten. Die Behörden haben als Primärziel, den Datenschutzverstoß abzustellen. Dazu wirst du in der Regel per Post aufgefordert. Meist wird nur dann ein Bußgeld verhängt, wenn du der Aufforderung nicht fristgerecht nachkommst. Für ein besseres Verständnis der Ziele von Datenschutzbehörden können wir dir Folge 102 des Podcasts "Rechtsbelehrug" von RA Dr. Schwenke ans Herz legen!
Ist die Abmahnungen berechtigt?
Du bist mit in einer Abmahnung mit der Behauptung konfrontiert, einen Datenschutzverstoß begangen zu haben. Egal, ob du bereits eine Consent Management Tool wie Real Cookie Banner verwendest oder nicht, solltest du jetzt überprüfen, ob die Behauptung bei dir zutreffend ist. Denn der Abmahner hat - in den uns vorliegenden Fällen - vorwiegend ein finanzielles Interesse, diese Behauptung aufzustellen.
Besteht auf den abgemahnten Websites überhaupt ein Datenschutzverstoß?
Zunächst solltest du technisch prüfen, ob z.B. Google Fonts überhaupt vor einer Einwilligung auf deiner Website eingebunden wird. In unserem Artikel "Wie finde ich alle Services (Cookies) auf meiner Website?" wird dir Schritt-für-Schritt erklärt, wie du prüfst, ob Einbettungen aus externen Quellen (im Beispiel Google Fonts Server) auf deiner Website stattfinden. Diese Prüfung sollt ausreichend sein und Cookies müssen nicht geprüft werden, wenn der Abmahner seiner Forderung auf die Übertragung der IP-Adresse abstellt und nicht auf das Setzen von Cookies.
💡 Gut zu Wissen: Abgemahnte Nutzer von Real Cookie Banner PRO können gerne ein Support-Ticket eröffnen und wir prüfen kostenfrei und unverbindlich, ob die Behauptung aus der Abmahnung technisch für uns nachvollziehbar ist.
Bei abgemahnten Nutzern von uns, mussten wir bereits mehrfach feststellen, dass aus unserer Sicht kein Datenschutzverstoß vorliegt. Ein Teil der Abmahner setzen mutmaßlich auf eine statische HTML-Analyse, um die Forderungen automatisch zu generieren. Dabei wird nicht berücksichtigt, dass durch den Content Blocker von Real Cookie Banner z.B. die Einbindung von Google Fonts bis zur Einwilligung verhindert wird.
Liebe Abmahner: Bitte korrekt prüfen - dann abmahnen. Eine statische HTML-Analyse ist technisch gesehen ein äußerst unvorteilhafter Ansatz. Denn, dabei wird die IP-Adresse noch gar nicht an Google übertragen (das passiert erst durch das Rendering im Browser) 😉
Sind die Beweisführungen bei den Abmahnungen korrekt?
Gehen wir davon aus, dass auf deiner Website tatsächlich ein Datenschutzverstoß vorliegt. Dann bedeutet dies nicht zwingend, dass die Abmahnung Bestand haben wird, denn der Abmahner muss den Rechtsverstoß korrekt darlegen oder teils beweisen.
In den uns vorliegenden Abmahnungen konnten teils folgende Angaben nur unvollständig oder gar nicht aufgefunden werden:
- Konkrete URL, auf welcher der Datenschutzverstoß gefunden wurde
- Exakter Zeitpunkt des Datenschutzverstoßes
- IP-Adresse des Aufrufers (vielleicht war er ja nie auf der Website, was in Logs überprüft werden kann 😉)
- Konkrete URL oder HTML, welches die unberechtigte Datenübertragung auslöste
- Screenshots/Protokolle des Netzwerksverkehrs und Kopie des kompletten ausgelieferten HTMLs etc., dass den Zustand der Website zum Zeitpunkt des Aufrufs dokumentiert
- Adresse des Abmahners (es wurde teilweise keine ladungsfähige Postanschrift in der Abmahnung angegeben und auf der eigens verlinkten Website des Abmahners wurden 500er Error ausgegeben, kein HTTPS verwendet, keine Datenschutzerklärung und kein Impressum erstellt usw. Das wirkte auf uns doch etwas unseriös... 🤦)
- Adresse des Absenders hinter einem Postfach versteckt (rechtlich betrachtet eine nicht ladungsfähige Adresse, womit eine mögliche negative Feststellungsklage des Abgemahnten gegenüber des Abmahners nicht zugestellt werden könnte)
Außerdem enthalten die Schreiben teils offensichtlich widersprüchliche oder irreführende Aussagen. Zum Beispiel gibt ein Abmahner an, die Gelegenheit zu geben, den "Datenschutzverstoß selbst und ohne [...] rechtliche Konsequenzen abzustellen", wobei er zugleich zur Abgabe einer strafbewehrten Unterlassungserklärung (rechtliche Konsequenz) drängt.
