Vor einigen Tagen ist mir eine E-Mail von einem gewissen Herrn Meier ins Haus geflattert. Im Sinne des Datenschutzes beschränke ich mich darauf, hier nur den Nachnamen zu nennen. Ob es diesen spezifischen Herrn Meier tatsächlich gibt, ist unklar. Aber sicher ist sicher. Hier die besagte Mail im Wortlaut:
am 31/10/2022 um 15:03 Uhr besuchte ich Ihre Website http://++URL zu meinem alten Blog++ und musste erschreckend feststellen, dass diese ohne meine Zustimmung Schriftarten von Google Fonts beziehungsweise Googles Server geladen hat.
Wie ich mich erkundigt habe, wird dabei meine IP-Adresse, wodurch ich zumindest teilweise identifizierbar bin und auch mein Verlauf nachvollzogen werden kann, an Google und deren Server in den USA übermittelt.
Dieses dürfte nicht nur nach der DSGVO nicht zugelassen sein, vielmehr sehe ich mich auch in meiner informellen Selbstbestimmung verletzt, da ich nicht mehr weiß, was Google nun mit meinen Daten anfangen kann. Ähnlich ging es auch einem anderen Nutzer, hier urteilte bereits das Landgericht München 1 – Aktenzeichen 3 O 17493/20.
Ich habe mir erlaubt, einen entsprechenden Nachweis über die Einbindung der externen Google Fonts Ihrer Website http://++URL zu meinem Blog++ für eventuelle rechtliche Schritte abzuspeichern. Damit es nicht weiteren Nutzern so geht wie mir, fordere ich Sie hiermit auf, unverzüglich bis SPÄTESTENS 6/11/2022 sämtliche Google Fonts, die über die Server von Dritten geladen werden, dauerhaft zu entfernen und mir hierüber Rückmeldung zu geben.
Das Landgericht München hat entschieden, dass dem Nutzer ein Schadensersatz in Höhe von 100,00 Euro zusteht. Das sehe ich auch hierfür als angemessen an. Bitte überweisen Sie diesen ebenfalls bis zum 6/11/2022 auf mein Konto ++hier Stand eine IBAN++, Kontoempfänger: Meier.
Sollte ich bis zum 6/11/2022 keine Wiedergutmachung erhalten haben, muss ich mich bei meinem Rechtsanwalt über weitere Schritte erkundigen, damit ich weiß, wer wie wo was, über Ihre Website, mit meinen Daten passiert ist.
Das Landgericht München hat ebenfalls entschieden, dass bei Zuwiderhandlung ein Ordnungsgeld von 250.000,00 Euro, ersatzweise Haft, fällig wird. Auch wenn ich mich nicht dabei wohlfühle, wo meine Daten nun sind und was Google damit anstellt, möchte ich aber auch nicht, dass Sie eine solche Strafe tragen müssen, weil Ihnen ein Fehler unterlaufen ist.
Ich finde, jeder hat eine zweite Chance verdient, einen Fehler wiedergutzumachen, und ich biete Ihnen dies hiermit an. Vielleicht hilft es Ihnen, über Google finden Sie nützliche Anleitungen zum sicheren Einbinden von Google Fonts und auch diverse Anbieter, die Ihnen sicherlich dabei helfen können.
Nutzen Sie die Chance, ich habe bereits mit meiner Rechtsschutzversicherung telefoniert, die mir im Zweifel volle Kostenzusage für eine Klage erteilt hat.
Huch, eine Abmahnung wegen remote-Einbindung von Google Fonts? Ja, mir ist bekannt, dass eine Abmahnwelle läuft - aber eher von Kanzleien als von Privatpersonen oder? Und ich dachte, ich hätte alle meine Projekte bereits vor Längerem auf lokale Einbindung der Schriftarten umgestellt.
