Als Mitglied der ISPA (der offizielle Verband der Internet Service Providers Austria) können wir unsere Kund:innen bestens beraten, wenn es sich um heikle Themen rund um den Internetauftritt, Datenschutz oder Domainprobleme handelt. Die ISPA hat auch im aktuellen Wirbel um die Datenschutzbeschwerde rund um Google Fonts & Co mittlerweile klare, nachvollziehbare Erkenntnisse veröffentlicht.
Datenschutz. Viele Websitebetreiber, die sogenannte Google-Fonts verwenden, haben Abmahnbriefe bekommen, auch Schadenersatz wird verlangt. Kann das rechtens sein? Und wie lassen sich solche Schriften risikolos nutzen?
Wien. Die Abmahnwelle rollte, die Aufregung war groß. Die Folge war ein veritabler Konflikt zwischen Anwälten. Darum soll es hier jedoch nicht gehen, sondern um die rechtlichen Aspekte: Was steckt hinter den Querelen um die Google-Fonts? Und wie können Websitebetreiber solche Schriften — die es nicht nur von Google gibt — ohne rechtliches Risiko nützen? Eine abschließende Beurteilung aller Facetten ist zwar längst noch nicht möglich. Hier dennoch der Versuch einer rechtlichen Einordnung.
1 Die Schriften sind doch gratis nutzbar — wieso dann Abmahnungen?
Die Gratisnutzung der Google-Fonts durch Websitebetreiber ist nicht das Problem, es geht nicht um Lizenzrechte. Die Frage ist vielmehr, ob der Schutz von Daten jener Personen verletzt wird, die solche Websites besuchen: Falls die Schriften nicht auf den lokalen Server des Websitebetreibers heruntergeladen wurden, sondern die Einbindung über einen Server von Google erfolgt, landen nämlich auch die IP-Adressen der User auf diesem Server. Das Landgericht München hat in einem Fall entschieden, dass Websitebetreiber sich dafür nicht auf ein "berechtigtes Interesse" im Sinne der DSGVO berufen können, und einem Betroffenen 100 Euro Entschädigung zugesprochen.
Nun ist diese Entscheidung für Österreich nicht bindend. Ob die Nutzung der Fonts vom Google-Server aus wirklich ein Datenschutzproblem darstellt, sei rechtlich noch keineswegs gesichert, sagt Ursula Illibauer, Referentin der Bundessparte Information und Consulting der Wirtschaftskammer, im Gespräch mit der "Presse". "Das prüft zurzeit die Datenschutzbehörde." Jedenfalls auf der sicheren Seite ist man jedoch, wenn man entweder vorab die Einwilligung der Betroffenen einholt — oder aber die Schriften auf den eigenen Server herunterlädt. Dann gibt es keinerlei Datenübertragung an Google. Den Unternehmen werde Letzteres angeraten, sagt Illibauer. Auch wer einen Anwaltsbrief erhalten hat, stärke damit seine Position in einem allfälligen Prozess — weil sich ein Unterlassungsanspruch damit erübrigt.
2 Falls es einen Verstoß gab — dürfen Betroffene das selbst "abstrafen"?
In den Schreiben, die offenbar an viele Tausend Unternehmen ergangen sind, wird der Vorwurf erhoben, durch die Verwendung von Google Fonts würden personenbezogene Daten ohne eine entsprechende Rechtsgrundlage verarbeitet bzw. in einen Drittstaat übermittelt. Verlangt wird nicht nur Unterlassung, sondern — in Anlehnung an das Münchner Urteil — Schadenersatz für eine angeblich betroffene Person in Höhe von 100 Euro plus 90 Euro Rechtsverfolgungskosten.
Das hat mehrere Ebenen: Ein Verstoß gegen die DSGVO könnte gegeben sein — "jedoch nur, wenn alle Voraussetzungen dafür auch konkret vorliegen", sagt Rechtsanwältin Anna Mertinz, Partnerin bei KWR. Aber selbst dann könne nur ein Gericht beurteilen, ob jemandem dafür Schadenersatz zusteht. Die Möglichkeit einer "Abmahnung" sehe die DSGVO nicht vor, betont Mertinz. Über einen streitigen oder zweifelhaften Anspruch einen Vergleich abzuschließen bzw. anzubieten, steht Streitparteien allerdings grundsätzlich frei — und diese Vorgangsweise wurde hier gewählt.
