Neue Abmahnungen von RA Lenard wegen Google Fonts - wie reagieren?
Noch immer erreichen tausende von Seitenbetreibern am Tag Abmahnungen, in denen RA Kilian Lenard aus Berlin im Namen von Mitgliedern einer „Interessengemeinschaft Datenschutz“ aufgrund vermeintlicher Datenschutzverstöße bei der Nutzung von Google Fonts 170,00€ einfordert. Was es damit auf sich hat und wie Betroffene reagieren sollten, zeigen wir in diesem Beitrag.
Inhaltsverzeichnis
- I. Die datenschutzrechtliche Problematik der Google Webfonts
- II. Neue Forderungswelle: RA Lenard aus Berlin fordert Schadensersatz von 170,00€
- III. Was ist von den neuen anwaltlichen Ersatzforderungen zu halten?
- IV. Sollte den Forderungen stattgegeben werden?
- V. Muster-Verteidigungsschreiben für Mandanten
- VI. Wie und mit welcher Frist sollte das Muster-Verteidigungsschreiben versendet werden?
- VII. Was passiert nach der Versendung des Schreibens?
- VIII. Google Fonts: Datenschutzkonformität herstellen und rechtlichen Problemen vorbeugen
I. Die datenschutzrechtliche Problematik der Google Webfonts
Seit geraumer Zeit sind „Webfonts“ in aller Munde.
Bei diesen handelt es sich um online-basierten Services für das Laden von Schriftarten und Typographie-Elementen auf Websites.
Sind Webfonts (etwa solche von Google) auf einer Website eingebunden, wird bei Seitenaufruf eine Verbindung zum Google-Netzwerk aufgenommen wird, damit die verwendeten Schriftstile geladen werden können.
Durch diese Verbindungsaufnahme kommt es zur Übertragung von Nutzerinformationen, insbesondere der personenbezogenen IP-Adresse, an Google.
Diese Übertragung ist nun aus zweierlei Gründen problematisch.
Einerseits fehlt es an einer hinreichenden datenschutzrechtlichen Rechtfertigung für die Informationsübermittlung an Google. Insbesondere können sich Seitenbetreiber nicht auf berechtigte Interessen an der graphisch ansprechenden Seitengestaltung gemäß Art. 6 Abs. 1 lit. f DSGVO stützen, weil hierfür die Übermittlung personenbezogener Daten an Google nicht zwingend erforderlich ist.
Andererseits werden Informationen, darunter auch die personenbezogene IP-Adresse, zumindest auch an Google-Server in den USA übertragen. Drittstaatentransfers sind aber datenschutzrechtlich nur nach den strengen Voraussetzungen der Art. 44 ff. DSGVO zulässig und aktuell für das Zielland USA allgemein nicht rechtskonform möglich, weil es wegen weiter Datenzugriffsbefugnisse der US-Geheimdienste an einem hinreichenden Schutzniveau für personenbezogene Daten fehlt.
II. Neue Forderungswelle: RA Lenard aus Berlin fordert Schadensersatz von 170,00€
Nachdem bereits etliche Privatpersonen versuchten, unter Berufung auf das Urteil des Landgericht München I vom 20.01.2022 (Az. 3 O 17493/20) Seitenbetreiber wegen der Einbindung von Google Webfonts durch Ersatzforderungen unter dem Deckmantel einer Datenschutzverletzung bares Geld aus der Tasche zu locken, kursiert nun eine neue Welle von Ersatzforderungen.
Mit immer identischem Inhalt geht der Berliner Anwalt Kilian Lenard derzeit im Namen von Privatpersonen gegen Seitenbetreiber vor.
Diese Personen seien Mitglieder einer sog. „Interessengemeinschaft Datenschutz“ und bei einem willkürlichen Besuch auf betroffenen Websites an die Information gelangt, dass bestimmte personenbezogene Informationen (darunter die IP-Adresse) durch das Laden von Google Webfonts in unzulässiger Weise an Google übermittelt worden seien.
Mangels Rechtfertigungsgrundlage für diese Datenübermittlung habe der Seitenbetreiber eine Datenschutzverletzung begangen, die den Mandanten in seinem Recht auf informationelle Selbstbestimmung (§ 823 Abs. 1 BGB) beeinträchtige.
Dies rechtfertige einen Schadensersatz von 170,00€, bei dessen alsbaldiger Begleichung die Angelegenheit als erledigt betrachtet werden könne.