Na gut, first things first: prüfen, wie es um meinen alten Blog steht. Die Seite habe ich seit fast 6 Jahren nicht mehr gepflegt, nur automatisch mit Wordpress-Updates versehen. Und tatsächlich: die Seite ruft noch Google Fonts über die Google-Server ab. Zefix! Da hab ich wohl ein Projekt übersehen. Gefixt war das aber zum Glück innerhalb weniger Minuten.
Aber was ist nun mit der Abmahnung? Ist sie relevant? Soll ich zahlen? Sie ignorieren? Anwalt einschalten?
Ich habe folgendes herausgefunden und erfahren:
- Natürlich nicht zahlen!
- Eine Klage ist sehr unwahrscheinlich
- Die E-Mail ist mit sehr grosser Wahrscheinlichkeit automatisiert
- Ignorieren ist völlig okay - eine Antwort ist noch besser
Zu den einzelnen Punkten möchte ich einige Hinweise geben. Wichtig: es handelt sich hierbei nicht um Rechtsberatung.
Natürlich nicht zahlen
Selbst wenn ein solches Abmahnschreiben von einem Anwalt kommt, liest man überall im Netz den Rat: nicht einfach bezahlen. Natürlich wäre es der einfachste Weg: eine unangenehme Sache mit einer einfachen Zahlung final aus der Welt zu schaffen. Die Hürde ist mit 100-200 Euro auch ziemlich niedrig. Gleiches gilt für private Abmahner (hier liegt der Betrag meistens bei 100 Euro) Aber: Zahlen ist in der Regel die schlechteste Lösung und in der Regel auch gleich die Teuerste. Denn: nur weil eine Privatperson eine Mail schickt und quasi um 100 Euro bittet, müsst ihr dem natürlich nicht nachkommen. Wäre ja doof oder? Warum zahlen dann die Leute? Weil eine Drohung im Raum steht, dass der Absender bei Nichtbezahlen eine Klage einreicht.
Eine Klage ist sehr unwahrscheinlich
Aber wie hoch ist die Chance, dass der Absender tatsächlich Klage einreicht? Ich habe bei meiner Recherche 2 Dinge gelernt:
- für eine Klage am Landgericht muss offenbar immer ein Anwalt zugezogen werden. Das bedeutet, dass für den Absender schon mal Anwaltskosten auflaufen. Diese sind in der Regel deutlich höher als die 100 Euro, die der Absender als Schadenersatz haben möchte.
- Der Anwalt muss vor einer Klage immer abwägen, ob sie eine Erfolgschance hat oder nicht. Das ist ja schon wirtschaftlich sehr wichtig. Im konkreten Fall sind aber offenbar die Erfolgschancen sehr gering.
Warum würde eine Klage denn vermutlich gar keinen Erfolg haben? Dazu habe ich bei meiner Recherche die folgenden Gedanken gefunden und versuche sie in meinen Worten zusammenzufassen:
- Um ein Schmerzensgeld einfordern zu können (hier die 100 Euro) muss der Datenschutzverstoss (in dem Fall die Übermittlung einer IP-Adresse des Users in die USA zu Google) einen immateriellen Schaden ausgelöst haben. Das ist hier sehr sicher nicht der Fall, schon gar nicht ausschliesslich mit dem Argument "Unwohlsein".
- Wird ein Datenschutzverstoss selbst provoziert, macht sich der Absender offenbar mitschuldig und der obige immaterielle Schaden ist damit ausgeschlossen.
- Der Absender müsste zudem den erlittenen Schaden objektiv begründen und darlegen, dass die IP-Adresse tatsächlich unverändert in die USA übermittelt wurde.
Die E-Mail ist mit sehr grosser Wahrscheinlichkeit automatisiert
Im vorherigen Absatz bin ich darauf eingegangen, dass bei selbst provozierten Verstößen eine Mitschuldigkeit vorliegt. Die Folgefrage liegt damit auf der Hand: wie kann ich denn erkennen, dass dies im vorliegenden Fall auch so ist? Dafür gibt es in der obigen Mail einige Anhaltspunkte:
- Die Ansprache ist unpersönlich - auf meinen Websites ist immer ein Impressum vorhanden, dort findet sich auch mein voller Name. Eine seriöse Anfrage sollte daher zumindest auch in der Anrede meinen Namen tragen.