Kann überhaupt abgemahnt und Schadenersatz geltend gemacht werden?
Angenommen du begehst den abgemahnten Datenschutzverstoß und die Beweisführung des Abmahnenden ist korrekt vollbracht worden, gilt es eine weitere Frage zu klären: Durftest du überhaupt abgemahnt werden?
Gemäß Art. 79 DSGVO hat "[j]ede betroffene Person [...] unbeschadet eines verfügbaren [...] außergerichtlichen Rechtsbehelfs [...] das Recht auf einen wirksamen gerichtlichen Rechtsbehelf, wenn sie der Ansicht ist, dass die ihr aufgrund dieser Verordnung zustehenden Rechte infolge einer nicht im Einklang mit dieser Verordnung stehenden Verarbeitung ihrer personenbezogenen Daten verletzt wurden". Daraus lässt sich ableiten, dass DSGVO-Verstöße abgemahnt (außergerichtlichen Rechtsbehelfs) werden dürfen. Es gibt jedoch eine Vielzahl weiterer Rechtsvorschriften, durch die das Recht eingeschränkt wird und die Rechtslage komplex wird. Eine Auflistung von Verfahren durch die IT-Recht Kanzlei München zeigt, dass Gerichte in alle Richtungen entscheiden oder die Frage in Verfahren offen lassen. Wir gehen im Folgenden zur Vereinfachung aber einmal davon aus, dass Privatpersonen die widerrechtliche Einbindung von Google-Services auf Websites abmahnen dürfen.
Sind die Abmahnungen rechtsmissbräuchlich?
Die Abmahnungen gegen die Einbindung von Google-Services auf Websites wird laut dem Händlerbund, Datenschutz Notizen, Mauß Datenschutz und weiterer Quellen aktuell massenhaft versendet. Außerdem behauptetet ein Abmahner in einer uns vorliegenden Abmahnung, er hätte eine Software entwickelt, welche die Website automatisch aufgerufen hätte, um das Schreiben an den Website-Betreiber zu erstellen.
Zunächst gilt zu bedachten, dass die DSGVO nach Art. 1 Abs. 1 DSGVO in Verbindung mit Erwägungsgrund 14 für natürliche Personen gilt – nicht aber für Bots. Hat der Abmahnende also nicht selbst die Website aufgerufen, sondern ein Bot (vom Abmahner entwickelte Software), so könnte man sich die Frage stellen, ob überhaupt personenbezogene Daten an Google übermittelt wurden. Der Internetanschluss und damit auch die IP-Adresse des Absenders dürften die des Abmahners sein, aber nicht er hat die konkrete Anfrage an die Google-Server gestellt.
Viel relevanter ist jedoch der massenhafte (automatische) Versand der Schreiben. Es drängt sich dabei die Vermutung auf, dass der Abmahner das Versenden der Schreiben als Geschäftsmodell sehen könnte, um einen Zusatzverdienst zu erwirtschaften. Es ist fraglich, ob ein Schadenersatz angesetzt werden kann, wenn ein Schaden wissentlich und mit dem Ziel der eigenen Bereicherung herbeigeführt wurde. Mauß Datenschutz führt dazu an, dass nach § 254 Abs. 1 BGB der Abmahnende sich zumindest eine Mitschuld anrechnen lassen müsste, wodurch nach § 254 Abs. 2 BGB eine Schadensminderung berücksichtigt werden müsste.
Das LG München hat in AZ 3 O 17493/20 den Schadenersatz wie folgt begründet:
„Der […] Eingriff in das allgemeine Persönlichkeitsrecht ist im Hinblick auf den Kontrollverlust des Klägers über ein personenbezogenes Datum an Google, ein Unternehmen, das bekanntermaßen Daten über seine Nutzer sammelt und das damit vom Kläger empfundene individuelle Unwohlsein so erheblich, dass ein Schadensersatzanspruch gerechtfertigt ist.“
Wer demnach ein personalisiertes Massenschreiben versendet, sollte auch deswegen keinen Schadenersatz geltend machen können, weil er die Datenübertragung an Google Fonts nicht unwissentlich und gegen den Willen der betroffenen Person (Kontrollverlust) stattfand. Stattdessen hat der Abmahner aktiv versucht hat den Schaden zu erwirken, indem er (automatisiert) massenhaft Websites aufgerufen hat, in der Hoffnung Websites zu finden, die den Schaden erzeugen (vergleiche OLG Frankfurt Az. 6 U 101/14; bezogen auf ein Unternehmen anstatt einer Privatperson als Abmahner).
Einschätzung der Lage: Kühlen Kopf bewahren!