Diese Schreiben erreichen noch immer tausende von Seitenbetreibern in Deutschland. Die Abmahnwelle scheint nicht abzuklingen.
III. Was ist von den neuen anwaltlichen Ersatzforderungen zu halten?
Nach Ansicht der IT-Recht Kanzlei handelt es sich auch bei der Forderungswelle um einen fragwürdigen, rechtlich durchaus verwerflichen Versuch, unter Berufung auf eine vermeintliche Datenschutzverletzung finanzielle Mittel bei den betroffenen Seitenbetreibern zu lockern und eine eigene finanzielle Bereicherung in nicht unerheblichem Umfang zu erzielen.
Dabei schwingt sich Herr RA Lenard als deutscher Anwalt zum Schirmherrn der Welle auf, um den Forderungen – nun anwaltlich – Nachdruck zu verleihen und ihnen einen Charakter der Beachtungswürdigkeit und Bedrohlichkeit zu verleihen.
Neu ist, dass die Schreiben Seitenbetreiber aktuell erst kurz vor oder bereits nach Ablauf der von RA Lenard gesetzten Frist erreichen – wohl ein geplanter Schachzug, um zusätzlichen Druck zu erzeugen.
IV. Sollte den Forderungen stattgegeben werden?
Nein, davon ist zwingend abzuraten.
Es ist nämlich anzunehmen, dass es RA Lenard und seiner Mandantschaft offensichtlich nicht um die Wahrung des Datenschutzes, sondern um die schnelle Beschaffung finanzieller Mittel unter anwaltlicher Drohgebärde geht.
Dies liegt bereits deswegen auf der Hand, weil neben dem Ersatzanspruch keine datenschutzrechtlichen Ansprüche, insbesondere kein Auskunftsanspruch, geltend gemacht werden.
Es ist daher mehr als naheliegend, dass mit den Schreiben datenschutzfremde, nämlich finanzielle Interessen verfolgt werden, die aufgrund der Menge und aufgrund des gezielten Aufsuchens einschlägiger Websites mit dem Motiv, sich sehenden Auges in die gerügte Datenschutzverletzung hineinzubegeben, um aus dieser sodann Ansprüche ableiten zu können, als rechtsmissbräuchlich angesehen werden können.
Hinzu kommt, dass für die Ersatzfähigkeit eines immateriellen Schadens nach der DSGVO nicht nur die Behauptung einer bloßen Datenschutzverletzung ausreicht. Vielmehr müsste gleichzeitig substantiiert dargelegt werden, dass diese Verletzung auch zu einer Beeinträchtigung von persönlichkeitsrechtlichen Belangen geführt hat, die über ein bloßes Gefühl des Unbehagens hinausgehen.
Dazu wird in den gegenständlichen Schreiben aber gerade nichts vorgetragen. Vielmehr nimmt RA Lenard aus Berlin fälschlicherweise an, allein der gerügte Datenschutzverstoß führe unmittelbar zu einem Anspruch auf Schadensersatz.
Ob dies unwissentlich oder absichtlich zum Zwecke der schnellen Forderungseintreibung erfolgt, sei dahingestellt.
Weil es sich bei der erneuten Forderungswelle aller Voraussicht nach um eine rechtsmissbräuchliche Geltendmachung von Ersatzansprüchen handelt, wären diese bereits unzulässig.
Immerhin sind die Forderungen materiell aber unbegründet, weil es an der Geltendmachung eines konkreten Schadens fehlt. Nur ein solcher kann nach Regeln der DSGVO auch mit einem Ersatz kompensiert werden.
V. Muster-Verteidigungsschreiben für Mandanten
Betroffene Seitenbetreiber, die Post von RA Lenard aus Berlin erhalten haben, sind gut beraten, sich vom Schreiben nicht einschüchtern zu lassen und der geäußerten Forderung nicht einfach statt zu geben.
Vielmehr sollten sich Seitenbetreiber auf geeignete Weise verteidigen, RA Lenard auf die rechtliche Unzulänglichkeit seiner Forderung hinweisen und diese damit zu Fall bringen.
Weil es sich bei den derzeit kursierenden Schreiben um ein Massenphänomen handelt, ist davon auszugehen, dass RA Lenard bei Gegenwehr die Sache im Konkreten wegen naheliegender Aussichtslosigkeit nicht weiterverfolgen wird. Vielmehr soll bereits das erste Forderungsschreiben als Drohgebärde zur nicht hinterfragten Zahlung führen.