- Der eingesetzte Datumsstempel ist für eine händisch erstellte E-Mail eher unüblich (ich würde 31.10.2022 erwarten statt 31/10/22)
- Die Adresse zu meinen Blog wird mit http:// angegeben - die Website ist aber nur mit SSL-Verschlüsselung unter https:// zu erreichen (bzw. http wird immer auf https:// weitergeleitet) - ein tatsächlicher Besucher auf meiner Website hätte also auf jeden Fall die URL mit https:// angegeben.
- Der Text der E-Mail ist im exakten Wortlaut so im Netz bereits mehrfach zu finden - mindestens seit Juni 2022. Beispiele:
- https://www.it-recht-kanzlei.de/google-fonts-forderung-schadensersatz-privatperson.html
- https://www.verbraucherschutz.tv/2022/11/01/google-fonts-abmahnung-von-privat-medina-mathias-meier-und-co
- https://www.chefblogger.me/2022/06/16/kommt-lasst-uns-deutsche-abzocken-das-wird-ein-spass/
- https://www.drweb.de/google-fonts-datenschutzkonform-einbinden/
- Im Netz finden sich bereits Infos von anderen Personen, die von der gleichen oder anderen Personen mit genau diesem Text abgemahnt wurden. Es ist also definitiv kein Einzelfall und damit muss stark von einer automatisierten Suche zur Bereicherung ausgegangen werden.
- Und auch: die Website der Domain des Abenders ist ebenfalls nur per http zu erreichen und völlig leer:
Ignorieren ist völlig okay - eine Antwort ist noch besser
Was sollte man denn nun tun? Auch hierzu gibt es im Netz verschiedene Aussagen und verschiedene Handlungsempfehlungen (abgesehen von zahlen natürlich - das ist in keinem Fall eine sinnvolle Option ;)). Folgende Optionen habe ich dabei gefunden:
- ignorieren - die Chance, dass der Absender bei Nichtzahlung etwas tut, ist minimal
- ein Musterschreiben verwenden, um die Forderung zurückzuweisen
- einen Anwalt einschalten und die Angelegenheit durch diesen regeln lassen
Bei den ersten beiden Optionen ist klar: sie sind kostenlos. Mit Option 3 sind Kosten verbunden. In der Regel sind diese aber niedriger als die Forderung selbst - zumindest für das konkrete Abwehrschreiben.
Ich habe mich nach längerer Recherche erstmal auf ignorieren eingestellt, dann aber noch eine kostenlose Erstberatung von https://www.wbs.legal/ in Anspruch genommen, die sich mit solchen Fällen extrem gut auskennen. Dort wurde mir geraten, trotz allem ein Abwehrschreiben zu versenden. Es erhöht das Risiko nicht und falls- warum auch immer - der Absender doch weitere Schritte einleiten sollte, kann man nachweisen, dass man a) reagiert hat und b) die Forderung mit entsprechenden Argumenten zurückgewiesen hat. Dieser Argumentation bin ich dann gefolgt und habe Herrn Meier eine passende E-Mail auf Basis eines Musterschreibens zukommen lassen. WBS.Legal stellt selbst ein solches Schreiben online und kostenlos zur Verfügung: https://www.wbs.legal/it-und-internet-recht/datenschutzrecht/google-webfont-musterschreiben-61157/
Und nun? Nun warte ich ab. Eine Antwort auf meine Nachricht gab es bisher nicht. Die Frist von Herrn Meier endet erst morgen. Ich erwarte aber keine Antwort oder alternativ wieder eine automatisierte E-Mail, die mich nochmal um die Zahlung der 100 Euro bittet, ohne auf mein Schreiben einzugehen. Danach bin ich sehr sicher, dass Funkstille sein wird. Sollte sich noch etwas tun, werde ich das hier gerne wiedergeben :)