Wir haben im Vorangegangen erläutert, dass Google-Services wie Google Fonts in der Regel nur mit einer informierten Einwilligung in Websites eingebunden werden dürfen. Ob Services von US-amerikanischen Diensteanbietern überhaupt noch mit speziellen Einwilligungen eingesetzt werden dürfen, lässt sich weder pauschal noch abschließend beantworten. Ein Urteil des LG München aus dem Januar 2022 hat dem Kläger wegen des Einsatzes von Google Fonts 100 € Schadenersatz für einen Website-Aufruf zugesprochen, was andere Menschen zum Schreiben von Abmahnungen und Briefen mit Schadenersatzforderungen motiviert. Insbesondere, ober der hohe Schadenersatz gerechtfertigt war, ist aber umstritten.
Uns bekannte Schreiben mit Forderungen gegen Website-Betreiber werden von Privatpersonen ohne Rechtsanwalt versendet. Sie fordern Schadenersatz und/oder die Abgabe einer strafbewehrten Unterlassungserklärung (mit teuren Vertragsstrafen bei erneuten Verstößen). Aufgrund des hohen Prozesskostenrisikos und der nicht ganz klaren Rechtslage nehmen wir an, dass diese abmahnenden Privatpersonen in vielen Fällen keine Klage erheben werden. Bei einer alternativ möglichen Meldung der Website-Betreiber gegenüber Datenschutzbehörden ist zunächst die Aufforderung zur Abstellung des Datenschutzverstoßes zu erwarten und Bußgelder nur, wenn dieser Aufforderung nicht nachgekommen wird.
Uns bekannte Abmahnungen wurden teils ausgesprochen, obwohl wir keinen Datenschutzverstoß auf der Website nachvollziehen konnten, da die Abmahner technisch teils sehr unsauber prüfen. Die Beweisführung war in den meisten uns vorliegenden Abmahnungen unseres Erachtens nach auch angreifbar. Nachdem die Abmahnungen vermutlich aktuell massenhaft und automatisiert versendet werden, könnten diese auch rechtsmissbräuchlich sein, wodurch nur ein geminderter oder kein Schadenersatz mehr angesetzt werden dürfte.
Was solltest du tun, wenn du eine Abmahnung erhalten hast?
Zuallererst einen kühlen Kopf bewahren und auf keinen Fall sofort bezahlen oder gar unmittelbar die strafbewehrte Unterlassungserklärung abgeben! Die aktuell im Umlauf befindlichen Abmahnungen wegen des Einsatzes von Google Fonts und anderen Google-Services auf Websites sind kritisch zu betrachten. Viele Abmahnungen bieten Angriffsfläche, um diese abzumindern oder vollständig abzuwehren. Teils liegt auch gar kein Datenschutzverstoß vor, obwohl dieser vom Abmahner behauptet wird.
Du solltest deinen Einzelfall jetzt genau überprüfen! Unsere allgemeinen Ratschläge aus diesem Artikel werden dir helfen, ein erstes eigenes Bild von deinem Fall zu schaffen. Aus unserer Sicht ist es bei einem Teil der Abmahnungen vertretbar, überhaupt nicht zu reagieren, den geforderten Schadenersatz nicht zu bezahlen und keine Unterlassungserklärung abzugeben. Aufgrund der überschaubaren Verfahrenskosten im Falle eines Gerichtsverfahrens kann selbst bei einem negativen Ausgang des Verfahrens dieser verschmerzt werden. Letztlich ist es aber eine unternehmerische Abwägung in Einzelfall.
Folgendes solltest auf jeden Fall tun, wenn du eine Abmahnung wegen Google-Services erhalten hast:
- Versuche technisch zu ermitteln, ob der Datenschutzverstoß wirklich vorliegt. Falls ja, stelle ihn zeitnah ab, indem du z.B. die Consent Management Lösung Real Cookie Banner (für WordPress-Websites) einsetzt oder auf den problematischen Service verzichten kannst.
- Falls du das Risiko und deine Möglichkeiten zur Reaktion auf die Abmahnung nicht einschätzen kannst, kontaktiere einen Datenschutz- und IT-Recht-Anwalt deines Vertrauens. Beachte aber, dass du die Beratungskosten bei einer außergerichtlichen Auseinandersetzung in der Regel selbst tragen musst.
- Falls du (und dein Anwalt) sich sicher sind, dass kein Datenschutzverstoß vorliegt (und du vielleicht eine Rechtsschutzversicherung hast), überlege eine negative Feststellungsklage gegen den Abmahner anzustreben. Damit machst du nicht nur deinem Ärger Luft, sondern hilft auch Abmahnern das Geschäftsmodell zu entziehen. Das wird vielen anderen Website-Betreibern Schrecken und schlaflose Nächte ersparen! Und für die ganz Pfiffigen unter euch: Der Abmahner muss den eingetriebenen Schadenersatz versteuern. Hast du dafür keinen hinreichenden Beleg von dem Abmahner erhalten, wird sich das zuständige Finanzamt des Abmahners bestimmt über einen Anruf von euch freuen. 🥳 💥