Genau das bestätigt auch die bisherige Bilanz. Alle Mandanten, die bislang das von der IT-Recht Kanzlei bereitgestellte Muster-Verteidigungsschreiben verwendet haben, haben in der Abmahnangelegenheit nie wieder eine Rückmeldung von RA Lenard erhalten.
Wer das Muster-Verteidigungsschreiben der IT-Recht Kanzlei verwendet, kann daher die Angelegenheit mit an Sicherheit grenzender Wahrscheinlichkeit als erledigt betrachten, da eine gerichtliche Geltendmachung der Ansprüche aussichtslos ist.
Mandanten können das Muster-Verteidigungsschreiben nachfolgend erneut aufrufen:
Exklusiv-Inhalt für Mandanten
Noch kein Mandant?
-
WissensvorsprungZugriff auf exklusive Beiträge, Muster und Leitfäden
-
Schutz vor AbmahnungenProfessionelle Rechtstexte – ständig aktualisiert
-
Monatlich kündbarSchutzpakete mit flexibler Laufzeit
VI. Wie und mit welcher Frist sollte das Muster-Verteidigungsschreiben versendet werden?
Die IT-Recht Kanzlei empfiehlt zu Beweiszwecken eine Vorab-Versendung per Mail und sodann eine nachgelagerte Versendung als einfacher Postbrief.
Als Frist wird eine Zeitspanne von 10-14 Tagen empfohlen.
VII. Was passiert nach der Versendung des Schreibens?
Nach derzeitigem Erfahrungsstand: nichts.
Dass RA Lenard, der zehntausende Abmahnschreiben gleichen Inhalts in den Umlauf bringt, individuell reagiert, ist auch nicht zu erwarten. Ebenso wenig wird RA Lenard seine Forderungen gerichtlich geltend machen, da deren Eintreibung rechtlich aus mehrerer Hinsicht (Rechtsmissbrauch, fehlende Substantiierung eines Schadens, Mitverschulden) aussichtslos und für seinen Mandanten mit einem immensen Unterliegensrisiko verbunden wäre.
Wurde das Musterschreiben versendet, kann die Angelegenheit also mit an Sicherheit grenzender Wahrscheinlichkeit als erledigt betrachtet werden.
VIII. Google Fonts: Datenschutzkonformität herstellen und rechtlichen Problemen vorbeugen
Die Crux bei der Verwendung von Webfonts ist, dass Schriftarten und Typo-Stile dadurch geladen werden, dass der Browser des Seitenbesuchers eine Verbindung zu den Servern des Font-Anbieters aufnimmt. Durch diese Verbindungsaufnahme werden regelmäßig diverse Nutzerinformationen an Server des Anbieters übertragen. Enthalten diese Informationen auch personenbezogene Daten wie die IP-Adresse des Nutzers, drohen Verstöße gegen die DSGVO.
Um dies zu umgehen, ist zwingend zu empfehlen, Fonts, insbesondere solche von Google, ausschließlich lokal einzubinden und vom eigenen Server (nicht vom Server des Anbieters) laden zu lassen.
So kommt es nämlich zu keiner Erhebung und Übermittlung von personenbezogenen Daten durch/an Google, weil die Fonts nicht durch eine Verbindungsaufnahme zu Google Servern erst geladen werden müssen.
Tipp: Fragen zum Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook .
Link kopieren
Als PDF exportieren
Per E-Mail verschicken
Zum Facebook-Account der Kanzlei
Zum Instagram-Account der Kanzlei
23 Kommentare
Können Sie mir das Muster zukommen lassen?
Danke und Grüße
Ein Berliner Rechtsanwalt wendet sich zurzeit im Namen eines Mandanten mit „Abmahnungen" an viele Webseitenbetreiber. Gegenstand der Abmahnung ist die Nutzung von „Google Fonts" auf der jeweiligen Website. Diese Nutzung soll eine Verletzung des allgemeinen Persönlichkeitsrechts des Mandanten in Form des informationellen Selbstbestimmungsrechts nach § 823 Abs. 1 BGB darstellen. In den Schreiben wird u.a. angeboten, bei Zahlung eines geringen dreistelligen Betrages die Sache auf sich beruhen zu lassen. Nach unbestätigten Berichten in den sozialen Netzwerken sollen mehrere 10.000 solcher Abmahnungen verschickt worden sein.
Die Rechtsanwaltskammer (RAK) Berlin empfiehlt dringend, sowohl Berechtigung wie auch Inhalt einer Abmahnung sowie der darin geltend gemachten Forderungen einer rechtlichen Prüfung zu unterziehen. Die RAK selbst ist nicht befugt, diese rechtliche Beratung durchzuführen.