Seitens der Wirtschaftskammer wird betont, man stehe betroffenen Mitgliedsbetrieben zur Seite: Der Fachverband Ubit "unterstützt das Bestreben, einen Musterprozess aufzunehmen", heißt es in einer Aussendung. Betroffene Mitgliedsbetriebe seien aufgerufen, sich bei ihrem Fachverband zu melden, sollten Klagen eingebracht werden.
3 Wie realistisch ist ein Schadenersatzanspruch im konkreten Fall?
Der oder die Betroffene müsste dafür zunächst einmal überhaupt einen Schaden erlitten haben. Im konkreten Fall könnte das nur ein immaterieller Schaden sein, dahingehend, "dass eine gewisse, objektiv nachvollziehbare Gefühlsregung vorliegt, die ihre Ursache im Verstoß gegen die Bestimmungen der DSGVO hat", erklärt Mertinz. "Ob der bloße Kontrollverlust über die eigenen Daten dafür ausreichend ist, bleibt abzuwarten."
Die Frage sei auch, wie realistisch es ist, dass jemand eine womöglich fünfstellige Zahl von Websites besucht und jedes Mal diesen Kontrollverlust empfunden hat, sagt Thomas Riesz, Datenschutzexperte bei Haslinger Nagele. "Das kippt wohl irgendwann."
4 Wie kann man überhaupt Datenschutzverstöße geltend machen?
Zunächst können Betroffene auf Grundlage der DSGVO eine Beschwerde bei der Datenschutzbehörde einreichen. Dafür sei es lediglich erforderlich, dass die betroffene Person "der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen die DSGVO verstößt", erklärt Mertinz. Unbeschadet davon steht Betroffenen aber auch jeder anderweitige "verwaltungsrechtliche oder gerichtliche" Rechtsbehelf weiterhin offen. Bei Geltendmachung von Schadenersatz aufgrund einer Verletzung der DSGVO ist das örtlich zuständige Landesgericht verantwortlich. Sich zuerst an die Behörde zu wenden, ist laut Mertinz nicht erforderlich.
5 Aber wann ist eine IP-Adresse überhaupt "personenbezogen"?
Das hängt in erster Linie davon ab, ob ein Betroffener anhand der IP-Adresse identifiziert werden kann (EuGH C-582/14) — wozu der Internetprovider oft in der Lage sein wird. Selbst dynamische IP-Adressen, also solche, die bei jeder Einwahl neu vergeben werden, können personenbezogene Daten sein, wenn "eine Identifizierung anhand von Zusatzinformationen eines Dritten möglich ist" — etwa über die Uhrzeit, zu der diese IP-Adresse einem bestimmten User zugeordnet war, sagt Mertinz.
"Wenn der Verantwortliche über rechtliche und faktische Mittel verfügt, die es ihm — wenn auch über Dritte — ermöglichen, eine natürliche Person zu identifizieren", sei das hinreichend, ergänzt Riesz und verweist auf eine weitere EuGH-Entscheidung, die schon auf Basis der DSGVO ergangen ist (C597/19). Personenbezogene Daten liegen zwar nicht bereits dann vor, wenn "irgendjemand" einen Personenbezug herstellen kann. Sondern erst dann, wenn die verantwortliche Stelle über entsprechende Mittel verfügt, eine Person zu identifizieren.
Zu berücksichtigen sind dabei jedoch alle Mittel, die der Verantwortliche oder eine andere Person "nach allgemeinem Ermessen wahrscheinlich nutzt" — so stehe es in den Erwägungsgründen zur DSGVO, sagt Riesz. Woraus wohl zu schließen sei, dass nicht unbedingt nur legale Mittel zählen. Sondern alles, was faktisch genützt wird — wenn der zu erwartende Vorteil größer ist als das rechtliche Risiko.
*) Anm.: Name aus Datenschutzgründen verkürzt
Bilder: Photodisc Getty Images, Google Developer Forum