Die RAK Berlin erreichen auch viele Anfragen, ob und wenn ja, welche berufsrechtlichen Aufsichtsmaßnahmen von ihr ergriffen wurden. Dazu darf die Kammer jedoch wegen der in §76 Bundesrechtsanwaltsordnung (BRAO) angeordneten Verschwiegenheitspflicht keine Auskunft geben. Wir bitten um Verständnis.
Die RAK Düsseldorf hat einem Kunden auf dessen Beschwerdeschreiben an die RAK u.a. folgendes geantwortet: "... Wir teilen Ihnen daher mit, dass die Rechtsanwaltskammer Düsseldorf aufgrund des von Ihnen geschilderten Vorfalls eine berufsrechtliche Überprüfung einleiten wird. ..." Vermutlich wird der RA im schlimmsten Fall mit einem Rügebescheid bedacht. Das steckt der Herr Rechtsanwalt dann mit Blick auf seinen Kontostand locker weg.
vielen Dank für den Mustertext. Ich habe eine Frage dazu: Es wird sowohl "Mandantin" als auch "Mandant" verwendet.
Ich würde das gerne vereinheitlichen. Soll ich lieber die männliche oder die weibliche Form nehmen?
Danke & Gruß
Matthias
Vielleicht sollte ich jetzt mal zurückschiessen und die in Schadensersatzpflicht oder Schmerzensgeld ziehen... weil ICH bekomme die erbosten Anrufe. Die Leute, die die Webseiten in Auftrag geben, haben doch keine Ahnung davon - die machen es. Und ich bin ja auch nicht ewig verantwortlich. Beim Zeitpunkt der Übergabe, die andere ist noch viel älter, war alles nach besten Wissen und Gewissen in Ordnung. Ich war auch auf Schulungen zum Thema DSGVO... aber ich kann doch nicht permanent alte Projekte verfolgen und auf Lau aktualisieren - aber macht das mal einem Kunden verständlich.
Solche Anwälte beschmutzen nicht nur die eigene Branche, sie schaden mir als kleinen Unternehmer und sind meiner Meinung nach nicht ansatzweise noch fähig überhaupt für jemanden Recht zu vertreten - die sollten jetzt auf der Suche nach nem Anwalt sein. Man sollte denen die Lizenz entziehen - wer in der Internetbranche tätig ist, der weiß wie ätzend das mit den Abmahnungen ist - vielleicht sollte der Gesetzgeber die ganze Abmahnscheiße auch ganz unterbinden. Es wird mehr mißbraucht als dafür genutzt, wozu es eigentlich gedacht war - Gerichte zu entlasten. Das ne Menge Anwälte, zu Gunsten von Raffgier auf Moral und Rechtstreue einen Haufen setzen, sollte doch Anlass genug sein - wisst ihr noch... wieviele Existenzen hat es von Jugendlichen zerstört, die Fantasiesummen wegen MP3 "Handel" aufgebrummt haben.
Abmahnungen werden mehr mißbraucht und daher muss das weg!
Wir hatten schon mal eine Abmahnung, seinerzeit wegen Cookies (unsere HP hat gar keine gesetzt), wo es nur darum ging Geld von Unternehmen zu ergaunern. Es gab weder die Kanzlei, noch den berufenen Anwalt, was ich über eigen Recherche herausfand.
Die Info habe ich gerade gefunden, da wir binnen 3 Tagen zwei identische Abmahnungen mit unterschiedlichem Briefdatum erhalten haben.
Damit ist ein möglicher Rückschluss / Rückverfolgung auf den Nutzer m. E. nicht möglich.
Meine Meinung: Die Abmahnwelle ist damit komplett für die Tonne.
https://developers.google.com/fonts/faq#what_does_using_the_google_fonts_api_mean_for_the_privacy_of_my_users
Ach, übrigens ... ich vermute mal, dass Sie für die Einbindung des Google-reCAPTCHA JavaScript Codes (<script src="https://www.google.com/recaptcha/api.js"></script>) in der Kommentarfunktion wahrscheinlich auch eine explizite Einwilligung des Users z.B. über ein Cookie-Banner benötigen?! ;-))
erstmal vielen Dank für Ihren informativen Beitrag. Ich hatte mir bereits gedacht, dass das Schreiben vom RA Lenard unzulässig ist. Wo könnte man den Muster-Verteidigungsschreiben für Mandanten erhalten?